Aktuelle OWASP Top 10 - neue Sicherheitslage für Webanwendungen
Ergon Informatik AG (PR-Agentur)

Aktuelle OWASP Top 10 - neue Sicherheitslage für Webanwendungen

ID: 1555920

- Die zehn größten Risiken für Web-Applikationen- OWASP Top 10 erstmals seit 2013 aktualisiert- Airlock schützt vor aktuellen Risiken- Whitepaper kann hier heruntergeladen werden: https://www.airlock.com/owasp/



Airlock: Whitepaper zu den aktuellen OWASP Top 10Airlock: Whitepaper zu den aktuellen OWASP Top 10

(firmenpresse) - Erstmals seit vier Jahren hat die Non-Profit Organisation Open Web Application Security Project (OWASP) die größten Risiken für Webanwendungen, die sogenannten OWASP Top 10, aktualisiert. Die OWASP Top 10 richten sich an Entwickler, Sicherheitsberater, Projektmanager, Sicherheitsbeauftragte von Unternehmen und Organisationen und klären über die Konsequenzen der wichtigsten Sicherheitslücken bei Web-Anwendungen auf. Die Daten beruhen auf 50.000 Anwendungen und Schnittstellen von mehreren hundert Unternehmen.



Die aktuellen ernstzunehmenden Bedrohungen lauten:



1. Injection (Injection-Schwachstellen, wie z.B. SQL-, OS- oder LDAP-Injection)

2. Umgehung der Benutzerauthentifizierung

3. Zugriff auf sensible Daten

4. XML Externe Entities (XXE)

5. Umgehung der Zugriffskontrolle

6. Sicherheitsrelevante Fehlkonfiguration

7. Cross-Site Scripting (XSS-Schwachstellen)

8. Unsichere Deserialisierung

9. Benutzen von Komponenten mit bekannten Schwachstellen

10. Unzureichendes Logging & Monitoring



"OWASP hat nach vier Jahren eine neue Version ihrer Top 10 Schwachstellen für Web Applikationen veröffentlicht. Das Verblüffende ist, dass sich auf den ersten Blick gar nicht viel geändert hat. Injection-Angriffe sind immer noch auf Position eins, gefolgt von fehlerhafter Authentisierung. Jahrelange Awareness-Förderung bei Entwicklern und sichere Entwicklungsprozesse scheinen nicht den erhofften durchschlagenden Erfolg zu haben", schätzt Dr. Martin Burkhart, Head of Product Management bei Airlock, die Lage ein.



Auf Platz vier sind XML External Entities (XXE) zu finden. Diese neue Kategorie wurde aufgrund der Daten aus den Quellcode-Analysen des Sicherheitstest-Tools (SAST) mit aufgenommen.



Auch die Community hat zwei neue Punkte miteingebracht: Auf Platz acht findet sich nun die "Unsichere Deserialisierung", die das Ausführen von Remote Code sowie die Manipulation von sensiblen Objekten auf betroffenen Plattformen erlaubt. Platz zehn "Unzureichendes Logging & Monitoring" erhöht das Risiko, dass böswillige Aktivitäten und Sicherheitsverletzungen nicht rechtzeitig erkannt werden. Andere Punkte, wie unsichere direkte Object References (ehemals Platz vier) und Missing Function Level Access Control (ehemals Punkt sieben) wurden nun in Punkt fünf "Umgehung der Zugriffskontrolle" zusammengefasst.





Interessant ist der Neuzugang auf Position zehn: "Unzureichendes Logging & Monitoring". OWASP spricht dabei das Problem an, dass nach einem erfolgreichen Angriff meist 200 Tage vergehen, bis der Einbruch bemerkt wird. In dieser Zeit können sich die Angreifer permanent einnisten, weiter ausbreiten und großen Schaden anrichten. Ein effizientes Logging von Angriffen und ein Monitoring dieser Events muss mit dem Incident Handling integriert sein, um diese Latenzzeit signifikant zu reduzieren.



