Open Web Application Security Project

OWASP – Community für Anwendungssicherheit

| Autor / Redakteur: Mirco Lang / Stephan Augsten

Die OWASP-Community arbeitet daran, potenzielle Angreifer von Web-Applikationen fernzuhalten.
Die OWASP-Community arbeitet daran, potenzielle Angreifer von Web-Applikationen fernzuhalten. (Bild: umsiedlungen - Pixabay.com / CC0)

OWASP ist eine offene Community mit Fokus auf dem Thema IT-Security in Anwendungen mit Schwerpunkt auf Web-Anwendungen. Neben guten Infos gibt es auch spannende Tools für Entwickler und Security-Interessierte.

Was ist OWASP?

Das Open Web Application Security Project ist eine US-amerikanische Non-Profit-Organisation, die bereits im Jahr 2001 gegründet wurde. Das Projekt wird als offene, lose Gemeinschaft geführt und legt großen Wert darauf, mit keinerlei Tech-Unternehmen verbandelt zu sein.

Das primäre Ziel ist ganz simpel formuliert. Eine weltweite Community, die die Sichtbarkeit und Weiterentwicklung von Sicherheit in Software vorantreibt. Dabei setzen vier grundsätzliche Werte den großen Rahmen:

Offenheit – alles bei OWASP will komplett transparent sein, was sich zum Beispiel in veröffentlichten Finanzunterlagen äußert.

Innovation – durch Unterstützung von Projekten.

Global – die Community ist für jedermann geöffnet.

Integrität – die Organisation soll „offen und ehrlich, anbieterneutral und global“ sein.

Vervollständigt wird das Bild durch eine Reihe Prinzipien und einen Code of Ethics. Kurz gesagt: OWASP ist ein gutes, typisches Beispiel für Communities, wie man sie häufig in der Welt der Open-Source-Software findet. Und natürlich werden auch bei OWASP diverse offene Lizenzen für Inhalte und Software verwendet.

OWASP bietet ein riesiges Angebot an Informationen zu allen möglichen Themen rund Anwendungssicherheit, sowohl in Form von Webseiten als auch via PDFs. Insbesondere werden Richtlinien entwickelt, anhand derer Unternehmen ihr IT-Security ausrichten und optimieren können.

Die Organisation veranstaltet aber auch regelmäßig Events in allen Gegenden der Welt, beispielsweise Schulungen oder den German OWASP Day vom 19. bis 20. November in Münster. Hinzu kommen allerhand größere und kleinere Tools, vom Pen-Testing-Framework bis zum einfachen Abhängigkeiten-Scanner, den wir unten im Detail vorstellen.

Langfristig ausgelegte Inhalte

Verbringt man einige Zeit auf der OWASP-Website, muss man feststellen, dass das Angebot auf den ersten Blick etwas größer wirkt als es ist: Viele der aufgeführten Projekte sind noch leer, viele Mailing-Listen verwaist und viele Ressourcen schon etwas älteren Datums.

Das Alter darf man aber auch nicht zu hoch bewerten, da sich hier viele Grundlagen finden, die nach wie vor aktuell sind; beispielsweise zu möglichen Softwarelücken. Generell sind viele Inhalte eher langfristig ausgelegt. Und auf den dritten Blick wird dann klar, wie tief einige der Themen gehen. OWASP spricht von über 46.000 Teilnehmern, mehr als 65 unterstützenden Organisationen und einer noch größeren Zahl akademischer Unterstützer.

Ein schönes Beispiel ist etwa das Internet-of-Things-Projekt. Hier finden sich ausführliche Listen mit möglichen Schwachstellen und Angriffsszenarien, Testing-Richtlinien für Firmware und vieles mehr.

In Teilen haben solche Inhalte eine gewisse Ähnlichkeit mit Instrumenten des Bundesamts für Sicherheit in der Informationstechnik (BSI), etwa dem IT-Grundschutz oder den Mindeststandards. Im Übrigen verweist das BSI in den eigenen Publikationen auch regelmäßig auf OWASP-Ressourcen, etwa kürzlich in „Sicherheit von Java – Sichere Verteilung lokaler Java Anwendungen v2.0“ auf das OWASP-Java-Projekt.

Die wichtigsten Projekte

OWASP nennt auf der Hauptseite 15 Flaggschiff-Projekte – hier in aller Kürze:

  • Zed Attack Proxy (ZAP) ist ein Open Source Proxy Server, der automatisiert während der Arbeit an Web-Applikationen auf Schwachstellen prüft. Zudem ermöglicht er manuelles Pentesting.
  • Web Testing Environment: Eine Sammlung von Tools und Dokumentationen, die über DEB-Pakete normal installiert oder auch über die Cloud, als Virtuelle Maschine oder ISO-Image genutzt werden können. Die Nutzung ist wie immer frei.
  • Offensive (Web) Testing Framework (OWTF): Die Sammlung von Werkzeugen für das Pentesting vereint Testing nach OWASP, NIST und PTES.
  • Security Shepard: Lernsoftware für Pentesting und Application Security.
  • DefectDojo ist ein Tool zum Vulnerabiliy Management für DevOps (auch als Docker).
  • JuiceShop Eine bewußt unsichere App zum Testen.
  • Security Knowledge Framework: Software, die die Entwicklungs- und Testprozesse für sichere Software unterstützt.
  • ModSecurity Core Rule Set: Sammlung von Regeln für die Web App Firewall ModSecurity.
  • CSRFGuard: Bibliothek zur Mitigation von CSRF-Attacken.
  • Application Security Verification Standard: Umfangreiche Testing-Richtlinien.
  • AppSensor: „Konzeptuelles Framework und Methodologie“ zur Erkennung von und Reaktion auf Attacken in Echtzeit; ausführlich erklärt auf 204 PDF-Seiten im AppSensor Guide.
  • Software Assurance Maturity Model ist ein Rahmenwerk für Unternehmen, um Sofware Security über den gesamten Entwicklungszyklus einzuführen und zu etablieren.
  • Testing Guide: Dokument mit Pentesting-Grundlagen und Best-Pracitces.
  • Top Ten – siehe unten.
  • Dependency Check – siehe unten.

