Difference between revisions of "Germany/Projekte/Top 10-2013-Details zu Risiko-Faktoren"

Latest revision as of 18:10, 27 February 2016

NOTE: THIS IS NOT THE LATEST VERSION. Please visit the OWASP Top 10 project page to find the latest edition.

2013 Inhaltsverzeichnis

2013 Die Top-10-Risiken

Zusammenfassung der Top 10 Risiko-Faktoren

Die folgende Tabelle stellt eine Zusammenfassung der Top 10 Risiken für die Anwendungssicherheit in der Version des Jahres 2013 und der dazugehörigen Risiko-Faktoren dar. Diese Faktoren wurden durch verfügbare Statistiken und die Erfahrung des OWASP Top 10 Teams bestimmt. Um diese Risiken für eine bestimmte Anwendung oder Organisation zu verstehen, muss der geneigte Leser seine eigenen, spezifischen Bedrohungsquellen und Auswirkungen auf sein Unternehmen in Betracht ziehen. Selbst eklatante Software-Schwachstellen müssen nicht zwangsläufig ein ernsthaftes Risiko darstellen, wenn es z.B. keine Bedrohungsquellen gibt, die den notwendigen Angriff ausführen können oder die tatsächlichen Auswirkungen auf das Unternehmen und die Geschäftsprozesse zu vernachlässigen sind.

Risiko	Bedrohungsquellen	Angriffsvektoren	Schwachstellen (Verbreitung)	Schwachstellen (Auffindbarkeit)	Technische Auswirkung	Auswirkung auf das Unternehmen
A1-Injection	Anw.- spezifisch	EINFACH	HÄUFIG	DURCHSCHNITTLICH	SCHWERWIEGEND	Anw.-/ Geschäftsspez.
A2-Authentifizierung	Anw.- spezifisch	DURCHSCHNITTLICH	SEHR HÄUFIG	DURCHSCHNITTLICH	SCHWERWIEGEND	Anw.-/ Geschäftsspez.
A3-XSS	Anw.- spezifisch	DURCHSCHNITTLICH	AUSSERGEWÖHNLICH HÄUFIG	EINFACH	MITTEL	Anw.-/ Geschäftsspez.
A4-Unsichere direkte Objektreferenzen	Anw.- spezifisch	EINFACH	HÄUFIG	EINFACH	MITTEL	Anw.-/ Geschäftsspez.
A5-Fehlkonfiguration	Anw.- spezifisch	EINFACH	HÄUFIG	EINFACH	MITTEL	Anw.-/ Geschäftsspez.
A6-Sens. Data	Anw.- spezifisch	SCHWIERIG	SELTEN	DURCHSCHNITTLICH	SCHWERWIEGEND	Anw.-/ Geschäftsspez.
A7-Fehlerh. Autorisierung	Anw.- spezifisch	EINFACH	HÄUFIG	DURCHSCHNITTLICH	MITTEL	Anw.-/ Geschäftsspez.
A8-CSRF	Anw.- spezifisch	DURCHSCHNITTLICH	HÄUFIG	EINFACH	MITTEL	Anw.-/ Geschäftsspez.
A9-Komponenten mit Schwachstellen	Anw.- spezifisch	DURCHSCHNITTLICH	SEHR HÄUFIG	SCHWIERIG	MITTEL	Anw.-/ Geschäftsspez.
A10-Ungepr. Weiterltg.	Anw.- spezifisch	DURCHSCHNITTLICH	SELTEN	EINFACH	MITTEL	Anw.-/ Geschäftsspez.

Weitere zu betrachtende Risiken

Die Top 10 deckt bereits sehr viele Problemfelder ab. Es gibt dennoch weitere Risiken, die man in Betracht ziehen und im jeweiligen Unternehmen oder der Organisation evaluieren sollte. Einige von diesen waren schon in früheren Versionen der Top 10 enthalten, andere nicht - wie z.B. neue Angriffs-Techniken. Andere wichtige Risiken sind (in alphabetischer Reihenfolge):

Clickjacking
Concurrency Flaws
Denial of Service (war in der 2004 OWASP Top 10 als Eintrag 2004-A9 enthalten)
Expression Language Injection (CWE-917)
Information Leakage und Improper Error Handling (war Teil der 2007er Top 10 – Eintrag 2007-A6)
Insufficient Anti-automation (CWE-799)
Insufficient Logging and Accountability (floss in 2007 Top 10 – Eintrag 2007-A6)
Lack of Intrusion Detection and Response
Malicious File Execution (war in 2007er Top 10 – Eintrag 2007-A3)
Mass Assignment (CWE-915)
User Privacy, vgl auch OWASP Top 10 Privacy Risks-Projekt

