{"id":977,"date":"2018-02-06T13:13:21","date_gmt":"2018-02-06T13:13:21","guid":{"rendered":"http:\/\/enginsight.com\/?p=977"},"modified":"2023-07-05T11:13:36","modified_gmt":"2023-07-05T09:13:36","slug":"neue-blog-reihe-die-owasp-top-10","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/neue-blog-reihe-die-owasp-top-10\/","title":{"rendered":"Neue Blog-Reihe: Die OWASP Top 10"},"content":{"rendered":"<p><em>In dieser Reihe pr&#xE4;sentieren wir Ihnen die OWASP Top 10 der schwerwiegendsten Sicherheitsl&#xFC;cken. Den Auftakt macht dieser &#xDC;bersichtsartikel, in dem wir die OWASP kurz vorstellen. F&#xFC;r jede Sicherheitsl&#xFC;cke werden wir dann in der n&#xE4;chsten Zeit einen eigenen Blogeintrag ver&#xF6;ffentlichen.<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"washeitowasp\">Mehr Sicherheit im Web: Was hei&#xDF;t OWASP?<\/h2>\n\n\n\n<p>OWASP steht f&#xFC;r &#x201E;<a href=\"https:\/\/www.owasp.org\/index.php\/Main_Page\" target=\"_blank\" rel=\"noreferrer noopener\">Open Web Application Security Project<\/a>&#x201C; und ist eine 2001 gegr&#xFC;ndete Non-Profit Organisation, die sich mit der Verbesserung der <strong>Sicherheit von Webanwendungen<\/strong> besch&#xE4;ftigt. Die OWASP-Community setzt sich weltweit aus Freiwilligen, Firmen und Bildungseinrichtungen zusammen und produziert frei verf&#xFC;gbare Artikel, Dokumentationen und andere Werkzeuge zum <strong>Thema Websicherheit<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"dieowaspalsopensourceorganisation\">Die OWASP als &#x201E;Open Source Organisation&#x201C; f&#xFC;r mehr IT-Sicherheit<\/h3>\n\n\n\n<p>Bei OWASP spielt der &#x201E;Open-Source&#x201C; Gedanke eine zentrale Rolle. Das bedeutet, dass alle OWASP Dokumente, Foren, Werkzeuge, etc. kostenlos und f&#xFC;r jeden zug&#xE4;nglich sein m&#xFC;ssen. Au&#xDF;erdem kann sich jeder am OWASP-Projekt beteiligen, wobei alle &#xC4;nderungen am Projekt von der Community &#xFC;berwacht werden, um die Qualit&#xE4;t zu sichern. Obwohl OWASP den bedachten <strong>Einsatz von Sicherheitstechnologie<\/strong> unterst&#xFC;tzt, empfiehlt das Projekt keine kommerziellen Produkte oder Dienste. Diese verschiedenen Punkte sollen sicherstellen, dass OWASP frei von jeglichen Zw&#xE4;ngen (seien es kommerzielle oder andere) agieren kann und die zur Verf&#xFC;gung gestellten Informationen unvoreingenommen, praxisnah und kosteneffizient sind.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"dieowasptop10\">Die OWASP Top 10 Sicherheitsl&#xFC;cken im Web<\/h3>\n\n\n\n<p>Eine der ber&#xFC;hmtesten OWASP Publikationen sind die &#x201E;OWASP Top 10&#x201C;. Das Projekt gibt seit 2003 regelm&#xE4;&#xDF;ig eine Top 10 der schwerwiegendsten und am h&#xE4;ufigsten vorkommenden Sicherheitsschwachstellen heraus. Diese Rangliste genie&#xDF;t unter Sicherheitsexperten und Webentwicklern einen hohen Stellenwert, da z.B. allein f&#xFC;r die &#x201E;Top 10 2017&#x201C;, Schwachstellen in mehreren hundert Unternehmen und in &#xFC;ber 100.000 Anwendungen beobachtet und analysiert wurden. Deswegen orientieren auch wir von Enginsight uns an den OWASP Empfehlungen und Beobachtungen. Die aktuelle Rangliste (von 2017) sieht folgenderma&#xDF;en aus:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Injection<\/li>\n\n\n\n<li>Fehler in Authentifizierung (Broken