In dieser Arbeit werden folgende Fragestellungen rund um den Themenkomplex "Überblick zu bekannten Schwachstellen" und das Open Web Application Security Project (OWASP) erörtert:
1. Nach welchen Kriterien können OWASP Schwachstellen in Web-Applikationen beurteilt werden?
2. Wie erfolgt die Gewichtung der OWASP Top Ten und wie wird das Risiko von Schwachstellen bestimmt?
Um diese Erörterungen mit einem praxisnahen Beispiel zu illustrieren, wird im zweiten Teil auf eine konkrete Schwachstelle eingegangen. Anhand eines Sicherheitsvorfalls (in dieser Arbeit der Mossack Fonseca Hack, auch bekannt als Panama Papers Hack) wird eine Risikoabschätzung gemäß der "OWASP Risk Rating Methodology" durchgeführt und es werden Möglichkeiten vorgestellt, wie dieser Vorfall verhindert hätte werden können.
Inhaltsverzeichnis
1. Einleitung
1.1. Ziel und Abgrenzung
2. Grundlagen & Begrifflichkeiten
3. Die OWASP Top Ten Kategorien 2021
4. Die OWASP Risk Rating Methodology
4.1. Bewertung
4.2. Risikobestimmung
5. Der Mossack Fonseca Hack
5.1. Ablauf des Angriffs
5.2. Risikobewertung
5.3. Handlungsempfehlungen
6. Fazit
A. Faktoren zur Risikobestimmung
A.1. Bedrohungsakteur
A.2. Schwachstelle
A.3. Technische Auswirkung
A.4. Geschäftliche Auswirkung
Zielsetzung & Themen
Die vorliegende Arbeit verfolgt das Ziel, das Verständnis für Schwachstellen in Web-Applikationen zu vertiefen und den Transfer dieses Wissens in den beruflichen Alltag durch die Anwendung der OWASP Risk Rating Methodology zu fördern. Die zentrale Forschungsfrage befasst sich dabei mit den Bewertungskriterien für OWASP-Schwachstellen, deren Gewichtung und der praktischen Risikobestimmung anhand eines Fallbeispiels.
- Grundlagen des Open Web Application Security Project (OWASP)
- Methodik zur Bewertung und Gewichtung der OWASP Top Ten Kategorien 2021
- Analyse der OWASP Risk Rating Methodology als Entscheidungsstütze
- Fallstudie: Sicherheitsvorfall beim Mossack Fonseca Hack (Panama Papers)
- Ableitung technischer und organisatorischer Handlungsempfehlungen für die Praxis
Auszug aus dem Buch
5.1. Ablauf des Angriffs
Die Rekonstruktion solcher Angriffe ist immer mit Vorsicht zu geniessen: häufig wurden die ausgenutzten Lücken bereits gepatcht oder das Vorgehen wurde nicht öffentlich gemacht. So ist es auch im vorliegenden Fall, es gibt jedoch diverse Sicherheitsexperten, welche sich an einer Rekonstruktion der Vorfälle versucht haben (Mark Maunder, 2016a). Laut dieser Quellen wurde der Initial-Zugang via Reverse-Shell durch die Ausnutzung einer verwundbaren Version des WordPress-Plugins «Revolution Slider» erlangt. Fatalerweise (für Mossack Fonseca) befand sich deren E-Mail-Server im selben Netzwerk wie der angegriffene Webserver. Die durch den Initial-Zugang erlangten Zugangsdaten (via WordPress-Konfiguration in der Datenbank) erlaubten es den Angreifern, die Mailboxen der Angestellten zu plündern. Mit gut 4,8 Millionen Dateien machen Sie auch den grössten Anteil des Datenlecks aus:
Den Zugang zu den gut 2,3 Millionen Dokumenten konnten sich die Angreifer auf ähnliche Art und Weise verschaffen: Das Kundenportal von Mossack Fonseca wurde auf einer verwundbaren und veralteten Version von Drupal betrieben. Die Ausnutzung dieser Schwachstelle, welche bereits im Jahre 2014 bekannt gemacht wurde, war trivial und stellte für die Angreifer keine Herausforderung dar.