← Anmerkungen zum Risikobegriff

2013 Inhaltsverzeichnis

2013 Die Top-10-Risiken

@@ Line 10: / Line 10: @@
 {{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=top10RiskFactorSummary|language=de}}|width=100%|year=2013|language=de}}
-The following table presents a summary of the 2013 Top 10 Application Security Risks, and the risk factors we have assigned to each risk. These factors were determined based on the available statistics and the experience of the OWASP Top 10 team. To understand these risks for a particular application or organization, <u>you must consider your own specific threat agents and business impacts</u>. Even egregious software weaknesses may not present a serious risk if there are no threat agents in a position to perform the necessary attack or the business impact is negligible for the assets involved.
+Die folgende Tabelle stellt eine Zusammenfassung der Top 10 Risiken für die Anwendungssicherheit in der Version des Jahres
+und der dazugehörigen Risiko-Faktoren dar. Diese Faktoren wurden durch verfügbare Statistiken und die Erfahrung des
+OWASP Top 10 Teams bestimmt.  Um diese Risiken für eine bestimmte Anwendung oder Organisation zu verstehen, muss der
+geneigte Leser seine eigenen, <u>spezifischen Bedrohungsquellen und Auswirkungen auf sein Unternehmen</u> in Betracht ziehen.
+Selbst eklatante Software-Schwachstellen müssen nicht zwangsläufig ein ernsthaftes Risiko darstellen, wenn es z.B. keine
+Bedrohungsquellen gibt, die den notwendigen Angriff ausführen können oder die tatsächlichen Auswirkungen auf das
+Unternehmen und die Geschäftsprozesse zu vernachlässigen sind.
 <center>
 <table style="align:center; border-collapse: collapse; text-align:center; margin: 0px 5px 0px 5px; border: 3px solid #444444;
@@ Line 30: / Line 35: @@
 <td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=1|prevalence=2|detectability=2|impact=1|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 <tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A2-{{Top_10_2010:ByTheNumbers|2|language=de|year=2013}}|A2-{{Top_10:LanguageFile|text=authentication|year=2013|language=de}}]]</td>
 <td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=1|detectability=2|impact=1|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
@@ Line 41: / Line 46: @@
 <td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=0|detectability=1|impact=2|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 <tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2013}}|A4-{{Top_10:LanguageFile|text=insecureDOR|year=2013|language=de}}]]</td><td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=1|prevalence=2|detectability=1|impact=2|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 <tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2013}}|A5-{{Top_10:LanguageFile|text=misconfig|year=2013|language=de}}]]</td>
 <td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=1|prevalence=2|detectability=1|impact=2|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 <tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2013}}|A6-{{Top_10:LanguageFile|text=sensData|year=2013|language=de}}]]</td>
 <td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=3|prevalence=3|detectability=2|impact=1|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 <tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A7-{{Top_10_2010:ByTheNumbers|7|language=de|year=2013}}|A7-{{Top_10:LanguageFile|text=functionAcc|year=2013|language=de}}]]</td>
 <td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=1|prevalence=2|detectability=2|impact=2|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 <tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2013}}|A8-{{Top_10:LanguageFile|text=csrfShort|year=2013|language=de}}]]</td>
 <td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=2|detectability=1|impact=2|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 <tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2013}}|A9-{{Top_10:LanguageFile|text=vulnComponents|year=2013|language=de}}]]</td>
 <td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=1|detectability=3|impact=2|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 <tr><td style="border: 3px solid #444444;">[[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2013}}|A10-{{Top_10:LanguageFile|text=unvalRedirects|year=2013|language=de}}]]</td>
 <td style="border: 3px solid #444444;"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td>
    {{Top_10:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=3|detectability=1|impact=2|language=de|year=2013}}
-<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appSpecific|language=de}}</b></td></tr>
