Dipl.-Inform. Carsten Eilers

Und die stehen zu Recht nach wie vor auf Platz 1 der OWASP Top 10, sie sind wirklich das größte Risiko für Webanwendungen. Vor allem die SQL Injection, über die sich die gesamte Datenbank ausspähen lässt, oder die OS-Command- und Scriptcode-Injection, über die sich der Server kompromittieren lässt, dürfen keinesfalls unterschätzt werden. Und auch alle anderen Injection-Schwachstellen haben bei einem Angriff sehr unangenehme Folgen.

Auch die "Broken Authentication" steht völlig zu Recht unverändert auf Platz 2. Die Authentifizierung macht man ja, damit man nur erwünschte Benutzer in der Webanwendung hat. Wenn die sich umgehen lässt, könnte man auch gleich darauf verzichten. Was man ja eindeutig nicht will. Aber darum geht es in der nächsten Folge. Und danach kommen wir dann zum Aufsteiger des Jahres: Die "Sensitive Date Exposure" ist von Platz 6 auf Platz 3 gestiegen. Eine angesichts einiger prominenter Datenlecks im relevanten Zeitraum durchaus angebrachte Beförderung.

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Dave Wichers; [Owasp-topten]-Mailinglist: "OWASP Top 2017 - Data Call"
• [2] Matt Tesauro; Open Web Application Security Project Blog: "OWASP Top 10 2017 Release Candidate - Speak now."
• [3] OWASP Top 10 - 2017 Release Candiate 1
• [4] [Owasp-topten]-Mailinglist Mai 2017, Juni 2017
• [5] Brian Glas; Open Web Application Security Project Blog: "OWASP Top 10 2017 Project Update"
• [6] Neil Smithline; [Owasp-topten]-Mailinglist: "Top 10 2017 RC2 released"
• [7] OWASP Top 10 - 2017 Release Candiate 2
• [8] Brian; Open Web Application Security Project Blog: "OWASP is pleased to announce the release of the OWASP Top 10 - 2017"
• [9] OWASP Top 10 - 2017 - The Ten Most Critical Web Application Security Risks (PDF)
• [10] OWASP LDAP Injection Prevention Cheat Sheet

Carsten Eilers

Kategorien: Drucksache

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks