This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "OWASP Review BSI IT-Grundschutz Baustein Webanwendungen"
(→Kapitel-Review) |
(→Kapitel-Review) |
||
| Line 154: | Line 154: | ||
| keiner | | keiner | ||
|- | |- | ||
| − | | G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten | + | <!-- | G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten |
| unbekannt | | unbekannt | ||
| offen | | offen | ||
| Line 173: | Line 173: | ||
| offen | | offen | ||
| keiner | | keiner | ||
| − | |- | + | |- --> |
| G 4.33 Unzureichende oder fehlende Authentisierung | | G 4.33 Unzureichende oder fehlende Authentisierung | ||
| Matthias | | Matthias | ||
| Line 179: | Line 179: | ||
| keiner | | keiner | ||
|- | |- | ||
| − | | G 4.35 Unsichere kryptographische Algorithmen | + | <!-- | G 4.35 Unsichere kryptographische Algorithmen |
| unbekannt | | unbekannt | ||
| offen | | offen | ||
| keiner | | keiner | ||
| − | |- | + | |- --> |
| G 4.WA04 Unzureichende Validierung von Ein- und Ausgabedaten bei Web-Anwendungen | | G 4.WA04 Unzureichende Validierung von Ein- und Ausgabedaten bei Web-Anwendungen | ||
| Matthias | | Matthias | ||
| Line 191: | Line 191: | ||
| G 4.WA05 Fehlende oder mangelhafte Fehlerbehandlung durch Web-Anwendungen | | G 4.WA05 Fehlende oder mangelhafte Fehlerbehandlung durch Web-Anwendungen | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| Line 204: | Line 204: | ||
| keiner | | keiner | ||
|- | |- | ||
| − | | G 5.18 Systematisches Ausprobieren von Passwörtern | + | <!-- | G 5.18 Systematisches Ausprobieren von Passwörtern |
| unbekannt | | unbekannt | ||
| offen | | offen | ||
| Line 228: | Line 228: | ||
| offen | | offen | ||
| keiner | | keiner | ||
| − | |- | + | |- --> |
| G 5.131 SQL-Injection | | G 5.131 SQL-Injection | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| G 5.WA08 Unberechtigter Zugriff auf oder Manipulation von Daten bei Web-Anwendungen | | G 5.WA08 Unberechtigter Zugriff auf oder Manipulation von Daten bei Web-Anwendungen | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| G 5.WA09 Missbrauch einer Web-Anwendung durch automatisierte Nutzung | | G 5.WA09 Missbrauch einer Web-Anwendung durch automatisierte Nutzung | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| G 5.WA10 Fehler in der Logik von Web-Anwendungen | | G 5.WA10 Fehler in der Logik von Web-Anwendungen | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| G 5.WA11 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Web-Anwendungen | | G 5.WA11 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Web-Anwendungen | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| G 5.WA12 Unzureichendes Session-Management von Web-Anwendungen | | G 5.WA12 Unzureichendes Session-Management von Web-Anwendungen | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| G 5.WA13 Cross-Site Scripting (XSS) | | G 5.WA13 Cross-Site Scripting (XSS) | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| Line 271: | Line 271: | ||
| G 5.WA15 Umgehung der Autorisierung bei Web-Anwendungen | | G 5.WA15 Umgehung der Autorisierung bei Web-Anwendungen | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| G 5.WA16 Einbindung von fremden Daten und Schadcode bei Web-Anwendungen | | G 5.WA16 Einbindung von fremden Daten und Schadcode bei Web-Anwendungen | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| G 5.WA17 Injection-Angriffe | | G 5.WA17 Injection-Angriffe | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| G 5.WA18 Clickjacking | | G 5.WA18 Clickjacking | ||
| unbekannt | | unbekannt | ||
| − | | | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| − | | M 2.1 (A) Festlegung von Verantwortlichkeiten und Regelungen | + | <!--| M 2.1 (A) Festlegung von Verantwortlichkeiten und Regelungen |