Zusammenfassung der Kapitel
1. Einleitung: Dieses Kapitel definiert das Ziel der Arbeit, die Relevanz des OWASP-Projekts und grenzt den Untersuchungsrahmen auf eine methodische Risikoanalyse ein.
2. Grundlagen & Begrifflichkeiten: Hier werden die Ziele der OWASP Foundation erläutert und die Bedeutung der OWASP Top Ten Liste als Standardwerk für Web-Sicherheit dargelegt.
3. Die OWASP Top Ten Kategorien 2021: Dieses Kapitel analysiert die aktuelle Version der Top Ten Liste, beleuchtet methodische Änderungen bei der Datenerhebung und den Aufstieg kritischer Kategorien wie Insecure Design.
4. Die OWASP Risk Rating Methodology: Die methodische Grundlage zur Risikoberechnung wird hier formal als Produkt aus Eintrittswahrscheinlichkeit und Auswirkung definiert.
5. Der Mossack Fonseca Hack: Dieses Kernkapitel überträgt die theoretischen Risikomodelle auf den realen Sicherheitsvorfall rund um die Panama Papers, um Schwachstellen und Präventionsmöglichkeiten aufzuzeigen.
6. Fazit: Das Fazit fasst die Erkenntnisse zusammen und betont die Notwendigkeit, technische Bewertungsmethoden stets durch unternehmensspezifische, geschäftliche Kontexte zu ergänzen.
A. Faktoren zur Risikobestimmung: Der Anhang bietet eine detaillierte tabellarische Aufschlüsselung der Risikofaktoren für Bedrohungsakteure, Schwachstellen sowie technische und geschäftliche Auswirkungen.
Schlüsselwörter
OWASP, Risikobewertung, Web-Applikation, Cybersecurity, Mossack Fonseca, Panama Papers, Schwachstellenanalyse, Risikomodell, Eintrittswahrscheinlichkeit, Datensicherheit, IT-Sicherheit, Penetration Testing, Risk Rating Methodology, Software-Sicherheit, Datenleck.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit analysiert bekannte Schwachstellen in Web-Applikationen anhand der OWASP Top Ten und nutzt die OWASP Risk Rating Methodology, um Risiken strukturiert zu bewerten.
Was sind die zentralen Themenfelder der Publikation?
Der Fokus liegt auf der Risikoeinstufung von Sicherheitslücken, der Methodik des OWASP-Projekts und der praktischen Anwendung dieser Konzepte in einer realen Fallstudie.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Ziel ist der Transfer von theoretischem Sicherheitswissen in den beruflichen Alltag, um ein höheres Bewusstsein für Risiken in der Applikationsentwicklung zu schaffen.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit verwendet eine Kombination aus Literaturanalyse der OWASP-Standards und eine angewandte Fallstudie (Case Study) zur Risikoabschätzung.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in eine theoretische Einführung in die OWASP-Methodik und eine konkrete Risikoanalyse des Mossack Fonseca Hacks zur Illustration der Bewertungskriterien.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wichtige Begriffe sind insbesondere OWASP, Risikobewertung, Cybersecurity, Panama Papers und Schwachstellenmanagement.
Wie bewertet die Arbeit den Einfluss des Sicherheitsvorfalls bei Mossack Fonseca?
Der Hack wird als Beispiel für mangelhaftes Ressourcen-Management und fehlende Aktualisierung von Standard-Software (WordPress, Drupal) analysiert.
Warum spielt die Unterscheidung zwischen technischer und geschäftlicher Auswirkung eine so grosse Rolle?
Technische Schwachstellen können zwar hochgradig kritisch sein, doch erst durch die Bewertung der geschäftlichen Auswirkungen (finanzieller Schaden, Reputation) erhalten Entscheidungsträger eine fundierte Basis für Priorisierungen.
Welche Handlungsempfehlungen leitet die Arbeit ab?
Die Arbeit empfiehlt primär das Einspielen von Updates, Penetration-Tests zur Suche nach Backdoors und die Einführung eines SIEM-Systems zur Anomalieerkennung.
- Arbeit zitieren
- Stefan Schärmeli (Autor:in), 2023, Das Open Web Application Security Project (OWASP) und Schwachstellen in Web-Applikationen. Risikoabschätzung des Vorfalls "Panama Papers", München, GRIN Verlag, https://www.grin.com/document/1359863
