OWASP Top 10 neu: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 10: | Zeile 10: | ||
| Broken Access Control | | Broken Access Control | ||
| Ein Problem mit der Zugriffskontrolle erlaubt es Nutzern, Aktionen außerhalb ihrer Berechtigung auszuführen. | | Ein Problem mit der Zugriffskontrolle erlaubt es Nutzern, Aktionen außerhalb ihrer Berechtigung auszuführen. | ||
| − | | [[Datei:owasp-01.png| | + | | [[Datei:owasp-01.png|600px]] |
| Ein Angreifer kann durch Manipulation von Formularfeldern Daten anderer Benutzer einsehen oder verändern. | | Ein Angreifer kann durch Manipulation von Formularfeldern Daten anderer Benutzer einsehen oder verändern. | ||
|- | |- | ||
| Zeile 16: | Zeile 16: | ||
| Cryptographic Failure | | Cryptographic Failure | ||
| Ein Fehler in der Verschlüsselung kann auftreten, wenn Daten unverschlüsselt übertragen oder mit veralteten Verfahren gesichert werden. | | Ein Fehler in der Verschlüsselung kann auftreten, wenn Daten unverschlüsselt übertragen oder mit veralteten Verfahren gesichert werden. | ||
| − | | [[Datei:owasp-02.png| | + | | [[Datei:owasp-02.png|600px]] |
| Ein Angreifer kann eine ungesicherte Verbindung mitlesen, Session-Cookies stehlen und sich als Nutzer ausgeben. | | Ein Angreifer kann eine ungesicherte Verbindung mitlesen, Session-Cookies stehlen und sich als Nutzer ausgeben. | ||
|- | |- | ||
| Zeile 22: | Zeile 22: | ||
| Injection | | Injection | ||
| Eine Eingabeschwachstelle erlaubt das Einspeisen von Code (z. B. SQL), der vom Server unbeabsichtigt ausgeführt wird. | | Eine Eingabeschwachstelle erlaubt das Einspeisen von Code (z. B. SQL), der vom Server unbeabsichtigt ausgeführt wird. | ||
| − | | [[Datei:owasp-03.png| | + | | [[Datei:owasp-03.png|600px]] |
| Ein Angreifer sendet manipulierte SQL-Befehle und erhält dadurch Zugriff auf Datenbankinhalte. | | Ein Angreifer sendet manipulierte SQL-Befehle und erhält dadurch Zugriff auf Datenbankinhalte. | ||
|- | |- | ||
| Zeile 28: | Zeile 28: | ||
| Insecure Design | | Insecure Design | ||
| Fehlende oder schwache Sicherheitsmaßnahmen im Design der Anwendung. | | Fehlende oder schwache Sicherheitsmaßnahmen im Design der Anwendung. | ||
| − | | [[Datei:owasp-04.png| | + | | [[Datei:owasp-04.png|600px]] |
| Ein Hacker kann unbegrenzt Tickets reservieren, da keine Limits definiert wurden. | | Ein Hacker kann unbegrenzt Tickets reservieren, da keine Limits definiert wurden. | ||
|- | |- | ||
| Zeile 34: | Zeile 34: | ||
| Security Misconfiguration | | Security Misconfiguration | ||
| Falsche oder unsichere Konfigurationen in Software oder Infrastruktur ermöglichen Angriffe. | | Falsche oder unsichere Konfigurationen in Software oder Infrastruktur ermöglichen Angriffe. | ||
| − | | [[Datei:owasp-05.png| | + | | [[Datei:owasp-05.png|600px]] |
| Ein Standard-Admin-Login bleibt aktiv und wird vom Angreifer ausgenutzt. | | Ein Standard-Admin-Login bleibt aktiv und wird vom Angreifer ausgenutzt. | ||
|- | |- | ||
| Zeile 40: | Zeile 40: | ||
| Vulnerable Components | | Vulnerable Components | ||
| Veraltete oder anfällige Komponenten werden nicht aktualisiert und bieten Angriffspunkte. | | Veraltete oder anfällige Komponenten werden nicht aktualisiert und bieten Angriffspunkte. | ||
| − | | [[Datei:owasp-06.png| | + | | [[Datei:owasp-06.png|600px]] |
| Ein Angreifer nutzt bekannte Schwachstellen in alter Software für DDoS oder Schadcode. | | Ein Angreifer nutzt bekannte Schwachstellen in alter Software für DDoS oder Schadcode. | ||
|- | |- | ||
| Zeile 46: | Zeile 46: | ||
| Identification and Authentication Failures | | Identification and Authentication Failures | ||
| Fehler bei der Authentifizierung erlauben es Angreifern, sich als andere Nutzer auszugeben. | | Fehler bei der Authentifizierung erlauben es Angreifern, sich als andere Nutzer auszugeben. | ||
| − | | [[Datei:owasp-07.png| | + | | [[Datei:owasp-07.png|600px]] |
| Gestohlene Zugangsdaten werden durch Bots genutzt, um Konten zu übernehmen. | | Gestohlene Zugangsdaten werden durch Bots genutzt, um Konten zu übernehmen. | ||
|- | |- | ||
| Zeile 52: | Zeile 52: | ||
| Software and Data Integrity Failures | | Software and Data Integrity Failures | ||
