Verständnisfrage zur OWASP Risk-Rating-Methode
70 görüntüleme
İlk okunmamış mesaja atla
Timo Bellosconi
17 Ağu 2020 10:13:2317.08.2020
alıcı Germany chapter
Guten Tag zusammen,
ich arbeite gerade mit der OWASP Top 10 um mich in Arten von Webangriffen einzulesen und finde keine Anwort, warum bei der Bewertung der Sicherheitsrisiken nach der "OWASP Risk-Rating-Methode" die drei Punkte "Ausnutzbarkeit", "Verbreitung" und "Technische Auswirkungen" anders sortiert wird als bei der Auffindbarkeit.
Ausnutzbarkeit:
Besteht eine einfache Möglichkeit ein Sicherheitsrisiko ausnutzen, wird die Ausnutzbarkeit mit 3 bewertet. => Die Gefahr ist groß, also eine hohe Bewertung.
Verbreitung:
Besteht eine sehr häufige Verbreitung des Sicherheitsrisikos, wird die Verbreitung mit 3 bewertet. => Die Gefahr ist groß, also eine hohe Bewertung.
Technische Auswirkungen:
Sind die technischen Folgen schwerwiegend, werden die technischen Auswirkungen mit 3 bewertet. => Die Gefahr ist groß, also eine hohe Bewertung.
Sind die technischen Folgen schwerwiegend, werden die technischen Auswirkungen mit 3 bewertet. => Die Gefahr ist groß, also eine hohe Bewertung.
Auffindbarkeit:
Sind die Risiken/die Lücken schwierig aufzufinden, wird die Auffindbarkeit mit 1 bewertet. => Die Gefahr ist groß, also eine niedrige Bewertung.
Ich hoffe das macht deutlich, was ich meine und wieso ich die Bewertung nicht nachvollziehen kann. Wieso wird in drei Fällen bei großer Gefahr eine hohe Bewertung vorgenommen und in einem Fall nicht? Ich habe auch die Deutsche Version der OWASP Top 10 mit den entsprechneden Erläuterungen gelesen, aber auch daraus geht nicht hervor, warum hier so vorgegangen wurde.
Ich würde mich freuen, wenn mir jemand kurz erklären kann, wieso bei der Bewertung der Sicherheitsrisiken so vorgegangen wurde.
Viele Grüße
Timo
Özkan Perk
17 Ağu 2020 10:33:0217.08.2020
alıcı Timo Bellosconi, Germany chapter
Guten Tag,
das Problem liegt aus meiner Sicht in der falschen Interpretation.
Auffindbarkeit:Sind die Risiken/die Lücken schwierig aufzufinden, wird die Auffindbarkeit mit 1 bewertet. => Die Gefahr ist groß, also eine niedrige Bewertung.
Bei einer schwierigen Auffindbarkeit für den Angreifer ist die Gefahr nicht groß, sondern (verhältnismäßig) klein, deswegen die "1".
Die Gefahr ist dann groß, wenn die Auffindbarkeit für den Angreifer einfach ist. Kurz: Je einfacher die Auffindbarkeit, desto größer die Gefahr.
Ich hoffe das konnte deine Frage beantworten.
Freundliche Grüße
| Özkan Perk | Telefon | +49 (2841) 88825.0313 |
| Teamleiter | Fax | +49 (2841) 88825.20313 |
| Software-Architektur & Java |
Mobil | +49 (152)28671407 |
| Digitale Antrags- und Genehmigungsprodukte | pe...@hmmdeutschland.de | |
HMM Deutschland GmbH Eurotec-Ring 10 47445 Moers Deutschland WWW: http://www.hmmdeutschland.de |
| |
| IK 590515887 - HRB Kleve 8061 - StNr. 119/5706/0435 - Geschäftsführer: Dipl.-Kfm. Istok Kespret, Michael Bohl, Dipl.-Kfm. Marcus Jochim | ||
|
Diese E-Mail ist nur für den Empfänger bestimmt, an
den es gerichtet ist und kann vertrauliches bzw. unter das
Berufsgeheimnis fallendes Material enthalten. Jegliche darin enthaltene
Ansicht oder Meinungsäußerung ist die des Autors und stellt nicht
notwendigerweise die Ansicht oder Meinung von HMM Deutschland GmbH dar. Sind Sie
nicht der Empfänger, so haben Sie diese E-Mail irrtümlich erhalten und
jegliche Verwendung, Veröffentlichung, Weiterleitung, Abschrift oder
jeglicher Druck dieser E-Mail ist strengstens untersagt. Weder
HMM Deutschland GmbH noch der Absender (Özkan Perk) übernehmen die
Haftung für Viren; es obliegt Ihrer Verantwortung, die E-Mail und deren
Anhänge auf Viren zu prüfen. |
Von: germany...@owasp.org <germany...@owasp.org> im Auftrag von Timo Bellosconi <timobel...@gmail.com>
Gesendet: Montag, 17. August 2020 16:13
An: Germany chapter <germany...@owasp.org>
Betreff: [germany-chapter] Verständnisfrage zur OWASP Risk-Rating-Methode
Gesendet: Montag, 17. August 2020 16:13
An: Germany chapter <germany...@owasp.org>
Betreff: [germany-chapter] Verständnisfrage zur OWASP Risk-Rating-Methode
--
You received this message because you are subscribed to the Google Groups "Germany chapter" group.
To unsubscribe from this group and stop receiving emails from it, send an email to germany-chapt...@owasp.org.
To view this discussion on the web visit https://groups.google.com/a/owasp.org/d/msgid/germany-chapter/741c4c73-732b-4c9b-bf8d-6653d4badcfbn%40owasp.org.
You received this message because you are subscribed to the Google Groups "Germany chapter" group.
To unsubscribe from this group and stop receiving emails from it, send an email to germany-chapt...@owasp.org.
To view this discussion on the web visit https://groups.google.com/a/owasp.org/d/msgid/germany-chapter/741c4c73-732b-4c9b-bf8d-6653d4badcfbn%40owasp.org.
Simon Bieber
17 Ağu 2020 10:33:3317.08.2020
alıcı Germany chapter, timobel...@gmail.com
Hallo Timo,
IMHO gibst Du Dir selbst die Antwort, aber verwechselt es, ob eine Gefahr groß oder eher klein ist.
Wenn eine Schwachstelle schwierig zu finden ist, dann bewertet man das als geringer gegenüber einer Schwachstelle, die sehr leicht zu finden ist.
Gruß,
Simon
Timo Bellosconi
18 Ağu 2020 02:53:5018.08.2020
alıcı Germany chapter, simon....@owasp.org, Timo Bellosconi
Vielen Dank euch beiden.
Also geht man hier nicht von der Sicht der Betreiber von Webanwendungen aus, sondern der Sicht der Angreifer bzw. geht einfach davon aus, dass die Lücken für Angreifer so schwer zu finden sind, dass die Eintrittwahrscheinlichkeit sehr gering ist. Aus Sicht der Betreiber ist eine schwer zu findende Schwachstelle ja wesentlich gefährlicher, weil man sich erst schützen kann, wenn man die Sicherheitslücke auch kennt.
Viele Grüße,
Timo
Tümünü yanıtla
Yazarı yanıtla
Yönlendir
0 yeni ileti