OWASP Top 10

Open-Web-Application-Security-Project

Copyright ┬ę Shutterstock / VideoFlow

Was ist OWASP Top 10?

Die OWASP Top 10 ist eine j├Ąhrlich von der OSWAP (Open Web Application Security Project) herausgegebene Liste, die die derzeit am h├Ąufigsten vorkommenden Sicherheitsprobleme von Webanwendungen auff├╝hrt. Die OWASP ist eine Non-Profit-Organisation, die das Ziel verfolgt, die Sicherheit von Software und Internet zu verbessern. Die gro├če Bekanntheit der OWASP Top 10 hat sie als Sicherheitsrichtlinie zu einem impliziten Industriestandard gemacht.

Regelm├Ą├čig genannte Schwachstellen

Dies ist die h├Ąufigste Nennung in der OWASP Top 10 und umfasst unsichere Sicherheits-Konfigurationen, offene Cloud-Speicher, falsch konfigurierte HTTP-Header und offengelegte ausf├╝hrliche Fehlermeldungen mit vertraulichen Informationen.
Injection-Fehler treten auf, wenn nicht vertrauensw├╝rdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter einer Anwendung gesendet werden. Die feindseligen Daten des Angreifers k├Ânnen den Interpreter dazu verleiten, unautorisierte Befehle auszuf├╝hren oder auf Daten ohne entsprechende Berechtigung zuzugreifen.
Anwendungsfunktionen zu Authentifizierung und Sitzungsverwaltung werden h├Ąufig unzul├Ąnglich implementiert, sodass Angreifer Kennw├Ârter, Schl├╝ssel, Sitzungsdaten oder andere Implementierungsfehler nutzen k├Ânnen, um die Identit├Ąt anderer Benutzer zu ├╝bernehmen.
Viele Webanwendungen und APIs sch├╝tzen sensible Daten nicht ordnungsgem├Ą├č. Angreifer k├Ânnen solche Daten dann stehlen oder ├Ąndern, um Kreditkartenbetrug, Identit├Ątsdiebstahl oder andere Straftaten durchzuf├╝hren.
Viele ├Ąltere oder schlecht konfigurierte XML-Prozessoren werten externe Entit├Ątsverweise in XML-Dokumenten aus. Externe Entit├Ąten k├Ânnen unerw├╝nscht verwendet werden zur Offenlegung von internen Dateien, zum Scannen von Ports, zur Remote-Code-Ausf├╝hrung oder zu Denial-of-Service-Angriffen.
Einschr├Ąnkungen, was authentifizierte Benutzer tun d├╝rfen, werden h├Ąufig nicht ordnungsgem├Ą├č durchgesetzt. Angreifer k├Ânnen diese Fehler ausnutzen, um auf nicht autorisierte Funktionen oder Daten zuzugreifen.
Mit XSS k├Ânnen Angreifer Scripts im Browser des Opfers ausf├╝hren, um sich Benutzersitzungen anzueignen oder den Nutzer auf b├Âsartige Webseiten umzulenken.
Unsichere Deserialisierung kann zu Remote-Code-Ausf├╝hrung oder Injektionsangriffen f├╝hren.
Wenn Softwarekomponenten wie Bibliotheken, Frameworks und andere Module mit den gleichen Berechtigungen ausgef├╝hrt werden wie die Anwendung, kann eine anf├Ąllige Komponente f├╝r Angriffe ausgenutzt werden.
Auch unzureichende Protokollierung und ├ťberwachung erm├Âglicht Angriffe.

Tipp

Wenn Sie noch Fragen bez├╝glich eines Online Marketing Themas haben, dann k├Ânnen Sie gerne unseren Glossar besuchen und sich ├╝ber das Thema informieren, wo Sie noch speziell Fragen haben.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte