Was ist OWASP und die OWASP Top 10?
Veröffentlicht: 2020-08-07Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Sicherheit von Software einsetzt. Das OWASP Top 10 ist ein Standard-Awareness-Dokument für Entwickler und Webanwendungssicherheit. Es stellt einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen dar.
Die Top 10 der OWASP-Sicherheitsrisiken für Webanwendungen
1. Injektion
Ein Injection- Fehler könnte es einem Angreifer ermöglichen, bösartigen Code in Ihre WordPress-Datenbank einzuschleusen. Der Code des Angreifers kann WordPress oder Ihren Server dazu bringen, Befehle ohne entsprechende Autorisierung auszuführen. Der bösartige Code kann alles tun, vom Exportieren einer Liste der Benutzer der Website bis zum Löschen von Tabellen in Ihrer Datenbank.
Verhütung
Das Trennen von Daten von Befehlen und Abfragen kann dazu beitragen, Injection-Schwachstellen zu vermeiden.
2. Gebrochene Authentifizierung
Eine Sicherheitsanfälligkeit in gebrochener Authentifizierung kann es einem Angreifer ermöglichen, die Kennwörter, Schlüssel oder Sitzungstoken eines Benutzers oder Benutzers zu kompromittieren, um die Konten des Benutzers zu übernehmen.
Verhütung
Mithilfe der Zwei-Faktor-Authentifizierung können Sie Ihre Website vor Schwachstellen in der gebrochenen Authentifizierung schützen.
Mithilfe der Zwei-Faktor-Authentifizierung können Sie Ihre Website vor Schwachstellen in der gebrochenen Authentifizierung schützen.
3. Offenlegung sensibler Daten
Anwendungen und APIs, die nicht korrekt vor der Offenlegung sensibler Daten schützen, können einem Angreifer den Zugriff auf Kreditkartennummern, Gesundheitsdaten oder andere private personenbezogene Daten ermöglichen.
Daten können entweder während der Übertragung oder im Ruhezustand offengelegt werden .
- Ein Beispiel für Daten während der Übertragung ist, wenn eine Kreditkartennummer vom Browser Ihres Kunden an das Zahlungsgateway Ihrer Website gesendet wird.
- Daten , die in Ruhestellung Mitteln ist es gespeichert und nicht verwendet werden. Ein Beispiel für ruhende Daten ist Ihr BackupBuddy-Backup, das an einem externen Ort gespeichert ist. Das Backup bleibt im Ruhezustand, bis es benötigt wird.
Verhütung
Sie können ein SSL-Zertifikat installieren, um Daten während der Übertragung zu sichern und zu verschlüsseln, und ruhende Daten zur Verschlüsselung hinzufügen, um eine Offenlegung zu verhindern.
4. Externe XML-Entitäten (XXE)
Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsreferenzen – wie eine Festplatte – in XML-Dokumenten aus. Ein Angreifer kann einen XML-Parser dazu bringen, sensible Informationen an eine externe Entität unter seiner Kontrolle weiterzugeben
Verhütung
Der beste Weg, um XXE zu verhindern, besteht darin, weniger komplexe Datenformate wie JSON zu verwenden und die Serialisierung sensibler Daten zu vermeiden.
5. Defekte Zugangskontrolle
Eine Schwachstelle in der Zugriffssteuerung durch Broken Access Control würde es einem Angreifer ermöglichen, die Autorisierung zu umgehen und Aufgaben auszuführen, die normalerweise auf Benutzer mit höheren Rechten wie Administratoren beschränkt sind.
Im Kontext von WordPress kann eine Schwachstelle in der Broken Access Control einem Benutzer mit der Rolle des Abonnenten ermöglichen, Aufgaben auf Administratorebene wie das Hinzufügen/Entfernen von Plugins und Benutzern durchzuführen.
Verhütung
iThemes Security Pro kann Ihre Website vor defekter Zugriffskontrolle schützen, indem der Administratorzugriff auf eine Liste vertrauenswürdiger Geräte beschränkt wird.
Eine Schwachstelle in der Zugriffssteuerung durch Broken Access Control würde es einem Angreifer ermöglichen, die Autorisierung zu umgehen und Aufgaben auszuführen, die normalerweise auf Benutzer mit höheren Rechten wie Administratoren beschränkt sind.
6. Sicherheitsfehlkonfiguration
Sicherheitsfehlkonfigurationen sind das häufigste Problem in der Liste. Diese Art von Sicherheitsanfälligkeit ist normalerweise das Ergebnis unsicherer Standardkonfigurationen, übermäßig beschreibender Fehlermeldungen und falsch konfigurierter HTTP-Header.
Verhütung
Probleme mit der Sicherheitsfehlkonfiguration können gemildert werden, indem alle nicht verwendeten Funktionen aus dem Code entfernt, alle Bibliotheken auf dem neuesten Stand gehalten und Fehlermeldungen allgemeiner gemacht werden.
7. Cross-Site-Scripting (XSS)
Eine Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting tritt auf, wenn eine Webanwendung Benutzern ermöglicht, benutzerdefinierten Code in den URL-Pfad einzufügen. Ein Angreifer kann die Sicherheitsanfälligkeit ausnutzen, um im Webbrowser des Opfers bösartigen Code auszuführen, eine Weiterleitung zu einer bösartigen Website zu erstellen oder eine Benutzersitzung zu kapern.