+<td style="border: 3px solid #444444"><b>{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</b></td></tr>
 </table></center> <!-- End risk table -->
@@ Line 81: / Line 86: @@
 {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=whole|title={{Top_10:LanguageFile|text=additionalRisksToConsider|language=de}}|width=100%|year=2013|language=de}}
-The Top 10 cover a lot of ground, but there are many other risks you should consider and evaluate in your organization. Some of these have appeared in previous versions of the Top 10, and others have not, including new attack techniques that are being identified all the time.  Other important application security risks (in alphabetical order) that you should also consider include:
+Die Top 10 deckt bereits sehr viele Problemfelder ab. Es gibt dennoch weitere Risiken, die man in Betracht ziehen und im
-* [https://www.owasp.org/index.php/Clickjacking  Clickjacking]
+jeweiligen Unternehmen oder der Organisation evaluieren sollte. Einige von diesen waren schon in früheren Versionen der Top
-* [https://www.owasp.org/index.php/Testing_for_Race_Conditions_(OWASP-AT-010)  Concurrency Flaws]
+enthalten, andere nicht - wie z.B. neue Angriffs-Techniken. Andere wichtige Risiken sind (in alphabetischer Reihenfolge):
-* [https://www.owasp.org/index.php/Application_Denial_of_Service  Denial of Service] (Was 2004 Top 10 – Entry 2004-A9)
+* [https://www.owasp.org/index.php/Clickjacking  <u>Clickjacking</u>]
-* [https://www.aspectsecurity.com/uploads/downloads/2011/09/ExpressionLanguageInjection.pdf  Expression Language Injection] ([http://cwe.mitre.org/data/definitions/917.html  CWE-917])
+* [https://www.owasp.org/index.php/Testing_for_Race_Conditions_(OWASP-AT-010)  <u>Concurrency Flaws</u>]
-* [http://projects.webappsec.org/Information-Leakage  Information Leakage] and [https://www.owasp.org/index.php/Top_10_2007-A6  Improper Error Handling] (Was part of 2007 Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A6  Entry 2007-A6])
+* [https://www.owasp.org/index.php/Application_Denial_of_Service  <u>Denial of Service</u>] (war in der 2004 OWASP Top 10 als Eintrag 2004-A9 enthalten)
-* [http://projects.webappsec.org/Insufficient+Anti-automation  Insufficient Anti-automation] ([http://cwe.mitre.org/data/definitions/799.html  CWE-799])
+* [https://www.aspectsecurity.com/uploads/downloads/2011/09/ExpressionLanguageInjection.pdf  <u>Expression Language Injection</u>] ([http://cwe.mitre.org/data/definitions/917.html  <u>CWE-917</u>])
-* Insufficient Logging and Accountability (Related to 2007 Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A6  Entry 2007-A6])
+* [http://projects.webappsec.org/Information-Leakage  <u>Information Leakage</u>] und [https://www.owasp.org/index.php/Top_10_2007-A6  <u>Improper Error Handling</u>] (war Teil der 2007er Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A6 <u>Eintrag 2007-A6</u>])
-* [https://www.owasp.org/index.php/ApplicationLayerIntrustionDetection  Lack of Intrusion Detection and Response]
+* [http://projects.webappsec.org/Insufficient+Anti-automation <u>Insufficient Anti-automation</u>] ([http://cwe.mitre.org/data/definitions/799.html  <u>CWE-799</u>])
-* [https://www.owasp.org/index.php/Top_10_2007-A3  Malicious File Execution] (Was 2007 Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A3  Entry 2007-A3])
+* Insufficient Logging and Accountability (floss in 2007 Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A6  <u>Eintrag 2007-A6</u>])
-* [http://en.wikipedia.org/wiki/Mass_assignment_vulnerability  Mass Assignment] ([http://cwe.mitre.org/data/definitions/915.html  CWE-915])
+* [https://www.owasp.org/index.php/ApplicationLayerIntrustionDetection <u>Lack of Intrusion Detection and Response</u>]
-* [https://www.owasp.org/index.php/Privacy_Violation  User Privacy]
+* [https://www.owasp.org/index.php/Top_10_2007-A3  <u>Malicious File Execution</u>] (war in 2007er Top 10 – [https://www.owasp.org/index.php/Top_10_2007-A3  <u>Eintrag 2007-A3</u>])
+* [http://en.wikipedia.org/wiki/Mass_assignment_vulnerability  <u>Mass Assignment</u>] ([http://cwe.mitre.org/data/definitions/915.html  <u>CWE-915</u>])
+* [https://www.owasp.org/index.php/Privacy_Violation <u>User Privacy</u>], vgl auch [[OWASP Top 10 Privacy Risks Project|<u>OWASP Top 10 Privacy Risks</u>]]-Projekt
 {{Top_10:SubsectionTableEndTemplate}}

Difference between revisions of "Germany/Projekte/Top 10-2013-Details zu Risiko-Faktoren"

Latest revision as of 18:10, 27 February 2016

Navigation menu

Personal tools

Namespaces

Variants

Views

More

Search

Navigation

Reference

Tools