Skip to content

Drucksache: PHP Magazin 1.19 - OWASP Top 10, Platz 9 und 10 - "Components with Known Vulnerabilities" und "Insufficient Logging"

Im PHP Magazin 1.2019 ist der fünfte und letzte Artikel einer kleinen Serie zu den OWASP Top 10, den 10 gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und darin geht es um Platz 9 und 10 der Top 10: "Using Components with Known Vulnerabilities" und "Insufficient Logging".

Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel im PHP Magazin lernen Sie den neunten und zehnten Platz kennen.

Auf Platz 9 der OWASP Top 10 2017 (PDF) steht das "Using Components with Known Vulnerabilities", also die Verwendung von Komponenten mit bekannten Schwachstellen, das auch schon in den 2013er Top 10 (PDF) auf diesem Platz stand. Auf Platz 10 gibt es den letzten Neuzugang: "Insufficient Logging & Monitoring"

Die Verwendung von Komponenten mit bekannten Schwachstellen wird wahrscheinlich noch lange Zeit auf Platz 9 bleiben. Aufsteigen kann sie kaum, dafür gibt es zu viele "echte" Angriffe und Schwachstellen. Und rausfallen wird sie nicht, da es immer Komponenten mit bekannten Schachstellen geben wird.

Um das zu ändern, wäre wohl ein Wunder nötig: Jeder Entwickler müsste nicht nur dafür sorgen, dass die Schwachstellen in seinem selbst entwickelten Code zügig behoben werden, sondern auch dafür, dass alle von ihm verwendeten fremden Komponenten immer in der aktuellsten Version eingesetzt werden. Was völlig illusorisch ist, oder wie oft haben Sie es schon erlebt, dass ein Entwickler ein Update seines unveränderten Programms veröffentlicht, nur um damit ein Update für eine verwendete Dritthersteller-Komponente zu verteilen?

Darüber, ob der Neuzugang "Insufficient Logging & Monitoring" auf Platz 10 gerechtfertigt ist oder nicht lässt sich streiten. Um auf sicherheitsrelevante Vorfälle angemessen reagieren zu können, muss man sie überhaupt erst mal erkennen, was nur mit passenden und laufend ausgewerteten Protokollen möglich ist. Mängel bei der Protokollierung oder Überwachung führen dazu, dass Angriffe gar nicht oder erst spät erkannt werden, wodurch der angerichtete Schaden i.A. steigt. Weshalb "Insufficient Logging & Monitoring" sicherlich eine Gefahr für die Webanwendung ist. Aber ob sie wirklich unter die Top 10 gehört wage ich zu bezweifeln. Da gibt es m.E. größere Gefahren.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Drucksache

Trackbacks

Keine Trackbacks