← Zurück zum Blog
Research 25 Min. Lesezeit

OWASP Top 10 2025: Der komplette Leitfaden zu Webanwendungs-Sicherheitsrisiken

Die OWASP Top 10 sind der weltweit am meisten anerkannte Standard für Webanwendungs-Sicherheitsrisiken. Ob Sie Entwickler, Security Engineer oder Geschäftsführer sind — dieser Leitfaden erklärt jede Kategorie mit realen Beispielen, Erkennungstechniken und Gegenmaßnahmen.

ℹ️ Was sind die OWASP Top 10?

Ein periodisch aktualisiertes Awareness-Dokument, das die kritischsten Sicherheitsrisiken für Webanwendungen einstuft. Basierend auf Datenanalysen von Hunderten Organisationen, Community-Umfragen und realen Breach-Daten. Referenziert von PCI DSS, DORA, NIS2 und vielen Industriestandards.


A01 Fehlerhafte Zugriffskontrolle

Die häufigste Schwachstelle — in 94% der getesteten Anwendungen gefunden.

⚠️ Beispiele aus der Praxis

  • IDOR: Ändern von /api/users/123/profile zu /api/users/124/profile
  • Privilege Escalation: Normaler Benutzer greift auf /admin/dashboard zu
  • Fehlende funktionsbasierte Zugriffskontrolle: API prüft Authentifizierung, aber nicht Autorisierung
  • CORS-Fehlkonfiguration: Erlaubt bösartigen Seiten, authentifizierte Requests zu senden

✅ Gegenmaßnahmen

  • Implementieren Sie Zugriffskontrolle serverseitig — niemals clientseitig
  • Standardmäßig verweigern — explizite Genehmigungen erforderlich
  • Implementieren Sie ordnungsgemäße RBAC oder ABAC
  • Loggen und alarmieren Sie bei Zugriffskontroll-Fehlern
  • Rate-Limiting für API-Zugriffe

A02 Kryptografische Fehler

Früher "Sensitive Data Exposure" — umbenannt, um sich auf die Grundursache zu konzentrieren.

⚠️ Häufige Fehler

  • Login-Seiten übertragen Anmeldedaten über unverschlüsseltes HTTP
  • Unterstützung von TLS 1.0/1.1 oder schwachen Cipher Suites
  • Passwörter gespeichert mit MD5 oder SHA-1 statt bcrypt/Argon2
  • Hardcodierte Verschlüsselungsschlüssel im Quellcode
  • Datenbank-Backups ohne Verschlüsselung

✅ Gegenmaßnahmen

Erzwingen Sie HTTPS überall mit HSTS. Verwenden Sie AES-256, bcrypt/Argon2, SHA-256+. Niemals Secrets hardcoden — nutzen Sie Vault oder AWS Secrets Manager. Verschlüsseln Sie Daten im Ruhezustand. Deaktivieren Sie TLS 1.0/1.1.

A03 Injection

Die klassische Web-Schwachstelle — noch immer in den Top 3 nach zwei Jahrzehnten.

Arten von Injection

  • SQL Injection: ' OR 1=1 -- und weitaus raffiniertere Angriffe
  • NoSQL Injection: JSON-Manipulation von MongoDB/CouchDB
  • Command Injection: OS-Befehle durch Anwendungseingaben
  • XSS: Einschleusen von JavaScript — reflected, stored, DOM-based
  • Template Injection (SSTI): Code in serverseitige Template-Engines
  • Header Injection: Manipulation von HTTP-Headern

✅ Prävention

Parametrisierte Queries für alle DB-Interaktionen. Input-Validierung mit Allowlists. Output-Encoding für Kontext. Content Security Policy Header. Least-Privilege-DB-Accounts. Nutzen Sie ORMs konsistent.

A04 Unsicheres Design

Neue Kategorie — Design-Ebenen-Fehler, keine Implementierungs-Bugs.

⚠️ Beispiele

  • Passwort-Reset-Flow erlaubt unbegrenzte Versuche (kein Rate-Limiting)
  • Clientseitige Durchsetzung von Geschäftsregeln (Preisvalidierung in JS)
  • Einzelner API-Key gewährt Lese- und Schreibzugriff auf alle Ressourcen

Lösung: Integrieren Sie Threat Modeling (STRIDE, PASTA) in die Designphase. Nutzen Sie sichere Designmuster. Schreiben Sie Abuse Cases neben Use Cases.

