OWASP Top 10 – Die häufigsten Web-Sicherheitslücken erklärt

1. Broken Access Control Das ist wenn du auf Daten zugreifen kannst, auf die du nicht zugreifen solltest. Beispiel: Du changeyst deine User-ID in der URL von user/5 zu user/6 und siehst die Daten von User 6. Das ist nicht okay. 2. Cryptographic Failures Daten sind nicht richtig verschlüsselt. Du speicherst Passwörter als Plain Text. Du schickst Kreditkarten-Nummern über HTTP (nicht HTTPS). Du nutzt alte Verschlüsselung. 3. Injection SQL Injection, Command Injection, LDAP Injection – irgendwas ist injection. Du nimmt User-Input und gibst es direkt in eine Query ein. Das ermöglicht dem Attacker, willkürliche Commands auszuführen. 4. Insecure Design Das ist nicht ein einzelner Bug – das ist ein konzeptuelles Problem. Dein System wurde ohne Security-Anforderungen designed. Keine Threat Model, keine Security Stories. 5. Security Misconfiguration Dein System ist misconfigured. Unnecessary Services sind aktiv. Default Passwörter. Old Software Versionen. Debug-Mode im Production. 6. Vulnerable and Outdated Components Du nutzt Libraries / Frameworks mit bekannten Vulnerabilities. Oft altes Zeug, das man einfach vergessen hat zu updaten. 7. Authentication and Session Management Failures Schwache Passwörter sind allowed. Kein MFA. Session Tokens sind nicht random. Session Hijacking ist möglich. 8. Software and Data Integrity Failures Neue, aber wichtige Kategorie. Du downloaded Software von unsicheren Quellen. Deine Dependencies sind manipuliert. Auto-Updates sind unsecured. 9. Logging and Monitoring Failures Du loggst keine Security-relevanten Events. Wenn ein Hacker eindringt, merkst du es Monate später. 10. Server-Side Request Forgery (SSRF) Dein Server kann manipuliert werden um Requests an andere Systeme zu schicken. Das ist besonders bei Cloud-Deployments gefährlich.

1. Threat Modeling: Überlege, wie kann jemand dein System angreifen. Schreib das auf. 2. Secure Coding Practices: Es gibt Best Practices für jede Programmiersprache. Learn sie. 3. Code Review: Ein anderer Entwickler sollte deinen Code überprüfen. 4. Security Testing: Test auf Vulnerabilities. SAST (Static), DAST (Dynamic), Penetration Tests. 5. Keep Updateding: Patchme deine Dependencies, OS, everything. 6. Security Training: Dein Team sollte grundlegende Security verstehen. 7. Web Application Firewall: Eine WAF kann einige Attacks blocken (aber ist kein Replacement für sichere Code).