This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/Einleitung"
m (Doppelte 'language'-Variable in Top_10_2013_DeveloperEdition:BottomAdvancedTemplate gelöscht) |
(Deutsche Übersetzung der OWASP Top10-2013 eingefügt) |
||
| (One intermediate revision by the same user not shown) | |||
| Line 7: | Line 7: | ||
|language=de | |language=de | ||
}} | }} | ||
| − | + | {{Top_10_2010:SubsectionColoredTemplate | |
| + | |{{Top_10:LanguageFile|text=introduction|year=2013|language=de}} | ||
| + | ||year=2013 | ||
| + | }} | ||
{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=welcome|language=de}}|year=2013|language=de}} | {{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=welcome|language=de}}|year=2013|language=de}} | ||
| − | + | Willkommen zu den OWASP Top 10 2013! Diese Neufassung erweitert eine der Kategorien aus der 2010-Edition um verbreitete, wichtige Schwachstellen und gewichtet einige der anderen neu entsprechend der sich ändernden Häufigkeit. Neu im Rampenlicht erscheint die Sicherheit von Plattformkomponenten. Dieses Risiko wird durch das Schaffen einer eigenen Kategorie ([[{{Top_10:LanguageFile|text=documentRootTop10DeveloperEdition|language=de|year=2013}}/A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2013}}|A9 – {{Top_10_2010:ByTheNumbers|9|language=de|year=2013}}]]) in dieser Ausgabe besser gewürdigt. | |
| − | + | Die OWASP Top 10 für 2013 basieren auf acht Datenerhebungen von sieben auf Anwendungssicherheit spezialisierten Firmen, darunter vier Beratungsunternehmen und drei Software/SaaS-Anbieter. Diese Daten umfassen mehr als 500.000 Schwachstellen in hunderten von Unternehmen und tausenden von Anwendungen. Die Top 10 Themen wurden entsprechend diesen Statistiken ausgewählt und priorisiert, zusammen mit einmütigen Schätzungen zur Ausnutzbarkeit, Auffindbarkeit und den Auswirkungen. | |
| − | + | Es ist das Hauptziel der OWASP Top 10, Entwickler, Designer, Architekten und Führungskräfte von Organisationen und Unternehmen über die Risiken der wichtigsten Schwachstellen von Webanwendungen aufzuklären. Die Top 10 stellen grundlegende Techniken zum Schutz gegen diese hochriskanten Probleme vor. Sie zeigen auch auf, wie es danach weitergeht. | |
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=left|title={{Top_10:LanguageFile|text=warnings|language=de}}|year=2013|language=de}} | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=left|title={{Top_10:LanguageFile|text=warnings|language=de}}|year=2013|language=de}} | ||
| − | ''' | + | '''Hören Sie nicht bei 10 auf!''' Es gibt hunderte von Problemen, die die Sicherheit von Webanwendungen beeinflussen können, wie im [[OWASP_Guide_Project | OWASP Developer’s Guide]] und der [[Cheat_Sheets | OWASP Cheat Sheet Series]] dargestellt. Diese sollten Pflichtlektüre für jeden Entwickler von Webanwendungen sein. Anleitungen |
| − | + | zum Aufspüren von Schwachstellen werden durch die Dokumente [https://www.owasp.org/index.php/Category:OWASP_Testing_Project OWASP Testing Guide] und [https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project OWASP Code Review Guide] bereitgestellt. | |
| − | |||
| − | ''' | + | '''Kontinuierliche Änderungen.''' Die Top 10 werden sich fortlaufend verändern. Auch ohne eine einzige Zeile Code in Ihrer Anwendung zu ändern, können Sie sich als verwundbar für einen Angriff erweisen, falls neue Lücken bekannt oder Angriffsmethoden verbessert werden. Beachten Sie den Hinweis am Ende in ''„Nächste Schritte für Entwickler, Prüfer und Organisationen“''. |
| − | ''' | + | '''Denken Sie weiter!''' Wenn Sie bereit sind, nicht mehr nur Schwachstellen nachzurennen und statt dessen den Fokus auf starke Sicherheitsmaßnahmen in Anwendungen richten, |
| + | nutzen Sie den [[ASVS | Application Security Verification Standard (ASVS) zur Entwicklung und Überprüfung]]. | ||
| − | ''' | + | '''Nutzen Sie Werkzeuge sinnvoll!''' Sicherheitsschwachstellen können komplex und in Unmengen von Code versteckt sein. In vielen Fällen ist ein effizienter Ansatz zum Finden und Beseitigen von Schwachstellen der Einsatz von Experten, die mit den richtigen Werkzeugen umgehen können. |
| + | '''Schauen Sie über den Tellerrand!''' Machen Sie Sicherheit zu einem integrierten Bestandteil Ihrer IT-Organisation. | ||
| + | Informieren Sie sich über das [https://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Model Open Software Assurance Maturity Model (SAMM)]. | ||
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=right|title={{Top_10:LanguageFile|text=attribution|language=de}}|year=2013|language=de}} | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=right|title={{Top_10:LanguageFile|text=attribution|language=de}}|year=2013|language=de}} | ||
| − | + | Unser Dank gilt Jeff Williams und Dave Wichers von [https://www.aspectsecurity.com/ Aspect Security], die die OWASP Top 10 seit 2003 vorantreiben. | |
| − | + | ||
| − | + | Darüber hinaus bedanken wir uns bei den weiteren Organisationen, die Informationen zur Verbreitung von Schwachstellen bereitgestellt haben: | |
| − | |||
| − | |||
* [https://www.aspectsecurity.com/ Aspect Security] | * [https://www.aspectsecurity.com/ Aspect Security] | ||
| − | * [http://www.hpenterprisesecurity.com/ HP] – | + | * [http://www.hpenterprisesecurity.com/ HP] – [http://www.hpenterprisesecurity.com/collateral/whitepaper/HP2012CyberRiskReport_0313.pdf Statistics] (Fortify und WebInspect) |
* [http://www.mindedsecurity.com/ Minded Security] – [http://blog.mindedsecurity.com/2013/02/real-life-vulnerabilities-statistics.html Statistics] | * [http://www.mindedsecurity.com/ Minded Security] – [http://blog.mindedsecurity.com/2013/02/real-life-vulnerabilities-statistics.html Statistics] | ||
* [http://www.softtek.com/ Softtek] – [https://www.softtek.com/webdocs/special_pdfs/WP-State-of-the-art-2013.pdf Statistics] | * [http://www.softtek.com/ Softtek] – [https://www.softtek.com/webdocs/special_pdfs/WP-State-of-the-art-2013.pdf Statistics] | ||
| − | * [https://www.trustwave.com/spiderlabs/ Trustwave, Spiderlabs] – [http://www2.trustwave.com/rs/trustwave/images/2013-Global-Security-Report.pdf Statistics] ( | + | * [https://www.trustwave.com/spiderlabs/ Trustwave, Spiderlabs] – [http://www2.trustwave.com/rs/trustwave/images/2013-Global-Security-Report.pdf Statistics] (siehe Seite 50) |
* [http://www.veracode.com/ Veracode] – [http://info.veracode.com/rs/veracode/images/VERACODE-SOSS-V4.PDF Statistics] | * [http://www.veracode.com/ Veracode] – [http://info.veracode.com/rs/veracode/images/VERACODE-SOSS-V4.PDF Statistics] | ||
* [https://www.whitehatsec.com/ WhiteHat Security Inc.] – [http://owasptop10.googlecode.com/files/WPstats_winter11_11th.pdf Statistics] | * [https://www.whitehatsec.com/ WhiteHat Security Inc.] – [http://owasptop10.googlecode.com/files/WPstats_winter11_11th.pdf Statistics] | ||
| − | + | Wir danken auch jedem, der zu den Vorgänger-Editionen der Top 10 beigetragen hat. Folgende Personen haben in | |
| − | + | signifikanter Weise an der vorliegenden Fassung mitgewirkt: | |
* Adam Baso ([http://wikimediafoundation.org/wiki/Home Wikimedia Foundation]) | * Adam Baso ([http://wikimediafoundation.org/wiki/Home Wikimedia Foundation]) | ||
* Mike Boberski (Booz Allen Hamilton) | * Mike Boberski (Booz Allen Hamilton) | ||
* Torsten Gigler | * Torsten Gigler | ||
| − | * Neil Smithline – ([http://www.MorphoTrust.com MorphoTrust USA]) | + | * Neil Smithline – ([http://www.MorphoTrust.com MorphoTrust USA]) für das Erstellen des Top 10-Wikis und das Feedback |
| + | |||
| + | Das englische Original der Top 10 - 2013 finden Sie [https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project hier]. | ||
| − | + | Die deutsche Übersetzung der Top 10 - 2013 kann [[Germany/Projekte/Top_10 | hier]] heruntergeladen werden. | |
| + | Die Top 10 wurden und werden weltweit [https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Translation_Efforts_2 in viele Sprachen] übersetzt. | ||
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate | {{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate | ||
Latest revision as of 11:31, 14 February 2016
|
Herzlich Willkommen
Willkommen zu den OWASP Top 10 2013! Diese Neufassung erweitert eine der Kategorien aus der 2010-Edition um verbreitete, wichtige Schwachstellen und gewichtet einige der anderen neu entsprechend der sich ändernden Häufigkeit. Neu im Rampenlicht erscheint die Sicherheit von Plattformkomponenten. Dieses Risiko wird durch das Schaffen einer eigenen Kategorie (A9 – Nutzung von Komponenten mit bekannten Schwachstellen) in dieser Ausgabe besser gewürdigt. Die OWASP Top 10 für 2013 basieren auf acht Datenerhebungen von sieben auf Anwendungssicherheit spezialisierten Firmen, darunter vier Beratungsunternehmen und drei Software/SaaS-Anbieter. Diese Daten umfassen mehr als 500.000 Schwachstellen in hunderten von Unternehmen und tausenden von Anwendungen. Die Top 10 Themen wurden entsprechend diesen Statistiken ausgewählt und priorisiert, zusammen mit einmütigen Schätzungen zur Ausnutzbarkeit, Auffindbarkeit und den Auswirkungen. Es ist das Hauptziel der OWASP Top 10, Entwickler, Designer, Architekten und Führungskräfte von Organisationen und Unternehmen über die Risiken der wichtigsten Schwachstellen von Webanwendungen aufzuklären. Die Top 10 stellen grundlegende Techniken zum Schutz gegen diese hochriskanten Probleme vor. Sie zeigen auch auf, wie es danach weitergeht. | |
|
Zur Beachtung
Hören Sie nicht bei 10 auf! Es gibt hunderte von Problemen, die die Sicherheit von Webanwendungen beeinflussen können, wie im OWASP Developer’s Guide und der OWASP Cheat Sheet Series dargestellt. Diese sollten Pflichtlektüre für jeden Entwickler von Webanwendungen sein. Anleitungen zum Aufspüren von Schwachstellen werden durch die Dokumente OWASP Testing Guide und OWASP Code Review Guide bereitgestellt. Kontinuierliche Änderungen. Die Top 10 werden sich fortlaufend verändern. Auch ohne eine einzige Zeile Code in Ihrer Anwendung zu ändern, können Sie sich als verwundbar für einen Angriff erweisen, falls neue Lücken bekannt oder Angriffsmethoden verbessert werden. Beachten Sie den Hinweis am Ende in „Nächste Schritte für Entwickler, Prüfer und Organisationen“. Denken Sie weiter! Wenn Sie bereit sind, nicht mehr nur Schwachstellen nachzurennen und statt dessen den Fokus auf starke Sicherheitsmaßnahmen in Anwendungen richten, nutzen Sie den Application Security Verification Standard (ASVS) zur Entwicklung und Überprüfung. Nutzen Sie Werkzeuge sinnvoll! Sicherheitsschwachstellen können komplex und in Unmengen von Code versteckt sein. In vielen Fällen ist ein effizienter Ansatz zum Finden und Beseitigen von Schwachstellen der Einsatz von Experten, die mit den richtigen Werkzeugen umgehen können. Schauen Sie über den Tellerrand! Machen Sie Sicherheit zu einem integrierten Bestandteil Ihrer IT-Organisation. Informieren Sie sich über das Open Software Assurance Maturity Model (SAMM). |
Namensnennung/Danksagung
Unser Dank gilt Jeff Williams und Dave Wichers von Aspect Security, die die OWASP Top 10 seit 2003 vorantreiben. Darüber hinaus bedanken wir uns bei den weiteren Organisationen, die Informationen zur Verbreitung von Schwachstellen bereitgestellt haben:
Wir danken auch jedem, der zu den Vorgänger-Editionen der Top 10 beigetragen hat. Folgende Personen haben in signifikanter Weise an der vorliegenden Fassung mitgewirkt:
Das englische Original der Top 10 - 2013 finden Sie hier. Die deutsche Übersetzung der Top 10 - 2013 kann hier heruntergeladen werden. Die Top 10 wurden und werden weltweit in viele Sprachen übersetzt. |
