Skip to content

Drucksache: PHP Magazin 5.18 - OWASP Top 10, Platz 4 - 6 - "XML External Entities (XXE)", "Broken Access Control" und "Security Misconfiguration"

Im PHP Magazin 5.2018 ist der dritte Artikel einer kleinen Serie zu den OWASP Top 10, den 10 gefährlichsten Bedrohungen für Webanwendungen, erschienen.

Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel lernen Sie den vierten bis sechsten Platz kennen: "XML External Entities (XXE)", "Broken Access Control" und "Security Misconfiguration".

Der Neuzugang "XML External Entities (XXE)" auf Platz 4 verdankt seine hohe Einstufung sowohl der Verbreitung als auch dem Gefahrenpotential. Man sollte diese Angriffe sofern man XML einsetzt also nicht unterschätzen, sondern auf eine korrekte Absicherung achten.

Auch, wenn man auf den ersten Blick keine Gefahr eines Angriffs auf die eigene Webanwendung sieht. Die Beispiele der SSRF-Angriff über XXE zeigen, dass der Angriff durchaus auch "über Bande" erfolgen kann. Im ersten Moment freut man sich dann vielleicht darüber, dass der eigene Server nicht kompromittiert wurde. Wenn dann aber der Admin des eigentlich angegriffenen Systems auftaucht und wissen möchte, wie es zu dem Angriff kommen konnte und warum man denn seine Anwendung nicht abgesichert hat wird es unschön.

Die Zusammenfassung der Punkte 4 ("Insecure Direct Object References") und 7 ("Missing Function Level Access Control") aus der 2013er Top 10 zum neuen Platz 5 mit der Bezeichnung "Broken Access Control" ist im Grunde nur Kosmetik und schafft Platz für einen weiteren Punkt auf der Liste. An den Problemen ändert sich gar nichts, und wenn Platz 4 und Platz 7 zusammengefasst Platz 5 ergeben passt das auch rechnerisch halbwegs. Von daher: Weitermachen!

Dass die "Security Misconfiguration" von Platz 5 auf Platz 6 gefallen ist zeigt nur, dass daran noch viel zu tun ist. XSS ist immerhin von 3 auf 7 gesunken, wenn das so weiter geht sind die spätestens bei der übernächsten Überarbeitung raus aus den Top 10. Die sichere Konfiguration ist aber auch ein weites Feld. Da kann man schnell einen Punkt übersehen, und wenn genau der dann von einem Angreifer entdeckt und ausgenutzt wird steht man dumm da.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Drucksache

Trackbacks

Keine Trackbacks