This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/Details zu Risiko-Faktoren"

From OWASP
Jump to: navigation, search
(Tabelle eingefügt (Vorsicht: die Referenzen und Werte sind aus 2013RC1!!))
(Final Update according to German Translation of the Top 10)
 
(8 intermediate revisions by the same user not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate
+
{{Top_10_2013_DeveloperEdition:TopTemplate
    |useprev=PrevLink_Germany_Projekte
+
  |useprev=2013PrevLinkDeveloperEdition
    |usenext=Nothing
+
  |usenext=Nothing
    |prev=Top 10 fuer Entwickler/{{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
+
  |prev={{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
    |next=
+
  |next=
 +
  |year=2013
 +
  |language=de
 
}}
 
}}
==TEST-TEST TEST -- Seite in Bearbeitung (BAUSTELLE!!) TEST-TEST TEST==
 
  
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=itsAboutRisksNotWeaknesses|language=de}}|width=100%|year=2013}}
+
{{Top_10_2010:SubsectionColoredTemplate
===!!2013!!=== => Links funktionieren nur für A1, A4 & A10!!! => tbd <!---- temporär --->
+
      |{{Top_10:LanguageFile|text=detailsAboutRiskFactors|language=de}}
 +
      ||year=2013
 +
}}
 +
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=top10RiskFactorSummary|language=de}}|width=100%|year=2013|language=de}}
 +
 
 +
Die folgende Tabelle stellt eine Zusammenfassung der Top 10 Risiken für die Anwendungssicherheit in der Version des Jahres
 +
2013 und der dazugehörigen Risiko-Faktoren dar. Diese Faktoren wurden durch verfügbare Statistiken und die Erfahrung des
 +
OWASP Top 10 Teams bestimmt.  Um diese Risiken für eine bestimmte Anwendung oder Organisation zu verstehen, muss der
 +
geneigte Leser seine eigenen, <u>spezifischen Bedrohungsquellen und Auswirkungen auf sein Unternehmen</u> in Betracht ziehen.
 +
Selbst eklatante Software-Schwachstellen müssen nicht zwangsläufig ein ernsthaftes Risiko darstellen, wenn es z.B. keine 
 +
Bedrohungsquellen gibt, die den notwendigen Angriff ausführen können oder die tatsächlichen Auswirkungen auf das
 +
Unternehmen und die Geschäftsprozesse zu vernachlässigen sind.
 +
 
 
<center>
 
<center>
 
<table style="align:center; border-collapse: collapse; text-align:center; margin: 0px 5px 0px 5px; border: 3px solid #444444;  
 
<table style="align:center; border-collapse: collapse; text-align:center; margin: 0px 5px 0px 5px; border: 3px solid #444444;  
Line 14: Line 27:
 
   background-color: {{Top 10:BackgroundColor|year=2013 }};
 
   background-color: {{Top 10:BackgroundColor|year=2013 }};
 
padding=2;">
 
padding=2;">
<tr style="background-color: {{Top 10:BorderColor|year=2013 }}; height: 2em; font-size: 130%; color: #FFFFFF;  text-shadow: 2px 2px 8px #444444; ">
+
<tr style="background-color: {{Top 10:BorderColor|year=2013}}; height: 2em; font-size: 130%; color: #FFFFFF;  text-shadow: 2px 2px 8px #444444; ">
     <th style="border: 3px solid #444444;">RISK</th>
+
     <th style="border: 3px solid #444444;">{{Top_10:LanguageFile|text=riskLarge|language=de}}</th>
     <th style="border: 3px solid #444444;">Threat Agents</th>
+
     <th style="border: 3px solid #444444;">{{Top_10:LanguageFile|text=threatAgents|language=de}}</th>
     <th style="border: 3px solid #444444;">Attack Vectors</th>
+
     <th style="border: 3px solid #444444;">{{Top_10:LanguageFile|text=attackVectors|language=de}}</th>
     <th style="border: 3px solid #444444;">Security Weakness<div style="font-size: 60%;">(Prevalence)</div></th>
+
     <th style="border: 3px solid #444444;">{{Top_10:LanguageFile|text=securityWeakness|language=de}}<div style="font-size: 60%;">({{Top_10:LanguageFile|text=prevalence|language=de}})</div></th>
     <th style="border: 3px solid #444444;">Security Weakness<div style="font-size: 60%;">(Detectability)</div></th>
+
     <th style="border: 3px solid #444444;">{{Top_10:LanguageFile|text=securityWeakness|language=de}}<div style="font-size: 60%;">({{Top_10:LanguageFile|text=detectability|language=de}})</div></th>
     <th style="border: 3px solid #444444;">Technical Impacts</th>
+
     <th style="border: 3px solid #444444;">{{Top_10:LanguageFile|text=technicalImpacts|language=de}}</th>
     <th style="border: 3px solid #444444;">Business Impacts</th>
+
     <th style="border: 3px solid #444444;">{{Top_10:LanguageFile|text=businessImpacts|language=de}}</th>
 
</tr>
 
</tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A1_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|1|language=de|year=2013}}|A1 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|1|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A1-{{Top_10_2010:ByTheNumbers|1|language=de|year=2013}}|A1 {{Top_10_2010:ByTheNumbers|1|language=de|year=2013}}]]</td>
   {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=2|impact=1|language=de|year=2013}}
+
<td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=1|prevalence=2|detectability=2|impact=1|language=de|year=2013}}
 +
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A2_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|2|language=de|year=2013}}|A2 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|2|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A2-{{Top_10_2010:ByTheNumbers|2|language=de|year=2013}}|A2 {{Top_10:LanguageFile|text=authentication|year=2013|language=de}}]]</td>
   {{Top_10:SummaryTableTemplate|exploitability=2|prevalence=1|detectability=2|impact=1|language=de|year=2013}}
+
<td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=1|detectability=2|impact=1|language=de|year=2013}}
 +
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A3_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|3|language=de|year=2013}}|A3 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|3|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A3-{{Top_10_2010:ByTheNumbers|3|language=de|year=2013}}|A3 {{Top_10:LanguageFile|text=xssShort|year=2013|language=de}}]]</td>
   {{Top_10:SummaryTableTemplate|exploitability=2|prevalence=0|detectability=1|impact=2|language=de|year=2013}}
+
<td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=0|detectability=1|impact=2|language=de|year=2013}}
 +
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A4_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|4|language=de|year=2013}}|A4 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|4|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2013}}|A4 {{Top_10:LanguageFile|text=insecureDOR|year=2013|language=de}}]]</td><td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
   {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=1|impact=2|language=de|year=2013}}
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=1|prevalence=2|detectability=1|impact=2|language=de|year=2013}}
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A5_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|5|language=de|year=2013}}|A5 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|5|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2013}}|A5 {{Top_10:LanguageFile|text=misconfig|year=2013|language=de}}]]</td>
   {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=1|impact=2|language=de|year=2013}}
+
<td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=1|prevalence=2|detectability=1|impact=2|language=de|year=2013}}
 +
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A6_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|6|language=de|year=2013}}|A6 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|6|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2013}}|A6 {{Top_10:LanguageFile|text=sensData|year=2013|language=de}}]]</td>
   {{Top_10:SummaryTableTemplate|exploitability=3|prevalence=3|detectability=2|impact=1|language=de|year=2013}}
+
<td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=3|prevalence=3|detectability=2|impact=1|language=de|year=2013}}
 +
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A7_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|7|language=de|year=2013}}|A7 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|7|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A7-{{Top_10_2010:ByTheNumbers|7|language=de|year=2013}}|A7 {{Top_10:LanguageFile|text=functionAcc|year=2013|language=de}}]]</td>
   {{Top_10:SummaryTableTemplate|exploitability=1|prevalence=2|detectability=2|impact=2|language=de|year=2013}}
+
<td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=1|prevalence=2|detectability=2|impact=2|language=de|year=2013}}
 +
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A8_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|8|language=de|year=2013}}|A8 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|8|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2013}}|A8 {{Top_10:LanguageFile|text=csrfShort|year=2013|language=de}}]]</td>
   {{Top_10:SummaryTableTemplate|exploitability=2|prevalence=2|detectability=2|impact=2|language=de|year=2013}}
+
<td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=2|detectability=1|impact=2|language=de|year=2013}}
 +
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A9_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|9|language=de|year=2013}}|A9 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|9|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2013}}|A9 {{Top_10:LanguageFile|text=vulnComponents|year=2013|language=de}}]]</td>
   {{Top_10:SummaryTableTemplate|exploitability=2|prevalence=1|detectability=3|impact=2|language=de|year=2013}}
+
<td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=1|detectability=3|impact=2|language=de|year=2013}}
 +
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
  
