OWASP Top 10

Was ist OWASP Top 10?

Die OWASP Top 10 ist eine jährlich von der OSWAP (Open Web Application Security Project) herausgegebene Liste, die die derzeit am häufigsten vorkommenden Sicherheitsprobleme von Webanwendungen aufführt. Die OWASP ist eine Non-Profit-Organisation, die das Ziel verfolgt, die Sicherheit von Software und Internet zu verbessern. Die große Bekanntheit der OWASP Top 10 hat sie als Sicherheitsrichtlinie zu einem impliziten Industriestandard gemacht.

Regelmäßig genannte Schwachstellen aus der OWASP Top 10

  1. Security Misconfiguration
    Dies ist die häufigste Nennung in der OWASP Top 10 und umfasst unsichere Sicherheits-Konfigurationen, offene Cloud-Speicher, falsch konfigurierte HTTP-Header und offengelegte ausführliche Fehlermeldungen mit vertraulichen Informationen.
  2. Injection
    Injection-Fehler treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter einer Anwendung gesendet werden. Die feindseligen Daten des Angreifers können den Interpreter dazu verleiten, unautorisierte Befehle auszuführen oder auf Daten ohne entsprechende Berechtigung zuzugreifen.
  3. Broken Authentication
    Anwendungsfunktionen zu Authentifizierung und Sitzungsverwaltung werden häufig unzulänglich implementiert, sodass Angreifer Kennwörter, Schlüssel, Sitzungsdaten oder andere Implementierungsfehler nutzen können, um die Identität anderer Benutzer zu übernehmen.
  4. Sensitive Data Exposure
    Viele Webanwendungen und APIs schützen sensible Daten nicht ordnungsgemäß. Angreifer können solche Daten dann stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Straftaten durchzuführen.
  5. XML External Entities
    Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsverweise in XML-Dokumenten aus. Externe Entitäten können unerwünscht verwendet werden zur Offenlegung von internen Dateien, zum Scannen von Ports, zur Remote-Code-Ausführung oder zu Denial-of-Service-Angriffen.
  6. Broken Access Control
    Einschränkungen, was authentifizierte Benutzer tun dürfen, werden häufig nicht ordnungsgemäß durchgesetzt. Angreifer können diese Fehler ausnutzen, um auf nicht autorisierte Funktionen oder Daten zuzugreifen.
  7. Cross Site Scripting (XSS)
    Mit XSS können Angreifer Scripts im Browser des Opfers ausführen, um sich Benutzersitzungen anzueignen oder den Nutzer auf bösartige Webseiten umzulenken.
  8. Insecure Deserialization
    Unsichere Deserialisierung kann zu Remote-Code-Ausführung oder Injektionsangriffen führen.
  9. Using Components with Known Vulnerabilities
    Wenn Softwarekomponenten wie Bibliotheken, Frameworks und andere Module mit den gleichen Berechtigungen ausgeführt werden wie die Anwendung, kann eine anfällige Komponente für Angriffe ausgenutzt werden.
  10. Insufficient Logging & Monitoring
    Auch unzureichende Protokollierung und Überwachung ermöglicht Angriffe.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte