In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Gefährdungen, die Webanwendungen

Werbung 
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und
Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Webanwendungen
Die Zusammenstellung der Gefährdungen für den Baustein 5.21 Webanwendungen bediente sich u. a. zweier international anerkannter Werke: der
WASC Threat Classification und der OWASP Top Ten.
1 Vorstellung von WASC und OWASP
1.1 WASC - Web Application Security Consortium
Das Web Application Security Consortium (WASC, Link: http://www.webappsec.org/) ist ein Zusammenschluss von Experten, die gemeinsam an BestPractice-Standards für die Sicherheit von Webanwendungen arbeiten. Neben vielen anderen Publikationen veröffentlicht das WASC auch einen
Katalog von Gefährdungen, die Webanwendungen betreffen, die sogenannte WASC Threat Classification v 2.00
(https://files.pbworks.com/download/i7vyhDCIJ4/webappsec/13247059/WASC-TC-v2_0.pdf). Die hier aufgeführten Gefährdungen dienten auch als
eine Grundlage für die Gefährdungsanalyse bei der Erstellung des Bausteins Webanwendungen.
1.2 OWASP - Open Web Application Security Project
Das Open Web Application Security Project (OWASP, https://www.owasp.org) ist ein auf der ganzen Welt vertretenes, offenes Projekt, um die
Sicherheit von Webanwendungen zu erhöhen und hierfür verschiedenste Hilfsmittel zur Verfügung zu stellen. Das wohl bekannteste sind die OWASP
Top Ten. Hier werden die zehn wichtigsten Bedrohungen für die Sicherheit von Webanwendungen beschreiben. Sie sind inzwischen durch das deutsche
Chapter (Link: https://www.owasp.org/index.php/Germany) auch auf deutsch erhältlich
(https://www.owasp.org/index.php/File:OWASPTop10_DE_Version_1_0.pdf).
2 Baustein Webanwendungen und WASC Threat Classification und OWASP Top Ten
Die Bausteine der IT-Grundschutz-Kataloge betrachten das behandelte Sujet immer ganzheitlich, während die genannten Dokumente zur Sicherheit
von Webanwendungen sich darauf konzentrieren. Insofern ist es nicht verwunderlich, wenn einige Gefährdungen und Maßnahmen des Bausteins bei
der WASC oder OWASP keine Entsprechung finden. Andersherum findet sich aber jede Gefährdung der WASC und OWASP in den Gefährdungen des
Bausteins wieder. Die Strukturierung erfolgt nach den Lebenszyklusphasen der IT-Grundschutz.
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
Setie 1 von 11
2.1 Abbildung der Gefährdungen der WASC Threat Classification und OWASP Top Ten auf die
Gefährdungen des IT-Grundschutz-Bausteins Webanwendungen
2.1.1 Organisatorische Mängel
Gefährdungen
WASC Threat Classification v2
OWASP Top Ten 2010
WASC-02 Insufficient Authorization
WASC-14 Server Misconfiguration
WASC-15 Application Misconfiguration
WASC-17 Improper Filesystem Permissions
A6 - Security Misconfiguration
G 2.1 Fehlende oder unzureichende Regelungen
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.22 Fehlende Auswertung von Protokolldaten
G 2.27 Fehlende oder unzureichende Dokumentation
G 2.67 Ungeeignete Verwaltung von Zugangs- und
Zugriffsrechten
G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen WASC-04 Insufficient Transport Layer Protection A9 - Insufficient Transport Layer Protection
G 2.103 Unzureichende Schulung der Mitarbeiter
G 2.157 Mangelhafte Auswahl oder Konzeption von
Webanwendungen
G 2.158 Mängel bei der Entwicklung und Erweiterung von
Webanwendungen
G 2.159 Unzureichender Schutz personenbezogener Daten bei
Webanwendungen
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
Setie 2 von 11
2.1.2 Menschliche Fehlhandlungen
Gefährdungen
WASC Threat Classification v2
OWASP Top Ten 2010
G 3.16 Fehlerhafte Administration von Zugangs- und
Zugriffsrechten
WASC-02 Insufficient Authorization
WASC-14 Server Misconfiguration
WASC-15 Application Misconfiguration
WASC-17 Improper Filesystem Permissions
