X
Akamai logo
+1-8774252624
+1-8774252624
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen
Akamai testen
Support bei Angriffen
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen

Was ist OWASP?

Das Open Worldwide Application Security Project (OWASP) ist eine gemeinnützige Stiftung mit dem Ziel, die Softwaresicherheit zu verbessern. OWASP, das ursprünglich als Open Web Application Security Project bekannt war, wurde 2001 mit dem Ziel gegründet, „die globale offene Community zu sein, die sichere Software durch Schulungen, Tools und Zusammenarbeit unterstützt“. Seit 2024 verfügt die Stiftung OWASP über mehr als 250 Ortsgruppen auf der ganzen Welt, darunter Afrika, Asien, die Karibik, Mittelamerika, Europa, Nordamerika, Ozeanien und Südamerika. 

Womit befasst sich das OWASP?

Das OWASP koordiniert eine Reihe von Community-geführten Open-Source-Softwareprojekten und branchenführenden Ausbildungs- und Schulungskonferenzen. Die Projekte, Tools, Dokumente, Foren und Ortsgruppen der Organisation sind kostenlos und für alle zugänglich, die an der Optimierung der Anwendungssicherheit interessiert sind.

Was sind die OWASP Top 10?

Die OWASP Top 10 sind eine Liste der größten Sicherheitsrisiken für Webanwendungen, die von einem konsensbasierten Team von Sicherheitsexperten auf der ganzen Welt ermittelt wurden. Die OWASP Top 10 dienen als Leitfaden für Unternehmen, DevOps-Teams, Regulierungsbehörden und andere Stakeholder, die die Sicherheit von Webanwendungen gewährleisten und die Kultur der Softwareentwicklung verändern, um für mehr sicheren Code zu sorgen.

Wie werden die OWASP Top 10 entwickelt?

Die OWASP Top 10-Liste in Bezug auf Sicherheitsbedrohungen basiert auf der Erfahrung und dem Fachwissen einer offenen Community von Beitragenden und dem Konsens der Sicherheitsexperten weltweit. Die Risiken werden nach verschiedenen Faktoren geordnet, darunter die Häufigkeit der einzelnen Sicherheitslücken sowie der Schweregrad und das Ausmaß ihrer potenziellen Auswirkungen.

Was sind die OWASP Top 10-Sicherheitsrisiken für Webanwendungen?

Laden Sie das Whitepaper „OWASP Top 10“ von Akamai herunter.

  1. A01:2021 fehlerhafte Zugriffskontrolle ermöglicht es Angreifern, auf Nutzerkonten zuzugreifen und als Nutzer oder Administrator zu fungieren. Es kann auch dafür sorgen, dass reguläre Nutzer unbeabsichtigt Zugriff auf privilegierte Funktionen erhalten.
  2. A02:2021 kryptografische Fehler treten auf, wenn wichtige oder vertrauliche Daten bei der Speicherung oder Übertragung kompromittiert werden.
  3. A03:2021 Code-Injection-Angriffe wie SQL-Injection treten auf, wenn ein Angreifer ungültige Daten oder schädlichen Code an eine Webanwendung sendet, damit die Anwendung etwas ausführt, das nicht vorgesehen ist.
  4. A04:2021 Schwachstellen aufgrund von nicht sicherem Design treten auf, wenn eine Anwendung um Prozesse entwickelt wird, die nicht sicher sind, wie z. B. eine App mit unzureichenden Authentifizierungsprozessen oder eine Website, die nicht dafür ausgelegt ist, Bots zu verhindern.
  5. A05:2021 Fehlerhafte Sicherheitskonfiguration umfasst die unsachgemäße Konfiguration von Cloud-Dienst-Berechtigungen, die Verwendung standardmäßiger Administratorpasswörter oder die Installation von Funktionen, die nicht erforderlich sind.
  6. A06:2021 Anfällige und veraltete Komponenten sind eine Schwachstelle, die durch nicht unterstützte oder veraltete Software oder interne Komponenten verursacht wird.
  7. A07:2021 Fehlgeschlagene Identifizierungs- und Authentifizierungsversuche treten auf, wenn Apps Nutzeridentitäten nicht ordnungsgemäß bestätigen und überprüfen oder eine sichere Sitzungsverwaltung einrichten können.
  8. A08:2021 Software- und Datenintegritätsfehler treten auf, wenn der Code und die Infrastruktur einer Anwendung die Software- oder Datenintegrität nicht vollständig schützen können.
  9. A09:2021 Fehler bei der Sicherheitsprotokollierung und -überwachung sind Schwachstellen in der Fähigkeit einer Anwendung, Sicherheitsrisiken zu erkennen und auf sie zu reagieren.
  10. A10:2021 Serverseitig manipulierte Anfragen treten auf, wenn eine Webanwendung Daten von einer Remote-Ressource basierend auf einer vom Nutzer angegebenen URL abruft – ohne die URL zu validieren.

Was ist das API Security Project von OWASP?

Zusätzlich zum Erstellen der Top 10 der Anwendungssicherheitsrisiken im Internet stellt OWASP die API Security Top 10 zusammen, eine Liste der gefährlichsten Sicherheitsprobleme und Schwachstellen für APIs (Application Programming Interfaces). Die Liste wurde ursprünglich 2019 erstellt und 2023 aktualisiert.

Diagramm zur Veranschaulichung der Änderungen bei den OWASP API Top 10 seit 2019. Diagramm zur Veranschaulichung der Änderungen bei den OWASP API Top 10 seit 2019.

