Germany/Projekte/Top 10-2017 Neuerungen

Die Veränderungen haben in den letzten vier Jahren zugenommen, folglich wurden auch die OWASP Top 10 aktualisiert. Wir haben sie vollständig umgestaltet: die Methodik und den Prozess der Datenerhebung erneuert, mit der Community vollständig transparent zusammengearbeitet, die Risiken neu priorisiert, die Beschreibung der Risiken jeweils runderneuert und die Referenzen zu aktuellen Frameworks und Programmiersprachen angepasst. In den letzten Jahren hat sich die eingesetzte Technologie und Architektur von Anwendungen signifikant geändert:

• Microservices, die in node.js und Spring Boot geschrieben werden, ersetzen traditionelle monolithische Anwendungen. Micro-services bringen neue Herausforderungen an die IT-Sicherheit mit, wie z.B. Vertrauensbeziehungen zwischen Microservices, Containern und das Management der Anmeldedaten. Alter Code, der nie dafür geschrieben wurde, aus dem Internet erreichbar zu sein, wird nun via APIs oder RESTful Web-Service nach außen geöffnet, z.B. mittels Single-Page-Anwendungen (SPA) oder für mobile Apps. Architekturelle Annahmen für den Code, wie z.B. vertrauenswürdige Nutzer, sind nicht mehr gültig.
• Single-Page-Anwendungen, die in JavaScript-Frameworks, wie z.B. Angular oder React geschrieben wurden, unterstützen die Entwicklung von sehr modularen Clients mit einem großen Funktionsumfang. Das Verlagern von Funktionen auf den Client, die traditionell auf dem Server lagen, erzeugt weitere Herausforderungen für die IT-Sicherheit.
• JavaScript ist inzwischen die meistgenutzte Sprache im Web, mit node.js auf den Servern und modernen Web-Frameworks wie Bootstrap, Electron, Angular oder React auf dem Client. 

Neue Risiken, auf Basis der Datenerhebung:

• A4:2017-XML External Entities (XXE) ist eine neue Kategorie, die hauptsächlich per Source-Code-Analyse-Sicherheits-Test-Tools (SAST) gefunden wurde.

Neue Risiken, auf Basis der Expertenumfrage in der Community

Wir haben die Community gebeten, zwei Risiken zu wählen, die zukünftig von größerer Bedeutung sein werden. Aufgrund der Ergebnisse der Expertenumfrage mit über 500 Einsendungen wurden nach dem Streichen von Risiken, die bereits aufgrund der Datenerhebung enthalten waren (z.B. Verlust der Vertraulichkeit sensibler Daten und XXE), folgende Risiken aufgenommen:

• A8:2017-Unsichere Deserialisierung, die ein externes Ausführen von beliebigem Code und die Manipulation von sensiblen Daten-Objekten auf betroffenen Plattformen ermöglicht.
• A10:2107-Unzureichendes Logging&Monitoring, das zum Übersehen oder zu beträchtlichen Verzögerungen beim Erkennen von bösartigen Aktivitäten oder digitalen Einbrüchen und dem Bearbeiten der Sicherheitsvorfälle sowie der digitalen Forensik führen kann.

Zusammengeführt oder aus den Top 10 ausgeschieden, jedoch nicht vergessen:

• A4-Unsichere direkte Objektreferenzen und A7-Fehlerhafte Autorisierung auf Anwendungsebene zusammengeführt (=vereint) zu A5:2017-Fehler in der Zugriffskontrolle.
• A8-Cross-Site Request Forgery (CSRF), da viele Frameworks Maßnahmen gegen CSRF) beinhalten, wurde diese Kategorie nur noch in 5% der Anwendungen gefunden.
• A10-Ungeprüfte Um- und Weiterleitungen, das noch in ca. 8% der Anwendungen auftrat, wurde insbes. durch XXE verdrängt.