T.Gigler: Created Page

2018-12-09T23:19:49Z

Created Page

New page

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=introduction|year=2017|language=de}}
|usenext=2017NextLink
|next={{Top_10:LanguageFile|text=applicationSecurityRisks|year=2017|language=de}}
|year=2017
|language=de
}}


{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title=Was hat sich von Version 2013 zu 2017 verändert?|year=2017|language=de}}
Die Veränderungen haben in den letzten vier Jahren zugenommen, folglich wurden auch die OWASP Top 10 aktualisiert. Wir haben sie vollständig umgestaltet: die Methodik und den Prozess der Datenerhebung erneuert, mit der Community vollständig transparent zusammengearbeitet, die Risiken neu priorisiert, die Beschreibung der Risiken jeweils runderneuert und die Referenzen zu aktuellen Frameworks und Programmiersprachen angepasst.
In den letzten Jahren hat sich die eingesetzte Technologie und Architektur von Anwendungen signifikant geändert:
* Microservices, die in node.js und Spring Boot geschrieben werden, ersetzen traditionelle monolithische Anwendungen. Micro-services bringen neue Herausforderungen an die IT-Sicherheit mit, wie z.B. Vertrauensbeziehungen zwischen Microservices, Containern und das Management der Anmeldedaten. Alter Code, der nie dafür geschrieben wurde, aus dem Internet erreichbar zu sein, wird nun via APIs oder RESTful Web-Service nach außen geöffnet, z.B. mittels Single-Page-Anwendungen (SPA) oder für mobile Apps. Architekturelle Annahmen für den Code, wie z.B. vertrauenswürdige Nutzer, sind nicht mehr gültig.
* Single-Page-Anwendungen, die in JavaScript-Frameworks, wie z.B. Angular oder React geschrieben wurden, unterstützen die Entwicklung von sehr modularen Clients mit einem großen Funktionsumfang. Das Verlagern von Funktionen auf den Client, die traditionell auf dem Server lagen, erzeugt weitere Herausforderungen für die IT-Sicherheit.
* JavaScript ist inzwischen die meistgenutzte Sprache im Web, mit node.js auf den Servern und modernen Web-Frameworks wie Bootstrap, Electron, Angular oder React auf dem Client.

===Neue Risiken, auf Basis der Datenerhebung:===
* [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2017}}|A4:2017-{{Top_10_2010:ByTheNumbers|4|language=de|year=2017}}]] ist eine neue Kategorie, die hauptsächlich per [[Source_Code_Analysis_Tools|Source-Code-Analyse-Sicherheits-Test-Tools]] (SAST) gefunden wurde.

===Neue Risiken, auf Basis der Expertenumfrage in der Community===
Wir haben die Community gebeten, zwei Risiken zu wählen, die zukünftig von größerer Bedeutung sein werden. Aufgrund der Ergebnisse der Expertenumfrage mit über 500 Einsendungen wurden nach dem Streichen von Risiken, die bereits aufgrund der Datenerhebung enthalten waren (z.B. Verlust der Vertraulichkeit sensibler Daten und XXE), folgende Risiken aufgenommen:
* [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2017}}|A8:2017-{{Top_10_2010:ByTheNumbers|8|language=de|year=2017}}]], die ein externes Ausführen von beliebigem Code und die Manipulation von sensiblen Daten-Objekten auf betroffenen Plattformen ermöglicht.
* [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2017}}|A10:2107-{{Top_10_2010:ByTheNumbers|10|language=de|year=2017}}]], das zum Übersehen oder zu beträchtlichen Verzögerungen beim Erkennen von bösartigen Aktivitäten oder digitalen Einbrüchen und dem Bearbeiten der Sicherheitsvorfälle sowie der digitalen Forensik führen kann.