| unbekannt | | unbekannt | ||
| offen | | offen | ||
| Line 323: | Line 323: | ||
| offen | | offen | ||
| keiner | | keiner | ||
| − | |- | + | |- --> |
| M 2.WA02 (B) Dokumentation der Architektur von Web-Anwendungen | | M 2.WA02 (B) Dokumentation der Architektur von Web-Anwendungen | ||
| Matthias | | Matthias | ||
| Line 354: | Line 354: | ||
| keiner | | keiner | ||
|- | |- | ||
| − | | M 4.176 (A) Auswahl einer Authentisierungsmethode für Webangebote | + | <!-- | M 4.176 (A) Auswahl einer Authentisierungsmethode für Webangebote |
| unbekannt | | unbekannt | ||
| offen | | offen | ||
| Line 378: | Line 378: | ||
| offen | | offen | ||
| keiner | | keiner | ||
| − | |- | + | |- --> |
| M 4.WA04 (A) Authentisierung bei Web-Anwendungen | | M 4.WA04 (A) Authentisierung bei Web-Anwendungen | ||
| Matthias | | Matthias | ||
| Line 439: | Line 439: | ||
| keiner | | keiner | ||
|- | |- | ||
| − | | M 2.8 (A) Vergabe von Zugriffsrechten | + | <!-- | M 2.8 (A) Vergabe von Zugriffsrechten |
| unbekannt | | unbekannt | ||
| offen | | offen | ||
| Line 458: | Line 458: | ||
| offen | | offen | ||
| keiner | | keiner | ||
| − | |- | + | |- --> |
| M 4.WA09 (C) Protokollierung sicherheitsrelevanter Ereignisse von Web-Anwendungen | | M 4.WA09 (C) Protokollierung sicherheitsrelevanter Ereignisse von Web-Anwendungen | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| Line 476: | Line 476: | ||
| Dokument "Webanwendungen_Hilfsmittel.pdf" | | Dokument "Webanwendungen_Hilfsmittel.pdf" | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
| Dokument "Webanwendungen_Kreuzreferenztabelle.pdf" | | Dokument "Webanwendungen_Kreuzreferenztabelle.pdf" | ||
| unbekannt | | unbekannt | ||
| − | | offen | + | | <b>offen</b> |
| keiner | | keiner | ||
|- | |- | ||
Revision as of 19:16, 16 May 2012
Mailing-List, Coordination and Contact
If you want to become a part of the OWASP review team, please subscribe to the mailing list https://lists.owasp.org/mailman/listinfo/bsi-webbaustein-review. It is not necessary to be a member to volunteer, of course :-)
The contact the coordinating team please mail to [email protected] or contact the project leader Ralf Reinhardt
This is a project of the OWASP German Chapter.
Abstract
Technical review of the module web application ("Baustein Webanwendungen") of the IT-baseline protection catalog ("IT Grundschutz Katalog") of the German Federal Office for Information Security ("BSI") from the OWASP's point of view.
Introduction
The German "Federal Office for Information Security" (BSI), which is comparable to departments focused on security in organizations like NIST or CCTA, offers the IT Baseline Protection ("IT-Grundschutz") for public usage, which is based on ISO/IEC 27001. The IT Baseline Protection include a catalog of approx. 80 "Bausteine" (building blocks). Those blocks are dealing with one particular subject of IT security. They are usually written in the German language and later translated to English. They become the de facto standard for IT security and related certifications in Germany after they are finally released.
In January 2012 the draft of the block "Webanwendungen" (web applications) was released with a request for comments. Since this is the core expertise of OWASP we invited a delegate of the BSI to attend the last chapter meeting of the German Chapter which took place in Frankfurt / Main on the 3rd of February. The meeting's outcome was the strong wish to perform a review of that very web application block as an OWASP project. This project will help to expand the visibility of OWASP in the German IT security landscape broadly.
