Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Internet Security Center
Gesamtzahl der Tests:
Diese Woche:
Heute:

OWASP Top 10 Sicherheitsrisiken
und Schwachstellen

Lesezeit:5 Min.

Etwa 90 % der Anwendungen weisen schwerwiegende Schwachstellen auf. OWASP, das regelmäßig Schwächen und Angriffe auf Webanwendungen analysiert,
OWASP, das Schwachstellen und Angriffe auf Webanwendungen regelmäßig analysiert, hat die OWASP TOP-10 zusammengestellt – die Liste der
Die gefährlichsten Schwachstellen.

OWASP Top 10: Sicherheitsrisiken und Schwachstellen
OWASP Top 10: Sicherheitsrisiken und Schwachstellen
Demo anfordern

Was ist OWASP?

OWASP (Open Web Application Security Project) ist ein Open-Source-Projekt. Zu seiner Community zählen große Unternehmen, eine Vielzahl unterschiedlicher Organisationen sowie interessierte Einzelpersonen aus der ganzen Welt. Diese Gruppe von Enthusiasten arbeitet zusammen an der Erstellung kostenloser Artikel, Tutorials, Fachbeiträge, Technologien und Tools.

Möchten Sie ein tiefgreifendes Verständnis aller modernen Aspekte der OWASP Top 10 Sicherheitsrisiken und Schwachstellen erlangen? Lesen Sie diesen Artikel sorgfältig durch und bookmark ihn, um später darauf zurückzukommen – wir aktualisieren diese Seite regelmäßig.

Was ist die OWASP Top 10-Schwachstellenliste?

Die OWASP Top 10 ist eines der bekanntesten Projekte der Organisation. Die OWASP Top 10 ist eine Rangliste der zehn gefährlichsten Informationssicherheitsrisiken für Webanwendungen, die von einer Community of Industry Experts zusammengestellt wird. Für jeden Punkt der Rangliste wird das Risiko von Experten basierend auf der OWASP Risk Rating Methodology berechnet und umfasst eine Bewertung der Weakness Prevalence, Weakness Detectability and Exploitability sowie der Kritikalität der Folgen ihrer Ausnutzung oder der Technical Impacts.

Aus offensichtlichen Gründen berücksichtigen Risikobewertungen nicht die geschäftlichen Folgen ihrer Umsetzung. Soweit möglich, entsprechen die Namen der Risiken in der Bewertung den Namen ähnlicher Schwachstellen in der Common Weakness Enumeration (CWE)-Klassifizierung. Es ist zu beachten, dass das OWASP Top 10-Projekt im Gegensatz zu den Klassifizierungen nicht den Anspruch erhebt, alle bestehenden Risiken abzudecken, sondern nur die zum Zeitpunkt der Veröffentlichung der Bewertung relevantesten darstellt.

OWASP Top 10 ist kein offizieller Standard, sondern lediglich ein Whitepaper, das von vielen Organisationen, Vulnerability-Bounty-Programmen und Cybersicherheitsexperten häufig genutzt wird, um die Schwere von Schwachstellen und Sicherheitsverletzungen einzustufen.

Die Bewertung wurde auf der Grundlage von Nutzerbeiträgen und offenen Diskussionen erstellt. Die OWASP Top 10-Liste basiert auf acht Datenbanken von sieben Unternehmen, darunter vier Beratungsfirmen und drei SaaS-Anbieter. Die allgemeine Datenbank enthält über 500.000 Schwachstellen in Hunderten von Organisationen und Tausenden von Anwendungen.

Die OWASP Top 10 Schwachstellen im Jahr 2021 sind:

  1. Injection
  2. Broken Authentication
  3. Offenlegung sensibler Daten
  4. XML External Entities (XXE)
  5. Fehlende Zugriffskontrolle
  6. Sicherheitsfehlkonfigurationen
  7. Cross-Site Scripting (XSS)
  8. Unsichere Deserialisierung
  9. Verwendung von Komponenten mit bekannten Schwachstellen
  10. Unzureichende Protokollierung und Überwachung

1. Injektion

Alle Daten werden in der Regel in speziellen Datenbanken gespeichert, deren Anfragen in Form von Abfragen aufgebaut sind, die meist in einer strukturierten Abfragesprache – SQL – geschrieben sind. Anwendungen verwenden SQL-Abfragen, um Daten zu empfangen, hinzuzufügen, zu ändern oder zu entfernen, beispielsweise wenn der Kunde seine persönlichen Daten bearbeitet oder einen Fragebogen auf der Webseite ausfüllt. Wenn die Benutzerinformationen unzureichend überprüft werden, kann ein Hacker den Code der Anwendung ändern, der den SQL-Abfrageteil enthält.