===Zusammengeführt oder aus den Top 10 ausgeschieden, jedoch nicht vergessen:===
* [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A4-{{Top_10_2010:ByTheNumbers|4|language=en|year=2013}}|A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2013}}]] und [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A7-{{Top_10_2010:ByTheNumbers|7|language=en|year=2013}}|A7-{{Top_10_2010:ByTheNumbers|7|language=de|year=2013}}]] zusammengeführt (=vereint) zu [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2017}}|A5:2017-{{Top_10_2010:ByTheNumbers|5|language=de|year=2017}}]].
* [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A8-{{Top_10_2010:ByTheNumbers|8|language=en|year=2013}}|A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2013}}]], da viele Frameworks Maßnahmen gegen [[Cross-Site_Request_Forgery_(CSRF)|CSRF]]) beinhalten, wurde diese Kategorie nur noch in 5% der Anwendungen gefunden.
* [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A10-{{Top_10_2010:ByTheNumbers|10|language=en|year=2013}}|A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2013}}]], das noch in ca. 8% der Anwendungen auftrat, wurde insbes. durch XXE verdrängt.
{{Top_10:SubsectionTableEndTemplate}} 
<center>
{| style="width: 99%; align:center; text-align:left; border: 2px solid #4a1647; background-color:#F2F2F2; padding=2;"
|- style="; font-size:141%; background-color: #4a1647; color: #FFFFFF; text-align:center;"
! OWASP Top 10 - 2013 !! ⇒ !! OWASP Top 10 - 2017
|- style="background-color: #FFFFFF;"
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A1-{{Top_10_2010:ByTheNumbers|1|language=en|year=2013}}|A1-{{Top_10_2010:ByTheNumbers|1|language=de|year=2013}}]]
| style="font-size:141%; text-align:center;" | ⇒
| [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A1-{{Top_10_2010:ByTheNumbers|1|language=de|year=2017}}|A1:2017-{{Top_10_2010:ByTheNumbers|1|language=de|year=2017}}]]
|- style="background-color: #FFFFFF;"
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A2-{{Top_10_2010:ByTheNumbers|2|language=en|year=2013}}|A2-{{Top_10_2010:ByTheNumbers|2|language=de|year=2013}}]]
| style="font-size:141%; text-align:center;" | ⇒
| [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A2-{{Top_10_2010:ByTheNumbers|2|language=de|year=2017}}|A2:2017-{{Top_10_2010:ByTheNumbers|2|language=de|year=2017}}]]
|- style="background-color: #FFFFFF;"
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A3-{{Top_10_2010:ByTheNumbers|3|language=en|year=2013}}|A3-{{Top_10_2010:ByTheNumbers|3|language=de|year=2013}}]]
| style="font-size:141%; text-align:center;" | ⇘ 
| [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A3-{{Top_10_2010:ByTheNumbers|3|language=de|year=2017}}|A3:2017-{{Top_10_2010:ByTheNumbers|3|language=de|year=2017}}]]
|- style="background-color: #F2F1FF;"
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A4-{{Top_10_2010:ByTheNumbers|4|language=en|year=2013}}|A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2013}}]] - [mit A7]
| style="font-size:141%; text-align:center; background-color: #FFFFFF;" | ∪ 
| [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2017}}|A4:2017-{{Top_10_2010:ByTheNumbers|4|language=de|year=2017}}]] [NEU]
|- style="background-color: #FFFFFF;"
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A5-{{Top_10_2010:ByTheNumbers|5|language=en|year=2013}}|A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2013}}]]
| style="font-size:141%; text-align:center;" | ⇘ 
| style="background-color: #F2F1FF;" | [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2017}}|A5:2017-{{Top_10_2010:ByTheNumbers|5|language=de|year=2017}}]] [vereint]
|- style="background-color: #FFFFFF;"
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A6-{{Top_10_2010:ByTheNumbers|6|language=en|year=2013}}|A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2013}}]]
| style="font-size:141%; text-align:center;" | ⇗ 
| [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2017}}|A6:2017-{{Top_10_2010:ByTheNumbers|6|language=de|year=2017}}]]
|- style="background-color: #FFFFFF;"
| style="background-color: #F2F1FF;" | [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A7-{{Top_10_2010:ByTheNumbers|7|language=en|year=2013}}|A7-{{Top_10_2010:ByTheNumbers|7|language=en|year=2013}}]] - [mit A4]
| style="font-size:141%; text-align:center;" | ∪
| [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A7-{{Top_10_2010:ByTheNumbers|7|language=de|year=2017}}|A7:2017-{{Top_10_2010:ByTheNumbers|7|language=de|year=2017}}]]
|- style="background-color: #F2F1FF;"
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A8-{{Top_10_2010:ByTheNumbers|8|language=en|year=2013}}|A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2013}}]]
| style="font-size:141%; text-align:center; background-color: #FFFFFF;" | ☒ 
| [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2017}}|A8:2017-{{Top_10_2010:ByTheNumbers|8|language=de|year=2017}}]] [NEU, Community]
|- style="background-color: #FFFFFF;"
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A9-{{Top_10_2010:ByTheNumbers|9|language=en|year=2013}}|A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2013}}]]
| style="font-size:141%; text-align:center;" | ⇒
| [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2017}}|A9:2017-{{Top_10_2010:ByTheNumbers|9|language=de|year=2017}}]]
|- style="background-color: #F2F1FF;"
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=en}}-A10-{{Top_10_2010:ByTheNumbers|10|language=en|year=2013}}|A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2013}}]]
| style="font-size:141%; text-align:center; background-color: #FFFFFF;" | ☒ 
| [[{{Top_10:LanguageFile|text=documentRootTop10New|year=2017|language=de}}_A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2017}}|A10:2017-{{Top_10_2010:ByTheNumbers|10|language=de|year=2017}}]] [NEU, Community]
|}
</center>
{{Top_10_2013:BottomAdvancedTemplate
|type=text
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=introduction|year=2017|language=en}}
|usenext=2017NextLink
|next={{Top_10:LanguageFile|text=applicationSecurityRisks|year=2017|language=en}}
|year=2017
|language=en
}}

Germany/Projekte/Top 10-2017 Neuerungen - Revision history

T.Gigler: Created Page