IT-Sicherheit
OWASP Top 10 – Die häufigsten Sicherheitsprobleme erklärt
Die OWASP Top 10 ist eine Liste der 10 häufigsten Sicherheitsprobleme in Web-Anwendungen. Sie wird von der OWASP Foundation regelmäßig aktualisiert und ist Standard-Referenz für Security-Teams. Wenn du nur eine Sache über Web-App-Sicherheit wissen solltest, dann: Kenne die OWASP Top 10. AXISPORT überprüft deine Anwendung gegen diese Liste und zeigt dir, wie du sie behebst.
1. Broken Authentication
Broken Authentication bedeutet: Dein System erkennt Nutzer nicht korrekt oder schützt Sessions nicht. Beispiele: Schwache Passwort-Policies, Session-Fixation, fehlender Multi-Factor Authentication, Sessions die nicht ablaufen.
Fix: Starke Passwort-Hashing (bcrypt, Argon2), sichere Session-Management, MFA, HTTPS erzwingen, Passwort-Reset mit Bestätigung.
2. Injection (SQL, Command, OS)
Injection passiert, wenn Benutzereingaben direkt in Code oder Datenbank-Queries eingebaut werden. Ein Angreifer kann dann SQL-Befehle oder Code einschleusen.
Beispiel: `SELECT * FROM users WHERE username = '` + input + `'` – wenn der Input `' OR '1'='1` ist, bekommst du alle Nutzer.
Fix: Prepared Statements (Parameterized Queries), Input Validation, Whitelisting, Escape.
3. Sensitive Data Exposure
Du speicherst oder überträgst sensible Daten (Passwörter, Payment-Info, SSNs) unverschlüsselt. Ein Angreifer kann diese Daten stehlen.
Fix: Encryption at Rest (AES-256), Encryption in Transit (TLS 1.2+), Hashing für Passwörter, keine sensiblen Daten in Logs, PII-Maskierung.
4. Broken Access Control
Ein Nutzer kann auf Daten oder Funktionen zugreifen, die für ihn nicht erlaubt sind. Beispiel: Ein Admin-Panel, das nur via URL erreichbar ist, ohne echte Authorization-Check.
Fix: Authorization-Checks auf jeder Anfrage, Role-Based Access Control (RBAC), Principle of Least Privilege.
5. XML External Entity (XXE)
Wenn dein System XML verarbeitet, könnte ein Angreifer External Entity Attacks nutzen, um Dateien zu lesen oder DDoS zu starten.
Fix: XXE-Parsing deaktivieren, XML-Parser mit sicheren Einstellungen, XML-Validierung.
6. Broken Access Control (Continued) / Security Misconfiguration
Security Misconfiguration bedeutet: Dein System ist falsch konfiguriert. Debug-Modus ist an, Standard-Passwörter werden nicht geändert, Headers schützen nicht, Error-Messages geben zu viele Infos preis.
Fix: Sichere Standard-Konfiguration, regelmäßige Updates, Sicherheits-Audits, Error-Handling ohne Info-Leak.
7. Cross-Site Scripting (XSS)
XSS passiert, wenn Benutzereingaben in HTML eingefügt werden, ohne sie zu escapen. Ein Angreifer kann JavaScript einschleusen, das im Browser läuft und Cookies/Sessions stehlt.
Fix: Output-Encoding (HTML-Encode), Content Security Policy (CSP), Sanitize HTML, HTTPOnly Cookies.
8. Cross-Site Request Forgery (CSRF)
CSRF passiert, wenn ein Angreifer den Browser eines eingeloggten Nutzers dazu bringt, eine unerwünschte Action durchzuführen (z.B. Geld überweisen).
Fix: CSRF-Tokens, SameSite Cookie Attribute, Origin/Referer Header Checks.
9. Using Components with Known Vulnerabilities
Du nutzt Libraries/Frameworks mit bekannten Sicherheitslücken. Das ist einer der einfachsten Wege zu hacken.
Fix: Dependency Scanning (Snyk, Dependabot), regelmäßige Updates, Monitoring von Security Advisories.
10. Insufficient Logging and Monitoring
Du loggst nicht, was in deinem System passiert, oder du merkst Angriffe zu spät.
Fix: Comprehensive Logging, Monitoring und Alerting, Security Information and Event Management (SIEM), Incident Response Plan.
Dein nächster Schritt
Du möchtest, dass dein System gegen die OWASP Top 10 überprüft wird? Lass uns ein Pentest oder Code Review machen: [[email protected]](mailto:[email protected]).