Dies ist eine sehr unsichere Schwachstelle, die einem Eindringling Zugriff auf die Datenbank sowie die Möglichkeit zum Anzeigen, Ändern oder Löschen von Daten verschafft. Auf diese Weise kann der Hacker vertrauliche personenbezogene Daten stehlen.

Die Schwachstelle ist die Folge einer unzureichenden Validierung der Benutzerdaten, sodass ein Eindringling speziell vorbereitete Anfragen in Webformulare einfügen kann, die die Anwendung „austricksen“ und das Lesen oder Schreiben unzulässiger Daten ermöglichen.

Lesen Sie mehr über OWASP Top 10 Injection oder erfahren Sie noch mehr über die SQL Injection [CWE-89]-Vulnerabilität in unserer CWE Knowledge Base.

2. Fehlerhafte Authentifizierung

Laut OWASP Top 10 ist diese Schwachstelle eine der kritischsten. Wenn jemand einen anderen Benutzer unterscheiden muss, verwendet die Webanwendung Sitzungscookies. Nach Eingabe von Benutzername und Passwort und erfolgreicher Autorisierung in der Anwendung wird eine spezielle Kennung im angegebenen Speicher gespeichert, die das Programm anschließend mit jeder Anfrage für eine Seite der Anwendung an den Server sendet. Auf diese Weise erkennt die Webanwendung Benutzer.

Wenn diese Kennung von einem Hacker gestohlen wird und die IT-Struktur keine Überprüfungen implementiert hat, beispielsweise die IP-Adresse der Sitzung oder Überprüfungen auf mehr als eine Verbindung in einer Sitzung, erhält der Eindringling die Möglichkeit, mit dem Benutzerkonto in das System einzudringen. Und wenn es sich um eine Internetbank oder ein Zahlungssystem handelt, können Sie sich die Folgen eines solchen unbefugten Zugriffs leicht selbst vorstellen.

Lesen Sie mehr über Broken Authentication.

3. Offenlegung sensibler Daten

Das Problem ist, dass die über das HTTP-Protokoll übertragenen Informationen in keiner Weise verschlüsselt sind. Wenn sensible Informationen vom Gerät des Benutzers an den Webserver gesendet werden, durchlaufen die Daten eine Vielzahl verschiedener Knotenpunkte, wie z. B. einen Büro- oder Heimrouter, den Router eines Providers, einen Router auf einem Kanal, einen Router in einem Rechenzentrum oder den Server des Hosting-Providers usw. Jeder dieser Knoten kann Malware enthalten, die als „Sniffer“ bezeichnet wird, ein Programm, das den gesamten Datenverkehr liest und an den Hacker weiterleitet. Der Hacker sucht dann in den empfangenen Daten nach persönlichen Informationen und Bankkartendaten.

Außerdem macht die fehlende Verschlüsselung vertraulicher Informationen wie Benutzerkennwörter oder Bankkartendaten die Daten anfällig für Diebstahl. Sind diese jedoch verschlüsselt, kann ein Hacker selbst bei unbefugtem Zugriff auf den Server keine kritischen Daten stehlen.

Lesen Sie mehr über Sensitive Data Exposure.

4. XML-Externe-Entitäten (XXE)

Das größte Risiko bei XXE ist die Vielzahl der Möglichkeiten, wie es ausgenutzt werden kann. Egal, ob einfach oder komplex, bedeutet das Eindringen eines externen Codes in ein XML-Dokument, dass das System kompromittiert wurde. Die Allgegenwärtigkeit von XML bedeutet, dass Anwendungen, die XML verwenden, wahrscheinlich mit vielen sensiblen Daten in Berührung kommen.

Die bekannteste Form des XXE-Angriffs ist der sogenannte „Billion Laughs”-Angriff oder die „XML-Bombe“. Dabei handelt es sich um einen einfachen, aber effektiven Denial-of-Service-Angriff, mit dem ein Zielserver überlastet und heruntergefahren wird. Durch die Definition einer Entität – in der Regel etwas Kleines und Unsinniges wie „lol“ oder „haha“ – als verschachtelte Zeichenfolge anderer Entitäten kann ein Angreifer die Systemressourcen schnell überlasten.

Lesen Sie mehr über XML External Entities (XXE).

