OWASP Top 10 — Web‑Sicherheits‑Klassiker
- Broken Access Control: User sieht/ändert Daten anderer User.
- Cryptographic Failures: schwache Verschlüsselung, Klartext‑Passwörter.
- Injection: SQL, NoSQL, OS‑Command.
- Insecure Design: Architektur ohne Threat Modeling.
- Security Misconfiguration: Default‑Passwörter, offene Ports.
- Vulnerable Components: alte Libraries mit bekannten CVEs.
- Identification & Auth Failures: Session Fixation, schwache MFA.
- Software / Data Integrity Failures: ungeprüfte Dependencies, unsichere Deserialization.
- Logging & Monitoring Failures: Angriff bleibt unbemerkt.
- Server‑Side Request Forgery (SSRF): Server holt URLs für den Angreifer.
Praxis‑Tipp:
OWASP ASVS (Application Security Verification Standard) als Checkliste. Pen‑Tester arbeiten oft die Top 10 in genau dieser Reihenfolge ab.
Zurück zu Technik