Web Security und OWASP Top 10
Web Security und OWASP Top 10
Web-Pentesting untersucht Webanwendungen, APIs und ihre Umgebung. Ein wichtiger Referenzpunkt ist die OWASP Top 10.
OWASP beschreibt typische Risikoklassen, die in Webanwendungen besonders häufig und gefährlich sind.
OWASP Top 10 im Überblick
Die OWASP Top 10 enthalten unter anderem:
| Kategorie | Thema |
|---|---|
| A01 | Broken Access Control |
| A02 | Cryptographic Failures |
| A03 | Injection |
| A04 | Insecure Design |
| A05 | Security Misconfiguration |
| A06 | Vulnerable and Outdated Components |
| A07 | Identification and Authentication Failures |
| A08 | Software and Data Integrity Failures |
| A09 | Security Logging and Monitoring Failures |
| A10 | Server-Side Request Forgery |
Broken Access Control
Zugriffskontrolle regelt, wer welche Informationen und Funktionen nutzen darf.
Typische Fehler:
- fehlende Rollenprüfung
- direkter Zugriff auf fremde Ressourcen
- manipulierbare IDs
- Adminfunktionen ohne ausreichende Prüfung
- API-Endpunkte ohne gültige Autorisierung
- zu breite Rechte
Beispiel: Ein Nutzer verändert eine ID in der URL und sieht fremde Rechnungen.
Cryptographic Failures
Kryptografische Fehler entstehen, wenn Daten nicht ausreichend geschützt werden.
Beispiele:
- Passwörter im Klartext
- HTTP statt HTTPS
- sensible Daten in Logs
- veraltete Algorithmen wie MD5 oder SHA1 für Sicherheitszwecke
- hartecodierte Schlüssel
- geleakte Schlüssel im Repository
- veraltete TLS-Versionen
Gute Maßnahmen:
- HTTPS erzwingen
- Passwörter langsam und gesalzen hashen
- Schlüssel sicher verwalten
- sensible Daten minimieren
- moderne Protokolle einsetzen
Injection
Injection entsteht, wenn ungeprüfte Eingaben an Interpreter weitergegeben werden.
Beispiele:
- SQL Injection
- Command Injection
- LDAP Injection
- Cross-Site Scripting
Schutz:
- Eingaben validieren
- Prepared Statements verwenden
- Output Encoding einsetzen
- sichere Framework-Funktionen nutzen
- Benutzerinput nie als Code behandeln
Identification and Authentication Failures
Authentifizierungsfehler betreffen Login, Sitzungen und Identitätsprüfung.
Typische Ursachen:
- schwache Passwörter
- keine Mehrfaktor-Authentifizierung
- unbegrenzte Login-Versuche
- Account Enumeration
- Session-Management-Fehler
- unsichere Passwort-Reset-Prozesse
Schutz:
- MFA
- sichere Passwortregeln
- Rate Limiting
- sichere Session-Cookies
- neutrale Fehlermeldungen
- saubere Passwort-Reset-Flows
Software and Data Integrity Failures
Diese Fehler entstehen, wenn Software, Updates oder Daten verändert werden können, ohne dass die Integrität geprüft wird.
Beispiele:
- unsignierte Updates
- unsichere Plugins
- Abhängigkeiten aus unzuverlässigen Quellen
- ungeprüfte CI/CD-Artefakte
Schutz:
- digitale Signaturen
- vertrauenswürdige Repositories
- Dependency-Scanning
- sichere Build-Pipelines
- Integritätsprüfungen
Security Logging and Monitoring Failures
Ohne Logging und Monitoring werden Angriffe spät oder gar nicht erkannt.
Fehler:
- fehlende Login-Logs
- keine Alarme
- nur lokale Logs
- keine API-Überwachung
- zu wenig Nutzerkontext
- Logs mit sensiblen Daten
Schutz:
- zentrale Logs
- sinnvolle Alarme
- Incident-Response-Plan
- manipulationssichere Audit Trails
- klare Logformate
Server-Side Request Forgery
SSRF entsteht, wenn eine Anwendung vom Nutzer kontrollierte URLs auf Serverseite abruft, ohne sie ausreichend zu prüfen.
Mögliche Auswirkungen:
- Zugriff auf interne Dienste
- Umgehung von Firewalls
- Port-Scanning interner Systeme
- Abruf sensibler Metadaten
Schutz:
- erlaubte Zieladressen strikt begrenzen
- interne IP-Bereiche blockieren
- Weiterleitungen prüfen oder deaktivieren
- Netzwerksegmentierung
- serverseitige URL-Validierung
Merksatz
OWASP Top 10 ist keine Checkliste zum Abhaken, sondern ein Denkmodell: Welche Fehlerklassen können in einer Webanwendung wirklich Schaden verursachen?
Zuletzt aktualisiert: 6. Juni 2026