OWASP TOP 10

OWASP TOP 10

Celia Catalán

Die Sicherheit von Webanwendungen hat in der heutigen Welt, in der sich Cyberbedrohungen ständig weiterentwickeln, Priorität. Um Entwicklern und Sicherheitsexperten zu helfen, veröffentlicht das Open Web Application Security Project (OWASP) eine Liste namens „OWASP Top 10“, die die kritischsten Schwachstellen in Webanwendungen hervorhebt. Diese Liste ist wichtig, um die Risiken und die Maßnahmen zu verstehen, die zur Minderung dieser Bedrohungen erforderlich sind.

Was sind die OWASP Top 10?

Die OWASP Top 10 ist eine Rangliste der schwerwiegendsten Schwachstellen, die Webanwendungen betreffen. Ziel ist es, der Technologie-Community Bewusstsein und Wissen über die häufigsten und gefährlichsten Sicherheitslücken zu vermitteln. Diese regelmäßig aktualisierte Liste bietet einen praktischen Leitfaden zur Vorbeugung, Erkennung und Behebung der kritischsten Schwachstellen.

Schwachstellen in den OWASP Top 10 können die Sicherheit einer Anwendung ernsthaft gefährden, sensible Daten preisgeben, unbefugten Zugriff ermöglichen und große Verluste für Unternehmen verursachen.

Es gibt verschiedene Ausgaben der OWASP Top 10, sortiert nach dem Jahr ihrer Erstellung oder Aktualisierung. Dies ist auf die Veränderung in der allgemeinen Landschaft der Web-Sicherheit zurückzuführen, da laut den von der OWASP Foundation gesammelten Daten die Häufigkeit bestimmter Arten von Schwachstellen im Laufe der Zeit zu- und abnimmt. Im Gegenzug entstehen neue Arten von Schwachstellen, während andere verschwinden, einen anderen Namen erhalten oder zu Gruppen zusammengefasst werden:


In diesem Blogbeitrag haben wir uns entschieden, die aktuellste Version der OWASP TOP 10 mit Stand Oktober 2024, also die Version 2021, vorzustellen.

OWASP Top 10 2021


In der Ausgabe 2021 hat OWASP seine Liste der größten Sicherheitsbedrohungen für Webanwendungen aktualisiert. Nachfolgend werden die 10 relevantesten Risikokategorien hervorgehoben:


A01:2021 – Verlust der Zugangskontrolle

Gemeint sind Fehler bei Zugriffsbeschränkungen auf Daten oder Funktionalitäten. Dies ermöglicht es Angreifern, unbefugte Aktionen durchzuführen, beispielsweise auf sensible Daten zuzugreifen oder Verwaltungsfunktionen ohne die erforderlichen Berechtigungen auszuführen. Einige der damit verbundenen Schwachstellen:
  • Rechteausweitung: Normale Benutzer können Aktionen erhalten oder ausführen, die Administratorrechte erfordern.
  • Laterale Bewegung: Benutzer können auf Daten anderer Benutzer der Plattform zugreifen.
  • Mangelnde Zugriffskontrolle in APIs: APIs schützen Ressourcen nicht ordnungsgemäß.

A02:2021 – Kryptografische Fehler

In diese Kategorie fallen Fehler beim Schutz sensibler Daten wie Passwörter oder persönliche Informationen. Wenn Daten nicht ordnungsgemäß verschlüsselt sind, können Angreifer sie leicht abfangen und lesen. Einige der damit verbundenen Schwachstellen:
  • Schwache oder nicht vorhandene Verschlüsselung: Verwendung veralteter kryptografischer Algorithmen oder fehlende Verschlüsselung sensibler Daten.
  • Unsachgemäße Schlüsselverwaltung: Unsichere Speicherung oder Übertragung kryptografischer Schlüssel.
  • Offenlegung sensibler Daten: Passwörter, Kartennummern oder unverschlüsselte persönliche Daten.

A03:2021 – Injektion

Durch Injektionsschwachstellen wie SQL-Injection kann ein Angreifer schädliche Befehle in die Eingabe der Anwendung einfügen, um deren Betrieb zu stören. Dies kann einen unbefugten Zugriff auf Datenbanken und andere Ressourcen ermöglichen. Einige der damit verbundenen Schwachstellen:
  • SQL-Injection: Manipulation von SQL-Abfragen, um auf Daten in einer Datenbank zuzugreifen oder diese zu ändern.
  • Befehlsinjektion: Ausführung von Betriebssystembefehlen durch unsichere Eingabe.
  • Code-Injection: Einfügen von Schadcode in die Anwendung, zum Beispiel JavaScript-Code.

A04:2021 – Unsicheres Design

Dies geschieht, wenn Sicherheitsprinzipien während des Anwendungsdesignprozesses nicht berücksichtigt werden, was zu strukturellen Mängeln führt, die nach der Implementierung nur schwer zu beheben sind. Einige der damit verbundenen Schwachstellen:
  • Fehlende Eingabevalidierung: Die vom Benutzer eingegebenen Daten werden nicht ordnungsgemäß überprüft. Diese Art von Sicherheitslücke kann zu anderen Sicherheitslücken wie Befehlsinjektion oder SQL-Injection führen.
  • Fehlende Sicherheitskontrollen: Fehlende Authentifizierung oder Verschlüsselung an kritischen Stellen.
  • Schlechte Architektur: Fehlende Rollentrennung oder Verwendung unsicherer Entwurfsmuster.

