This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

OWASP Review BSI IT-Grundschutz Baustein Webanwendungen

From OWASP
Revision as of 14:48, 17 April 2012 by Dirk Wetter (talk | contribs)

Jump to: navigation, search

Mailing-List, Coordination and Contact

If you want to become a part of the OWASP review team, please subscribe to the mailing list https://lists.owasp.org/mailman/listinfo/bsi-webbaustein-review. It is not necessary to be a member to volunteer, of course :-)

The contact the coordinating team please mail to [email protected] or contact the project leader Ralf Reinhardt

This is a project of the OWASP German Chapter.

Abstract

Technical review of the module web application ("Baustein Webanwendungen") of the IT-baseline protection catalog ("IT Grundschutz Katalog") of the German Federal Office for Information Security ("BSI") from the OWASP's point of view.

Introduction

The German "Federal Office for Information Security" (BSI), which is comparable to departments focused on security in organizations like NIST or CCTA, offers the IT Baseline Protection ("IT-Grundschutz") for public usage, which is based on ISO/IEC 27001. The IT Baseline Protection include a catalog of approx. 80 "Bausteine" (building blocks). Those blocks are dealing with one particular subject of IT security. They are usually written in the German language and later translated to English. They become the de facto standard for IT security and related certifications in Germany after they are finally released.

In January 2012 the draft of the block "Webanwendungen" (web applications) was released with a request for comments. Since this is the core expertise of OWASP we invited a delegate of the BSI to attend the last chapter meeting of the German Chapter which took place in Frankfurt / Main on the 3rd of February. The meeting's outcome was the strong wish to perform a review of that very web application block as an OWASP project. This project will help to expand the visibility of OWASP in the German IT security landscape broadly.


Roadmap

Deadline

06/01/2012, in German: 01.06.2012


Relevant links and general information

Document download

"Entwurf Baustein Webanwendungen" of the BSI (in German language) directly: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Entwurf.zip

General download section of the BSI: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/download/download.html

Some further information about "BSI" and "Grundschutz"

The BSI about itself: https://www.bsi.bund.de/EN/Home/home_node.html

Wikipedia about BSI: http://en.wikipedia.org/wiki/Bundesamt_f%C3%BCr_Sicherheit_in_der_Informationstechnik

Wikipedia about "IT-Grundschutz Katalog": http://en.wikipedia.org/wiki/IT_Baseline_Protection_Catalogs


Actual Work in Progress

Allgemeine Punkte

Allgemeine Punkte.

Kapitel-Review

Hier eine Auflistung der einzelnen Kapitel / Teile / Review-TODOs - wer einen Teil übernehmen möchte schreibt sich bitte einfach ein (im Feld Person).

Im Kommentarfeld bitte angeben, bis wann ihr plant, den Punkt fertig bearbeitet zu haben (und natürlich sonstige notwendigen Kommentare). Das Kommentarfeld eignet sich auch, um anzugeben, wer den peer review für diesen Teil macht (vgl. Status "in Diskussion").

Unter Status könnt Ihr das folgende angeben:

  • offen (dieser Teil ist noch unbearbeitet)
  • in Arbeit (dieser Teil wird aktuell bearbeitet)
  • in Diskussion (Arbeit des initialen Reviewers abgeschlossen; Kommentierung / peer review durch andere wird durchgeführt)
  • geschlossen (die Kommentierung dieses Teils ist abgeschlossen)
  • übernommen (dieser Teil wurde in das finale Word-Dokument übernommen)
Kapitel / Teil Person Status Kommentar
B 5.XX Web-Anwendungen, Beschreibung und Abgrenzung (inkl. Seite 5) Markus in Arbeit keiner
G 2.1 Fehlende oder unzureichende Regelungen unbekannt offen keiner
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen unbekannt offen keiner
G 2.7 Unerlaubte Ausübung von Rechten unbekannt offen keiner
G 2.22 Fehlende Auswertung von Protokolldaten unbekannt offen keiner
G 2.27 Fehlende oder unzureichende Dokumentation unbekannt offen keiner
G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten unbekannt offen keiner
G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen unbekannt offen keiner
G 2.103 Unzureichende Schulung der Mitarbeiter Matthias offen keiner
G 2.WA01 Mangelhafte Auswahl oder Konzeption von Web-Anwendungen Matthias In Diskussion keiner
G 2.WA02 Mängel bei der Entwicklung und der Erweiterung von Web-Anwendungen Matthias In Diskussion keiner
G 2.WA03 Unzureichender Schutz personenbezogener Daten bei Web-Anwendungen Matthias In Diskussion keiner
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten unbekannt offen keiner
G 3.38 Konfigurations- und Bedienungsfehler unbekannt offen keiner
G 3.43 Ungeeigneter Umgang mit Passwörtern unbekannt offen keiner
G 4.22 Software-Schwachstellen oder -Fehler unbekannt offen keiner
G 4.33 Unzureichende oder fehlende Authentisierung Matthias In Diskussion keiner
G 4.35 Unsichere kryptographische Algorithmen unbekannt offen keiner
G 4.WA04 Unzureichende Validierung von Ein- und Ausgabedaten bei Web-Anwendungen Matthias In Diskussion keiner
G 4.WA05 Fehlende oder mangelhafte Fehlerbehandlung durch Web-Anwendungen unbekannt offen keiner
G 4.WA06 Unzureichende Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen bei Web-Anwendungen Matthias In Diskussion keiner
G 4.WA07 Offenlegung von Informationen bei Web-Anwendungen Matthias in Diskussion keiner
G 5.18 Systematisches Ausprobieren von Passwörtern unbekannt offen keiner
G 5.19 Missbrauch von Benutzerrechten unbekannt offen keiner
G 5.20 Missbrauch von Administratorrechten unbekannt offen keiner
G 5.28 Verhinderung von Diensten unbekannt offen keiner
G 5.87 Web-Spoofing unbekannt offen keiner
G 5.131 SQL-Injection unbekannt offen keiner
G 5.WA08 Unberechtigter Zugriff auf oder Manipulation von Daten bei Web-Anwendungen unbekannt offen keiner
G 5.WA09 Missbrauch einer Web-Anwendung durch automatisierte Nutzung unbekannt offen keiner
G 5.WA10 Fehler in der Logik von Web-Anwendungen unbekannt offen keiner
G 5.WA11 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Web-Anwendungen unbekannt offen keiner
G 5.WA12 Unzureichendes Session-Management von Web-Anwendungen unbekannt offen keiner
G 5.WA13 Cross-Site Scripting (XSS) unbekannt offen keiner
G 5.WA14 Cross-Site Request Forgery (CSRF, XSRF) Matthias in Diskussion keiner
G 5.WA15 Umgehung der Autorisierung bei Web-Anwendungen unbekannt offen keiner
G 5.WA16 Einbindung von fremden Daten und Schadcode bei Web-Anwendungen unbekannt offen keiner
G 5.WA17 Injection-Angriffe unbekannt offen keiner
G 5.WA18 Clickjacking unbekannt offen keiner