"Gleichzeitig haben sich allerdings die grundlegenden Architekturen und der verwendete Technologie-Stack stark verändert. Der Siegeszug von Javascript auf dem Client hält an und fördert die Entstehung von Services und APIs im Backend. In der Finanzbranche werden sogar europaweite Regulierungen erlassen, die explizit die Veröffentlichung von APIs fordern (PSD2). Insofern erstaunt es nicht, dass auf Position vier mit "XML External Entities (XXE)" neu eine Webservice Schwachstelle auf der Hitliste erscheint. In der Praxis sehen wir allerdings eine Abnahme von SOAP Webservices und eine zunehmende Verbreitung von REST APIs. Die Möglichkeit, Security Policies auch auf JSON Objekte und REST Calls anwenden zu können wird damit für Security Gateways essentiell. Mit Airlock WAF 7 haben wir diesem Umstand Rechnung getragen und ein neues Whitelist Learning gebaut, das den einfachen Schutz von REST API Calls mit wenigen Klicks erlaubt. Außerdem haben wir mit Airlock WAF 7 haben wir das komplette Logging und Reporting erneuert. Neu stehen themenspezifische Dashboards zur Verfügung, die in Echtzeit aus Logdaten Informationen aufbereiten. Eine Integration mit SIEM-Systemen erlaubt zudem die effiziente Weiterverarbeitung und Korrelation dieser Informationen mit Umsystemen", fährt Dr. Martin Burkhart, Head of Product Management bei Airlock fort.



Neue Sicherheitslücken können jederzeit entstehen:

Unternehmen sollten sich bewusst sein, dass es nicht nur diese zehn Bedrohungen gibt, sondern dass es im Web unzählige weitere gibt. Hinzu kommt, dass diese sich stets ändern und weiterentwickeln. Selbst wenn sich der Code einer Anwendung selbst nicht ändert, kann so eine Sicherheitslücke entstehen, da Cyberkriminelle neue Angriffsmethoden entwickeln.



Sicherheitslücken sind meist sehr komplex und nicht leicht aufzuspüren, da sie sich im Code verstecken. Menschliche Expertise gepaart mit einer guten Sicherheitslösung ist daher in vielen Fällen die kosteneffizienteste Lösung.



Obwohl Applikationssicherheit seit bereits fast 20 Jahren ein vorherrschendes Thema ist, braucht es heute mehr denn je einen zentralen Schutz auf der Anwendungsebene. Dieser zentrale Schutz sollte Inhalte analysieren, Benutzer authentisieren und Zugriffe autorisieren können. Ein Whitepaper zu den OWASP Top 10 2017 können Sie hier herunterladen.



Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG, schützt nicht nur gegen alle OWASP Top 10 Bedrohungen. In Kombination mit einer Web Application Firewall wie Airlock WAF wird der Firmenzugang über den kompletten Lebenszyklus eines Benutzerzugangs gesichert. Airlock WAF übernimmt als vorgelagerter HTTP Reverse Proxy das sichere Session Management und den Schutz vor Webattacken. Airlock IAM authentisiert und autorisiert die Benutzer und leitet die Identitätsinformationen in geeigneter Form an die geschützten Applikationen weiter, auch über Unternehmensgrenzen hinweg.Weitere Infos zu dieser Pressemeldung:
https://www.airlock.com/de/home/


Themen in dieser Pressemitteilung:

airlock

ergon

owasp

waf

web-application

it

sicherheit

security

cybersecurity

anwendungen



Unternehmensinformation / Kurzprofil:

Die 1984 gegründete Ergon Informatik AG ist führend in der Herstellung von individuellen Softwarelösungen und Softwareprodukten. Die Basis für den Erfolg: 240 hoch qualifizierte IT-Spezialisten, die dank herausragendem Know-how neue Technologietrends antizipieren und mit innovativen Lösungen Wettbewerbsvorteile sicherstellen. Ergon realisiert hauptsächlich Großprojekte im B2B-Bereich.

Die Airlock Suite kombiniert die Themen Filterung und Authentisierung in einer abgestimmten Gesamtlösung, die in punkto Usability und Services Maßstäbe setzt. Das Security-Produkt Airlock schützt mehr als 15 Millionen digitale Identitäten und 30.000 Back-Ends bei über 400 Kunden weltweit. Der überragende Net Promoter Score-Wert von 53 unterstreicht die hohe Kundenzufriedenheit. Weitere Informationen unter www.airlock.de .