<tr><td style="border: 3px solid #444444;">[[Germany/Projekte/Top 10 fuer Entwickler/A10_{{Top_10_2010_Developer_Edition_De:ByTheNumbers|10|language=de|year=2013}}|A10 {{Top_10_2010_Developer_Edition_De:ByTheNumbers|10|language=de|year=2013}}]]</td><td style="border: 3px solid #444444;"><b>?</b></td>
+
<tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|year=2013|language=de}}/A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2013}}|A10 {{Top_10:LanguageFile|text=unvalRedirects|year=2013|language=de}}]]</td>
   {{Top_10:SummaryTableTemplate|exploitability=2|prevalence=3|detectability=1|impact=2|language=de|year=2013}}
+
<td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
<td style="border: 3px solid #444444"><b>?</b></td></tr>
+
   {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=3|detectability=1|impact=2|language=de|year=2013}}
 +
<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 
</table></center> <!-- End risk table -->
 
</table></center> <!-- End risk table -->
<br/>
+
 
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=whole|title={{Top_10:LanguageFile|text=additionalRisksToConsider|language=de}}|year=2013}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=whole|title={{Top_10:LanguageFile|text=additionalRisksToConsider|language=de}}|width=100%|year=2013|language=de}}
* [https://www.owasp.org/index.php/Clickjacking  Clickjacking]
+
Die Top 10 deckt bereits sehr viele Problemfelder ab. Es gibt dennoch weitere Risiken, die man in Betracht ziehen und im
* [https://www.owasp.org/index.php/Testing_for_Race_Conditions_(OWASP-AT-010)  Concurrency Flaws]
+
jeweiligen Unternehmen oder der Organisation evaluieren sollte. Einige von diesen waren schon in früheren Versionen der Top
* [https://www.owasp.org/index.php/Application_Denial_of_Service  Denial of Service] (Was 2004 Top 10 – Entry 2004-A9)
+
10 enthalten, andere nicht - wie z.B. neue Angriffs-Techniken. Andere wichtige Risiken sind (in alphabetischer Reihenfolge):
* [https://www.aspectsecurity.com/uploads/downloads/2011/09/ExpressionLanguageInjection.pdf  Expression Language Injection]
+
* [https://www.owasp.org/index.php/Clickjacking  <u>Clickjacking</u>]
* [http://projects.webappsec.org/Information-Leakage  Information Leakage] and [https://www.owasp.org/index.php/Top_10_2007-A6  Improper Error Handling] (Was part of 2007 Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A6 Entry 2007-A6])
+
* [https://www.owasp.org/index.php/Testing_for_Race_Conditions_(OWASP-AT-010)  <u>Concurrency Flaws</u>]
* [http://projects.webappsec.org/Insufficient+Anti-automation Insufficient Anti-automation]
+
* [https://www.owasp.org/index.php/Application_Denial_of_Service  <u>Denial of Service</u>] (war in der 2004 OWASP Top 10 als Eintrag 2004-A9 enthalten)  
* Insufficient Logging and Accountability (Related to 2007 Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A6  Entry 2007-A6])
+
* [https://www.aspectsecurity.com/uploads/downloads/2011/09/ExpressionLanguageInjection.pdf  <u>Expression Language Injection</u>] ([http://cwe.mitre.org/data/definitions/917.html  <u>CWE-917</u>])
* [https://www.owasp.org/index.php/ApplicationLayerIntrustionDetection Lack of Intrusion Detection and Response]
+
* [http://projects.webappsec.org/Information-Leakage  <u>Information Leakage</u>] und [https://www.owasp.org/index.php/Top_10_2007-A6  <u>Improper Error Handling</u>] (war Teil der 2007er Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A6 <u>Eintrag 2007-A6</u>])
* [https://www.owasp.org/index.php/Top_10_2007-A3  Malicious File Execution] (Was 2007 Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A3  Entry 2007-A3])
+
* [http://projects.webappsec.org/Insufficient+Anti-automation <u>Insufficient Anti-automation</u>] ([http://cwe.mitre.org/data/definitions/799.html  <u>CWE-799</u>])
* [http://en.wikipedia.org/wiki/Mass_assignment Mass Assignment]
+
* Insufficient Logging and Accountability (floss in 2007 Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A6  <u>Eintrag 2007-A6</u>])
* [https://www.owasp.org/index.php/Privacy_Violation User Privacy]
+
* [https://www.owasp.org/index.php/ApplicationLayerIntrustionDetection <u>Lack of Intrusion Detection and Response</u>]
 +
* [https://www.owasp.org/index.php/Top_10_2007-A3  <u>Malicious File Execution</u>] (war in 2007er Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A3  <u>Eintrag 2007-A3</u>])
 +
* [http://en.wikipedia.org/wiki/Mass_assignment_vulnerability  <u>Mass Assignment</u>] ([http://cwe.mitre.org/data/definitions/915.html  <u>CWE-915</u>])
 +
* [https://www.owasp.org/index.php/Privacy_Violation <u>User Privacy</u>], vgl auch [[OWASP Top 10 Privacy Risks Project|<u>OWASP Top 10 Privacy Risks</u>]]-Projekt
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
 
