Anmerkung
Erscheinungsdatum
Das englische Original wurde am 24. September 2021 veröffentlicht
Hauptautoren
- Andrew van der Stock (twitter: @vanderaj)
- Brian Glas (twitter: @infosecdad)
- Neil Smithline (Twitter: @appsecneil)
- Torsten Gigler (twitter: @torsten_tweet)
Gastautoren
- Orange Tsai @orange_8361, Autor von A10-2021: Server Side Request Forgery
- Jim Manico @manicode und Jakub Maćkowski @kubamackowski – OWASP CheatSheets Coordination
Vorwort der deutschen Version
„Ist es nicht sonderbar, dass eine wörtliche Übersetzung fast immer eine schlechte ist? Und doch lässt sich alles gut übersetzen. Man sieht hieraus, wie viel es sagen will, eine Sprache ganz verstehen; es heißt, das Volk ganz kennen, das sie spricht.“ (G.C. Lichtenberg, „Sudelbücher“, 1800-1806).
Die deutsche Version der OWASP Top 10 war genau das: eine Herausforderung, dem Ziel und dem Geist der Top 10 in deutscher Sprache gerecht zu werden. Hierbei wurden bei Bedarf auch kleinere Präzisierungen vorgenommen, die das Verständnis erleichtern. Wir verwenden daher bewusst nicht den Begriff „Übersetzung“, auch wenn es zu weiten Teilen genau das ist. Dinge ständig weiterzutreiben und kontinuierlich zu verbessern ist eben auch OWASP.
So haben wir in dieser Version auch die Namen der Top 10 Risiken angepasst oder Namens-Ergänzungen des Originals nur dann übernommen, wenn uns dies nach Abwägung sinnvoll erschien:
- A01:2021–Mangelhafte Zugriffskontrolle ex: A5:2017-Fehler in der Zugriffskontrolle
- A07:2021–Fehlerhafte Authentifizierung ex: A2:2017-Fehler in der Authentifizierung; Hier haben wir den neuen Teilaspekt 'Identification' bewusst nicht übernommen, da er im englischen Original im Risiko nicht weiter behandelt wird
- A09:2021–Unzureichendes Logging und Sicherheitsmonitoring ex: A10:2017-Unzureichendes Logging & Monitoring
Wir möchten alle, die in der Geschäftsführung, im Management, in der IT-Sicherheitsberatung, im Anwendungs-Management, in der Software-Entwicklung und in der Anwendungs-Prüfung arbeiten, für Webanwendungssicherheit sensibilisieren und Ihnen den Einstieg in diese Thematik erleichtern.
Dieses Dokument hilft Ihnen, eine neue Perspektive auf Ihre Anwendungen zu erhalten, um Sicherheitsfehler zu vermeiden und Risiken minimieren zu können. Einige englische Fachbegriffe wurden dabei beibehalten, weil sie auch im deutschen gebräuchlich sind.
Wir wünschen Neueinsteigerinnen, Neueinsteigern und Profis ein kurzweiliges Lesevergnügen und die (Bestätigung der) Erkenntnis, dass die IT-Sicherheit ein kritischer Erfolgsfaktor für (Web-)Anwendungen ist.
Die deutsche Version der OWASP Top 10:2021 finden Sie unter https://owasp.org/Top10/de/.
Ihr deutschsprachiges Top 10-Team:
- Torsten Gigler
- Daniel Grahl
- Tobias Heide
- Thomas Herzog
- Jasmin Mair
- Florian Schmid
- Jan Wolff
Stammtisch-Initiative des OWASP German Chapter
In mehreren deutschen Städten gibt es OWASP-Stammtische, bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren – meistens mit Vortrag.
Aktive Stammtische gibt es (Stand Juni 2024) in Augsburg, Berlin, Dresden, Frankfurt, Hamburg, Hannover, Heilbronn-Franken, Karlsruhe, Köln, München und Stuttgart.
Wie können Sie uns unterstützen
Zum jetzigen Zeitpunkt bitten wir um Unterstützung bei folgenden Themenbereiche:
- Datenanalye – bitte überprüfen Sie unsere Analyse
- Übersetzung – Bitte überprüfen Sie diese Version und das englische Original, um sicherzustellen, dass diese Version verständlich ist und den Sinn des Originals widerspiegelt
- Projektleitung von ASVS, Testing Guide und Code Review Guide – bitte nutzen Sie unsere Daten und helfen Sie uns, unsere Dokumente und Standards miteinander zu verknüpfen
Senden Sie uns Ihre Vorschläge und Pull-Anfragen in Github
Bitte informieren Sie uns über Ergänzungs- und Verbesserungsvorschläge: