OWASP (Open Web Application Security Project) ist eine Non-Profit-Organisation, die sich Sicherheit auf die Fahnen geschrieben hat.
Sie hat jetzt ein ganz besonders für Software-Entwickler und Programmierer von Web-Anwendungen sehr empfehlenswertes Handbuch veröffentlicht, das im Kampf gegen eine immer noch zu wenig beachtete Art von Schwachstellen helfen soll.
Dabei geht es um automatisierbare Bedrohungen durch den Missbrauch gültiger Funktionen. Das sind Angriffe, die häufig gar nicht erst als das erkannt werden, was sie sind, und deshalb auch in keiner Statistik und keinem Security-Report auftauchen.
Der eigentliche Angriff, bei dem es um Blog- oder Kommentar-Spam, das Anlegen von Fake-Accounts oder Password Cracking gehen könnte und den Betreiber von Webanwendungen regelmäßig erleben, ist in keiner Schwachstellen-Hitliste verzeichnet.
Das führt zu einer mangelnde Sichtbarkeit und zu einer Inkonsistenz der Bezeichnungen, die den Kampf gegen solche Angriffe erschwert.
Das „OWASP Automated Threat Handbook Web Applications“ beschreibt und klassifiziert solche automatisiert durchführbaren Angriffe und umfasst 72 Seiten. Es steht in Version 1.0 kostenlos als PDF zum Download bereit.
