This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "OWASP Review BSI IT-Grundschutz Baustein Webanwendungen"

From OWASP
Jump to: navigation, search
(Actual Work in Progress)
(categories added)
 
(35 intermediate revisions by 7 users not shown)
Line 1: Line 1:
 +
[[Category:Germany]]
 
[[Category:OWASP_Project|OWASP Review BSI IT-Grundschutz Baustein Webanwendungen]]
 
[[Category:OWASP_Project|OWASP Review BSI IT-Grundschutz Baustein Webanwendungen]]
 +
[[Category:OWASP Project]]
 +
[[Category:OWASP Document]]
 +
[[Category:OWASP Download]]
 
==Mailing-List, Coordination and Contact==
 
==Mailing-List, Coordination and Contact==
If you want to become a part of the OWASP review team, please subscribe to the mailing list [https://lists.owasp.org/mailman/listinfo/bsi-webbaustein-review https://lists.owasp.org/mailman/listinfo/bsi-webbaustein-review]. It is not necessary to be a member to volunteer, of course :-)
+
The project ended sucessfully in 2012, so the mailing list is closed now. However, you can still contact the project leader  [mailto:[email protected] Ralf] [[User:Ralf Reinhardt|Reinhardt]].
 
 
The contact the coordinating team please mail to [mailto:[email protected] [email protected]] or contact the project leader  [mailto:[email protected] Ralf] [[User:Ralf Reinhardt|Reinhardt]]
 
  
 
This is a project of the [[Germany | OWASP German Chapter]].
 
This is a project of the [[Germany | OWASP German Chapter]].
Line 70: Line 72:
 
==Actual Work in Progress==
 
==Actual Work in Progress==
  
Hier eine Auflistung der einzelnen Kapitel / Review-TODOs - wer einen Teil übernehmen möchte schreibt sich bitte einfach ein. Im Kommentarfeld bitte angeben, bis wann ihr plant, den Punkt fertig bearbeitet zu haben.   
+
===Allgemeine Punkte===
 +
 
 +
<span style="text-decoration: underline">[[OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen/Allgemeine_Punkte|Allgemeine Punkte]]</span>.
 +
 
 +
===Kapitel-Review===
 +
 
 +
Hier eine <u>Auflistung der einzelnen Kapitel / Teile / Review-TODOs</u> - wer einen Teil übernehmen möchte schreibt sich bitte einfach ein (im Feld <u>Person</u>).
 +
 
 +
Im <u>Kommentarfeld</u> bitte angeben, bis wann ihr plant, den Punkt fertig bearbeitet zu haben (und natürlich sonstige notwendigen Kommentare). Das Kommentarfeld eignet sich auch, um anzugeben, wer den peer review für diesen Teil macht (vgl. Status "in Diskussion").   
 +
 
 +
Unter <u>Status</u> könnt Ihr das folgende angeben:
 +
* <b>offen</b> (dieser Teil ist noch unbearbeitet)
 +
* <b>in Arbeit</b> (dieser Teil wird aktuell bearbeitet)
 +
* <b>in Diskussion</b> (Arbeit des initialen Reviewers abgeschlossen; Kommentierung / peer review durch andere wird durchgeführt)
 +
* <b>geschlossen</b> (die Kommentierung dieses Teils ist abgeschlossen)
 +
* <b>übernommen</b> (dieser Teil wurde in das finale Word-Dokument übernommen)
 +
 
 
{| class="wikitable"
 
{| class="wikitable"
 
|-
 
|-
! Wer reviewt aktuell welches Kapitel?
+
! Kapitel / Teil
 
! Person
 
! Person
 
! Status
 
! Status
 
! Kommentar
 
! Kommentar
 
|-
 
|-
| B 5.XX Web-Anwendungen, Beschreibung und Abgrenzung (inkl. Seite 5)
+
| B 5.XX Web-Anwendungen, Beschreibung und Abgrenzung
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
| G 2.1 Fehlende oder unzureichende Regelungen
+
<!--| G 2.1 Fehlende oder unzureichende Regelungen
 
| unbekannt
 
| unbekannt
 
| offen
 
| offen
 
| keiner
 
| keiner
|-
+
|-  
 
| G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
 
| G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
 
| unbekannt
 
| unbekannt
Line 119: Line 137:
 
|-
 
|-
 
| G 2.103 Unzureichende Schulung der Mitarbeiter
 
| G 2.103 Unzureichende Schulung der Mitarbeiter
| unbekannt
+
| Matthias
 
| offen
 
| offen
 
| keiner
 
| keiner
|-
+
|- -->
 
| G 2.WA01 Mangelhafte Auswahl oder Konzeption von Web-Anwendungen
 
| G 2.WA01 Mangelhafte Auswahl oder Konzeption von Web-Anwendungen
| unbekannt
+
| Matthias
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 2.WA02 Mängel bei der Entwicklung und der Erweiterung von Web-Anwendungen
 
| G 2.WA02 Mängel bei der Entwicklung und der Erweiterung von Web-Anwendungen
| unbekannt
+
| Matthias
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 2.WA03 Unzureichender Schutz personenbezogener Daten bei Web-Anwendungen
 
| G 2.WA03 Unzureichender Schutz personenbezogener Daten bei Web-Anwendungen
| unbekannt
+
| Matthias
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
| G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
+
<!-- | G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
 
| unbekannt
 
| unbekannt
 
| offen
 
| offen
Line 157: Line 175:
 
| offen
 
| offen
 
| keiner
 
| keiner
|-
+
|- -->
 
| G 4.33 Unzureichende oder fehlende Authentisierung
 
| G 4.33 Unzureichende oder fehlende Authentisierung
| unbekannt
+
| Matthias
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
| G 4.35 Unsichere kryptographische Algorithmen
+
<!-- | G 4.35 Unsichere kryptographische Algorithmen
 
| unbekannt
 
| unbekannt
 
| offen
 
| offen
 
| keiner
 
| keiner
|-
+
|- -->
 
| G 4.WA04 Unzureichende Validierung von Ein- und Ausgabedaten bei Web-Anwendungen
 
| G 4.WA04 Unzureichende Validierung von Ein- und Ausgabedaten bei Web-Anwendungen
| unbekannt
+
| Matthias
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 4.WA05 Fehlende oder mangelhafte Fehlerbehandlung durch Web-Anwendungen
 
| G 4.WA05 Fehlende oder mangelhafte Fehlerbehandlung durch Web-Anwendungen
| unbekannt
+
| Tobias
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 4.WA06 Unzureichende Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen bei Web-Anwendungen
 
| G 4.WA06 Unzureichende Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen bei Web-Anwendungen
| unbekannt
+
| Matthias
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 4.WA07 Offenlegung von Informationen bei Web-Anwendungen
 
| G 4.WA07 Offenlegung von Informationen bei Web-Anwendungen
| unbekannt
+
| Matthias
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
| G 5.18 Systematisches Ausprobieren von Passwörtern
+
<!-- | G 5.18 Systematisches Ausprobieren von Passwörtern
 
| unbekannt
 
| unbekannt
 
| offen
 
| offen
Line 212: Line 230:
 
| offen
 
| offen
 
| keiner
 
| keiner
|-
+
|- -->
 
| G 5.131 SQL-Injection
 
| G 5.131 SQL-Injection
| unbekannt
+
| Ralf
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA08 Unberechtigter Zugriff auf oder Manipulation von Daten bei Web-Anwendungen
 
| G 5.WA08 Unberechtigter Zugriff auf oder Manipulation von Daten bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA09 Missbrauch einer Web-Anwendung durch automatisierte Nutzung
 
| G 5.WA09 Missbrauch einer Web-Anwendung durch automatisierte Nutzung
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA10 Fehler in der Logik von Web-Anwendungen
 
| G 5.WA10 Fehler in der Logik von Web-Anwendungen
| unbekannt
+
| Ralf
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA11 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Web-Anwendungen
 
| G 5.WA11 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Web-Anwendungen
| unbekannt
+
| Ralf
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA12 Unzureichendes Session-Management von Web-Anwendungen
 
| G 5.WA12 Unzureichendes Session-Management von Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA13 Cross-Site Scripting (XSS)
 