PresseKontakt / Agentur:

Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
sk(at)schwartzpr.de
+49 (0) 89 211 871 36
http://www.schwartzpr.de



drucken  als PDF  Version 10.1 der aspenONE® Software jetzt mit Aspen Operator Training Smartes Alarmsystem von Yale
Bereitgestellt von Benutzer: Adenion
Datum: 27.11.2017 - 16:00 Uhr
Sprache: Deutsch
News-ID 1555920
Anzahl Zeichen: 6513

Kontakt-Informationen:
Ansprechpartner: Sven Kersten-Reichherzer
Stadt:

München


Telefon: +49 (0) 89 211 871 36

Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 357 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"Aktuelle OWASP Top 10 - neue Sicherheitslage für Webanwendungen"
steht unter der journalistisch-redaktionellen Verantwortung von

Ergon Informatik AG (PR-Agentur) (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteilung löschen Pressemitteilung ändern PresseMitteilung beanstanden
Weitere Mitteilungen von Ergon Informatik AG (PR-Agentur)
Vom Stolperstein zum Meilenstein - Praxis-Leitfaden zur erfolgreichen Umsetzung von IAM-Projekten ...
Airlock veröffentlicht zusammen mit seinen Partnern Beta Systems, TIMETOACT und KPMG den Praxis-Leitfaden "Vom Stolperstein zum Meilenstein: IAM-Projekte erfolgreich umsetzen", der sich an CISOs, IAM- und IT-Sicherheits-Experten richtet. Der IAM-Leitfaden erklärt die Unterschiede der ver

IAM-Kongress auf der it-sa: "IAM-Projekte erfolgreich umsetzen" ...
Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG, veranstaltet während der diesjährigen IT-Sicherheitsfachmesse it-sa 2018 in Nürnberg am 10. Oktober ab 9:00 Uhr zusammen mit seinen Partnern Beta Systems, KPMG und TIMETOACT den IAM-Kongress "IAM-Projekte er

Airlock mit neuem Integrationspartner TIMETOACT GROUP ...
Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG, gibt seinen neuen Integrationspartner TIMETOACT bekannt. TIMETOACT ist Spezialist für die Beratung und Anwendungsentwicklung auf Basis von IBM-Software, Microsoft, Google Software und offenen Standards. Airlock wir


Weitere Mitteilungen von Ergon Informatik AG (PR-Agentur)


Aktuelle Mitteilungen aus der Kategorie: New Media & Software
Version 10.1 der aspenONE® Software jetzt mit Aspen Operator Training ...
München - 27. November 2017 - Aspen Technology, Inc. (NASDAQ: AZPN), Anbieter von Software zur Optimierung von Industrieanlagen, kündigt die sofortige Verfügbarkeit von Version 10.1 der aspenONE® Software an. Die neueste Version der Software für Asset Performance Management, Engineering, Fertig

CoffeeCup ermöglicht erstmals Performance Monitoring speziell für kleine und mittlere Unternehmen ...
CoffeeCup hilft kleinen und mittleren Unternehmen bei der Automatisierung ihrer Prozesse und Digitalisierung ihrer Strukturen. Die Business-Intelligence-Software generiert aus Arbeitszeiten, Personal- und Projektdaten maßgeschneiderte Analysen und Reports für ein besseres Performance Monitoring. C

Beamer TÜV in Urspringen ...
In der Fachabteilung für Beamer-Reparatur der Firma ETHA in Urspringen wird Service und Sicherheit groß geschrieben ? DGUV-V3 Prüfsiegel gehört zum Standard. Als qualifizierter und renommierter Fachbetrieb für die Wartung und Instandsetzung von hochwertigen Projektoren hat sich das Familienunte

Mit Parlamentarischem Abend eröffnet die CCF AG die Diskussion um die Folgen der Datenschutz-Grundverordnung ...
Unter dem Motto "Deutschland, Deine Daten" hat das Systemhaus CCF AG am 21. November mit seinem Kooperationspartner 8MAN einen Parlamentarischen Abend im Deutschen Bundestag zur Datenschutz-Grundverordnung veranstaltet. Im Zentrum der Diskussion standen die Auswirkungen dieses Gesetzes bes


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z