Roadmap
- Time is running out, so it's just: Review!
- Details see "Discussion"
Deadline
06/01/2012, in German: 01.06.2012
Relevant links and general information
Document download
"Entwurf Baustein Webanwendungen" of the BSI (in German language) directly: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Entwurf.zip
General download section of the BSI: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/download/download.html
Some further information about "BSI" and "Grundschutz"
The BSI about itself: https://www.bsi.bund.de/EN/Home/home_node.html
Wikipedia about BSI: http://en.wikipedia.org/wiki/Bundesamt_f%C3%BCr_Sicherheit_in_der_Informationstechnik
Wikipedia about "IT-Grundschutz Katalog": http://en.wikipedia.org/wiki/IT_Baseline_Protection_Catalogs
Actual Work in Progress
Allgemeine Punkte
Kapitel-Review
Hier eine Auflistung der einzelnen Kapitel / Teile / Review-TODOs - wer einen Teil übernehmen möchte schreibt sich bitte einfach ein (im Feld Person).
Im Kommentarfeld bitte angeben, bis wann ihr plant, den Punkt fertig bearbeitet zu haben (und natürlich sonstige notwendigen Kommentare). Das Kommentarfeld eignet sich auch, um anzugeben, wer den peer review für diesen Teil macht (vgl. Status "in Diskussion").
Unter Status könnt Ihr das folgende angeben:
- offen (dieser Teil ist noch unbearbeitet)
- in Arbeit (dieser Teil wird aktuell bearbeitet)
- in Diskussion (Arbeit des initialen Reviewers abgeschlossen; Kommentierung / peer review durch andere wird durchgeführt)
- geschlossen (die Kommentierung dieses Teils ist abgeschlossen)
- übernommen (dieser Teil wurde in das finale Word-Dokument übernommen)
| Kapitel / Teil | Person | Status | Kommentar |
|---|---|---|---|
| B 5.XX Web-Anwendungen, Beschreibung und Abgrenzung (inkl. Seite 5) | Markus | in Diskussion | keiner |
| G 2.WA01 Mangelhafte Auswahl oder Konzeption von Web-Anwendungen | Matthias | In Diskussion | keiner |
| G 2.WA02 Mängel bei der Entwicklung und der Erweiterung von Web-Anwendungen | Matthias | In Diskussion | keiner |
| G 2.WA03 Unzureichender Schutz personenbezogener Daten bei Web-Anwendungen | Matthias | In Diskussion | keiner |
| G 4.33 Unzureichende oder fehlende Authentisierung | Matthias | In Diskussion | keiner |
| G 4.WA04 Unzureichende Validierung von Ein- und Ausgabedaten bei Web-Anwendungen | Matthias | In Diskussion | keiner |
| G 4.WA05 Fehlende oder mangelhafte Fehlerbehandlung durch Web-Anwendungen | unbekannt | offen | keiner |
| G 4.WA06 Unzureichende Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen bei Web-Anwendungen | Matthias | In Diskussion | keiner |
| G 4.WA07 Offenlegung von Informationen bei Web-Anwendungen | Matthias | in Diskussion | keiner |
| G 5.131 SQL-Injection | unbekannt | offen | keiner |
| G 5.WA08 Unberechtigter Zugriff auf oder Manipulation von Daten bei Web-Anwendungen | unbekannt | offen | keiner |
| G 5.WA09 Missbrauch einer Web-Anwendung durch automatisierte Nutzung | unbekannt | offen | keiner |
| G 5.WA10 Fehler in der Logik von Web-Anwendungen | unbekannt | offen | keiner |
| G 5.WA11 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Web-Anwendungen | unbekannt | offen | keiner |