Authentication)<\/li>\n\n\n\n<li>Verlust der <a href=\"https:\/\/enginsight.com\/de\/blog\/vertraulichkeit-integritaet-verfuegbarkeit-einfach-erklaert\/\" target=\"blank\" rel=\"noopener\">Vertraulichkeit<\/a> sensibler Daten (Sensitive Data Exposure)<\/li>\n\n\n\n<li>XML External Entities (XXE)<\/li>\n\n\n\n<li>Fehler in Autorisierung (Broken Access Control)<\/li>\n\n\n\n<li>Sicherheitsrelevante Fehlkonfiguration (Security Misconfiguration)<\/li>\n\n\n\n<li><a href=\"https:\/\/enginsight.com\/de\/blog\/cross-site-scripting-oder-wie-einfach-hacker-ihre-kundendaten-stehlen\/\" target=\"blank\" rel=\"noopener\">Cross-Site Scripting (XSS)<\/a><\/li>\n\n\n\n<li>Unsichere Deserialisierung (Insecure Deserialization)<\/li>\n\n\n\n<li>Verwendung von Komponenten mit bekannten Schwachstellen (Using Components with Known Vulnerabilities)<\/li>\n\n\n\n<li>Unzureichendes Logging &amp; Monitoring (Insufficient Logging&amp;Monitoring)<\/li>\n<\/ol>\n\n\n\n<p>Gegen&#xFC;ber der alten Rangliste von 2013 gibt es einige Ver&#xE4;nderungen. Zum Beispiel wurde&#xA0;<em>Unzureichendes Logging &amp; Monitoring<\/em>&#xA0;neu in die Top 10 aufgenommen, was das Risiko erh&#xF6;ht <strong>b&#xF6;swillige Aktivit&#xE4;ten und Sicherheitsvorkommnisse<\/strong> nicht rechtzeitig zu erkennen. Denn obwohl viele Fachleute immer wieder darauf hinweisen, dass <a href=\"https:\/\/enginsight.com\/de\/blog\/neue-features-bei-enginsight\/\" target=\"blank\" rel=\"noopener\">pr&#xE4;ventive Sicherheitsma&#xDF;nahmen<\/a> alleine nicht mehr ausreichen, liegt der Fokus von vielen Unternehmen oft noch ausschlie&#xDF;lich darauf. Dabei ist das schnelle Erkennen von Sicherheitsvorkommnissen extrem wichtig, um sofort und angemessen reagieren zu k&#xF6;nnen.<\/p>\n\n\n\n<p>Wenn Sie ihren Fokus bez&#xFC;glich der schnellen Erkennung von Sicherheitsvorkommnissen erweitern m&#xF6;chten,&#xA0;registrieren&#xA0;Sie sich einfach und testen Sie unsere Plattform 14 Tage lang kostenlos.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In dieser Reihe pr&#xE4;sentieren wir Ihnen die OWASP Top 10 der schwerwiegendsten Sicherheitsl&#xFC;cken. Den Auftakt macht dieser &#xDC;bersichtsartikel, in dem wir die OWASP kurz vorstellen. F&#xFC;r jede Sicherheitsl&#xFC;cke werden wir dann in der n&#xE4;chsten Zeit einen eigenen Blogeintrag ver&#xF6;ffentlichen. Mehr Sicherheit im Web: Was hei&#xDF;t OWASP? OWASP steht f&#xFC;r &#x201E;Open Web Application Security Project&#x201C; und [&#x2026;]<\/p>\n","protected":false},"author":8,"featured_media":978,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_eb_attr":"","footnotes":""},"categories":[10],"tags":[],"class_list":["post-977","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-endpoint-netzwerksicherheit"],"_links":{"self":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/977","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/comments?post=977"}],"version-history":[{"count":0,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/977\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media\/978"}],"wp:attachment":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media?parent=977"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/categories?post=977"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/tags?post=977"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}