Sie möchten mehr erfahren? Lesen Sie die Blogbeiträge von Akamai zu diesem Thema:

Welche Schwachstellen befinden sich auf der OWASP-Liste der Top 10 API-Sicherheitsrisiken?

  1. API1:2023 – Fehlerhafte Autorisierung auf Objektebene tritt auf, wenn keine angemessenen Zugriffskontrollen auf API-Endpoints vorhanden sind, was zu einer Offenlegung vertraulicher Daten führt und es unbefugten Nutzern ermöglicht, auf vertrauliche Daten zuzugreifen und diese zu bearbeiten.
  2. API2:2023 Fehlerhafte Authentifizierung tritt auf, wenn Authentifizierungsmechanismen falsch implementiert werden, sodass Angreifer Authentifizierungstokens kompromittieren oder Implementierungsfehler ausnutzen können, um die Identitäten anderer Nutzer zu übernehmen.
  3. API3:2023 Fehlerhafte Autorisierung auf Objekteigenschaftsebene tritt auf, wenn APIs die Autorisierung auf Objekteigenschaftsebene nicht ordnungsgemäß validieren.
  4. API4:2023 Uneingeschränkte Ressourcennutzung umfasst Anfragen, die große Mengen an Netzwerkbandbreite, CPU, Arbeitsspeicher und Speicher belegen, was möglicherweise zu einem Denial of Service oder höheren Kosten führen kann.
  5. API5:2023 – Fehlerhafte Autorisierung auf Funktionsebene wird durch Autorisierungsfehler verursacht, die auf übermäßig komplexe Zugriffskontrollrichtlinien mit unterschiedlichen Hierarchien, Gruppen und Rollen sowie eine unklare Trennung zwischen administrativen und regulären Funktionen zurückzuführen sind.
  6. API6:2023 Unbeschränkter Zugriff auf sensible Geschäftsabläufe tritt auf, wenn APIs einen Geschäftsablauf offenlegen, ohne ihn einzuschränken oder das potenzielle Risiko auszugleichen, dass die Funktion übermäßig automatisiert genutzt werden könnte.
  7. API7:2023 Serverseitig manipulierte Anfragen treten auf, wenn eine API eine Remote-Ressource abruft, ohne die vom Nutzer angegebene URI zu validieren, was es einem Angreifer ermöglicht, die Anwendung zu zwingen, eine manipulierte Anfrage an ein unerwartetes Ziel zu senden.
  8. API8:2023 – Fehlerhafte Sicherheitskonfiguration tritt auf, wenn Software- und DevOps-Techniker APIs und die sie unterstützenden Systeme nicht ordnungsgemäß konfigurieren.
  9. API9:2023 Unsachgemäße Bestandsverwaltung tritt auf, wenn IT-Administratoren eine Bestandsaufnahme der Hosts und bereitgestellten API-Versionen nicht ordnungsgemäß dokumentieren und aktualisieren.
  10. API10:2023 Unsichere Nutzung von APIs tritt auf, wenn Entwickler das Vertrauen auf Drittanbieter-APIs erweitern, ohne sie zu überprüfen, was zu einer schwächeren Sicherheitslage führt.

Welche anderen Projekte betreibt OWASP?

OWASP koordiniert und leitet eine Reihe von bedeutenden Projekten.

  • Dependency-Track ist eine intelligente Plattform zur Komponentenanalyse, mit der Unternehmen Risiken in der Software-Lieferkette identifizieren und reduzieren können. Dependency-Track überwacht die Komponentennutzung über jede Version einer Anwendung hinweg, um Risiken im gesamten Unternehmen proaktiv zu identifizieren.
  • Juice Shop ist eine äußerst unsichere Webanwendung, die für Sicherheitsschulungen, Awareness-Demos, CTFs (Capture the Flag Competitions) und als Versuchskaninchen für Sicherheitstools entwickelt wurde. Juice Shop enthält alle Schwachstellen aus den OWASP Top 10 sowie viele zusätzliche Sicherheitslücken, die häufig in realen Anwendungen auftreten.
  • Das OWASP Mobile Application Security Project ist ein Sicherheitsstandard für Apps und ein umfassender Testleitfaden. Er deckt die Prozesse, Techniken und Tools ab, die bei Sicherheitstests für Apps verwendet werden, und bietet eine große Auswahl an Testfällen, mit denen Tester konsistente und umfassende Ergebnisse erzielen können.
  • Das OWASP ModSecurity Core Rule Set ist ein Set allgemeiner Angriffserkennungsregeln zur Verwendung mit ModSecurity oder kompatiblen Web Application Firewalls.
  • Das Software Assurance Maturity Model bietet eine effektive und messbare Möglichkeit, Sicherheitsentwicklungszyklen zu analysieren und zu verbessern.
  • Das Web Security Testing Guide Project ist die wichtigste Cybersicherheits-Testressource für Webanwendungsentwickler und Sicherheitsexperten.

Wie kann OWASP die API- und Websicherheit verbessern?

Unternehmen und ihre Sicherheitsteams erhalten verwertbare Informationen aus den OWASP Top 10-Listen. Die Listen dienen als wichtige Checkliste für Sicherheitsteams und als Sicherheitsstandard für DevOps-Teams. Auditoren verwenden die Listen, um zu bewerten, ob Unternehmen Best Practices und Entwicklungsstandards zum Schutz für Webanwendungen und APIseinhalten.

Warum entscheiden sich Kunden für Akamai?

Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Threat Intelligence und unser globales Betriebsteam bieten umfassende Abwehrmaßnahmen, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.

Entdecken Sie alle Akamai Security Solutions

Mehr erfahren