| G 5.WA12 Unzureichendes Session-Management von Web-Anwendungen | unbekannt | offen | keiner |
| G 5.WA13 Cross-Site Scripting (XSS) | unbekannt | offen | keiner |
| G 5.WA14 Cross-Site Request Forgery (CSRF, XSRF) | Matthias | in Diskussion | keiner |
| G 5.WA15 Umgehung der Autorisierung bei Web-Anwendungen | unbekannt | offen | keiner |
| G 5.WA16 Einbindung von fremden Daten und Schadcode bei Web-Anwendungen | unbekannt | offen | keiner |
| G 5.WA17 Injection-Angriffe | unbekannt | offen | keiner |
| G 5.WA18 Clickjacking | unbekannt | offen | keiner |
| M 2.WA02 (B) Dokumentation der Architektur von Web-Anwendungen | Matthias | in Diskussion | keiner |
| M 4.WA20 (A) Sicherer Entwurf der Logik von Web-Anwendungen | Markus | in Diskussion | keiner |
| M 2.WA12 (B) Entwicklung und Erweiterung von Anwendungen | Markus | in Diskussion | keiner |
| M 5.WA21 (A) Sichere Anbindung von Hintergrundsystemen an Web-Anwendungen | Markus | in Diskussion | keiner |
| M 5.WA23 (A) Systemarchitektur einer Web-Anwendung | Makrus | in Diskussion | keiner |
| M 2.WA24 (W) Web-Tracking | Matthias | in Diskussion | keiner |
| M 4.WA04 (A) Authentisierung bei Web-Anwendungen | Matthias | in Arbeit | keiner |
| M 4.WA05 (A) Umfassende Ein- und Ausgabevalidierung bei Web-Anwendungen | Markus | in Diskussion | keiner |
| M 4.WA06 (A) Session-Management bei Web-Anwendungen | Markus | in Diskussion | keiner |
| M 4.WA07 (A) Fehlerbehandlung durch Web-Anwendungen | Markus | in Diskussion | keiner |
| M 4.WA08 (B) Schutz vor automatisierter Nutzung von Web-Anwendungen | Markus | in Diskussion | keiner |
| M 4.WA11 (A) Sichere Konfiguration von Web-Anwendungen | Markus | in Diskussion | keiner |
| M 4.WA13 (A) Kontrolliertes Einbinden von Daten und Inhalten bei Web-Anwendungen | Markus | in Diskussion | keiner |
| M 4.WA15 (A) Schutz vertraulicher Daten bei Web-Anwendungen | Markus | in Diskussion | keiner |
| M 4.WA16 (A) Zugriffskontrolle bei Web-Anwendungen | Markus | in Diskussion | keiner |
| M 4.WA19 (B) Verhinderung von Cross-Site Request Forgery (CSRF, XSRF) | Markus | in Diskussion | keiner |
| M 4.WA22 (B) Verhinderung der Blockade von Ressourcen (DoS) bei Web-Anwendungen | Markus | In Diskussion | keiner |
| M 4.WA25 (C) Verhinderung von Clickjacking | Markus | in Diskussion | keiner |
| M 4.WA09 (C) Protokollierung sicherheitsrelevanter Ereignisse von Web-Anwendungen | unbekannt | offen | keiner |
| M 4.WA14 (A) Restriktive Herausgabe sicherheitsrelevanter Informationen bei Web-Anwendungen | Markus | in Diskussion | keiner |
| Dokument "Webanwendungen_Goldene Regeln.pdf" | Matthias | In Diskussion | keiner |
| Dokument "Webanwendungen_Hilfsmittel.pdf" | unbekannt | offen | keiner |
| Dokument "Webanwendungen_Kreuzreferenztabelle.pdf" | unbekannt | offen | keiner |
Weitere Informationen und die aktuellen Arbeitsstände gibt es unter "Discussion".
Coordinating Team
- Tobias Glemser
- Boris Hemkemeier
- Kai Jendrian
- Ralf Reinhardt
- Dirk Wetter
Project Contributors
- Dennis Moers
- Markus Miedaner
- Matthias Rohr
- Your name here
Project Licence
Creative Commons Attribution ShareAlike 3.0