5. Defekte Zugriffskontrolle

Das Wesentliche dieser OWASP Top 10-Schwachstelle, wie der Name bereits andeutet, ist die fehlende Überprüfung des ordnungsgemäßen Zugriffs auf das angeforderte Objekt. Die meisten Webanwendungen überprüfen Berechtigungen, bevor sie Daten in der Benutzeroberfläche anzeigen. Anwendungen müssen jedoch dieselben Zugriffskontrollen auf dem Server durchführen, wenn sie eine beliebige Funktion anfordern. Schließlich gibt es viele zusätzliche Dienstanforderungen, die oft asynchron im Hintergrund mithilfe der AJAX-Technologie gesendet werden. Wenn die Anforderungsparameter nicht sorgfältig validiert werden, könnten Angreifer die Anforderung manipulieren, um ohne ordnungsgemäße Berechtigung auf Daten zuzugreifen.

Lesen Sie mehr über Broken Access Control.

6. Security Misconfigurations

Die Sicherheit von Webanwendungen kontrolliert jedes Element der Infrastruktur, beispielsweise Anwendungsframeworks, alle Arten von Servern und das gesamte System selbst. Die Standardeinstellungen von Serverkomponenten sind oft unsicher und schaffen dadurch Angriffsgelegenheiten. Zum Beispiel wird der Diebstahl eines Session-Cookies über JavaScript bei einem XSS-Angriff möglich, da die Einstellung „Cookie http only“ standardmäßig deaktiviert ist. Wenn der Server korrekt konfiguriert ist und die Option „Cookie http only“ aktiviert ist, ist es unmöglich, ein Session-Cookie über JavaScript zu erhalten, aber diese einfache und wichtige Einstellung fehlt oft an kritischen Stellen wie persönlichen Konten von Zahlungssystemen.

Ein weiteres Beispiel für diese OWASP Top 10-Schwachstelle sind die Standardeinstellungen in Datenbankservern wie Redis, Memcached usw. Dies betrifft private Dienste, die über die öffentliche IP-Adresse verfügbar sein können, oder Passwörter, die vom Hersteller für die Standardnutzung voreingestellt wurden. Dadurch können Eindringlinge Daten leicht lesen und ändern. Dies ermöglicht Hackern auch eine XSS-Invasion.

Außerdem müssen das Programm und die Anwendungen aktualisiert werden, da täglich Schwachstellen in einer Vielzahl von Programmkomponenten auftreten. Selbst wenn Ihre Anwendung gut geschützt, korrekt geschrieben und alle eingehenden Daten sorgfältig überprüft ist, können Sie dennoch nicht garantieren, dass zu keinem Zeitpunkt Schwachstellen im Betriebssystem oder Webserver gefunden werden.

Lesen Sie mehr über Security Misconfigurations.

7. Cross-Site Scripting (XSS)

Cross-Site-Scripting ist ein weiterer Fehler bei der Validierung von Benutzerdaten, der es ermöglicht, JavaScript in den Browser des Benutzers einzuschleusen und dort auszuführen. Ein solcher Angriff ähnelt einer HTML-Injektion, da der Mechanismus der Injektion dem einer SQL-Injektion sehr ähnlich ist. Im Gegensatz zu letzterer wird das eingeschleuste Skript jedoch im Browser des Benutzers ausgeführt. Dadurch können Hacker Session-Cookies stehlen.

Es ist jedoch anzumerken, dass nicht alle Anwendungsserver schwach und anfällig dafür sind. Darüber hinaus können Daten, die in Formulare auf der anfälligen Website eingegeben werden, gestohlen werden. Anfällig für Datendiebstahl können vertrauliche und persönliche Daten sowie Kreditkarteninformationen zusammen mit dem CVC-Code sein. Ein weiterer möglicher Fall ist, dass Hacker mithilfe von JavaScript die Informationen auf einer bestimmten Website-Seite verändern können, z. B. die Details einer Banküberweisung, sodass sie diese gerne fälschen und ersetzen.

Lesen Sie mehr über OWASP Top 10 Cross-Site Scripting (XSS) oder erfahren Sie noch mehr über die Cross-Site Scripting XSS [CWE-79]-Schwachstelle in unserer CWE-Wissensdatenbank.

8. Unsichere Deserialisierung

Serialisierung und Deserialisierung sind wichtige Konzepte in objektorientierten Programmierframeworks wie Java und .Net und daher in vielen Webanwendungen verbreitet.

Eine unsichere Deserialisierungs-Schwachstelle liegt vor, wenn eine Anwendung diesen Prozess nicht ordnungsgemäß sichert. Wenn eine Deserialisierungsimplementierung auf den Standardeinstellungen belassen wird, hat eine Anwendung möglicherweise wenig bis gar keine Kontrolle darüber, welche Daten deserialisiert werden. Im Extremfall kann dies alle eingehenden serialisierten Daten aus beliebigen Quellen ohne Überprüfung oder Vorsichtsmaßnahmen umfassen.

