OWASP, el “mecanismo” de defensa contra las amenazas web

OWASP, der Abwehrmechanismus gegen Internetbedrohungen

Iñigo Ladrón Morales

Alle Produkte und Dienstleistungen im Bereich Software und Hardware haben Fehler, Ungenauigkeiten, Probleme, Bugs, Sicherheitslücken oder Sicherheitslöcher oder Schwachstellen.

Das Ausnutzen dieser Schwachstellen, indem Aufgaben zur Ausnutzung von Verwundbarkeiten in Diensten, Systemen, Anwendungen und Computernetzwerken durchgeführt werden, ist an der Tagesordnung und das Hauptziel der Cyberangreifer und Cyberkriminellen, die wissen, dass es ein "einfacher" Weg ist, durch diese Löcher einzudringen, Zugang zu erhalten, Privilegien zu erlangen und ihre Ziele zu erreichen.

Eine Schwachstelle ist daher eine Schwäche oder Fehler in einem System, die von einem Cyberangreifer ausgenutzt werden kann, um die Sicherheit dieses Systems zu gefährden, wodurch die Integrität, Verfügbarkeit oder Vertraulichkeit der Informationen beeinträchtigt wird. Diese Schwachstellen können in verschiedenen Schichten der technologischen Infrastruktur existieren, vom Netzwerkniveau bis zum Anwendungsniveau. Zu den anfälligsten Bereichen gehören Webanwendungen, Betriebssysteme, Datenbanken, Netzwerkgeräte und jede andere Art von Software.

Die Schwachstellen können in verschiedene Kategorien eingeteilt werden, jede mit ihrem eigenen Satz von Auswirkungen und Ausbeutungsmethoden:

  • Injection-Schwachstellen. Einige der bekanntesten sind SQL-Injection (SQL-Code-Injection) und XSS (Cross-Site Scripting), die es Angreifern ermöglichen, nicht erlaubten Code im angegriffenen System auszuführen und auf sensible Daten innerhalb eines Computersystems zuzugreifen oder diese zu ändern.
  • Schwachstellen bei der Authentifizierung und Zugriffskontrolle. Diese ermöglichen es Cyberangreifern, die Modelle und Systeme der Authentifizierung und Identifizierung von Benutzern zu umgehen oder unbeschränkten Zugang mit Rechten zu nicht autorisierten Funktionen oder Daten zu erlangen.
  • Sitzungsmanagement-Schwachstellen. Sie ermöglichen es Cyberangreifern, sich legitime Benutzersitzungen anzueignen und zu übernehmen, um im Namen des Benutzers Aktionen durchzuführen, ohne dass jemand davon Kenntnis hat.
  • Schwachstellen durch unsichere Konfiguration. Sie basieren einfach auf dem Konfigurationsfehler, da sie auftreten, wenn ein System falsch konfiguriert ist und somit sensible Daten oder Funktionen exponiert.
  • Schwachstellen bei der Offenlegung sensibler Daten. Sie stellen die Offenlegung vertraulicher Informationen dar, wie Passwörter oder sensible und vertrauliche persönliche Daten, an unbefugte Personen.
  • Information Leakage Vulnerabilities. Diese Vulnerabilitäten ermöglichen die unbefugte Offenlegung sensibler Informationen.
  • Denial-of-Service (DoS / DDoS) Schwachstellen. Diese Art von Schwachstellen kann zu einem Ausfall des Dienstes oder zu einer Ressourcenauslastung des Systems führen, was die Verfügbarkeit des Systems und die Geschäftskontinuität beeinträchtigt.


Um gegen diese Art von Bedrohungen vorzugehen, ist ein tiefes Verständnis der bestehenden Schwachstellen in all unseren Computersystemen erforderlich, sowie eine effektive Strategie, um diese angemessen zu verwalten.

Hier kommt OWASP (Open Web Application Security Project) ins Spiel, eine globale Gemeinschaft, die sich der Verbesserung der Software-Sicherheit widmet. Genauer gesagt handelt es sich um eine weltweite, gemeinnützige Gemeinschaft, die sich darauf konzentriert, Ressourcen, Werkzeuge, Leitfäden und Open-Source-Projekte bereitzustellen, um Unternehmen zu helfen, Schwachstellen in Webanwendungen und Webdiensten zu verstehen, zu identifizieren und zu mindern sowie sichere Anwendungen und Dienste zu erstellen.

Die Verwaltung von Schwachstellen umfasst Identifikation, Kategorisierung und Behebung von Sicherheitsanfälligkeiten in einem Computersystem. Unternehmen nutzen Schwachstellenscan-Tools und Frameworks wie CVE (Common Vulnerabilities and Exposures) und CVSS (Common Vulnerability Scoring System), um das Risiko jeder entdeckten Schwachstelle (ob bekannt oder ein Zero Day von bevorstehendem Auftreten) zu katalogisieren und zu bewerten.

Sowohl das Pentesting (Penetrationstest) als auch der Intrusionstest scheinen zwar gleich zu sein, sind es aber nicht. Es handelt sich um Techniken, die verwendet werden, um die Sicherheit eines Computersystems zu bewerten, jedoch unterscheiden sie sich in ihrem Ansatz und Umfang. Das Pentesting konzentriert sich darauf, einen realen Angriff auf ein bestimmtes System (oder Subsystem) zu simulieren. Der Intrusionstest hingegen hat einen breiteren Charakter und Umfang, da er die Sicherheit einer gesamten Infrastruktur bewertet, einschließlich aller Systeme, Subsysteme, Netzwerke und Sicherheitsrichtlinien.

