Die OWASP Top 10 sind der am weitesten anerkannte Standard für Webanwendungs-Sicherheitsrisiken. Ob Sie Entwickler, Security Engineer oder Geschäftsführer sind — dieser Leitfaden erklärt jede Kategorie mit realen Beispielen, Erkennungstechniken und Behebungsstrategien.
Ein regelmäßig aktualisiertes Awareness-Dokument, das die kritischsten Sicherheitsrisiken für Webanwendungen auflistet. Basierend auf Datenanalysen von Hunderten von Organisationen, Community-Umfragen und realen Breach-Daten. Wird von PCI DSS, DORA, NIS2 und vielen Branchenstandards referenziert.
Die häufigste Schwachstelle — in 94% der getesteten Anwendungen gefunden.
/api/users/123/profile zu /api/users/124/profile/admin/dashboard zuFrüher „Sensitive Data Exposure" — umbenannt, um die Grundursache zu fokussieren.
Erzwingen Sie HTTPS überall mit HSTS. Verwenden Sie AES-256, bcrypt/Argon2, SHA-256+. Niemals Secrets hartcodieren — verwenden Sie Vault oder AWS Secrets Manager. Verschlüsseln Sie Daten im Ruhezustand. Deaktivieren Sie TLS 1.0/1.1.
Die klassische Web-Schwachstelle — auch nach zwei Jahrzehnten noch in den Top 3.
' OR 1=1 -- und weitaus raffiniertere AngriffeParametrisierte Abfragen für alle DB-Interaktionen. Input-Validierung mit Allowlists. Output-Encoding für Kontext. Content Security Policy Header. Least-Privilege DB-Accounts. ORMs konsequent verwenden.
Neue Kategorie — Designfehler auf Architekturebene, keine Implementierungsfehler.
Lösung: Integrieren Sie Threat Modeling (STRIDE, PASTA) in die Designphase. Verwenden Sie sichere Designmuster. Schreiben Sie Abuse Cases neben Use Cases.
In 90% der getesteten Anwendungen gefunden.
Wiederholbarer Härtungsprozess. Entfernen Sie alle unnötigen Features. Implementieren Sie alle Security-Header. Automatisieren Sie Konfigurationsmanagement mit IaC. Regelmäßige Config-Audits. Verwenden Sie CSPM für die Cloud.
Lösung: Führen Sie ein Komponenten-Inventar (SBOM). Überwachen Sie kontinuierlich CVE-Datenbanken. Entfernen Sie ungenutzte Abhängigkeiten. Automatisieren Sie Updates mit Dependabot/Renovate.
Implementieren Sie MFA. Erzwingen Sie starke Passwörter mit Breach-Datenbank-Prüfung. Rate Limiting auf Auth-Endpunkten. Sicheres Session-Management (zufällige IDs, HTTPOnly/Secure-Flags). Invalidieren Sie Sessions bei Logout/Passwortänderung.
Lösung: Digitale Signaturen auf allen Software/Daten. Subresource Integrity (SRI) für externe Ressourcen. Sichere CI/CD mit Zugriffskontrollen und Signierung. Vermeiden Sie unsichere Deserialisierung — verwenden Sie JSON.
Durchschnittliche Zeit zur Erkennung eines Breach: 204 Tage (IBM 2024). Ohne angemessenes Logging können Angreifer Persistenz etablieren, Daten exfiltrieren und ihre Position ausbauen — alles ohne Alarme auszulösen.
Lösung: Protokollieren Sie alle Auth-Events, Zugriffskontrollfehler und Input-Validierungsfehler. Inkludieren Sie Kontext (Zeitstempel, Benutzer, IP, Aktion). Zentralisieren Sie Logs in einem manipulationssicheren SIEM. Implementieren Sie automatisierte Alarmierung. Testen Sie regelmäßig Erkennungsfähigkeiten.
Neue Kategorie — hinzugefügt aufgrund zunehmender Verbreitung in Cloud-nativen Architekturen.
http://169.254.169.254/ für IAM-CredentialsValidieren Sie alle vom Benutzer bereitgestellten URLs serverseitig. Verwenden Sie Allowlists für erlaubte Domains. Blockieren Sie private IP-Bereiche (10.x, 172.16.x, 169.254.x, 127.x). Deaktivieren Sie unnötige URL-Schemata (file://, gopher://). Verwenden Sie IMDSv2 auf AWS. Segmentieren Sie URL-Fetching-Services.
| OWASP-Kategorie | KENSAI-Abdeckung |
|---|---|
| A01 Fehlerhafte Zugriffskontrolle | IDOR-Tests, Autorisierungs-Bypass, CORS-Prüfungen |
| A02 Kryptographische Fehler | TLS-Analyse, Header-Checks, Verschlüsselungsverifikation |
| A03 Injection | SQL, XSS, Command Injection, SSTI, Header Injection |
| A04 Unsicheres Design | Rate Limiting, vorhersehbare Ressourcen, Logik-Tests |
| A05 Sicherheits-Fehlkonfiguration | Headers, Defaults, Information Disclosure, HTTP-Methoden |
| A06 Anfällige Komponenten | Technologie-Fingerprinting, 332K+ CVE-Datenbank |
| A07 Authentifizierungsfehler | Default Credentials, Session-Tests, Cookie-Analyse |
| A08 Integritätsfehler | SRI-Checks, Deserialisierungs-Tests |
| A09 Logging-Fehler | Security-Header-Analyse, Error-Handling-Review |
| A10 SSRF | Interne Endpunkt-Injection, Cloud-Metadaten-Tests |
Kostenloser Scan — keine Verpflichtung, keine Kreditkarte erforderlich. KI-gestütztes DAST mit Compliance-gerechter Berichterstattung.
Kostenlosen Scan starten →Fehlerhafte Zugriffskontrolle (A01) — in 94% der getesteten Anwendungen gefunden. Sie rückte von Position 5 auf Position 1 vor und spiegelt das weit verbreitete Versagen wider, Autorisierung durchzusetzen, insbesondere in APIs und SPAs.
Die OWASP Top 10 selbst sind freiwillig. Sie werden jedoch von PCI DSS referenziert (erfordert Behandlung der OWASP Top 10), NIS2 (erwartet systematisches Schwachstellenmanagement), DORA (referenziert branchenübliche Tests) und vielen Lieferanten-Bewertungen. In der Praxis sind sie faktisch obligatorisch.
Automatisierte DAST-Tools erkennen effektiv die meisten Kategorien — insbesondere Injection (A03), kryptographische Fehler (A02), Fehlkonfiguration (A05) und anfällige Komponenten (A06). Einige Kategorien wie Unsicheres Design (A04) und Logging-Fehler (A09) erfordern oft manuelle Bewertung. Verwenden Sie automatisiertes Scannen für Breite + manuelle Tests für Tiefe.
Alle 3–4 Jahre. Wichtige Releases: 2013, 2017, 2021. Jedes Update spiegelt Verschiebungen in der Bedrohungslandschaft wider — das Update 2021 führte Unsicheres Design (A04) und SSRF (A10) ein und reorganisierte andere.
Sicherheit ist nicht optional.
🗡️ Das KENSAI Team
Get a free security scan of your website in 60 seconds
Free Security Scan →