Verhütung
Die Funktion „Vertrauenswürdige Geräte“ von iThemes Security Pro kann zum Schutz vor Session-Hijacking beitragen, indem überprüft wird, dass sich das Gerät eines Benutzers während einer Sitzung nicht ändert.
Die Funktion "Vertrauenswürdige Geräte" von iThemes Security Pro kann zum Schutz vor Session-Hijacking beitragen, indem überprüft wird, dass sich das Gerät eines Benutzers während einer Sitzung nicht ändert.
8. Unsichere Deserialisierung
Die Serialisierung konvertiert Objekte aus dem Code einer Anwendung in ein Format, das später wiederhergestellt werden kann, z. B. beim Exportieren Ihrer iThemes Security Pro-Einstellungen in eine JSON-Datei.
Die Deserialisierung ist die Umkehrung dieses Prozesses, bei der Daten, die in einem bestimmten Format strukturiert sind, wieder in ein Objekt umgewandelt werden. Nehmen Sie beispielsweise die iThemes Security Pro-Einstellungen, die Sie in einer JSON-Datei gespeichert haben, und importieren Sie sie auf eine neue Website.
Unsichere Deserialisierungsfehler können und werden häufig zu einem Remote Code Execution-Exploit führen, der zu Injection- und Privilege Escalation-Angriffen führen kann.
Verhütung
Die einzige Möglichkeit, Exploits durch unsichere Deserialisierung abzuwehren, besteht darin, keine Serialisierung aus nicht vertrauenswürdigen Quellen zu akzeptieren.
9. Verwendung von Komponenten mit bekannten Schwachstellen
Für Entwickler ist es allgegenwärtig, Komponenten wie Bibliotheken und Frameworks in ihren Anwendungen zu verwenden. Dazu gehören WordPress-Plugin- und Theme-Entwickler. Diese Bibliotheken und Frameworks von Drittanbietern können Sicherheitslücken einführen, wenn sie nicht ordnungsgemäß aktualisiert werden.
Verhütung
Entwickler können das Risiko der Verwendung von Komponenten mit bekannten Schwachstellen minimieren, indem sie ungenutzten Code von Drittanbietern entfernen und nur Komponenten aus vertrauenswürdigen Quellen verwenden.
10. Unzureichende Protokollierung und Überwachung
Eine unzureichende Protokollierung und Überwachung kann zu einer Verzögerung bei der Erkennung einer Sicherheitsverletzung führen. Die meisten Studien zu Sicherheitsverletzungen zeigen, dass die Zeit zur Erkennung einer Sicherheitsverletzung über 200 Tage beträgt! Diese Zeitspanne ermöglicht es einem Angreifer, in andere Systeme einzudringen, weitere Daten zu modifizieren, zu stehlen oder zu zerstören.
Verhütung
Die WordPress-Sicherheitsprotokolle von iThemes Security Pro überwachen eine Vielzahl bösartiger Aktivitäten und verwenden die gesammelten Informationen, um Angriffe zu blockieren und Sie zu warnen, wenn etwas schief geht.
Die meisten Studien zu Sicherheitsverletzungen zeigen, dass die Zeit zur Erkennung einer Sicherheitsverletzung über 200 Tage beträgt!
Fügen Sie mehr Schutz mit dem iThemes Security Pro Site Scan hinzu
In unseren zweimonatlich erscheinenden Vulnerability Roundup-Posts teilen wir alle neusten offengelegten WordPress-Kern-, Plugin- und Theme-Schwachstellen. Viele der Plugins und Themen, die wir in unseren Zusammenfassungen behandeln, haben Exploits, die in der OWASP-Top-10-Liste stehen.
Die Hauptursache für gehackte Websites sind Schwachstellen, für die ein Patch verfügbar war, aber nicht angewendet wurde. Fügen Sie den iThemes Security Pro Site Scan zu Ihrem WordPress-Sicherheitstoolgürtel hinzu, um Ihre Website vor dem Abbruch durch ein bekanntes Sicherheitsproblem zu schützen. Der Site-Scanner von iThemes Security Pro überprüft Ihre Site auf bekannte Schwachstellen und wendet automatisch einen Patch an, falls einer verfügbar ist.
Unabhängig davon, ob Ihr Theme Komponenten mit bekannten Schwachstellen verwendet oder Sie ein Plugin verwenden, das eine bekannte Cross-Site-Scripting- Schwachstelle aufweist, der Site-Scan von iThemes Security Pro deckt Sie ab.
Unabhängig davon, ob Ihr Theme Komponenten mit bekannten Schwachstellen verwendet oder Sie ein Plugin verwenden, das eine bekannte Cross-Site-Scripting- Schwachstelle aufweist, der Site-Scan von iThemes Security Pro deckt Sie ab.
Zusammenfassung: OWASP Top 10
Die OWASP-Top-10-Liste ist eine großartige Ressource, um das Bewusstsein dafür zu schärfen, wie Sie Ihre Anwendungen gegen die gängigsten Sicherheitslücken schützen können. Der Grund, warum diese Schwachstellen in die Top-10-Liste gelangen, liegt leider darin, dass sie weit verbreitet sind. Die Verwendung eines WordPress-Sicherheits-Plugins wie iThemes Security Pro kann dazu beitragen, Ihre Website vor vielen dieser häufigen Sicherheitsprobleme zu schützen und zu schützen.
Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.