A05 Sicherheits-Fehlkonfiguration

In 90% der getesteten Anwendungen gefunden.

⚠️ Häufige Fehlkonfigurationen

  • Standard-Admin-Passwörter auf Datenbanken und Admin-Panels
  • Directory Listing, Debug-Endpoints, ausführliche Fehlermeldungen aktiviert
  • Fehlende Security-Header (CSP, X-Frame-Options, X-Content-Type-Options)
  • Öffentlich zugängliche S3-Buckets oder Azure-Blobs
  • Unnötige HTTP-Methoden (PUT, DELETE, TRACE) aktiviert

✅ Prävention

Wiederholbarer Hardening-Prozess. Entfernen Sie alle unnötigen Features. Implementieren Sie alle Security-Header. Automatisieren Sie Config-Management mit IaC. Regelmäßige Config-Audits. Nutzen Sie CSPM für Cloud.

A06 Verwundbare und veraltete Komponenten

528
Ø Komponenten/App
84%
Codebasen mit bekannten Schwachstellen
48%
Hochrisiko-Schwachstellen
252d
Ø Fix-Zeit

⚠️ Bemerkenswerte Beispiele

  • Log4Shell (CVE-2021-44228): Kritische RCE betrifft Millionen Java-Apps
  • Spring4Shell (CVE-2022-22965): RCE im Spring Framework
  • jQuery XSS: Viele Apps nutzen noch verwundbare jQuery-Versionen

Lösung: Führen Sie Komponenten-Inventar (SBOM). Überwachen Sie kontinuierlich CVE-Datenbanken. Entfernen Sie ungenutzte Abhängigkeiten. Automatisieren Sie Updates mit Dependabot/Renovate.

A07 Identifikations- und Authentifizierungsfehler

⚠️ Häufige Fehler

  • Credential Stuffing: Automatisierte Angriffe mit gestohlenen Passwörtern
  • Schwache Passwort-Richtlinien (erlauben "password123")
  • Session Fixation und fehlende Session-Invalidierung
  • Session-Tokens in URLs exponiert
  • Fehlende MFA für kritische Funktionen

✅ Prävention

Implementieren Sie MFA. Erzwingen Sie starke Passwörter mit Breach-Datenbank-Prüfung. Rate-Limiting auf Auth-Endpoints. Sicheres Session-Management (zufällige IDs, HTTPOnly/Secure-Flags). Invalidieren Sie Sessions bei Logout/Passwort-Änderung.

A08 Software- und Datenintegritätsfehler

⚠️ Angriffe aus der Praxis

  • SolarWinds (2020): Bösartiger Code in legitimem Software-Update — 18.000 Organisationen betroffen
  • Unsichere Deserialisierung: Arbitrary Code Execution via nicht vertrauenswürdigen Daten
  • CI/CD-Pipeline-Kompromittierung: Codecov, ua-parser-js Vorfälle
  • Fehlendes SRI: Laden von JS von CDNs ohne Integrity Hashes

Lösung: Digitale Signaturen auf allen Software/Daten. Subresource Integrity (SRI) für externe Ressourcen. Sichere CI/CD mit Zugriffskontrollen und Signing. Vermeiden Sie unsichere Deserialisierung — nutzen Sie JSON.

A09 Fehler bei Sicherheits-Logging und -Monitoring

ℹ️ Die Kosten von Blindheit

Durchschnittliche Zeit zur Identifikation eines Breach: 204 Tage (IBM 2024). Ohne angemessenes Logging können Angreifer Persistenz etablieren, Daten exfiltrieren und ihre Präsenz erweitern — alles ohne Alarme auszulösen.

Lösung: Loggen Sie alle Auth-Events, Zugriffskontroll-Fehler und Input-Validation-Fehler. Inkludieren Sie Kontext (Timestamp, User, IP, Action). Zentralisieren Sie Logs in einem manipulationssicheren SIEM. Implementieren Sie automatisierte Alarmierung. Testen Sie Erkennungsfähigkeiten regelmäßig.

