OWASP

Aus xinux.net
Zur Navigation springen Zur Suche springen

Über OWASP

OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfügung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.

OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in Projekten mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die OWASP Stammtische, die regelmäßig in vielen deutschen Großstädten stattfinden.

OWASP German Chapter

OWASP organisiert sich in sogenannten Chaptern. Eines davon ist das deutsche Chapter, auf dessen Seite ihr euch gerade befindet. Der Chapter Lead wird jährlich im Chapter Meeting gewählt. Derzeitiger Chapter Lead ist Tobias Glemser.

Mitarbeit

Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer Mailingliste. Diese sollten natürlich einen Bezug zu Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein Mailarchiv der alten Liste, die nicht mehr genutzt wird.

Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Member oder schreiben Sie eine E-Mail an unsere Mailingliste germany-chapter@owasp.org.


OWASP Top 10

A1:2017 Injection

Z.Bsp. SQL-, OS- oder LDAP-Injection.Treten auf bei Verarbeitung von nicht vertrauenswuerdigen Daten als Teil eines Kommandos oder einer Abfrage.

A2:2017 Fehler in der Authetifizierung

Fehlerhafte Implementierung von Funktionen bei der Authentifizierung bzw. beim Session-Management.

A3:2017 Verlust der Vetraulichkeit sensibler Daten

Unzureichender Schutz von sensiblen Daten durch die Anwendung.

A4:2017 XML External Entities

Externe Entitäten innerhalb von XML-Dokumenten können bei Verwendung von alten oder schlecht konfigurierten XML Prozessoren mißbraucht werden
(Offenlegung interner Dateien oder File-Shares, Port Scans, Remote-Code-Executions, Denial-of-Service Angriffe).

A5:2017 Fehler in der Zugriffskontrolle

Fehler bei der Umsetzung oder Durchsetzung der Zugriffskontrolle authorisierter Benutzer.

A6:2017 Sicherheitsrelevante Fehlkonfiguration

Fehlkonfigurationen von Sicherheitseinstellungen, unsichere Standardkonfigurationen, etc.

A7:2017 Cross-Site Scripting (XSS)

Bei Verarbeitung nicht vertrauenswürdiger Daten durch Webserver
(Auslesen von Cookie-Informationen, Ausführen von Script Code im Browser).

A8:2017 Unsichere Deserialisierung

Serialisierung ist die Abbildung von strukturierten Daten in sequentieller Darstellungsform.
Eine unzureichend geprüfte Deserialisierung kann zum Ausführen fremder Befehle ausgenutzt werden.

A9:2017 Nutzung von Komponenten mit bekannten Schwachstellen

Verwendung unsicherer Bibliotheken, Frameworks, etc.

A10:2017 Unzureichendes Logging und Monitoring

Kein Erkennen von Angriffen.

Abgerufen von „https://xinux.net/index.php?title=OWASP&oldid=24146