OWASP Top Ten 2017 (de)

Details zu den Risiko-Faktoren

Languages: en [de]
Zusammenfassung der Top 10 Risiko-Faktoren
Die folgende Tabelle stellt eine Zusammenfassung der Top 10 Risiken für die Anwendungssicherheit in der Version des Jahres 2017 und der dazugehörigen Risiko-Faktoren dar. Diese Faktoren wurden durch verfügbare Statistiken und die Erfahrung des OWASP-Teams bestimmt. Um diese Risiken für eine bestimmte Anwendung oder Organisation zu verstehen, muss der Leser seine eigenen, spezifischen Bedrohungsquellen und Auswirkungen auf sein Unternehmen betrachten. Selbst eklatante Software-Schwachstellen müssen nicht zwangsläufig ein ernsthaftes Risiko darstellen, wenn es z.B. keine Bedrohungsquellen gibt, die den notwendigen Angriff ausführen können oder die tatsächlichen Auswirkungen auf das Unternehmen und die Geschäftsprozesse zu vernachlässigen sind.

RISIKO Bedrohungsquellen Angriffsvektoren
(Ausnutzbarkeit)
Schwachstellen
(Verbreitung)
Schwachstellen
(Auffindbarkeit)
Auswirkungen
(technisch)
Auswirkungen
(Geschäftl.)
Wert
A1:2017-Injection Anw.-
spezifisch
EINFACH: 3 HÄUFIG: 2 EINFACH: 3 SCHWERWIEGEND: 3 Anw.-
spezifisch
8.0
A2:2017-Broken Authentication Anw.-
spezifisch
EINFACH: 3 HÄUFIG: 2 DURCHSCHNITTLICH: 2 SCHWERWIEGEND: 3 Anw.-
spezifisch
7.0
A3:2017-Sensitive Data Exposure Anw.-
spezifisch
DURCHSCHNITTLICH: 2 SEHR HÄUFIG: 3 DURCHSCHNITTLICH: 2 SCHWERWIEGEND: 3 Anw.-
spezifisch
7.0
A4:2017-XML External Entities (XXE) Anw.-
spezifisch
DURCHSCHNITTLICH: 2 HÄUFIG: 2 EINFACH: 3 SCHWERWIEGEND: 3 Anw.-
spezifisch
7.0
A5:2017-Broken Access Control Anw.-
spezifisch
DURCHSCHNITTLICH: 2 HÄUFIG: 2 DURCHSCHNITTLICH: 2 SCHWERWIEGEND: 3 Anw.-
spezifisch
6.0
A6:2017-Security Misconfiguration Anw.-
spezifisch
EINFACH: 3 SEHR HÄUFIG: 3 EINFACH: 3 MITTEL: 2 Anw.-
spezifisch
6.0
A7:2017-Cross-Site Scripting (XSS) Anw.-
spezifisch
EINFACH: 3 SEHR HÄUFIG: 3 EINFACH: 3 MITTEL: 2 Anw.-
spezifisch
6.0
A8:2017-Insecure Deserialization Anw.-
spezifisch
SCHWIERIG: 1 HÄUFIG: 2 DURCHSCHNITTLICH: 2 SCHWERWIEGEND: 3 Anw.-
spezifisch
5.0
A9:2017-Using Components with Known Vulnerabilities Anw.-
spezifisch
DURCHSCHNITTLICH: 2 SEHR HÄUFIG: 3 DURCHSCHNITTLICH: 2 MITTEL: 2 Anw.-
spezifisch
4.7
A10:2017-Insufficient Logging & Monitoring Anw.-
spezifisch
DURCHSCHNITTLICH: 2 SEHR HÄUFIG: 3 SCHWIERIG: 1 MITTEL: 2 Anw.-
spezifisch
4.0

Additional Risks To Consider / Weitere Risiken, die man prüfen sollte
Auch wenn die Top 10 bereits sehr viele Problemfelder abdecken, so gibt es dennoch weitere Risiken, die man in Betracht ziehen und im jeweiligen Unternehmen oder der Organisation evaluieren sollte. Einige waren schon in früheren Versionen der OWASP Top 10 enthalten, andere nicht - wie z.B. neue Angriffstechniken. Diese werden permanent gesucht, gefunden und weiter entwickelt. Andere wichtige Sicherheitsrisiken für Anwendungen, die man sich ebenfalls näher ansehen sollte, sind (sortiert nach CVE-ID):
* CWE-352: Cross-Site Request Forgery (CSRF)
* CWE-400: Uncontrolled Resource Consumption (‘Resource Exhaustion’, ‘AppDoS’)
* CWE-434: Unrestricted Upload of File with Dangerous Type
* CWE-451: User Interface (UI) Misrepresentation of Critical Information (Clickjacking and others)
* CWE-601: Unvalidated Forward and Redirects
* CWE-799: Improper Control of Interaction Frequency (Anti-Automation)
* CWE-829: Inclusion of Functionality from Untrusted Control Sphere (3rd Party Content)
* CWE-918: Server-Side Request Forgery (SSRF)