OWASP: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Über OWASP=
+
*[[Was ist OWASP?]]
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfügung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.
+
*[[OWASP Top 10]]
 
+
*[[OWASP Mutillidae II]]
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in Projekten mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die OWASP Stammtische, die regelmäßig in vielen deutschen Großstädten stattfinden.
+
*[[OWASP Mutillidae Beispiele]]
 
 
=OWASP German Chapter=
 
OWASP organisiert sich in sogenannten Chaptern. Eines davon ist das deutsche Chapter, auf dessen Seite ihr euch gerade befindet. Der Chapter Lead wird jährlich im Chapter Meeting gewählt. Derzeitiger Chapter Lead ist Tobias Glemser.
 
 
 
=Mitarbeit=
 
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer Mailingliste. Diese sollten natürlich einen Bezug zu Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein Mailarchiv der alten Liste, die nicht mehr genutzt wird.
 
 
 
Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Member oder schreiben Sie eine E-Mail an unsere Mailingliste germany-chapter@owasp.org.
 
 
 
*https://owasp.org/www-chapter-germany/
 
 
 
 
 
=OWASP Top 10=
 
 
 
==A1:2017 Injection==
 
Z.Bsp. SQL-, OS- oder LDAP-Injection.Treten auf bei Verarbeitung von nicht vertrauenswuerdigen Daten als Teil eines Kommandos oder einer Abfrage.
 
==A2:2017 Fehler in der Authetifizierung==
 
Fehlerhafte Implementierung von Funktionen bei der Authentifizierung bzw. beim Session-Management.
 
 
 
==A3:2017 Verlust der Vetraulichkeit sensibler Daten==
 
Unzureichender Schutz von sensiblen Daten durch die Anwendung.
 
==A4:2017 XML External Entities==
 
Externe Entitäten innerhalb von XML-Dokumenten können bei Verwendung von alten oder schlecht konfigurierten XML Prozessoren mißbraucht werden
 
<br>(Offenlegung interner Dateien oder File-Shares, Port Scans, Remote-Code-Executions, Denial-of-Service Angriffe).
 
==A5:2017 Fehler in der Zugriffskontrolle==
 
Fehler bei der Umsetzung oder Durchsetzung der Zugriffskontrolle authorisierter Benutzer.
 
==A6:2017 Sicherheitsrelevante Fehlkonfiguration==
 
Fehlkonfigurationen von Sicherheitseinstellungen, unsichere Standardkonfigurationen, etc.
 
==A7:2017 Cross-Site Scripting (XSS)==
 
Bei Verarbeitung nicht vertrauenswürdiger Daten durch Webserver<br>
 
(Auslesen von Cookie-Informationen, Ausführen von Script Code im Browser).
 
==A8:2017 Unsichere Deserialisierung==
 
Serialisierung ist die Abbildung von strukturierten Daten in sequentieller Darstellungsform.<br>
 
Eine unzureichend geprüfte Deserialisierung kann zum Ausführen fremder Befehle ausgenutzt werden.
 
==A9:2017 Nutzung von Komponenten mit bekannten Schwachstellen==
 
Verwendung unsicherer Bibliotheken, Frameworks, etc.
 
==A10:2017 Unzureichendes Logging und Monitoring==
 
Kein Erkennen von Angriffen.
 

Aktuelle Version vom 22. Januar 2023, 07:19 Uhr

Abgerufen von „https://xinux.net/index.php?title=OWASP&oldid=40358