M 2.1 (A) Festlegung von Verantwortlichkeiten und Regelungen unbekannt offen keiner
M 2.31 (C) Dokumentation der zugelassenen Benutzer und Rechteprofile unbekannt offen keiner
M 2.34 (A) Dokumentation der Veränderungen an einem bestehenden System unbekannt offen keiner
M 2.63 (A) Einrichten der Zugriffsrechte unbekannt offen keiner
M 2.64 (A) Kontrolle der Protokolldateien unbekannt offen keiner
M 2.110 (B) Datenschutzaspekte bei der Protokollierung unbekannt offen keiner
M 5.66 (Z) Verwendung von TLS/SSL unbekannt offen keiner
M 2.WA02 (B) Dokumentation der Architektur von Web-Anwendungen Matthias offen keiner
M 4.WA20 (A) Sicherer Entwurf der Logik von Web-Anwendungen unbekannt offen keiner
M 2.WA12 (B) Entwicklung und Erweiterung von Anwendungen unbekannt offen keiner
M 5.WA21 (A) Sichere Anbindung von Hintergrundsystemen an Web-Anwendungen unbekannt offen keiner
M 5.WA23 (A) Systemarchitektur einer Web-Anwendung unbekannt offen keiner
M 2.WA24 (W) Web-Tracking unbekannt offen keiner
M 4.176 (A) Auswahl einer Authentisierungsmethode für Webangebote unbekannt offen keiner
M 2.80 (A) Erstellung eines Anforderungskatalogs für Standardsoftware unbekannt offen keiner
M 2.62 (A) Software-Abnahme- und Freigabe-Verfahren Matthias offen keiner
M 2.363 (A) Schutz gegen SQL-Injection unbekannt offen keiner
M 3.5 (B) Schulung zu Sicherheitsmaßnahmen Matthias offen keiner
M 4.WA04 (A) Authentisierung bei Web-Anwendungen unbekannt offen keiner
M 4.WA05 (A) Umfassende Ein- und Ausgabevalidierung bei Web-Anwendungen unbekannt offen keiner
M 4.WA06 (A) Session-Management bei Web-Anwendungen unbekannt offen keiner
M 4.WA07 (A) Fehlerbehandlung durch Web-Anwendungen unbekannt offen keiner
M 4.WA08 (B) Schutz vor automatisierter Nutzung von Web-Anwendungen unbekannt offen keiner
M 4.WA11 (A) Sichere Konfiguration von Web-Anwendungen unbekannt offen keiner
M 4.WA13 (A) Kontrolliertes Einbinden von Daten und Inhalten bei Web-Anwendungen unbekannt offen keiner
M 4.WA15 (A) Schutz vertraulicher Daten bei Web-Anwendungen unbekannt offen keiner
M 4.WA16 (A) Zugriffskontrolle bei Web-Anwendungen unbekannt offen keiner
M 4.WA19 (B) Verhinderung von Cross-Site Request Forgery (CSRF, XSRF) unbekannt offen keiner
M 4.WA22 (B) Verhinderung der Blockade von Ressourcen (DoS) bei Web-Anwendungen unbekannt offen keiner
M 4.WA25 (C) Verhinderung von Clickjacking unbekannt offen keiner
M 2.8 (A) Vergabe von Zugriffsrechten unbekannt offen keiner
M 2.35 (A) Informationsbeschaffung über Sicherheitslücken des Systems unbekannt offen keiner
M 2.273 (A) Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates unbekannt offen keiner
M 4.78 (B) Sorgfältige Durchführung von Konfigurationsänderungen unbekannt offen keiner
M 4.WA09 (C) Protokollierung sicherheitsrelevanter Ereignisse von Web-Anwendungen unbekannt offen keiner
M 4.WA14 (A) Restriktive Herausgabe sicherheitsrelevanter Informationen bei Web-Anwendungen unbekannt offen keiner
Dokument "Webanwendungen_Goldene Regeln.pdf" Matthias In Diskussion keiner
Dokument "Webanwendungen_Hilfsmittel.pdf" unbekannt offen keiner
Dokument "Webanwendungen_Kreuzreferenztabelle.pdf" unbekannt offen keiner

Weitere Informationen und die aktuellen Arbeitsstände gibt es unter "Discussion".

Coordinating Team

  • Tobias Glemser
  • Boris Hemkemeier
  • Kai Jendrian
  • Ralf Reinhardt
  • Dirk Wetter

Project Contributors

  • Dennis Moers
  • Markus Miedaner
  • Matthias Rohr
  • Your name here

Project Licence

Creative Commons Attribution ShareAlike 3.0