Definition „Open Web Application Security Project“ Was ist das OWASP?

Das Akronym OWASP steht als Abkürzung für das „Open Web Application Security Project“. Dahinter steht eine Organisation von Fachleuten, die sich als Non-Profit-Organisation die Sicherheit von Webdiensten und -applikationen auf die Fahnen geschrieben hat.

Das OWASP verfolgt keine kommerziellen Absichten und steht allen Menschen offen, die sich für für das Thema Daten- und Betriebssicherheit von Webanwendungen interessieren. Die Organisation ist weltweit in sogenannten Chaptern organisiert, die deutsche Vertretung hat sich im German Chapter zusammengeschlossen.

Die Mitglieder des OWASP veröffentlichen regelmäßig Publikationen, in denen auf Sicherheitsschwachstellen in Webanwendungen hingewiesen wird. Eine besondere OWASP-Veröffentlichung macht jährlich von sich reden: die Top-10-Liste der größten Risiken und der häufigsten Angriffe im Webapplikationen-Bereich. Weiteres Material wird in Form von Empfehlungen, Hilfsmitteln und Dokumentationen zur Verfügung gestellt.

Durch diese Form der zu schaffenden Transparenz sollen Nutzer von Webanwendungen sowie Unternehmen und Organisationen in die Lage versetzt werden, Entscheidungen über die Anschaffung und den Einsatz von Web-Applikationen treffen zu können, die von tatsächlich vorhandenen Sicherheitsrisiken betroffen sind.

Mitgliederstruktur des OWASP

Die OWASP-Community setzt sich aus Lehreinrichtungen und Firmen aus aller Welt, aber auch aus Einzelpersonen zusammen. Gemeinsam werden offen zugängliche Informationen, Tools, Methoden und Technologien erarbeitet, mit denen Sicherheitslücken und Schwachstellen erkannt und veröffentlicht werden sollen. Dabei legt man großen Wert auf Unabhängigkeit von Softwareherstellern und Technologiefirmen. Diese Distanz zu den Big Playern der Branche ermöglicht es, praxisnahe und unvoreingenommene Informationen über die Sicherheit von Webanwendungen bereitzustellen.

Das OWASP-Projekt beschäftigt nur sehr wenige Festangestellte und hat somit nur geringe Ausgaben, die in Form von Sponsoring, Werbung und Konferenzen gedeckt werden. Zudem werden in jedem Jahr mehrere tausend US-Dollar als Prämien für besondere Leistungen in der Forschung von Webapplikationen und ihre Sicherheit ausgezahlt.

Das OWASP ist organisatorisch in Boards, Chaptern und Mitglieder unterteilt, wobei die Chapter regionale Organisationseinheiten bilden, die jedes Mitglied gründen und einrichten kann. In einem Chapter-Handbuch sind die Grundlagen hierfür beschrieben. Des Weiteren finden in vielen größeren Städten regelmäßige Treffen und Stammtische statt.

Themenfelder und Ziele der OWASP-Community

Das OWASP-Projekt hat sich folgende Ziele gesteckt:

• Verbesserung der Sicherheit von Webanwendungen

• Veröffentlichung von Risiken und Sicherheitslücken von Webanwendungen

• Bereitstellung von Tools, Dokumentationen und Lösungen

• Schaffung von Transparenz sowie Sensibilisierung für das Thema Sicherheit im Web

• Unterstützung von Softwareentwicklern, IT-Managern und Penetrationstestern

Die einzelnen Teilprojekte des Open Web Application Security Projects sind in den zwei Hauptkategorien Entwicklungs- und Dokumentationsprojekte zusammengefasst. Das Dokumentationsprojekt umfasst derzeit u. a. folgende Einzelprojekte:

• „The Guide“ ist ein Leitfaden mit wichtigen Handlungsempfehlungen rund um die Sicherheit von Webapplikationen.

• ASVS umfasst in ihrem Application Security Verification Standard wesentliche Richtlinien zur Durchführung von Sicherheits-Checks auf Applikationsebene.

• AntiSamy ist ein Werkzeug, mit denen Eingaben in Online-Formularen überprüft und das Ergebnis enkodiert wird.

• XSSer ist ein System, welches automatisiert Schwachstellen in Sachen Cross-Site-Scripting (XSS) in Webanwendungen erkennt.

• Top Ten Most * DotNet umfasst eine Sammlung von Werkzeugen, um Umgebungen auf Basis der .NET-Plattform abzusichern.

• OWASP Mantra Security Framework ist eine Sammlung von Hackertools, Skripten und Plugins für den Mozilla-Firefox-Browser.

• Webgoat ist eine Webanwendung, die absichtlich implementierte Schwachstellen enthält, um Webapp-Entwicklern aufzuzeigen, "wie man es nicht machen soll".

• Enigform ist eine Sammlung von Vorlagen, aus denen beispielhaft Anwendungen mit Verschlüsselungsfunktionen (SSL, OpenPGP usw.) erstellt werden können.

Top-10-Report des OWASP-Projektes

Bereits seit 2003 gibt das OWASP in jedem Jahr einen Top-10-Report heraus, der die zehn Haupt-Risiken und die wichtigsten Angriffsarten auf Webapplikationen zusammenfasst. Mit dieser Liste soll auf die bekanntesten Schwachstellen in Webanwendungen aufmerksam gemacht werden. Für Softwarearchitekten und -entwickler sowie für Sicherheitsexperten ist diese Top-10-Liste des OWASP eine wesentliche Arbeitsgrundlage.

(ID:47036036)