This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A1-Injection"
From OWASP
(Changed: Use New Varaibles of 'Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate') |
(2013-Style, die kleinen Bilder 'Bedrohungsquelle'... fehlen noch) |
||
| Line 2: | Line 2: | ||
|useprev=PrevLink_Germany_Projekte | |useprev=PrevLink_Germany_Projekte | ||
|usenext=NextLink_Germany_Projekte | |usenext=NextLink_Germany_Projekte | ||
| − | |prev=Top_10_fuer_Entwickler/ | + | |prev=Top_10_fuer_Entwickler/{{Top_10:LanguageFile|text=risks|language=de}} |
| − | |next=Top_10_fuer_Entwickler/A2_{{ | + | |next=Top_10_fuer_Entwickler/A2_{{Top_10_2010:ByTheNumbers |
|2 | |2 | ||
|language=de | |language=de | ||
| Line 9: | Line 9: | ||
}} | }} | ||
| − | == Seite in Bearbeitung (BAUSTELLE!!) == | + | == Seite in Bearbeitung (BAUSTELLE!!) + Test für Top 10-Style 2013 == |
== A1 Injection (Anfragen an den Interpreter manipulieren)== | == A1 Injection (Anfragen an den Interpreter manipulieren)== | ||
| − | {{ | + | {{Top_10_2010:SummaryTableHeaderBeginTemplate|year=2013|language=de}} |
{{Top_10_2010:SummaryTableValue-1-Template|Ausnutzbarkeit|EINFACH}} | {{Top_10_2010:SummaryTableValue-1-Template|Ausnutzbarkeit|EINFACH}} | ||
{{Top_10_2010:SummaryTableValue-2-Template|Verbreitung|HÄUFIG}} | {{Top_10_2010:SummaryTableValue-2-Template|Verbreitung|HÄUFIG}} | ||
| Line 28: | Line 28: | ||
{{Top_10_2010:SummaryTableEndTemplate}} | {{Top_10_2010:SummaryTableEndTemplate}} | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=main}}{{ | + | {{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=1|year=2013|language=de}} |
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der '''<u>verwundbaren</u>''' SQL-Abfrage: | Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der '''<u>verwundbaren</u>''' SQL-Abfrage: | ||
{{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt --> | {{Top_10_2010:ExampleBeginTemplate}}<span style="color:red;">String query = "SELECT * FROM accounts WHERE custID='" + '''request.getParameter("id")''' +"'";</span>{{Top_10_2010:ExampleEndTemplate}} <!--- ''' ... ''' zum Hervorheben des ungeprüften Pareameters eingefügt --> | ||
| Line 38: | Line 38: | ||
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen. | Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen. | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=1|year=2013|language=de}} |
'''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.''' | '''Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.''' | ||
# Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können. | # Der bevorzugte Ansatz ist die Nutzung einer sicheren API, die den Aufruf von Interpretern vermeidet oder eine typ-gebundene Schnittstelle bereitstellt. Seien Sie vorsichtig bei APIs, z. B. Stored Procedures, die trotz Parametrisierung anfällig für Injection sein können. | ||
| Line 47: | Line 47: | ||
= '''JAVA''' = | = '''JAVA''' = | ||
<!-- z.Z ohne Template ---> | <!-- z.Z ohne Template ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}} |
====Prepared Statements (Parameterized Queries) [nur für SQL]==== | ====Prepared Statements (Parameterized Queries) [nur für SQL]==== | ||
Java - Standard | Java - Standard | ||
| Line 66: | Line 66: | ||
vgl [[Query_Parameterization Cheat Sheet | OWASP Query_Parameterization Cheat Sheet]] | vgl [[Query_Parameterization Cheat Sheet | OWASP Query_Parameterization Cheat Sheet]] | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}} |
====ESAPI==== | ====ESAPI==== | ||
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
| Line 83: | Line 83: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=1|year=2013|language=de}} |
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)==== | ====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)==== | ||
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]]. | Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]]. | ||
| Line 95: | Line 95: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2013|language=de}} |
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | {{Top_10_2010:SubSubsectionOWASPReferencesTemplate}} | ||
* [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]] | * [[SQL_Injection_Prevention_Cheat_Sheet | OWASP SQL Injection Prevention Cheat Sheet]] | ||
| Line 106: | Line 106: | ||
* [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]] | * [[Reviewing_Code_for_OS_Injection | OWASP Code Review Guide: Command Injection]] | ||