A6 - Security Misconfiguration
G 3.38 Konfigurations- und Bedienungsfehler
WASC-15 Application Misconfiguration
WASC-14 Server Misconfiguration
A6 - Security Misconfiguration
G 3.43 Ungeeigneter Umgang mit Passwörtern
WASC-11 Brute Force
2.1.3 Technisches Versagen
Gefährdungen
WASC Threat Classification v2
G 4.22 Software-Schwachstellen oder –Fehler
WASC-07 Buffer Overflow
WASC-06 Format String
WASC-03 Integer Overflows
G 4.33 Unzureichende oder fehlende Authentisierung
WASC-01 Insufficient Authentication
WASC-18 Credential/Session Prediction
WASC-37 Session Fixation
WASC-47 Insufficient Session Expiration
WASC-49 Insufficient Password Recovery
A3 - Broken Authentication and Session
G 4.35 Unsichere kryptographische Algorithmen
WASC-14 Server Misconfiguration
A7 - Insecure Cryptographic Storage
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
OWASP Top Ten 2010
Setie 3 von 11
Gefährdungen
WASC Threat Classification v2
OWASP Top Ten 2010
G 4.84 Unzureichende Validierung von Ein- und Ausgabedaten
bei Webanwendungen
WASC-20 Improper Input Handling
WASC-22 Improper Output Handling
WASC-19 SQL Injection
WASC-23 XML Injection
WASC-29 LDAP Injection
WASC-30 Mail Command Injection
WASC-31 OS Commanding
WASC-39 Xpath Injection
WASC-46 Xquery Injection
WASC-31 OS Commanding
WASC-28 Null Byte Injection
WASC-08 Cross-Site Scripting
WASC-33 Path Traversal
WASC-35 SSI Injection
A1- Injection
A2 - Cross-Site Scripting (XSS)
G 4.85 Fehlende oder mangelhafte Fehlerbehandlung durch
Webanwendungen
G 4.86 Unzureichende Nachvollziehbarkeit von
sicherheitsrelevanten Ereignissen bei Webanwendungen
G 4.87 Offenlegung von Informationen bei Webanwendungen
WASC-13 Information Leakage
WASC-16 Directory Indexing
WASC-34 Predictable Resource Location
WASC-45 Fingerprinting
WASC-48 Insecure Indexing
2.1.4 Vorsätzliche Handlungen
Gefährdungen
WASC Threat Classification v2
G 5.18 Systematisches Ausprobieren von Passwörtern
WASC-11 Brute Force
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
OWASP Top Ten 2010
Setie 4 von 11
Gefährdungen
WASC Threat Classification v2
OWASP Top Ten 2010
G 5.19 Missbrauch von Benutzerrechten
G 5.20 Missbrauch von Administratorrechten
G 5.28 Verhinderung von Diensten
WASC-10 Denial of Service
G 5.87 Web-Spoofing
G 5.131 SQL-Injection
WASC-19 SQL Injection
G 5.165 Unberechtigter Zugriff auf oder Manipulation von Daten WASC-33 Path Traversal
bei Webanwendungen
WASC-01 Insufficient Authentication
WASC-02 Insufficient Authorization
WASC-48 Insecure Indexing
WASC-28 Null Byte Injection
WASC-17 Improper Filesystem Permissions
G 5.W166 Missbrauch einer Webanwendung durch
automatisierte Nutzung
WASC-21 Insufficient Anti-automation
WASC-11 Brute Force
G 5.167 Fehler in der Logik von Webanwendungen
WASC-21 Insufficient Anti-automation
WASC-02 Insufficient Authorization
WASC-11 Brute Force
WASC-40 Insufficcient Process Validation
WASC-42 Abuse of Functionality
A1 - Injection
A4 - Insecure Direct Object References
A7 - Insecure Cryptographic Storage
A8 - Failure to Restrict URL Access
G 5.168 Umgehung clientseitig umgesetzter
Sicherheitsfunktionen von Webanwendungen
G 5.169 Unzureichendes Session-Management von
Webanwendungen
WASC-01 Insufficient Authentication
WASC-18 Credential/Session Prediction
WASC-37 Session Fixation
WASC-47 Insufficient Session Expiration
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
A3 - Broken Authentication and Session
Setie 5 von 11
Gefährdungen
WASC Threat Classification v2
OWASP Top Ten 2010
G 5.170 Cross-Site Scripting (XSS)
WASC-08 Cross-Site Scripting
A2 - Cross Site Scripting (XSS)
G 5.171 Cross-Site Request Forgery (CSRF, XSRF)
WASC-09 Cross-site Request Forgery
A5 - Cross-Site Request Forgery
G 5.172 Umgehung der Autorisierung bei Webanwendungen
WASC-02 Insufficient Authorization
WASC-14 Server Misconfiguration
WASC-15 Application Misconfiguration
WASC-17 Improper Filesystem Permissions
G 5.173 Einbindung von fremden Daten und Schadcode bei
Webanwendungen
WASC-12 Content Spoofing
WASC-05 Remote File Inclusion
WASC-38 URL Redirector Abuse
WASC-24 HTTP Request Splitting
WASC-25 HTTP Response Splitting
WASC-26 HTTP Request Smuggling
WASC-27 HTTP Response Smuggling
A10 - Unvalidated Redirects and Forward
G 5.174 Injection-Angriffe
WASC-19 SQL Injection
WASC-23 XML Injection
WASC-29 LDAP Injection
WASC-30 Mail Command Injection
WASC-31 OS Commanding
WASC-39 Xpath Injection
WASC-46 Xquery Injection
WASC-36 SSI Injection
WASC-28 Null Byte Injection
A1 - Injection
G 5.175 Clickjacking
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
Setie 6 von 11
2.2 Abbildung der Maßnahmenempfehlungen des IT-Grundschutz-Bausteins Webanwendungen auf die
Gefährdungen der WASC Threat Classification und der OWASP Top10
2.2.1 Planung und Konzeption
Maßnahmen
WASC Threat Classification v2
OWASP Top Ten 2010
WASC-02 Insufficient Authorization
A6 - Security Misconfiguration
WASC-19 SQL Injection
A1 - Injection
M 4.176 Auswahl einer Authentisierungsmethode für
Webangebote
WASC-01 Insufficient Authentication
WASC-49 Insufficient Password Recovery
A3 - Broken Authentication and Session
Management
M 4.404 Sicherer Entwurf der Logik von Webanwendungen
WASC-40 Insufficient Process Validation
WASC-42 Abuse of Functionality
M 5.66 Verwendung von TLS/SSL
WASC-04 Insufficient Transport Layer Protection A9 - Insufficient Transport Layer Protection
Planung und Konzeption
M 2.1 Festlegung von Verantwortlichkeiten und Regelungen
M 2.11 Regelung des Passwortgebrauchs
M 2.63 Einrichten der Zugriffsrechte
M 2.80 Erstellung eines Anforderungskatalogs für
Standardsoftware
M 2.363 Schutz gegen SQL-Injection
M 2.486 Dokumentation der Architektur von Webanwendungen
M 2.487 Entwicklung und Erweiterung von Anwendungen
M 2.488 Web-Tracking
M 5.168 Sichere Anbindung von Hintergrundsystemen an
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
Setie 7 von 11
Maßnahmen
WASC Threat Classification v2
OWASP Top Ten 2010
WASC Threat Classification v2
OWASP Top Ten 2010
Maßnahmen
WASC Threat Classification v2
OWASP Top Ten 2010
M 4.392 Authentisierung bei Webanwendungen
WASC-01 Insufficient Authentication
WASC-18 Credential/Session Prediction
WASC-37 Session Fixation
WASC-47 Insufficient Session Expiration
WASC-49 Insufficient Password Recovery
A3 - Broken Authentication and Session
Management
M 4.393 Umfassende Ein- und Ausgabevalidierung bei
Webanwendungen
WASC-19 SQL Injection
WASC-28 Null Byte Injection
WASC-20 Improper Input Handling
WASC-22 Improper Output Handling
WASC-29 LDAP Injection
WASC-30 Mail Command Injection
WASC-28 Null Byte Injection
WASC-31 OS Commanding
WASC-36 SSI Injection
WASC-39 Xpath Injection
WASC-23 XML Injection
WASC-46 Xquery Injection
A1 – Injection
A2 - Cross-Site Scripting (XSS)
Webanwendungen
M 5.169 Systemarchitektur einer Webanwendung
2.2.2 Beschaffung
Maßnahmen
M 2.62 Software-Abnahme- und Freigabe-Verfahren
2.2.3 Umsetzung
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
Setie 8 von 11
Maßnahmen
WASC Threat Classification v2
OWASP Top Ten 2010
WASC-08 Cross-Site Scripting
WASC-33 Path Traversal
WASC-24 HTTP Request Splitting
WASC-25 HTTP Response Splitting
WASC-26 HTTP Request Smuggling
WASC-27 HTTP Response Smuggling
M 4.394 Session-Management bei Webanwendungen
WASC-01 Insufficient Authentication
WASC-18 Credential/Session Prediction
WASC-37 Session Fixation
WASC-47 Insufficient Session Expiration
A3 - Broken Authentication and Session
Management
M 4.395 Fehlerbehandlung durch Webanwendungen
M 4.396 Schutz vor unerlaubter automatisierter Nutzung von
Webanwendungen
WASC-11 Brute Force
WASC-21 Insufficient Anti-automation
M 4.398 Sichere Konfiguration von Webanwendungen