OWASP bietet die Richtlinien und Werkzeuge, die sowohl für Pentesting als auch für Penetrationstests verwendet werden können, um Schwachstellen in einem einzelnen System oder in einer gesamten Infrastruktur zu identifizieren und zu mindern. Zum Beispiel werden die Werkzeuge von OWASP ZAP (Zed Attack Proxy) von Fachleuten der Cybersicherheit häufig verwendet, um Schwachstellen in Webanwendungen während der Penetrationstests zu identifizieren.

Zusätzlich zu OWASP gibt es andere Organisationen wie MITRE (MITRE ATT&CK, oder Matrix der Angriffstechniken) und ICS2 (ICS2, oder International Information System Security Certification Consortium), die sich auf Cybersicherheit konzentrieren, aber unterschiedliche Ansätze und Interessensgebiete als OWASP haben.

  • MITRE ist eine gemeinnützige Organisation, die sich auf die Forschung und Entwicklung von Technologien und Standards im Bereich der Cybersicherheit konzentriert.
  • ICS2 konzentriert sich auf die Zertifizierung und Schulung von Fachleuten in der Cybersicherheit.


Trotzdem gibt es unter all diesen OWASP, MITRE und ICS2 Überschneidungen und Überlappungen in verschiedenen Handlungsbereichen, obwohl OWASP durch seinen spezifischen Fokus auf die Cybersicherheit von Software und Cybersicherheit von Webanwendungen hervorsticht.

OWASP hat ein TOP 10 der Schwachstellen, das sich im Laufe der Zeit weiterentwickelt. Es handelt sich um eine Liste der 10 kritischsten Schwachstellen in Webanwendungen. Diese werden basierend auf der Erfahrung von anerkannten Experten der Cybersicherheit klassifiziert.

Derzeit ist die neueste verfügbare Version die OWASP Top 10 von 2021. Einige ihrer TOP-Schwachstellen sind die entsprechenden zur Code-Injektion, zur fehlerhaften/authentifizierungsfehler und zur Offenlegung sensibler Daten. Diese Sicherheitsanfälligkeiten stellen die häufigsten und dringendsten Risiken dar, die Unternehmen angehen müssen, um die Sicherheit ihrer Webanwendungen zu gewährleisten.

Aber wie werden die Schwachstellen erkannt, identifiziert und benannt? Es handelt sich um einen systematischen, gründlichen und rigorosen Prozess, der die Sammlung von Informationen über die OWASP Top 10 von 2021 sowie die Analyse ihrer potenziellen Auswirkungen und auch der verfügbaren Schutzmaßnahmen umfasst.

Die Schwachstellen werden gemäß den in der Cybersicherheit festgelegten Standards benannt, wie:

  • CVE (Common Vulnerabilities and Exposures). Es besteht aus einem öffentlichen Wörterbuch oder einem System zur Identifizierung und Nomenklatur von Sicherheitsanfälligkeiten, das weltweit verwendet wird und eindeutige Identifikatoren für jede Sicherheitsanfälligkeit bereitstellt, wodurch die Interoperabilität zwischen Sicherheitswerkzeugen und die Zusammenarbeit zwischen Organisationen erleichtert wird.
  • CVSS (Common Vulnerability Scoring System). Es besteht aus einem Bewertungssystem, das verwendet wird, um das Risiko/Cybersicherheitsrisiko, das mit einer Schwachstelle verbunden ist, numerisch zu bewerten, wobei Faktoren wie Schweregrad, Reichweite, die Leichtigkeit der Ausnutzung und die potenzielle Auswirkung berücksichtigt werden.


Zusammenfassend lässt sich sagen, dass OWASP eine grundlegende Rolle bei der Verbesserung der Cybersicherheit von Software und Webanwendungen spielt, indem es Ressourcen und Werkzeuge bereitstellt, die Organisationen helfen, Schwachstellen zu identifizieren, mildern und beheben, und somit die digitalen Vermögenswerte und die Privatsphäre der Benutzer schützt.

Mit seinem auf die Gemeinschaft und Open Source ausgerichteten Ansatz bleibt OWASP ein Schlüsselakteur im Kampf gegen die ständig wachsenden Cyberbedrohungen.

Natürlich verwenden wir bei Zerolynx regelmäßig OWASP und all diese global standardisierten Modelle und Frameworks, wenn wir unsere Erkennungsdienste bereitstellen, wie zum Beispiel:

- Der Hacking auf CMS-Plattform (Pentest Web).
- Der interne und externe Pentesting.
- Die Web-Sicherheitsaudit.
- Die Sicherheitsprüfung von mobilen Anwendungen.
- Die Denial-of-Service-Tests (DoS).

Wir laden dich ein, alle Dienstleistungen von Zerolynx kennenzulernen.


Aber wenn du außerdem möchtest, dass wir dich besser informieren und dir mehr Details auf eine persönlichere Weise geben, zögere nicht, mit uns in Kontakt zu treten.


Iñigo Ladrón Morales, Redakteur für Inhalte bei Zerolynx.

Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.

Neueste Artikel

Alles sehen
NaN -Infinity
Alles sehen