| G 5.WA13 Cross-Site Scripting (XSS)
| unbekannt
+
| Ralf
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA14 Cross-Site Request Forgery (CSRF, XSRF)
 
| G 5.WA14 Cross-Site Request Forgery (CSRF, XSRF)
| unbekannt
+
| Matthias
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA15 Umgehung der Autorisierung bei Web-Anwendungen
 
| G 5.WA15 Umgehung der Autorisierung bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA16 Einbindung von fremden Daten und Schadcode bei Web-Anwendungen
 
| G 5.WA16 Einbindung von fremden Daten und Schadcode bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA17 Injection-Angriffe
 
| G 5.WA17 Injection-Angriffe
| unbekannt
+
| Ralf
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| G 5.WA18 Clickjacking
 
| G 5.WA18 Clickjacking
| unbekannt
+
| Matthias
| offen
+
| in Diskussion
| keiner
+
| Markus
 
|-
 
|-
| M 2.1 (A) Festlegung von Verantwortlichkeiten und Regelungen
+
<!--| M 2.1 (A) Festlegung von Verantwortlichkeiten und Regelungen
 
| unbekannt
 
| unbekannt
 
| offen
 
| offen
Line 307: Line 325:
 
| offen
 
| offen
 
| keiner
 
| keiner
|-
+
|- -->
 
| M 2.WA02 (B) Dokumentation der Architektur von Web-Anwendungen
 
| M 2.WA02 (B) Dokumentation der Architektur von Web-Anwendungen
| unbekannt
+
| Matthias
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA20 (A) Sicherer Entwurf der Logik von Web-Anwendungen
 
| M 4.WA20 (A) Sicherer Entwurf der Logik von Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 2.WA12 (B) Entwicklung und Erweiterung von Anwendungen
 
| M 2.WA12 (B) Entwicklung und Erweiterung von Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 5.WA21 (A) Sichere Anbindung von Hintergrundsystemen an Web-Anwendungen
 
| M 5.WA21 (A) Sichere Anbindung von Hintergrundsystemen an Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 5.WA23 (A) Systemarchitektur einer Web-Anwendung
 
| M 5.WA23 (A) Systemarchitektur einer Web-Anwendung
| unbekannt
+
| Makrus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 2.WA24 (W) Web-Tracking
 
| M 2.WA24 (W) Web-Tracking
| unbekannt
+
| Matthias
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
| M 4.176 (A) Auswahl einer Authentisierungsmethode für Webangebote
+
<!-- | M 4.176 (A) Auswahl einer Authentisierungsmethode für Webangebote
 
| unbekannt
 
| unbekannt
 
| offen
 
| offen
Line 349: Line 367:
 
|-
 
|-
 
| M 2.62 (A) Software-Abnahme- und Freigabe-Verfahren
 
| M 2.62 (A) Software-Abnahme- und Freigabe-Verfahren
| unbekannt
+
| Matthias
 
| offen
 
| offen
 
| keiner
 
| keiner
Line 359: Line 377:
 
|-
 
|-
 
| M 3.5 (B) Schulung zu Sicherheitsmaßnahmen
 
| M 3.5 (B) Schulung zu Sicherheitsmaßnahmen
| unbekannt
+
| Matthias
 
| offen
 
| offen
 
| keiner
 
| keiner
|-
+
|- -->
 
| M 4.WA04 (A) Authentisierung bei Web-Anwendungen
 
| M 4.WA04 (A) Authentisierung bei Web-Anwendungen
| unbekannt
+
| Matthias
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA05 (A) Umfassende Ein- und Ausgabevalidierung bei Web-Anwendungen
 
| M 4.WA05 (A) Umfassende Ein- und Ausgabevalidierung bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA06 (A) Session-Management bei Web-Anwendungen
 
| M 4.WA06 (A) Session-Management bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA07 (A) Fehlerbehandlung durch Web-Anwendungen
 
| M 4.WA07 (A) Fehlerbehandlung durch Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA08 (B) Schutz vor automatisierter Nutzung von Web-Anwendungen
 
| M 4.WA08 (B) Schutz vor automatisierter Nutzung von Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA11 (A) Sichere Konfiguration von Web-Anwendungen
 
| M 4.WA11 (A) Sichere Konfiguration von Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA13 (A) Kontrolliertes Einbinden von Daten und Inhalten bei Web-Anwendungen
 
| M 4.WA13 (A) Kontrolliertes Einbinden von Daten und Inhalten bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA15 (A) Schutz vertraulicher Daten bei Web-Anwendungen
 
| M 4.WA15 (A) Schutz vertraulicher Daten bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA16 (A) Zugriffskontrolle bei Web-Anwendungen
 
| M 4.WA16 (A) Zugriffskontrolle bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA19 (B) Verhinderung von Cross-Site Request Forgery (CSRF, XSRF)
 
| M 4.WA19 (B) Verhinderung von Cross-Site Request Forgery (CSRF, XSRF)
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA22 (B) Verhinderung der Blockade von Ressourcen (DoS) bei Web-Anwendungen
 
| M 4.WA22 (B) Verhinderung der Blockade von Ressourcen (DoS) bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA25 (C) Verhinderung von Clickjacking
 
| M 4.WA25 (C) Verhinderung von Clickjacking
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
| M 2.8 (A) Vergabe von Zugriffsrechten
+
<!-- | M 2.8 (A) Vergabe von Zugriffsrechten
 
| unbekannt
 
| unbekannt
 
| offen
 
| offen
Line 442: Line 460:
 
| offen
 
| offen
 
| keiner
 
| keiner
|-
+
|- -->
 
| M 4.WA09 (C) Protokollierung sicherheitsrelevanter Ereignisse von Web-Anwendungen
 
| M 4.WA09 (C) Protokollierung sicherheitsrelevanter Ereignisse von Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| M 4.WA14 (A) Restriktive Herausgabe sicherheitsrelevanter Informationen bei Web-Anwendungen
 
| M 4.WA14 (A) Restriktive Herausgabe sicherheitsrelevanter Informationen bei Web-Anwendungen
| unbekannt
+
| Markus
| offen
+
| in Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| Dokument "Webanwendungen_Goldene Regeln.pdf"
 
| Dokument "Webanwendungen_Goldene Regeln.pdf"
| unbekannt
+
| Matthias
| offen
+
| In Diskussion
 
| keiner
 
| keiner
 
|-
 
|-
 
| Dokument "Webanwendungen_Hilfsmittel.pdf"
 
| Dokument "Webanwendungen_Hilfsmittel.pdf"
| unbekannt
+
| Markus
| offen
+
| <b>in Diskussion</b>
 
| keiner
 
| keiner
 
|-
 
|-
 
| Dokument "Webanwendungen_Kreuzreferenztabelle.pdf"
 
| Dokument "Webanwendungen_Kreuzreferenztabelle.pdf"
 
| unbekannt
 
| unbekannt
| offen
+
| <b>offen</b>
 
| keiner
 
| keiner
 
|-
 
|-
 
|}
 
|}
Weitere Informationen / Arbeitsstände gibt es unter [[Talk:OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen| "Discussion"]].
+
Weitere Informationen und die aktuellen Arbeitsstände gibt es unter [[Talk:OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen| "Discussion"]].
 
 
==Coordinating Team==
 
* Tobias Glemser
 
* Boris Hemkemeier
 
* Kai Jendrian
 
* Ralf Reinhardt
 
* Dirk Wetter
 
  
 
==Project Contributors==
 
==Project Contributors==
 +
* [[User:Dr._Markus_Maria_Miedaner|Dr. Markus Miedaner]]
 +
* [[User:Mrohr|Matthias Rohr]]
 +
* [[User:Ralf Reinhardt|Ralf Reinhardt]]
 +
* [[User:Kai Jendrian|Kai Jendrian]]
 
* Dennis Moers
 
* Dennis Moers
* Markus Miedaner
+
* [[User:Tobias|Tobias Glemser]]
* ''Your name here''
+
* Dr. Dirk Wetter
  
 
==Project Licence==
 
==Project Licence==
 
Creative Commons Attribution ShareAlike 3.0
 
Creative Commons Attribution ShareAlike 3.0

Latest revision as of 07:50, 21 January 2015

Mailing-List, Coordination and Contact

The project ended sucessfully in 2012, so the mailing list is closed now. However, you can still contact the project leader Ralf Reinhardt.

This is a project of the OWASP German Chapter.

Abstract

Technical review of the module web application ("Baustein Webanwendungen") of the IT-baseline protection catalog ("IT Grundschutz Katalog") of the German Federal Office for Information Security ("BSI") from the OWASP's point of view.

Introduction

The German "Federal Office for Information Security" (BSI), which is comparable to departments focused on security in organizations like NIST or CCTA, offers the IT Baseline Protection ("IT-Grundschutz") for public usage, which is based on ISO/IEC 27001. The IT Baseline Protection include a catalog of approx. 80 "Bausteine" (building blocks). Those blocks are dealing with one particular subject of IT security. They are usually written in the German language and later translated to English. They become the de facto standard for IT security and related certifications in Germany after they are finally released.

In January 2012 the draft of the block "Webanwendungen" (web applications) was released with a request for comments. Since this is the core expertise of OWASP we invited a delegate of the BSI to attend the last chapter meeting of the German Chapter which took place in Frankfurt / Main on the 3rd of February. The meeting's outcome was the strong wish to perform a review of that very web application block as an OWASP project. This project will help to expand the visibility of OWASP in the German IT security landscape broadly.


Roadmap

Deadline

06/01/2012, in German: 01.06.2012


Relevant links and general information

Document download

"Entwurf Baustein Webanwendungen" of the BSI (in German language) directly: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Entwurf.zip

General download section of the BSI: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/download/download.html

Some further information about "BSI" and "Grundschutz"

The BSI about itself: https://www.bsi.bund.de/EN/Home/home_node.html

Wikipedia about BSI: http://en.wikipedia.org/wiki/Bundesamt_f%C3%BCr_Sicherheit_in_der_Informationstechnik

Wikipedia about "IT-Grundschutz Katalog": http://en.wikipedia.org/wiki/IT_Baseline_Protection_Catalogs


Actual Work in Progress

Allgemeine Punkte

Allgemeine Punkte.

Kapitel-Review

Hier eine Auflistung der einzelnen Kapitel / Teile / Review-TODOs - wer einen Teil übernehmen möchte schreibt sich bitte einfach ein (im Feld Person).

Im Kommentarfeld bitte angeben, bis wann ihr plant, den Punkt fertig bearbeitet zu haben (und natürlich sonstige notwendigen Kommentare). Das Kommentarfeld eignet sich auch, um anzugeben, wer den peer review für diesen Teil macht (vgl. Status "in Diskussion").

Unter Status könnt Ihr das folgende angeben:

