OWASP Top Ten: A9 – Nutzung von Komponenten mit bekannten Schwachstellen

von Dr. Martin Klein Hennig

Dieser Beitrag aus unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Platz 9: Nutzung von Komponenten mit bekannten Schwachstellen.

Webapplikationen wie Onlineshops, Portale oder Content Management Systeme haben mittlerweile einen großen Funktionsumfang und damit eine hohe Komplexität. In der Entwicklung wird daher auf fertige Komponenten zurückgegriffen, die allenfalls noch etwas angepasst werden müssen. So kommt für eine einzelne Webapplikation oft eine Vielzahl unterschiedlicher Komponenten zum Einsatz – vom Webserver, über Virtualisierungsumgebungen, bis hin zu Programmbibliotheken bspw. zur Verschlüsselung oder Bildverarbeitung. Die Auswahl ist groß. So führt das Wappalyzer Projekt z.B. Statistiken über 823 unterschiedliche Web-Technologien.

Allerdings erhöhen zusätzliche Komponenten die Angriffsfläche einer Webapplikation, denn jede Komponente kann Sicherheitslücken enthalten.

Beispielszenarien
  • Eine Programmbibliothek zur Bildverarbeitung enthält eine Sicherheitslücke, die durch manipulierte Bilddateien die Ausführung von Schadcode auf dem Webserver erlaubt. Betroffen sind alle Webapplikationen, die diese Bibliothek zur Verarbeitung hochgeladener Bilder (z.B. Profilbilder, Fotos) einsetzen ...
Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK