OWASP Top 10
Die OWASP Top 10 ist eine Liste der häufigsten Schwachstellen in Webanwendungen. Es enthält Richtlinien für die Softwareentwicklung und Anwendungsbereitstellung zum Schutz vor diesen Schwachstellen. Die OWASP Top 10-Liste konzentriert sich nicht auf ein bestimmtes Produkt oder eine bestimmte Anwendung, sondern empfiehlt generische Best Practices für DevOps in Schlüsselbereichen wie Rollenvalidierung und Anwendungssicherheit.
Progress® Kemp® LoadMaster trägt zum mehrschichtigen Ansatz der Informationssicherheit bei, indem es eine mehrschichtige Anwendungssicherheit bietet. Es:
- Basiert auf einem optimierten Linux-Betriebssystem (OS), bei dem alle Standardports geschlossen und alle unnötigen Dienste und Anwendungen entfernt wurden. Die Benutzerauthentifizierung beim Betriebssystem wird streng kontrolliert
- Enthält integriertes IDS/IPS (Intrusion Detection and Protection)
- Ermöglicht die Sicherung und Verwaltung Ihrer Umgebung mit Authentifizierung, Autorisierung und Buchhaltung, um den Zugriff auf Computerressourcen intelligent zu steuern, Richtlinien durchzusetzen, die Nutzung zu überwachen und Informationen bereitzustellen, die für die Abrechnung von Diensten erforderlich sind
- Bietet SSL/TLS-Unterstützung, einschließlich: Entschlüsseln und erneutes Verschlüsseln, vollständige Zertifikatsverwaltung, OCSP- und SNI-Unterstützung, vollständige Cipher Suite-Verwaltung, und Sie können dies sowohl auf die Datenebene als auch auf den Zugriff auf den LoadMaster anwenden
- Kann eine voll funktionsfähige Web Application Firewall (WAF) enthalten
Die in der OWASP Top 10 – 2021 Edition identifizierten Schwachstellen lauten wie folgt:
| OWASP-SCHWACHSTELLE | ERKLÄRUNG |
|---|---|
| A1. Fehlerhafte Zugriffskontrolle | Viele Anwendungen erzwingen keine Zugriffssteuerung für Anwendungsressourcen, nachdem eine Benutzersitzung authentifiziert wurde. Dies kann aufgrund einer schlechten Konfiguration zu Schwachstellen führen, die dazu führen können, dass Daten Benutzern zugänglich gemacht werden, die keinen Zugriff erhalten sollten. Für den gesamten Zugriff auf vertrauliche Daten sollten interne Anwendungsprüfungen und -überprüfungen verwendet werden, und nicht die Annahme, dass einer authentifizierten Sitzung der Zugriff gestattet ist. |
| A2. Kryptografische Fehler | Sensible Daten wie Finanz-, Gesundheits- und personenbezogene Daten müssen sowohl während der Übertragung als auch im Ruhezustand geschützt werden und können durch Verschlüsselungsfehler oder fehlende Verschlüsselung offengelegt werden. |
| A3. Injektion | Dies ist der Fall, wenn ein Angreifer bösartige Inhalte an einen Webanwendungsinterpreter sendet, wodurch der Interpreter autorisierte Befehle ausführt. Sie können dann Schadcode im Anwendungskontext ausführen und sich so Zugang zu sensiblen Daten oder geschützten Bereichen verschaffen. |
| A4. Unsicheres Design | Dies ist eine neue Kategorie, die Design- und Architekturfehler abdeckt. Zu den Lösungen gehört die Integration von Sicherheit in die gesamte Modellierung und Planung von Beginn des Softwareentwicklungsprozesses an. |
| A5. Fehlkonfiguration der Sicherheit | Dies ist ein sehr breiter Catch-All-Abschnitt, der eine Vielzahl von Szenarien abdeckt, einschließlich der Anwendung der neuesten Sicherheitspatches, der standardmäßigen Aktivierung unnötiger Funktionen, der Verwendung von Standardpasswörtern und der Verwendung von Standardkonten zur Abschwächung. |
| A6. Anfällige und veraltete Komponenten | Komponenten, Bibliotheken und Frameworks von Drittanbietern, die in der Anwendungsentwicklung verwendet werden, können bekannte Schwachstellen aufweisen, die die allgemeine Anwendungssicherheit gefährden. |
| A7. Identifizierungs- und Authentifizierungsfehler | Eine falsche Implementierung von Authentifizierungsschemata und Sitzungsverwaltung kann dazu führen, dass nicht autorisierte Benutzer die Identität gültiger Benutzer annehmen. |
| A8. Software- und Datenintegritätsfehler | Dies ist auch eine neue Kategorie, da die Datensicherheit zu einem Hauptanliegen geworden ist. Es deckt die Integrität von Software-Updates, kritischen Anwendungsdaten und CI/CD-Pipelines ab, bei denen ein Angreifer sie manipuliert, der Verlust der Integrität jedoch unentdeckt bleibt. |
| A9. Sicherheitsprotokollierung und Überwachung von Fehlern | Viele Systeme werden nicht gut genug überwacht, so dass Angriffe und Datenverluste über längere Zeiträume unentdeckt bleiben. Dies ermöglicht es Angreifern, weiterhin Schwachstellen in Systemen auszunutzen und möglicherweise unentdeckte Fehler in einer Anwendung zu nutzen, um andere anzugreifen. |
| A10. Serverseitige Anforderungsfälschung (SSRF) | Auch das ist eine neue Kategorie. Eine SSRF-Schwachstelle ermöglicht es einem Angreifer, auf Daten auf einer Remoteressource zuzugreifen, die auf einer nicht authentifizierten, benutzerdefinierten URL basiert. Wenn Server, die durch eine Firewall oder ein VPN geschützt sind, nicht validierte Benutzereingaben akzeptieren, können auch sie dieser Schwachstelle ausgesetzt sein. |
Anwendungssicherheit mit LoadMaster
LoadMaster bietet eine kostengünstige Möglichkeit, auf einfache Weise zusätzliche Sicherheitsebenen für Ihre Anwendungen bereitzustellen, um die Integrität und Verfügbarkeit von Diensten zu gewährleisten und die bestmögliche Benutzeranwendungserfahrung (AX) aufrechtzuerhalten.
Weitere Informationen zu diesem mehrschichtigen Sicherheitsansatz finden Sie auf unserer Webseite "Schutz für Ihre Anwendungen und APIs".