  • offen (dieser Teil ist noch unbearbeitet)
  • in Arbeit (dieser Teil wird aktuell bearbeitet)
  • in Diskussion (Arbeit des initialen Reviewers abgeschlossen; Kommentierung / peer review durch andere wird durchgeführt)
  • geschlossen (die Kommentierung dieses Teils ist abgeschlossen)
  • übernommen (dieser Teil wurde in das finale Word-Dokument übernommen)
Kapitel / Teil Person Status Kommentar
B 5.XX Web-Anwendungen, Beschreibung und Abgrenzung Markus in Diskussion keiner
G 2.WA01 Mangelhafte Auswahl oder Konzeption von Web-Anwendungen Matthias In Diskussion keiner
G 2.WA02 Mängel bei der Entwicklung und der Erweiterung von Web-Anwendungen Matthias In Diskussion keiner
G 2.WA03 Unzureichender Schutz personenbezogener Daten bei Web-Anwendungen Matthias In Diskussion keiner
G 4.33 Unzureichende oder fehlende Authentisierung Matthias In Diskussion keiner
G 4.WA04 Unzureichende Validierung von Ein- und Ausgabedaten bei Web-Anwendungen Matthias In Diskussion keiner
G 4.WA05 Fehlende oder mangelhafte Fehlerbehandlung durch Web-Anwendungen Tobias In Diskussion keiner
G 4.WA06 Unzureichende Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen bei Web-Anwendungen Matthias In Diskussion keiner
G 4.WA07 Offenlegung von Informationen bei Web-Anwendungen Matthias in Diskussion keiner
G 5.131 SQL-Injection Ralf in Diskussion keiner
G 5.WA08 Unberechtigter Zugriff auf oder Manipulation von Daten bei Web-Anwendungen Markus in Diskussion keiner
G 5.WA09 Missbrauch einer Web-Anwendung durch automatisierte Nutzung Markus in Diskussion keiner
G 5.WA10 Fehler in der Logik von Web-Anwendungen Ralf in Diskussion keiner
G 5.WA11 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Web-Anwendungen Ralf in Diskussion keiner
G 5.WA12 Unzureichendes Session-Management von Web-Anwendungen Markus in Diskussion keiner
G 5.WA13 Cross-Site Scripting (XSS) Ralf in Diskussion keiner
G 5.WA14 Cross-Site Request Forgery (CSRF, XSRF) Matthias in Diskussion keiner
G 5.WA15 Umgehung der Autorisierung bei Web-Anwendungen Markus in Diskussion keiner
G 5.WA16 Einbindung von fremden Daten und Schadcode bei Web-Anwendungen Markus in Diskussion keiner
G 5.WA17 Injection-Angriffe Ralf in Diskussion keiner
G 5.WA18 Clickjacking Matthias in Diskussion Markus
M 2.WA02 (B) Dokumentation der Architektur von Web-Anwendungen Matthias in Diskussion keiner
M 4.WA20 (A) Sicherer Entwurf der Logik von Web-Anwendungen Markus in Diskussion keiner
M 2.WA12 (B) Entwicklung und Erweiterung von Anwendungen Markus in Diskussion keiner
M 5.WA21 (A) Sichere Anbindung von Hintergrundsystemen an Web-Anwendungen Markus in Diskussion keiner
M 5.WA23 (A) Systemarchitektur einer Web-Anwendung Makrus in Diskussion keiner
M 2.WA24 (W) Web-Tracking Matthias in Diskussion keiner
M 4.WA04 (A) Authentisierung bei Web-Anwendungen Matthias In Diskussion keiner
M 4.WA05 (A) Umfassende Ein- und Ausgabevalidierung bei Web-Anwendungen Markus in Diskussion keiner
M 4.WA06 (A) Session-Management bei Web-Anwendungen Markus in Diskussion keiner
M 4.WA07 (A) Fehlerbehandlung durch Web-Anwendungen Markus in Diskussion keiner
M 4.WA08 (B) Schutz vor automatisierter Nutzung von Web-Anwendungen Markus in Diskussion keiner
M 4.WA11 (A) Sichere Konfiguration von Web-Anwendungen Markus in Diskussion keiner
M 4.WA13 (A) Kontrolliertes Einbinden von Daten und Inhalten bei Web-Anwendungen Markus in Diskussion keiner
M 4.WA15 (A) Schutz vertraulicher Daten bei Web-Anwendungen Markus in Diskussion keiner
M 4.WA16 (A) Zugriffskontrolle bei Web-Anwendungen Markus in Diskussion keiner
M 4.WA19 (B) Verhinderung von Cross-Site Request Forgery (CSRF, XSRF) Markus in Diskussion keiner
M 4.WA22 (B) Verhinderung der Blockade von Ressourcen (DoS) bei Web-Anwendungen Markus In Diskussion keiner
M 4.WA25 (C) Verhinderung von Clickjacking Markus in Diskussion keiner
M 4.WA09 (C) Protokollierung sicherheitsrelevanter Ereignisse von Web-Anwendungen Markus in Diskussion keiner
M 4.WA14 (A) Restriktive Herausgabe sicherheitsrelevanter Informationen bei Web-Anwendungen Markus in Diskussion keiner
Dokument "Webanwendungen_Goldene Regeln.pdf" Matthias In Diskussion keiner
Dokument "Webanwendungen_Hilfsmittel.pdf" Markus in Diskussion keiner
Dokument "Webanwendungen_Kreuzreferenztabelle.pdf" unbekannt offen keiner

Weitere Informationen und die aktuellen Arbeitsstände gibt es unter "Discussion".

Project Contributors

Project Licence

Creative Commons Attribution ShareAlike 3.0

Retrieved from "https://wiki.owasp.org/index.php?title=OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen&oldid=188307"