OWASP Top 10
Copyright © Shutterstock / VideoFlow
Was ist OWASP Top 10?
Die OWASP Top 10 ist eine jährlich von der OSWAP (Open Web Application Security Project) herausgegebene Liste, die die derzeit am häufigsten vorkommenden Sicherheitsprobleme von Webanwendungen aufführt. Die OWASP ist eine Non-Profit-Organisation, die das Ziel verfolgt, die Sicherheit von Software und Internet zu verbessern. Die große Bekanntheit der OWASP Top 10 hat sie als Sicherheitsrichtlinie zu einem impliziten Industriestandard gemacht.
Regelmäßig genannte Schwachstellen
Dies ist die häufigste Nennung in der OWASP Top 10 und umfasst unsichere Sicherheits-Konfigurationen, offene Cloud-Speicher, falsch konfigurierte HTTP-Header und offengelegte ausführliche Fehlermeldungen mit vertraulichen Informationen.
Injection-Fehler treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter einer Anwendung gesendet werden. Die feindseligen Daten des Angreifers können den Interpreter dazu verleiten, unautorisierte Befehle auszuführen oder auf Daten ohne entsprechende Berechtigung zuzugreifen.
Anwendungsfunktionen zu Authentifizierung und Sitzungsverwaltung werden häufig unzulänglich implementiert, sodass Angreifer Kennwörter, Schlüssel, Sitzungsdaten oder andere Implementierungsfehler nutzen können, um die Identität anderer Benutzer zu übernehmen.
Viele Webanwendungen und APIs schützen sensible Daten nicht ordnungsgemäß. Angreifer können solche Daten dann stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Straftaten durchzuführen.
Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsverweise in XML-Dokumenten aus. Externe Entitäten können unerwünscht verwendet werden zur Offenlegung von internen Dateien, zum Scannen von Ports, zur Remote-Code-Ausführung oder zu Denial-of-Service-Angriffen.
Einschränkungen, was authentifizierte Benutzer tun dürfen, werden häufig nicht ordnungsgemäß durchgesetzt. Angreifer können diese Fehler ausnutzen, um auf nicht autorisierte Funktionen oder Daten zuzugreifen.
Mit XSS können Angreifer Scripts im Browser des Opfers ausführen, um sich Benutzersitzungen anzueignen oder den Nutzer auf bösartige Webseiten umzulenken.
Unsichere Deserialisierung kann zu Remote-Code-Ausführung oder Injektionsangriffen führen.
Wenn Softwarekomponenten wie Bibliotheken, Frameworks und andere Module mit den gleichen Berechtigungen ausgeführt werden wie die Anwendung, kann eine anfällige Komponente für Angriffe ausgenutzt werden.
Auch unzureichende Protokollierung und Überwachung ermöglicht Angriffe.
Tipp
Wenn Sie noch Fragen bezüglich eines Online Marketing Themas haben, dann können Sie gerne unseren Glossar besuchen und sich über das Thema informieren, wo Sie noch speziell Fragen haben.
Sie haben noch Fragen?
