Drucksache: PHP Magazin 6.18 - OWASP Top 10, Platz 7 und 8 - "Cross-Site Scripting" und "Insecure Deserialization"
Im PHP Magazin 6.2018 ist der vierte Artikel einer kleinen Serie zu den OWASP Top 10, den 10 gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und darin geht es um Platz 7 und 8 der Top 10: "Cross-Site Scripting" und "Insecure Deserialization".
Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel lernen Sie den siebten und achten Platz kennen.
Auf Platz 7 der OWASP Top 10 2017 [1] steht das "Cross-Site Scripting (XSS)", das in den 2013er Top 10 [2] noch auf Platz 3 stand. Auf Platz 8 steht mit der "Insecure Deserialization" ein Neuzugang im Vergleich zur 2013er-Version.
Das XSS ist von Platz 3 auf Platz 7 gesunken, diese Schwachstellen sind also deutlich weniger geworden. Wenn das so weiter geht sind die spätestens bei der übernächsten Überarbeitung raus aus dem Top 10.
Der Neuzugang "Unsichere Deserialisierung" startet sogar noch eine Nummer tiefer auf Platz 8. Wäre es nicht schön, wenn der in der nächsten Überarbeitung schon wieder raus flöge? Wie das funktioniert? Ganz einfach: Verwenden Sie einfach alle keine unsichere Deserialisierung in Ihren Webanwendungen, schon landet diese Schwachstelle auf einem Platz außerhalb der Top 10.
Und um die Serialisierung und Deserialisierung sollte man in PHP ja sowieso einen weiten Bogen machen. Darin wurden schon so viele Schwachstellen und Fehler gefunden dass es schon mit einem Wunder zugehen müsste wenn die endlich von Haus aus sicher wäre. Und dann muss sie ja auch noch sicher eingesetzt werden. Was auch nicht ganz einfach ist, wie der Start der unsicheren Deserialisierung auf Platz 8 zeigt.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] OWASP Top 10 - 2017 - The Ten Most Critical Web Application Security Risks (PDF)
- [2] OWASP Top 10 - 2013 - The Ten Most Critical Web Application Security Risks (PDF)
- [3] Amit Klein: "DOM Based Cross Site Scripting or XSS of the Third Kind"
- [4] Carsten Eilers: "Cross-Site Scripting im Überblick, Teil 3: Der MySpace-Wurm Samy"
- [5] Artur Janc, 28C3: "Rootkits in your Web application"
- [6] Carsten Eilers: "Cross-Site Scripting im Überblick, Teil 5: Resident XSS"
- [7] BeEF - The Browser Exploitation Framework Project
- [8] OWASP XSS Filter Evasion Cheat Sheet
- [9] HTML5 Security Cheat Sheet
- [10] OWASP XSS (Cross Site Scripting) Prevention Cheat Sheet
- [11] HTML Purifier
- [12] OWASP DOM based XSS Prevention Cheat Sheet
- [13] W3C: Content Security Policy Level 2
- [14] Christian Schneider, Alvaro Muñoz; German OWASP Day 2016: "Java Deserialization Attacks" (PDF)
- [15] Carsten Eilers: "Alles sicher oder was?"; PHP Magazin 5.2017
Trackbacks