Lesen Sie mehr über Insecure Deserialization.

9. Verwendung von Komponenten mit bekannten Schwachstellen

Häufig werden Webanwendungen unter Verwendung spezieller Bibliotheken oder „Frameworks“ entwickelt, die von Drittanbietern bereitgestellt werden. In den meisten Fällen handelt es sich dabei um Open-Source-Komponenten, was bedeutet, dass nicht nur Sie, sondern Millionen von Menschen weltweit deren Quellcode und Schwachstellen analysieren. Dabei werden auch Schwachstellen in untergeordneten Systemkomponenten wie verschiedenen Servern oder Betriebssystemkomponenten bis hin zum Kernel untersucht. Es ist sehr wichtig, die neuesten Komponenten zu verwenden und auf neue bekannte Schwachstellen zu achten.

Lesen Sie mehr über Using Components with Known Vulnerabilities.

10. Unzureichende Protokollierung und Überwachung

Das Problem unzureichender Protokollierung und Überwachung betrifft die gesamte IT-Infrastruktur und nicht nur die internetfacing Webanwendung – ebenso wie die Lösung. Aus diesem Grund beschränken wir diese Diskussion nicht nur auf die Protokollierung und Überwachung von Webanwendungen.

Eines der Hauptprobleme ist, dass es so viele Logs gibt – fast alle modernen Systeme generieren ihre eigenen Logs. Die Log-Verwaltung wird somit zu einem großen Problem. Bis alle verschiedenen Logs gesammelt und vorzugsweise zusammengefasst sind, wird der Datensatz so groß, dass er manuell nicht mehr effektiv überwacht werden kann.

Lesen Sie mehr über Insufficient Logging and Monitoring.

So schützen Sie sich vor den OWASP Top 10 Schwachstellen

Die Sicherheit der meisten Webanwendungen ist nach wie vor mangelhaft. Jede zweite Ressource weist hochriskante Schwachstellen aus der OWASP Top 10-Liste auf. Es ist jedoch klar, dass der Anteil der Webanwendungen mit kritischen Schwachstellen allmählich abnimmt. Ein weiterer positiver Trend ist, dass Unternehmen beginnen, mehr Aufmerksamkeit auf den Schutz ihrer Anwendungen zu richten – nicht nur öffentliche, sondern auch solche, die für interne Zwecke genutzt werden.

Die Anzahl der Angriffe auf Webanwendungen wird sinken, wenn identifizierte Schwachstellen so schnell wie möglich behoben und Prozesse soweit wie möglich automatisiert werden.

Erkennen, testen und bewerten Sie zunächst Ihre digitalen und IT-Ressourcen mit Hilfe von ImmuniWeb Discovery.

Zum Schutz vor Hackerangriffen empfehlen wir außerdem immer die ImmuniWeb Continuous Application Penetration Testing.

Webanwendungen werden ständig aktualisiert, und mit neuen Funktionen können neue Schwachstellen auftreten, die dann in die nächste Aktualisierung der OWASP Top 10-Schwachstellenliste aufgenommen werden. Der Einsatz von ImmuniWeb-Tools reduziert die entsprechenden Risiken. Cybersecurity-Schutzdienste müssen nicht nur bekannte Angriffe auf Anwendungen erkennen und verhindern, sondern auch die Ausnutzung von Zero-Day-Schwachstellen identifizieren, Angriffe auf Benutzer verhindern, Ereignisse analysieren und korrelieren, um Angriffsketten zu überwachen.

Weitere Ressourcen

  • Erfahren Sie mehr über KI-gestütztes Angriffsflächenmanagement mit ImmuniWeb® Discovery.
  • Erfahren Sie mehr über KI-gestützte Penetrationstests für Anwendungen mit ImmuniWeb.
  • Erfahren Sie mehr über die Möglichkeiten des ImmuniWeb Partner Programms.
  • Folgen Sie uns auf LinkedIn, X, Telegram und WhatsApp
Free Demo Auf Twitter teilen Auf LinkedIn teilen

Jetzt Ihre Cyber-Risiken reduzieren

Bitte füllen Sie die unten rot markierten Felder aus.

Holen Sie sich Ihre kostenlose Demo
von ImmuniWeb® AI Platform

  • Erhalten Sie Ihre kostenlose Cyber-Risikobewertung
  • Starten Sie eine kostenlose Testversion der ImmuniWeb-Produkte
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
  • Keine Verpflichtungen
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Diese Website verwendet Cookies, um Ihnen ein besseres Surferlebnis zu bieten. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Durch die weitere Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu.

Sprechen Sie mit einem Experten