A10 Server-Side Request Forgery (SSRF)

Neue Kategorie — hinzugefügt aufgrund zunehmender Prävalenz in Cloud-nativen Architekturen.

⚠️ Warum SSRF gefährlich ist

  • Capital One Breach (2019): SSRF → AWS Metadata → 100M+ Kundendatensätze exponiert
  • Cloud-Metadata-Diebstahl: Zugriff auf http://169.254.169.254/ für IAM-Credentials
  • Interner Service-Zugriff: Erreichen von APIs, Datenbanken, Admin-Panels hinter der Firewall

✅ Prävention

Validieren Sie alle benutzerbereitgestellten URLs serverseitig. Nutzen Sie Allowlists für erlaubte Domains. Blockieren Sie private IP-Bereiche (10.x, 172.16.x, 169.254.x, 127.x). Deaktivieren Sie unnötige URL-Schemas (file://, gopher://). Nutzen Sie IMDSv2 auf AWS. Segmentieren Sie URL-Fetching-Services.


Wie KENSAI die OWASP Top 10 scannt

OWASP-KategorieKENSAI-Abdeckung
A01 Fehlerhafte ZugriffskontrolleIDOR-Tests, Authorization-Bypass, CORS-Checks
A02 Kryptografische FehlerTLS-Analyse, Header-Checks, Verschlüsselungsverifizierung
A03 InjectionSQL, XSS, Command Injection, SSTI, Header Injection
A04 Unsicheres DesignRate-Limiting, vorhersehbare Ressourcen, Logic-Testing
A05 Sicherheits-FehlkonfigurationHeaders, Defaults, Information Disclosure, HTTP-Methoden
A06 Verwundbare KomponentenTechnologie-Fingerprinting, 332K+ CVE-Datenbank
A07 AuthentifizierungsfehlerStandard-Credentials, Session-Testing, Cookie-Analyse
A08 IntegritätsfehlerSRI-Checks, Deserialisierungs-Testing
A09 Logging-FehlerSecurity-Header-Analyse, Error-Handling-Review
A10 SSRFInternal-Endpoint-Injection, Cloud-Metadata-Testing
332K+
CVEs erfasst
10/10
OWASP-Abdeckung
KI
Gestützte Genauigkeit
€990
Startpreis/Monat

Testen Sie Ihre App gegen die OWASP Top 10

Kostenloser Scan — keine Verpflichtung, keine Kreditkarte erforderlich. KI-gestütztes DAST mit Compliance-ready Reporting.

Kostenlosen Scan starten →

Häufig gestellte Fragen

Was ist die häufigste OWASP-Schwachstelle?

Fehlerhafte Zugriffskontrolle (A01) — in 94% der getesteten Anwendungen gefunden. Sie ist von Position 5 auf Position 1 gerückt und reflektiert das weit verbreitete Versagen, Autorisierung durchzusetzen, insbesondere in APIs und SPAs.

Ist OWASP Top 10 Compliance verpflichtend?

Die OWASP Top 10 selbst sind freiwillig. Sie werden jedoch von PCI DSS (erfordert Behandlung der OWASP Top 10), NIS2 (erwartet systematisches Schwachstellenmanagement), DORA (referenziert branchenübliche Tests) und vielen Vendor-Assessments referenziert. In der Praxis sind sie effektiv verpflichtend.

Können automatisierte Tools alle OWASP Top 10 erkennen?

Automatisierte DAST-Tools erkennen effektiv die meisten Kategorien — besonders Injection (A03), kryptografische Fehler (A02), Fehlkonfiguration (A05) und verwundbare Komponenten (A06). Einige Kategorien wie Unsicheres Design (A04) und Logging-Fehler (A09) erfordern oft manuelle Bewertung. Nutzen Sie automatisiertes Scanning für Breite + manuelle Tests für Tiefe.

Wie oft werden die OWASP Top 10 aktualisiert?

Alle 3–4 Jahre. Hauptversionen: 2013, 2017, 2021. Jedes Update reflektiert Verschiebungen in der Bedrohungslandschaft — das 2021-Update führte Unsicheres Design (A04) und SSRF (A10) ein und reorganisierte andere.

Sicherheit ist keine Option.

🗡️ Das KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home