WASC-15 Application Misconfiguration
WASC-14 Server Misconfiguration
A6 - Security Misconfiguration
M 4.399 Kontrolliertes Einbinden von Daten und Inhalten bei
Webanwendungen
WASC-12 Content Spoofing
WASC-33 Path Traversal
WASC-05 Remote File Inclusion
WASC-38 URL Redirector Abuse
A10 - Unvalidated Redirects and Forwards
M 4.401 Schutz vertraulicher Daten bei Webanwendungen
WASC-14 Insufficient Transport Layer Protection A7 - Insecure Cryptographic Storage
WASC-14 Server Misconfiguration
WASC-15 Application Misconfiguration
M 4.402 Zugriffskontrolle bei Webanwendungen
WASC-17 Improper Filesystem Permissions
WASC-48 Insecure Indexing
WASC-02 Insufficient Authorization
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
A4 - Insecure Direct Object References
A8 - Failure to Restrict URL Access
Setie 9 von 11
Maßnahmen
WASC Threat Classification v2
OWASP Top Ten 2010
M 4.403 Verhinderung von Cross-Site Request Forgery (CSRF,
XSRF, Session Riding)
WASC-09 Cross-Site Request Forgery
A5 - Cross-Site Request Forgery (CSRF)
M 4.405 Verhinderung der Blockade von Ressourcen (DoS) bei
Webanwendungen
WASC-10 Denial of Service
WASC-21 Insufficient Anti-automation
WASC-42 Abuse of Functionality
M 4.406 Verhinderung von Clickjacking
2.2.4 Betrieb
Maßnahmen
WASC Threat Classification v2
OWASP Top Ten 2010
M 2.8 Vergabe von Zugriffsrechten
WASC-02 Insufficient Authorization
A6 - Security Misconfiguration
M 2.31 Dokumentation der zugelassenen Benutzer und
Rechteprofile
WASC-02 Insufficient Authorization
M 2.34 Dokumentation der Veränderungen an einem bestehenden WASC-15 Application Misconfiguration
System
WASC-14 Server Misconfiguration
M 2.35 Informationsbeschaffung über Sicherheitslücken des
Systems
A6 - Security Misconfiguration
WASC-07 Buffer Overflow
WASC-06 Format String
WASC-03 Integer Overflows
M 2.64 Kontrolle der Protokolldateien
M 2.110 Datenschutzaspekte bei der Protokollierung
M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und
Updates
WASC-07 Buffer Overflow
WASC-06 Format String
WASC-03 Integer Overflows
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
Setie 10 von 11
Maßnahmen
WASC Threat Classification v2
OWASP Top Ten 2010
M 3.5 Schulung zu Sicherheitsmaßnahmen
M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen WASC-15 Application Misconfiguration
WASC-14 Server Misconfiguration
A6 - Security Misconfiguration
M 4.397 Protokollierung sicherheitsrelevanter Ereignisse von
Webanwendungen
M 4.400 Restriktive Herausgabe sicherheitsrelevanter
Informationen bei Webanwendungen
WASC-45 Fingerprinting
WASC-34 Predictable Resource Location
WASC-16 Directory Indexing
WASC-13 Information Leakage
WASC-48 Insecure Indexing
M 5.150 Durchführung von Penetrationstests
Baustein Webanwendungen: Mapping auf OWASP Top Ten und WASC Threat Classification
Setie 11 von 11
Zugehörige Unterlagen
stellenbeschreibung_software_engineer__werkstudent_neu
stellenbeschreibung_software_engineer__werkstudent_neu
Mit „c“ wie Cloud: Oracle 12c Schnellere Webanwendungen mit
Mit „c“ wie Cloud: Oracle 12c Schnellere Webanwendungen mit
Hack that Website!
Hack that Website!
Sicherheit bei Webanwendungen
Sicherheit bei Webanwendungen
LEITFADEN: Web Application Security
LEITFADEN: Web Application Security
Die 20 beliebtesten Versäumnisse bei der sicheren
Die 20 beliebtesten Versäumnisse bei der sicheren
Kategorienbildung und Klassifikation von Wissen
Kategorienbildung und Klassifikation von Wissen
Bericht Aktivengarde 2012
Bericht Aktivengarde 2012
Oracle Application Express: Entwickeln von
Oracle Application Express: Entwickeln von
Fischer (Ext)
Fischer (Ext)
ë - Europawerkstatt
ë - Europawerkstatt
Kleine Navigationshilfe für das "digital business" (Trends 2009)
Kleine Navigationshilfe für das "digital business" (Trends 2009)
Herunterladen
Werbung