+
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
+
  |type=0
    |type=0
+
  |useprev=2013PrevLinkDeveloperEdition
    |useprev=PrevLink_Germany_Projekte
+
  |usenext=Nothing
    |usenext=Nothing
+
  |prev={{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
    |prev=Top 10 fuer Entwickler/{{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
+
  |next=
    |next=
+
  |year=2013
 +
  |language=de
 
}}
 
}}

Latest revision as of 18:08, 27 February 2016

← Anmerkungen zum Risikobegriff
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

 
Details zu den Risiko-Faktoren
Zusammenfassung der Top 10 Risiko-Faktoren

Die folgende Tabelle stellt eine Zusammenfassung der Top 10 Risiken für die Anwendungssicherheit in der Version des Jahres 2013 und der dazugehörigen Risiko-Faktoren dar. Diese Faktoren wurden durch verfügbare Statistiken und die Erfahrung des OWASP Top 10 Teams bestimmt. Um diese Risiken für eine bestimmte Anwendung oder Organisation zu verstehen, muss der geneigte Leser seine eigenen, spezifischen Bedrohungsquellen und Auswirkungen auf sein Unternehmen in Betracht ziehen. Selbst eklatante Software-Schwachstellen müssen nicht zwangsläufig ein ernsthaftes Risiko darstellen, wenn es z.B. keine Bedrohungsquellen gibt, die den notwendigen Angriff ausführen können oder die tatsächlichen Auswirkungen auf das Unternehmen und die Geschäftsprozesse zu vernachlässigen sind.

RISIKO Bedrohungsquellen Angriffsvektoren Schwachstellen
(Verbreitung)
Schwachstellen
(Auffindbarkeit)
Technische Auswirkung Auswirkung auf das Unternehmen
A1 Injection Anw.-
spezifisch
EINFACH HÄUFIG DURCHSCHNITTLICH SCHWERWIEGEND Anw.-/
Geschäftsspez.
A2 Authentifizierung Anw.-
spezifisch
DURCHSCHNITTLICH SEHR HÄUFIG DURCHSCHNITTLICH SCHWERWIEGEND Anw.-/
Geschäftsspez.
A3 XSS Anw.-
spezifisch
DURCHSCHNITTLICH AUSSERGEWÖHNLICH HÄUFIG EINFACH MITTEL Anw.-/
Geschäftsspez.
A4 Unsichere direkte ObjektreferenzenAnw.-
spezifisch
EINFACH HÄUFIG EINFACH MITTEL Anw.-/
Geschäftsspez.
A5 Fehlkonfiguration Anw.-
spezifisch
EINFACH HÄUFIG EINFACH MITTEL Anw.-/
Geschäftsspez.
A6 Sens. Data Anw.-
spezifisch
SCHWIERIG SELTEN DURCHSCHNITTLICH SCHWERWIEGEND Anw.-/
Geschäftsspez.
A7 Fehlerh. Autorisierung Anw.-
spezifisch
EINFACH HÄUFIG DURCHSCHNITTLICH MITTEL Anw.-/
Geschäftsspez.
A8 CSRF Anw.-
spezifisch
DURCHSCHNITTLICH HÄUFIG EINFACH MITTEL Anw.-/
Geschäftsspez.
A9 Komponenten mit Schwachstellen Anw.-
spezifisch
DURCHSCHNITTLICH SEHR HÄUFIG SCHWIERIG MITTEL Anw.-/
Geschäftsspez.
A10 Ungepr. Weiterltg. Anw.-
spezifisch
DURCHSCHNITTLICH SELTEN EINFACH MITTEL Anw.-/
Geschäftsspez.
Weitere zu betrachtende Risiken

Die Top 10 deckt bereits sehr viele Problemfelder ab. Es gibt dennoch weitere Risiken, die man in Betracht ziehen und im jeweiligen Unternehmen oder der Organisation evaluieren sollte. Einige von diesen waren schon in früheren Versionen der Top 10 enthalten, andere nicht - wie z.B. neue Angriffs-Techniken. Andere wichtige Risiken sind (in alphabetischer Reihenfolge):

← Anmerkungen zum Risikobegriff
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

 

© 2002-2017 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png