Die neuen OWASP Top 10 wurden gestern veröffentlicht.
Die Top 3 sind zu Recht „A1: Injection” (z.B. SQL-Injection), „A2: Broken Authentication“ und „A3: Sensitive Data Exposure“. Wobei A3 zuletzt an Position 6 war.
Neu in den Top 10 sind „A4: XML External Entities (XXE)“, „A8: Insecure Deserialization“, „A10: Insufficient Logging & Monitoring“. A4 und A8 wurden in den letzten Jahren in Community schon sehr breit behandelt und es ist daher auch nicht verwunderlich, dass es diese in die Top 10 geschafft haben. A10 finde ich interessant und es wichtig, dass es das es der Punkt „Logging & Monitoring“ in die Top 10 geschafft hat. „Cross-Site Request Forgery (CSRF)“ ist rausgeflogen, da die Lücke kaum noch vorhanden ist (nur mehr in 5% der Applikationen) und es gute Ansätze und Frameworks gibt um diesen Angriffsvektor zu unterbinden.
„A5: Broken Access Control“ ist für mich auch ein sehr wichtiger Punkt, der die alten Punkten, „Insecure Direct Object References“ und „Missing Function Level Access Control“, nun zusammenfasst. Er ist deshalb für mich sehr wichtig, da mit (automatischen) Tools und Scannern eigentlich nicht gefunden werden kann, da der Grund für die Lücke oft auch Fehler in der Business-Logik zurückzuführen sind (z.B. fehlende Prüfung ob die Daten zum eingeloggten Kunden gehören) und nicht „klassische“ Sicherheitslücken wir z.B. „SQL-Injection“ sind.
Die OWASP Top 10 sind natürlich keine vollständige Liste von relevanten Sicherheitslücken – da gibt es noch einige andere Typen von Lücken die man mit geeigneten Gegenmaßnahmen behandeln muss. Die Top 10 sind aber einerseits ein guter Startpunkt falls man neu ist in der Web-App-Security Materie und andererseits ein guter Anstoß um das bestehende Security-Model kritisch zu hinterfragen.