Die OWASP Top 10 sind der weltweit am meisten anerkannte Standard für Webanwendungs-Sicherheitsrisiken. Ob Sie Entwickler, Security Engineer oder Geschäftsführer sind — dieser Leitfaden erklärt jede Kategorie mit realen Beispielen, Erkennungstechniken und Gegenmaßnahmen.
Ein periodisch aktualisiertes Awareness-Dokument, das die kritischsten Sicherheitsrisiken für Webanwendungen einstuft. Basierend auf Datenanalysen von Hunderten Organisationen, Community-Umfragen und realen Breach-Daten. Referenziert von PCI DSS, DORA, NIS2 und vielen Industriestandards.
Die häufigste Schwachstelle — in 94% der getesteten Anwendungen gefunden.
/api/users/123/profile zu /api/users/124/profile/admin/dashboard zuFrüher "Sensitive Data Exposure" — umbenannt, um sich auf die Grundursache zu konzentrieren.
Erzwingen Sie HTTPS überall mit HSTS. Verwenden Sie AES-256, bcrypt/Argon2, SHA-256+. Niemals Secrets hardcoden — nutzen Sie Vault oder AWS Secrets Manager. Verschlüsseln Sie Daten im Ruhezustand. Deaktivieren Sie TLS 1.0/1.1.
Die klassische Web-Schwachstelle — noch immer in den Top 3 nach zwei Jahrzehnten.
' OR 1=1 -- und weitaus raffiniertere AngriffeParametrisierte Queries für alle DB-Interaktionen. Input-Validierung mit Allowlists. Output-Encoding für Kontext. Content Security Policy Header. Least-Privilege-DB-Accounts. Nutzen Sie ORMs konsistent.
Neue Kategorie — Design-Ebenen-Fehler, keine Implementierungs-Bugs.
Lösung: Integrieren Sie Threat Modeling (STRIDE, PASTA) in die Designphase. Nutzen Sie sichere Designmuster. Schreiben Sie Abuse Cases neben Use Cases.
In 90% der getesteten Anwendungen gefunden.
Wiederholbarer Hardening-Prozess. Entfernen Sie alle unnötigen Features. Implementieren Sie alle Security-Header. Automatisieren Sie Config-Management mit IaC. Regelmäßige Config-Audits. Nutzen Sie CSPM für Cloud.
Lösung: Führen Sie Komponenten-Inventar (SBOM). Überwachen Sie kontinuierlich CVE-Datenbanken. Entfernen Sie ungenutzte Abhängigkeiten. Automatisieren Sie Updates mit Dependabot/Renovate.
Implementieren Sie MFA. Erzwingen Sie starke Passwörter mit Breach-Datenbank-Prüfung. Rate-Limiting auf Auth-Endpoints. Sicheres Session-Management (zufällige IDs, HTTPOnly/Secure-Flags). Invalidieren Sie Sessions bei Logout/Passwort-Änderung.
Lösung: Digitale Signaturen auf allen Software/Daten. Subresource Integrity (SRI) für externe Ressourcen. Sichere CI/CD mit Zugriffskontrollen und Signing. Vermeiden Sie unsichere Deserialisierung — nutzen Sie JSON.
Durchschnittliche Zeit zur Identifikation eines Breach: 204 Tage (IBM 2024). Ohne angemessenes Logging können Angreifer Persistenz etablieren, Daten exfiltrieren und ihre Präsenz erweitern — alles ohne Alarme auszulösen.
Lösung: Loggen Sie alle Auth-Events, Zugriffskontroll-Fehler und Input-Validation-Fehler. Inkludieren Sie Kontext (Timestamp, User, IP, Action). Zentralisieren Sie Logs in einem manipulationssicheren SIEM. Implementieren Sie automatisierte Alarmierung. Testen Sie Erkennungsfähigkeiten regelmäßig.
Neue Kategorie — hinzugefügt aufgrund zunehmender Prävalenz in Cloud-nativen Architekturen.
http://169.254.169.254/ für IAM-CredentialsValidieren Sie alle benutzerbereitgestellten URLs serverseitig. Nutzen Sie Allowlists für erlaubte Domains. Blockieren Sie private IP-Bereiche (10.x, 172.16.x, 169.254.x, 127.x). Deaktivieren Sie unnötige URL-Schemas (file://, gopher://). Nutzen Sie IMDSv2 auf AWS. Segmentieren Sie URL-Fetching-Services.
| OWASP-Kategorie | KENSAI-Abdeckung |
|---|---|
| A01 Fehlerhafte Zugriffskontrolle | IDOR-Tests, Authorization-Bypass, CORS-Checks |
| A02 Kryptografische Fehler | TLS-Analyse, Header-Checks, Verschlüsselungsverifizierung |
| A03 Injection | SQL, XSS, Command Injection, SSTI, Header Injection |
| A04 Unsicheres Design | Rate-Limiting, vorhersehbare Ressourcen, Logic-Testing |
| A05 Sicherheits-Fehlkonfiguration | Headers, Defaults, Information Disclosure, HTTP-Methoden |
| A06 Verwundbare Komponenten | Technologie-Fingerprinting, 332K+ CVE-Datenbank |
| A07 Authentifizierungsfehler | Standard-Credentials, Session-Testing, Cookie-Analyse |
| A08 Integritätsfehler | SRI-Checks, Deserialisierungs-Testing |
| A09 Logging-Fehler | Security-Header-Analyse, Error-Handling-Review |
| A10 SSRF | Internal-Endpoint-Injection, Cloud-Metadata-Testing |
Kostenloser Scan — keine Verpflichtung, keine Kreditkarte erforderlich. KI-gestütztes DAST mit Compliance-ready Reporting.
Kostenlosen Scan starten →Fehlerhafte Zugriffskontrolle (A01) — in 94% der getesteten Anwendungen gefunden. Sie ist von Position 5 auf Position 1 gerückt und reflektiert das weit verbreitete Versagen, Autorisierung durchzusetzen, insbesondere in APIs und SPAs.
Die OWASP Top 10 selbst sind freiwillig. Sie werden jedoch von PCI DSS (erfordert Behandlung der OWASP Top 10), NIS2 (erwartet systematisches Schwachstellenmanagement), DORA (referenziert branchenübliche Tests) und vielen Vendor-Assessments referenziert. In der Praxis sind sie effektiv verpflichtend.
Automatisierte DAST-Tools erkennen effektiv die meisten Kategorien — besonders Injection (A03), kryptografische Fehler (A02), Fehlkonfiguration (A05) und verwundbare Komponenten (A06). Einige Kategorien wie Unsicheres Design (A04) und Logging-Fehler (A09) erfordern oft manuelle Bewertung. Nutzen Sie automatisiertes Scanning für Breite + manuelle Tests für Tiefe.
Alle 3–4 Jahre. Hauptversionen: 2013, 2017, 2021. Jedes Update reflektiert Verschiebungen in der Bedrohungslandschaft — das 2021-Update führte Unsicheres Design (A04) und SSRF (A10) ein und reorganisierte andere.
Sicherheit ist keine Option.
🗡️ Das KENSAI Team
Get a free security scan of your website in 60 seconds
Free Security Scan →