Drucksache: PHP Magazin 3.18 - OWASP Top 10, Platz 1: Injection
Im PHP Magazin 3.2018 ist der erste Artikel einer kleinen Serie zu den OWASP Top 10, den 10 gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und im ersten Teil geht es natürlich um Platz 1 der Top 10: Injection-Schwachstellen.
Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen aktualisiert. In diesem Artikel lernen Sie den ersten Platz kennen, auf dem wie schon in der Vorversion von 2013 die Injection-Schwachstellen stehen.
Und die stehen zu Recht nach wie vor auf Platz 1 der OWASP Top 10, sie sind wirklich das größte Risiko für Webanwendungen. Vor allem die SQL Injection, über die sich die gesamte Datenbank ausspähen lässt, oder die OS-Command- und Scriptcode-Injection, über die sich der Server kompromittieren lässt, dürfen keinesfalls unterschätzt werden. Und auch alle anderen Injection-Schwachstellen haben bei einem Angriff sehr unangenehme Folgen.
Auch die "Broken Authentication" steht völlig zu Recht unverändert auf Platz 2. Die Authentifizierung macht man ja, damit man nur erwünschte Benutzer in der Webanwendung hat. Wenn die sich umgehen lässt, könnte man auch gleich darauf verzichten. Was man ja eindeutig nicht will. Aber darum geht es in der nächsten Folge. Und danach kommen wir dann zum Aufsteiger des Jahres: Die "Sensitive Date Exposure" ist von Platz 6 auf Platz 3 gestiegen. Eine angesichts einiger prominenter Datenlecks im relevanten Zeitraum durchaus angebrachte Beförderung.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Dave Wichers; [Owasp-topten]-Mailinglist: "OWASP Top 2017 - Data Call"
- [2] Matt Tesauro; Open Web Application Security Project Blog: "OWASP Top 10 2017 Release Candidate - Speak now."
- [3] OWASP Top 10 - 2017 Release Candiate 1
- [4] [Owasp-topten]-Mailinglist Mai 2017, Juni 2017
- [5] Brian Glas; Open Web Application Security Project Blog: "OWASP Top 10 2017 Project Update"
- [6] Neil Smithline; [Owasp-topten]-Mailinglist: "Top 10 2017 RC2 released"
- [7] OWASP Top 10 - 2017 Release Candiate 2
- [8] Brian; Open Web Application Security Project Blog: "OWASP is pleased to announce the release of the OWASP Top 10 - 2017"
- [9] OWASP Top 10 - 2017 - The Ten Most Critical Web Application Security Risks (PDF)
- [10] OWASP LDAP Injection Prevention Cheat Sheet
Trackbacks