Germany/Projekte/Top 10 fuer Entwickler-2013/Nächste Schritte für Prüfer

Zur Sicherheitsüberprüfung einer eigenentwickelten oder kommerziellen Web Anwendung empfiehlt OWASP eine Überprüfung des Anwendungsprogrammcodes (falls verfügbar), sowie einen Anwendungstest. OWASP rät dabei zu einer Kombination aus Quellcodeanalyse und Penetrationstest der Anwendung, um von den Stärken beider, sich sehr gut ergänzender Methoden zu profitieren. Dabei unterstützende Analysewerkzeuge können die Effizienz und Effektivität einer Expertenanalyse verbessern. Die Prüfwerkzeuge von OWASP richten sich jedoch mehr auf eine Unterstützung und Effektivitäts-Steigerung von Experten, anstatt den Analyse-Prozess zu automatisieren.

Standardisierung der Anwendungssicherheitsüberprüfung: Um Organisationen bei der Entwicklung einer konsistenten und angemessenen Strategie bezüglich der Sicherheit von Webanwendungen zu helfen, wurde der OWASP Application Security Verification Standard (ASVS) entworfen. Das Dokument definiert einen Minimalstandard zur Bewertung von Webanwendungs- sicherheit. OWASP empfiehlt den ASVS als Leitfaden - nicht nur als Checkliste zur Sicherheitsprüfung einer Webanwendung, sondern auch zur Auswahl der angemessenen Prüfungstechniken. OWASP empfiehlt den Einsatz des ASVS auch bei der Suche und Bewertung von Dienstleistern für Sicherheitsaudits von Webanwendungen.

Analysewerkzeuge: Das OWASP Web Testing Environment Project (ex OWASP Live CD Project) vereint die besten Open Source Sicherheitswerkzeuge in einer bootbaren Live-CD Umgebung. Web-Entwickler, Tester sowie Sicherheitsexperten bekommen mit dieser Live-CD sofortigen Zugriff auf eine umfangreiche Suite von Sicherheits-Testwerkzeugen. Zur Nutzung der Werkzeuge ist keine Installation oder Konfiguration erforderlich.

Eine Analyse des Quell-Codes ist insbesondere geeignet nachzuweisen, dass sich eine Anwendung durch starke Sicherheitsmechanismen schützt. Des Weiteren ist sie gut geeignet Schwachstellen zu identifizieren die durch die Analyse der Ausgaben des Programms ansonsten nur schwer zu finden sind. Penetrationstests sind besonders geeignet die Ausnutzbarkeit von Schwachstellen nachzuweisen. Daher ergänzen sich beide Vorgehensweisen.

Quell-Code Analyse: In Ergänzung zum OWASP Developer’s Guide, und dem das Testing Project (ex OWASP Testing Guide) wurde der OWASP Code Review Guide erstellt, um Entwickler und Anwendungssicherheits-Spezialisten bei der effizienten und effektiven Quell-Code-Analyse einer Webanwendung zu unterstützen. Viele Sicherheitsprobleme in Webanwendungen, beispielsweise Injection Flaws können sehr viel einfacher durch eine Code-Analyse als durch Testen der Anwendung gefunden werden.

Code-Analyse-Werkzeuge: OWASP Werkzeuge zur Unterstützung von Experten bei Code Analysen sind vielversprechend, befinden sich jedoch noch in einem frühen Entwicklungsstadium. Deren Autoren benutzen diese Werkzeuge täglich zur Durchführung von Code-Sicherheits-Reviews, jedoch kann die Benutzung für nicht erfahrene Anwendern sehr schwierig sein. Einige Beispiele dafür sind Code-Crawler, Orizon, sowie O2. Seit dem letzten Release der OWASP Top 10 wurde nur O2 aktiv weiterentwickelt. Außerdem gibt es auch andere freie Open Source Code-Analysewerkzeuge. Das vielversprechendste ist FindBugs und sein neues Sicherheitsplugin FindSecurityBugs, beide für Java.

Anwendungstests: OWASP entwickelte das Testing Project (ex Testing Guide) um Entwicklern, Testern und Anwendungssicherheitsexperten zu helfen das richtige Verständnis zu bekommen, wie die Sicherheit einer Webanwendung effizient und effektiv getestet werden kann. Dieser umfassende Leitfaden, zu dem ein Dutzend Autoren beigetragen haben, behandelt weite Teile des Testens von Anwendungssicherheit. Ebenso wie die Code-Analyse hat auch das Sicherheits-Testen spezifische Vorteile. Es kann sehr beeindruckend sein, durch einen Test oder Exploit zu beweisen, dass eine Anwendung unsicher ist. Weiterhin existieren sehr viele Sicherheitsprobleme - insbesondere Sicherheitsfunktionen, die durch die Anwendungsinfrastruktur bereitgestellt werden - die bei einer Code-Analyse nicht überprüft werden können, da die Anwendung diese Funktionalität nicht vollständig selbst zur Verfügung stellt.

Penetrations-Test-Werkzeuge: WebScarab, das eines der meist genutzten OWASP Projekte war und der neue Zed Attack Proxy (ZAP), der inzwischen noch populärer ist, sind beides Test-Proxys für Webanwendungen. Solche Werkzeuge erlauben es Sicherheitsexperten und Entwicklern Anfragen von Webanwendungen abzufangen, um zu analysieren wie die Anwendung arbeitet. Anschließend können manipulierte Test-Anfragen an die Anwendung gesendet werden, um zu verifizieren, ob die Anwendung die Anfragen sicher verarbeitet. Diese Werkzeuge sind vor allem beim Aufspüren von XSS-Fehlern, Authentifizierungsfehlern und Fehlern in der Zugriffskontrolle sehr hilfreich. ZAP besitzt sogar einen eingebauten aktiven Scanner. Und das Beste: der ZAP ist frei verfügbar!