Es lohnt sich, die einzelnen Projekt näher zu betrachten, hier finden sich viele extrem hilfreiche, praxisnahe Tools, die Sicherheits-ITlern durchaus bekannt sein sollten.

OWASP Top Ten

OWASP bezeichnet das Top-Ten-Projekt als „mächtiges Awareness-Dokument“ und liegt damit durchaus richtig: OWASP ist nicht unbedingt tägliches Thema in der allgemeinen IT-Presse, die Top Ten schafft es aber doch in den Fokus. In der Liste finden sich die zehn größten Risiken für Web-Anwendungen, 2017 ist der Nachfolger der 2013er Version erschienen.

Auch hier geht es um das große Bild, nicht um eher kurzlebige Techniktrends. Das wird auch dadurch untermauert, dass sich hauptsächlich ein paar Positionen verschoben haben. Lediglich ein neues Thema ist hineingerutscht, zwei wurden verschmolzen. Alle Risiken sind identisch, kurz und übersichtlich aufbereitet: Angriffsvektoren, Schwachstellen, Auswirkungen, Kontrollfragen, Prävention, Beispiele und Referenzen. Diese Lektüre sei jedem empfohlen, der größere Web-Anwendungen entwickelt und Sicherheit ernst nimmt.

Die Top Ten in der Kurzform:

  • 1. Injection-Attacken, Beispiel: SQL-Injection
  • 2. Defekte Authentifikation, Beispiel: Session Timeouts
  • 3. Veröffentlichung sensibler Daten, Beispiel: Fehlende Transportverschlüsselung
  • 4. XML External Entities, Beispiel: DOS-Attacke
  • 5. Defekte Zugangskontrolle, Beispiel: Unverifizierte SQL-Daten
  • 6. Misskonfiguration, Beispiel: Nutzer bekommen zu detaillierte Fehlerberichte
  • 7. Cross-Site Scripting, Beispiel: Session Hijacking
  • 8. Unsichere Deserialization, Beispiel: Supercookies über PHP
  • 9. Abhängigkeiten mit Lücken, Beispiel: Bibliotheken mit CVEs
  • 10. Unzureichendes Logging und Monitoring, Beispiel: Account Hijacking

Die OWASP Top Ten finden Sie auf der Projektseite auch als ausführliche PDF-Version, die die ganze Thematik deutlich schöner formatiert, mit einleitenden Worten und Erläuterungen zu Methodik und Entwicklung seit 2013.

Beispiel: OWASP Dependency Check

Der OWASP Dependency Check ist ein wunderbares Beispiel für das, was sich die Organisation zum Ziel gesetzt hat: Einfach zu bedienende Tools, die schnell nützliche Ergebnisse bringen. Der Scanner identifiziert alle Abhängigkeiten eines Projekts und prüft diese auf bekannte, veröffentlichte Sicherheitsrisiken.

Offiziell beherrscht der Scanner Java und .NET sowie „experimentell“ Ruby, Node.js, Python und C/C++ (Autoconf und Cmake). Nutzen lässt er sich über die Kommandozeile und als Plug-in für Maven, Ant und Jenkins. Die CLI-Version läuft unter Windows und Linux. Sofern Risiken gefunden werden, identifiziert der Scanner den CPE-Eintrag (Common Platform Enumeration).

CPE ist ein System zur einheitlichen Benennung von IT-Produkten jeglicher Art, um diese eindeutig identifizieren und ansprechen zu können. Im HTML-Report werden anschließend alle CVEs, also öffentlich bekannte Sicherheitsrisiken, aufgelistet und verlinkt.

Die CVE-Auflistung bekannter Sicherheitslücken

Common Vulnerabilities and Exposures

Die CVE-Auflistung bekannter Sicherheitslücken

05.09.18 - Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures? lesen

Die Nutzung ist denkbar einfach. Zum Testen benötigt man lediglich eine unterstützte EXE-Datei, beispielsweise die „opencv_version.exe“ aus der OpenCV-Distribution, die hier im Test in einer älteren Version einige Ergebnisse ausgibt. Beim ersten Aufruf werden zunächst die CVE-Daten heruntergeladen und verarbeitet – das dauert rund zehn Minuten. Später laufen die Checks binnen Sekunden durch.

Der Aufruf im Terminal lautet:

dependency-check.bat --project „Testing“ --scan D:\tests\opencv_version.exe

Nach Abschluss des Scans finden Sie einen HTML-Report im Ordner der Projektdatei – hier mit immerhin 14 gefundenen CVEs. Übrigens: Wer auf GitHub entwickelt, findet dort seit Anfang des Jahres eine ähnliche Funktion zur Benachrichtigung über Sicherheitslücken.

Wer sich mit IT-Security beschäftigt, insbesondere im Bereich der Web-Anwendungen, für den ist die OWASP-Webseite eine schier unerschöpfliche Quelle für Wissen und Werkzeuge. Ein anerkannter Player auf dem globalen Markt ist der Verein sowieso.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45490740 / Web Apps)