Germany/Projekte/Top 10-2017 Details zu den Risiko-Faktoren

Die folgende Tabelle stellt eine Zusammenfassung der Top 10 Risiken für die Anwendungssicherheit in der Version des Jahres 2017 und der dazugehörigen Risiko-Faktoren dar. Diese Faktoren wurden durch verfügbare Statistiken und die Erfahrung des OWASP-Teams bestimmt. Um diese Risiken für eine bestimmte Anwendung oder Organisation zu verstehen, muss der Leser seine eigenen, spezifischen Bedrohungsquellen und Auswirkungen auf sein Unternehmen betrachten. Selbst eklatante Software-Schwachstellen müssen nicht zwangsläufig ein ernsthaftes Risiko darstellen, wenn es z.B. keine Bedrohungsquellen gibt, die den notwendigen Angriff ausführen können oder die tatsächlichen Auswirkungen auf das Unternehmen und die Geschäftsprozesse zu vernachlässigen sind.

Auch wenn die Top 10 bereits sehr viele Problemfelder abdecken, so gibt es dennoch weitere Risiken, die man in Betracht ziehen und im jeweiligen Unternehmen oder der Organisation evaluieren sollte. Einige waren schon in früheren Versionen der OWASP Top 10 enthalten, andere nicht - wie z.B. neue Angriffstechniken. Diese werden permanent gesucht, gefunden und weiter entwickelt. Andere wichtige Sicherheitsrisiken für Anwendungen, die man sich ebenfalls näher ansehen sollte, sind (sortiert nach CVE-ID):

• CWE-352: Cross-Site Request Forgery (CSRF)
• CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion', 'AppDoS')
• CWE-434: Unrestricted Upload of File with Dangerous Type
• CWE-451: User Interface (UI) Misrepresentation of Critical Information (Clickjacking and others)
• CWE-601: Unvalidated Forward and Redirects
• CWE-799: Improper Control of Interaction Frequency (Anti-Automation)
• CWE-829: Inclusion of Functionality from Untrusted Control Sphere (3rd Party Content)
• CWE-918: Server-Side Request Forgery (SSRF)