Mike Kuketz
21. November 2017 | 10:24 Uhr

OWASP 2017: Die zehn größten Sicherheitsrisiken für Webanwendungen

Das Open Web Application Security Project (OWASP) hat nach Jahren (2013) nun endlich eine aktualisierte Version von »The Ten Most Critical Web Application Security Risks« veröffentlicht.

Noch immer auf Platz 1 sind Injection-Schwachstellen in SQL, NoSQL, OS oder LDAP. Auch bei Platz 2 »Broken Authentication« hat sich wenig getan. Login-Bereiche zur Authentifizierung werden noch immer mangelhaft bzw. mit vermeidbaren Fehlern implementiert.

Neu dazugekommen auf Platz 4 sind die »XML External Entities (XXE)«. Also irgendwelche gammeligen XML-Schnittstellen, die XML-Dokumente entgegennehmen, aber nicht ausreichend validieren. Darüber lassen sich dann Dateien aus dem internen Netzbereich extrahieren, Port-Scans vom internen Netzwerk durchführen oder sogar eine Remote Execution Ausführung erreichen. Ganz ekeliges Zeug.

Interessant ist auch, dass Cross-Site Scripting (XSS) insgesamt 4 Plätze einbüßt und nun auf Platz 7 zu finden ist. Das deckt sich jetzt nicht zwangsläufig mit meiner Erfahrung, auch wenn XSS-Probleme in Summe leicht abgenommen haben.

Auf Basis der Top 10 wird jetzt auch der OWASP Testing Guide aktualisiert, den ich im Rahmen von Pentests nutze, um Schwachstellen in Webanwendungen aufzuspüren.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
App-Security-Checklist
26. April 2021

Android: Security-Checkliste für sichere App-Entwicklung

Um die Daten der Nutzer/Kunden bestmöglich zu schützen, sollte man sich als Verantwortlicher bereits vor der Entwicklung einer App mit wichtigen Sicherheitsfragen auseinandersetzen.
Angriffstechniken
5. April 2013

Angriffstechniken – Sicherheit von Webanwendungen Teil3

Typische Angriffsszenarien auf Webanwendungen auf Grundlage der OWASP Top-10.
Webanwendungen
19. März 2013

Risiko Webanwendung – Sicherheit von Webanwendungen Teil1

Die Sicherheit von Webanwendungen wird hauptsächlich von der Programmierung bestimmt. Dennoch gibt es weitere Maßnahmen zur Absicherung.
Modell
28. März 2013

Klassifizierungsmodell – Sicherheit von Webanwendungen Teil2

Die Sicherheit von Webanwendungen lässt sich anhand eines 6-Ebenen-Modells charakterisieren.
Penetrationstest
11. April 2013

Penetrationstest – Sicherheit von Webanwendungen Teil4

Penetrationstests sollen dabei helfen Schwachstellen in IT-Systemen und Komponenten aufzudecken. Wie geht man vor? Was gilt es zu wissen?
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.