A05:2021 – Fehlkonfiguration der Sicherheit

Falsche oder Standardkonfigurationen von Systemen, Servern und Anwendungen sind ein häufiges Problem, das Anwendungen anfällig für Angriffe macht. Dieses Risiko kann durch ordnungsgemäße Konfiguration und regelmäßige Überprüfungen vermieden werden. Einige der damit verbundenen Schwachstellen:
  • Standardanmeldeinformationen:Verwendung von Passwörtern oder Standardeinstellungen auf Servern oder Anwendungen.
  • Offenlegung sensibler Dateien: Öffentlich zugängliche Konfigurationsdateien oder Datenbanken.
  • Unnötige Dienste aktiviert: Ungenutzte Dienste, die ausgenutzt werden könnten.

A06:2021 – Anfällige und veraltete Komponenten

Viele Anwendungen sind auf Bibliotheken oder Frameworks von Drittanbietern angewiesen. Wenn diese Komponenten nicht aktualisiert werden oder bekannte Schwachstellen aufweisen, können Angreifer sie ausnutzen, um die Sicherheit der Anwendung zu gefährden. Einige der damit verbundenen Schwachstellen:
  • Abhängigkeiten mit bekannten Schwachstellen: Verwendung von Bibliotheken oder Frameworks mit bekannten Sicherheitslücken.
  • Veraltete Software: Es sind keine Sicherheitsupdates oder Patches verfügbar.
  • Unsichere Plugins und Module: Verwendung von Erweiterungen oder Modulen von Drittanbietern, die nicht ordnungsgemäß geprüft wurden. (Veraltete WordPress-Plugins, veraltete JavaScript-Bibliotheken…)

A07:2021 – Identifikations- und Authentifizierungsfehler

Eine schlechte Authentifizierung ermöglicht es Angreifern, die Überprüfung der Benutzeridentität zu umgehen, was zu Phishing oder unbefugtem Zugriff führt. Einige der damit verbundenen Schwachstellen:
  • Unsichere Authentifizierung: Fehlende Mechanismen wie Multi-Faktor-Authentifizierung (MFA).
  • Ungeschützte Sitzungen: Offengelegte Sitzungstoken oder fehlender Sitzungsablauf.

A08:2021 – Fehler in der Software- und Informationsintegrität

Diese Sicherheitslücke tritt auf, wenn die Integrität von Softwareupdates oder gespeicherten Daten nicht ordnungsgemäß überprüft wird. Dies ermöglicht es Angreifern, unbemerkt Quellcode oder Daten zu verändern. Einige der damit verbundenen Schwachstellen:
  • Unverifizierte Updates: Software-Update ohne Überprüfung der Authentizität.
  • Änderung des Quellcodes: Einschleusen von Schadcode in CI/CD-Repositorys oder Pipelines.
  • Kritische Dateimanipulation: Änderung von Konfigurationsdateien oder Datenbanken ohne Erkennung.

A09:2021 – Fehler bei der Aufzeichnung von Sicherheits- und Überwachungsereignissen

Ohne ordnungsgemäße Protokollierung und aktive Überwachung ist es schwierig, laufende Angriffe zu erkennen oder darauf zu reagieren. Dieser Fehler schränkt die Fähigkeit ein, auf Sicherheitsvorfälle zu reagieren. Einige der damit verbundenen Schwachstellen:
  • Fehlende Ereignisprotokolle: Fehlende Zugriffsprotokolle, Fehler oder Änderungen im System.
  • Unzureichende Protokolle:Die Protokolle enthalten nicht genügend Informationen, um Probleme zu diagnostizieren.
  • Keine Angriffe werden in Echtzeit erkannt: Es gibt keine aktiven Warn- oder Überwachungssysteme für Vorfälle.

A10:2021 – Serverseitige Anforderungserzwingung (SSRF)

Der SSRF-Angriff erfolgt, wenn eine Webanwendung dazu verleitet wird, Anfragen an andere Server zu stellen, wodurch Angreifer auf interne Ressourcen zugreifen können, die normalerweise geschützt wären. Einige der damit verbundenen Schwachstellen:
  • Zugriff auf interne Ressourcen: Der Angreifer nutzt die Anwendung, um auf interne Server oder Datenbanken zuzugreifen.
  • Firewall-Umgehung: Der Angreifer nutzt die Sicherheitslücke aus, um Netzwerksicherheitsbeschränkungen zu umgehen.
  • Abfrage lokaler Dienste: Der Angreifer greift auf Dienste im internen Netzwerk zu, z. B. HTTP, FTP oder SSH.

In den nächsten Monaten werden wir Beiträge zu jeder der Schwachstellen in den TOP 10 veröffentlichen. Wir werden alle Arten von Schwachstellen im Zusammenhang mit den einzelnen Risiken sowie die Angriffe zur Ausnutzung dieser Schwachstellen untersuchen.


Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.