| Manipulierte Softwarekomponenten oder unsichere Quellen gefährden die Integrität von Systemen. | | Manipulierte Softwarekomponenten oder unsichere Quellen gefährden die Integrität von Systemen. | ||
| − | | [[Datei:owasp-08.png| | + | | [[Datei:owasp-08.png|600px]] |
| Ein Angreifer bringt Schadcode in die CI/CD-Pipeline ein und erhält Zugang zum Produktivsystem. | | Ein Angreifer bringt Schadcode in die CI/CD-Pipeline ein und erhält Zugang zum Produktivsystem. | ||
|- | |- | ||
| Zeile 58: | Zeile 58: | ||
| Security Logging and Monitoring Failures | | Security Logging and Monitoring Failures | ||
| Mangelnde Protokollierung und Überwachung verhindern die rechtzeitige Erkennung von Angriffen. | | Mangelnde Protokollierung und Überwachung verhindern die rechtzeitige Erkennung von Angriffen. | ||
| − | | [[Datei:owasp-09.png| | + | | [[Datei:owasp-09.png|600px]] |
| Ein Angreifer bleibt unbemerkt im System, da keine Logs geprüft oder erstellt wurden. | | Ein Angreifer bleibt unbemerkt im System, da keine Logs geprüft oder erstellt wurden. | ||
|- | |- | ||
| Zeile 64: | Zeile 64: | ||
| Server-Side Request Forgery (SSRF) | | Server-Side Request Forgery (SSRF) | ||
| Der Server wird dazu gebracht, interne Dienste aufzurufen, die vom Angreifer gesteuert werden. | | Der Server wird dazu gebracht, interne Dienste aufzurufen, die vom Angreifer gesteuert werden. | ||
| − | | | + | |{{#drawio:oswasp-10}} |
| Ein Angreifer nutzt eine Webanwendung, um auf interne APIs, SSH oder Datenbanken zuzugreifen. | | Ein Angreifer nutzt eine Webanwendung, um auf interne APIs, SSH oder Datenbanken zuzugreifen. | ||
|} | |} | ||
| + | [[Kategorie:Cybersecurity]][[Kategorie:Hacking]] | ||
Aktuelle Version vom 6. April 2025, 20:14 Uhr
| Nr. | Bezeichnung (EN) | Erklärung (DE) | Bild | Beispiel (DE) |
|---|---|---|---|---|
| 01 | Broken Access Control | Ein Problem mit der Zugriffskontrolle erlaubt es Nutzern, Aktionen außerhalb ihrer Berechtigung auszuführen. | 
|
Ein Angreifer kann durch Manipulation von Formularfeldern Daten anderer Benutzer einsehen oder verändern. |
| 02 | Cryptographic Failure | Ein Fehler in der Verschlüsselung kann auftreten, wenn Daten unverschlüsselt übertragen oder mit veralteten Verfahren gesichert werden. | 
|
Ein Angreifer kann eine ungesicherte Verbindung mitlesen, Session-Cookies stehlen und sich als Nutzer ausgeben. |
| 03 | Injection | Eine Eingabeschwachstelle erlaubt das Einspeisen von Code (z. B. SQL), der vom Server unbeabsichtigt ausgeführt wird. | 
|
Ein Angreifer sendet manipulierte SQL-Befehle und erhält dadurch Zugriff auf Datenbankinhalte. |
| 04 | Insecure Design | Fehlende oder schwache Sicherheitsmaßnahmen im Design der Anwendung. | 
|
Ein Hacker kann unbegrenzt Tickets reservieren, da keine Limits definiert wurden. |
| 05 | Security Misconfiguration | Falsche oder unsichere Konfigurationen in Software oder Infrastruktur ermöglichen Angriffe. | 
|
Ein Standard-Admin-Login bleibt aktiv und wird vom Angreifer ausgenutzt. |
| 06 | Vulnerable Components | Veraltete oder anfällige Komponenten werden nicht aktualisiert und bieten Angriffspunkte. | 
|
Ein Angreifer nutzt bekannte Schwachstellen in alter Software für DDoS oder Schadcode. |
| 07 | Identification and Authentication Failures | Fehler bei der Authentifizierung erlauben es Angreifern, sich als andere Nutzer auszugeben. | 
|
Gestohlene Zugangsdaten werden durch Bots genutzt, um Konten zu übernehmen. |
| 08 | Software and Data Integrity Failures | Manipulierte Softwarekomponenten oder unsichere Quellen gefährden die Integrität von Systemen. | 
|
Ein Angreifer bringt Schadcode in die CI/CD-Pipeline ein und erhält Zugang zum Produktivsystem. |
| 09 | Security Logging and Monitoring Failures | Mangelnde Protokollierung und Überwachung verhindern die rechtzeitige Erkennung von Angriffen. | 
|
Ein Angreifer bleibt unbemerkt im System, da keine Logs geprüft oder erstellt wurden. |
| 10 | Server-Side Request Forgery (SSRF) | Der Server wird dazu gebracht, interne Dienste aufzurufen, die vom Angreifer gesteuert werden. | Ein Angreifer nutzt eine Webanwendung, um auf interne APIs, SSH oder Datenbanken zuzugreifen. |
![Bearbeiten](javascript:editDrawio("2006581219", "oswasp-10.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}