OWASP Top 10

Was ist OWASP Top 10?

Die OWASP Top 10 ist eine jährlich von der OSWAP (Open Web Application Security Project) herausgegebene Liste, die die derzeit am häufigsten vorkommenden Sicherheitsprobleme von Webanwendungen aufführt. Die OWASP ist eine Non-Profit-Organisation, die das Ziel verfolgt, die Sicherheit von Software und Internet zu verbessern. Die große Bekanntheit der OWASP Top 10 hat sie als Sicherheitsrichtlinie zu einem impliziten Industriestandard gemacht.

Regelmäßig genannte Schwachstellen

Dies ist die häufigste Nennung in der OWASP Top 10 und umfasst unsichere Sicherheits-Konfigurationen, offene Cloud-Speicher, falsch konfigurierte HTTP-Header und offengelegte ausführliche Fehlermeldungen mit vertraulichen Informationen.
Injection-Fehler treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter einer Anwendung gesendet werden. Die feindseligen Daten des Angreifers können den Interpreter dazu verleiten, unautorisierte Befehle auszuführen oder auf Daten ohne entsprechende Berechtigung zuzugreifen.
Anwendungsfunktionen zu Authentifizierung und Sitzungsverwaltung werden häufig unzulänglich implementiert, sodass Angreifer Kennwörter, Schlüssel, Sitzungsdaten oder andere Implementierungsfehler nutzen können, um die Identität anderer Benutzer zu übernehmen.
Viele Webanwendungen und APIs schützen sensible Daten nicht ordnungsgemäß. Angreifer können solche Daten dann stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Straftaten durchzuführen.
Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsverweise in XML-Dokumenten aus. Externe Entitäten können unerwünscht verwendet werden zur Offenlegung von internen Dateien, zum Scannen von Ports, zur Remote-Code-Ausführung oder zu Denial-of-Service-Angriffen.
Einschränkungen, was authentifizierte Benutzer tun dürfen, werden häufig nicht ordnungsgemäß durchgesetzt. Angreifer können diese Fehler ausnutzen, um auf nicht autorisierte Funktionen oder Daten zuzugreifen.
Mit XSS können Angreifer Scripts im Browser des Opfers ausführen, um sich Benutzersitzungen anzueignen oder den Nutzer auf bösartige Webseiten umzulenken.
Unsichere Deserialisierung kann zu Remote-Code-Ausführung oder Injektionsangriffen führen.
Wenn Softwarekomponenten wie Bibliotheken, Frameworks und andere Module mit den gleichen Berechtigungen ausgeführt werden wie die Anwendung, kann eine anfällige Komponente für Angriffe ausgenutzt werden.
Auch unzureichende Protokollierung und Überwachung ermöglicht Angriffe.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte