← Zurück zum Blog
Research 25 Min. Lesezeit

OWASP Top 10 2025: Der vollständige Leitfaden zu Webanwendungs-Sicherheitsrisiken

Die OWASP Top 10 sind der am weitesten anerkannte Standard für Webanwendungs-Sicherheitsrisiken. Ob Sie Entwickler, Security Engineer oder Geschäftsführer sind — dieser Leitfaden erklärt jede Kategorie mit realen Beispielen, Erkennungstechniken und Behebungsstrategien.

ℹ️ Was sind die OWASP Top 10?

Ein regelmäßig aktualisiertes Awareness-Dokument, das die kritischsten Sicherheitsrisiken für Webanwendungen auflistet. Basierend auf Datenanalysen von Hunderten von Organisationen, Community-Umfragen und realen Breach-Daten. Wird von PCI DSS, DORA, NIS2 und vielen Branchenstandards referenziert.


A01 Fehlerhafte Zugriffskontrolle

Die häufigste Schwachstelle — in 94% der getesteten Anwendungen gefunden.

⚠️ Praxisbeispiele

  • IDOR: Ändern von /api/users/123/profile zu /api/users/124/profile
  • Privilege Escalation: Normaler Benutzer greift auf /admin/dashboard zu
  • Fehlende funktionsbasierte Zugriffskontrolle: API prüft Authentifizierung, aber nicht Autorisierung
  • CORS-Fehlkonfiguration: Erlaubt bösartigen Seiten, authentifizierte Anfragen zu stellen

✅ Behebung

  • Implementieren Sie Zugriffskontrolle serverseitig — niemals clientseitig
  • Standardmäßig verweigern — explizite Berechtigungen erfordern
  • Implementieren Sie ordnungsgemäßes RBAC oder ABAC
  • Protokollieren und alarmieren Sie bei Zugriffskontrollfehlern
  • Rate-Limiting für API-Zugriffe

A02 Kryptographische Fehler

Früher „Sensitive Data Exposure" — umbenannt, um die Grundursache zu fokussieren.

⚠️ Häufige Fehler

  • Login-Seiten übertragen Anmeldedaten über unverschlüsseltes HTTP
  • Unterstützung von TLS 1.0/1.1 oder schwachen Cipher Suites
  • Passwörter mit MD5 oder SHA-1 statt bcrypt/Argon2 gespeichert
  • Hartcodierte Verschlüsselungsschlüssel im Quellcode
  • Datenbank-Backups ohne Verschlüsselung

✅ Behebung

Erzwingen Sie HTTPS überall mit HSTS. Verwenden Sie AES-256, bcrypt/Argon2, SHA-256+. Niemals Secrets hartcodieren — verwenden Sie Vault oder AWS Secrets Manager. Verschlüsseln Sie Daten im Ruhezustand. Deaktivieren Sie TLS 1.0/1.1.

A03 Injection

Die klassische Web-Schwachstelle — auch nach zwei Jahrzehnten noch in den Top 3.

Arten von Injection

  • SQL Injection: ' OR 1=1 -- und weitaus raffiniertere Angriffe
  • NoSQL Injection: JSON-Manipulation von MongoDB/CouchDB
  • Command Injection: OS-Befehle durch Anwendungseingaben
  • XSS: JavaScript injizieren — reflected, stored, DOM-basiert
  • Template Injection (SSTI): Code in serverseitige Template-Engines
  • Header Injection: Manipulation von HTTP-Headern

✅ Prävention

Parametrisierte Abfragen für alle DB-Interaktionen. Input-Validierung mit Allowlists. Output-Encoding für Kontext. Content Security Policy Header. Least-Privilege DB-Accounts. ORMs konsequent verwenden.

A04 Unsicheres Design

Neue Kategorie — Designfehler auf Architekturebene, keine Implementierungsfehler.

⚠️ Beispiele

  • Passwort-Reset-Flow erlaubt unbegrenzte Versuche (kein Rate Limiting)
  • Clientseitige Durchsetzung von Geschäftsregeln (Preisvalidierung in JS)
  • Einzelner API-Schlüssel gewährt Lese- und Schreibzugriff auf alle Ressourcen

Lösung: Integrieren Sie Threat Modeling (STRIDE, PASTA) in die Designphase. Verwenden Sie sichere Designmuster. Schreiben Sie Abuse Cases neben Use Cases.

A05 Sicherheits-Fehlkonfiguration

In 90% der getesteten Anwendungen gefunden.

⚠️ Häufige Fehlkonfigurationen

  • Standard-Admin-Passwörter auf Datenbanken und Admin-Panels
  • Directory Listing, Debug-Endpunkte, ausführliche Fehlermeldungen aktiviert
  • Fehlende Security-Header (CSP, X-Frame-Options, X-Content-Type-Options)
  • Öffentlich zugängliche S3 Buckets oder Azure Blobs
  • Unnötige HTTP-Methoden (PUT, DELETE, TRACE) aktiviert

✅ Prävention

Wiederholbarer Härtungsprozess. Entfernen Sie alle unnötigen Features. Implementieren Sie alle Security-Header. Automatisieren Sie Konfigurationsmanagement mit IaC. Regelmäßige Config-Audits. Verwenden Sie CSPM für die Cloud.

A06 Anfällige und veraltete Komponenten

528
Ø Komponenten/App
84%
Codebasen mit Vulns
48%
High-Risk-Schwachstellen
252d
Ø Zeit bis Fix

⚠️ Bekannte Beispiele

  • Log4Shell (CVE-2021-44228): Kritische RCE betrifft Millionen von Java-Apps
  • Spring4Shell (CVE-2022-22965): RCE im Spring Framework
  • jQuery XSS: Viele Apps verwenden immer noch anfällige jQuery-Versionen

Lösung: Führen Sie ein Komponenten-Inventar (SBOM). Überwachen Sie kontinuierlich CVE-Datenbanken. Entfernen Sie ungenutzte Abhängigkeiten. Automatisieren Sie Updates mit Dependabot/Renovate.

A07 Fehler bei Identifikation und Authentifizierung

⚠️ Häufige Fehler

  • Credential Stuffing: Automatisierte Angriffe mit gestohlenen Passwörtern
  • Schwache Passwort-Richtlinien (erlaubt „password123")
  • Session Fixation und fehlende Session-Invalidierung
  • Session-Tokens in URLs exponiert
  • Fehlende MFA für kritische Funktionen

✅ Prävention

Implementieren Sie MFA. Erzwingen Sie starke Passwörter mit Breach-Datenbank-Prüfung. Rate Limiting auf Auth-Endpunkten. Sicheres Session-Management (zufällige IDs, HTTPOnly/Secure-Flags). Invalidieren Sie Sessions bei Logout/Passwortänderung.

A08 Software- und Datenintegritätsfehler

⚠️ Praxisangriffe

  • SolarWinds (2020): Bösartiger Code in legitimem Software-Update — 18.000 Organisationen betroffen
  • Unsichere Deserialisierung: Beliebige Code-Ausführung über nicht vertrauenswürdige Daten
  • CI/CD-Pipeline-Kompromittierung: Codecov-, ua-parser-js-Vorfälle
  • Fehlende SRI: Laden von JS von CDNs ohne Integritäts-Hashes

Lösung: Digitale Signaturen auf allen Software/Daten. Subresource Integrity (SRI) für externe Ressourcen. Sichere CI/CD mit Zugriffskontrollen und Signierung. Vermeiden Sie unsichere Deserialisierung — verwenden Sie JSON.

A09 Fehler bei Security-Logging und -Monitoring

ℹ️ Die Kosten der Blindheit

Durchschnittliche Zeit zur Erkennung eines Breach: 204 Tage (IBM 2024). Ohne angemessenes Logging können Angreifer Persistenz etablieren, Daten exfiltrieren und ihre Position ausbauen — alles ohne Alarme auszulösen.

Lösung: Protokollieren Sie alle Auth-Events, Zugriffskontrollfehler und Input-Validierungsfehler. Inkludieren Sie Kontext (Zeitstempel, Benutzer, IP, Aktion). Zentralisieren Sie Logs in einem manipulationssicheren SIEM. Implementieren Sie automatisierte Alarmierung. Testen Sie regelmäßig Erkennungsfähigkeiten.

A10 Server-Side Request Forgery (SSRF)

Neue Kategorie — hinzugefügt aufgrund zunehmender Verbreitung in Cloud-nativen Architekturen.

⚠️ Warum SSRF gefährlich ist

  • Capital One Breach (2019): SSRF → AWS-Metadaten → 100M+ Kundendatensätze exponiert
  • Cloud-Metadaten-Diebstahl: Zugriff auf http://169.254.169.254/ für IAM-Credentials
  • Zugriff auf interne Services: Erreichen von APIs, Datenbanken, Admin-Panels hinter der Firewall

✅ Prävention

Validieren Sie alle vom Benutzer bereitgestellten URLs serverseitig. Verwenden Sie Allowlists für erlaubte Domains. Blockieren Sie private IP-Bereiche (10.x, 172.16.x, 169.254.x, 127.x). Deaktivieren Sie unnötige URL-Schemata (file://, gopher://). Verwenden Sie IMDSv2 auf AWS. Segmentieren Sie URL-Fetching-Services.


Wie KENSAI die OWASP Top 10 scannt

OWASP-KategorieKENSAI-Abdeckung
A01 Fehlerhafte ZugriffskontrolleIDOR-Tests, Autorisierungs-Bypass, CORS-Prüfungen
A02 Kryptographische FehlerTLS-Analyse, Header-Checks, Verschlüsselungsverifikation
A03 InjectionSQL, XSS, Command Injection, SSTI, Header Injection
A04 Unsicheres DesignRate Limiting, vorhersehbare Ressourcen, Logik-Tests
A05 Sicherheits-FehlkonfigurationHeaders, Defaults, Information Disclosure, HTTP-Methoden
A06 Anfällige KomponentenTechnologie-Fingerprinting, 332K+ CVE-Datenbank
A07 AuthentifizierungsfehlerDefault Credentials, Session-Tests, Cookie-Analyse
A08 IntegritätsfehlerSRI-Checks, Deserialisierungs-Tests
A09 Logging-FehlerSecurity-Header-Analyse, Error-Handling-Review
A10 SSRFInterne Endpunkt-Injection, Cloud-Metadaten-Tests
332K+
CVEs erfasst
10/10
OWASP-Abdeckung
KI
Powered Genauigkeit
€990
Startpreis/Monat

Testen Sie Ihre App gegen die OWASP Top 10

Kostenloser Scan — keine Verpflichtung, keine Kreditkarte erforderlich. KI-gestütztes DAST mit Compliance-gerechter Berichterstattung.

Kostenlosen Scan starten →

FAQ

Was ist die häufigste OWASP-Schwachstelle?

Fehlerhafte Zugriffskontrolle (A01) — in 94% der getesteten Anwendungen gefunden. Sie rückte von Position 5 auf Position 1 vor und spiegelt das weit verbreitete Versagen wider, Autorisierung durchzusetzen, insbesondere in APIs und SPAs.

Ist OWASP Top 10 Compliance verpflichtend?

Die OWASP Top 10 selbst sind freiwillig. Sie werden jedoch von PCI DSS referenziert (erfordert Behandlung der OWASP Top 10), NIS2 (erwartet systematisches Schwachstellenmanagement), DORA (referenziert branchenübliche Tests) und vielen Lieferanten-Bewertungen. In der Praxis sind sie faktisch obligatorisch.

Können automatisierte Tools alle OWASP Top 10 erkennen?

Automatisierte DAST-Tools erkennen effektiv die meisten Kategorien — insbesondere Injection (A03), kryptographische Fehler (A02), Fehlkonfiguration (A05) und anfällige Komponenten (A06). Einige Kategorien wie Unsicheres Design (A04) und Logging-Fehler (A09) erfordern oft manuelle Bewertung. Verwenden Sie automatisiertes Scannen für Breite + manuelle Tests für Tiefe.

Wie oft werden die OWASP Top 10 aktualisiert?

Alle 3–4 Jahre. Wichtige Releases: 2013, 2017, 2021. Jedes Update spiegelt Verschiebungen in der Bedrohungslandschaft wider — das Update 2021 führte Unsicheres Design (A04) und SSRF (A10) ein und reorganisierte andere.

Sicherheit ist nicht optional.

🗡️ Das KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home