* [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)] | * [http://www.youtube.com/watch?v=pypTYPaU7mM OWASP Appsec: Episode 2 - Injection Attacks (Video)] | ||
| − | {{ | + | {{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}} |
* [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection] | * [http://cwe.mitre.org/data/definitions/77.html CWE Entry 77 on Command Injection] | ||
* [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection] | * [http://cwe.mitre.org/data/definitions/89.html CWE Entry 89 on SQL Injection] | ||
| Line 114: | Line 114: | ||
= '''dotNET''' = | = '''dotNET''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}} |
====Prepared Statements (Parameterized Queries) [nur für SQL]==== | ====Prepared Statements (Parameterized Queries) [nur für SQL]==== | ||
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
| Line 128: | Line 128: | ||
vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection] | vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection] | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd: Register für .NET, bitte befüllen<br/> | tbd: Register für .NET, bitte befüllen<br/> | ||
| Line 134: | Line 134: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=1|year=2013|language=de}} |
====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)==== | ====Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)==== | ||
Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].<br/> | Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl [[ESAPI | OWASP's ESAPI]].<br/> | ||
| Line 150: | Line 150: | ||
vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection] | vgl [http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html OWASP Top 10 for .NET developers part 1: Injection] | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=right|risk=1|year=2013|language=de}} |
(optional) | (optional) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=left|risk=1|year=2013|language=de}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
= '''PHP''' = | = '''PHP''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd: Register für PHP, bitte befüllen<br/> | tbd: Register für PHP, bitte befüllen<br/> | ||
| Line 165: | Line 165: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 171: | Line 171: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=1|year=2013|language=de}} |
tbd | tbd | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=1|year=2013|language=de}} |
(optional) | (optional) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2013|language=de}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
= '''Test''' = | = '''Test''' = | ||
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | <!-- weitere Programmiersprachen oder evtl Anti-Beispiele ---> | ||
| − | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{ | + | {{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=1|year=2013|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 190: | Line 190: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=1|year=2013|language=de}} |
{{Top_10_2010:ExampleBeginTemplate}} | {{Top_10_2010:ExampleBeginTemplate}} | ||
tbd | tbd | ||
| Line 196: | Line 196: | ||
{{Top_10_2010:ExampleEndTemplate}} | {{Top_10_2010:ExampleEndTemplate}} | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=3|risk=1|year=2013|language=de}} |
tbd | tbd | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=1|year=2013|language=de}} |
(optional) | (optional) | ||
Text | Text | ||
| − | {{ | + | {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=1|year=2013|language=de}} |
{{Top_10:SubsectionTableEndTemplate}} | {{Top_10:SubsectionTableEndTemplate}} | ||
<headertabs /> | <headertabs /> | ||
| Line 212: | Line 212: | ||
|useprev=PrevLink_Germany_Projekte | |useprev=PrevLink_Germany_Projekte | ||
|usenext=NextLink_Germany_Projekte | |usenext=NextLink_Germany_Projekte | ||
| − | |prev=Top_10_fuer_Entwickler/ | + | |prev=Top_10_fuer_Entwickler/{{Top_10:LanguageFile|text=risks|language=de}} |
| − | |next=Top_10_fuer_Entwickler/A2_{{ | + | |next=Top_10_fuer_Entwickler/A2_{{Top_10_2010:ByTheNumbers |
|2 | |2 | ||
|language=de | |language=de | ||
Revision as of 08:17, 18 April 2013
| ← Top_10_fuer_Entwickler/Risiken | Top_10_fuer_Entwickler/A2_Cross-Site Scripting (XSS) → |
Seite in Bearbeitung (BAUSTELLE!!) + Test für Top 10-Style 2013
A1 Injection (Anfragen an den Interpreter manipulieren)
| Bedrohungsquellen | Angriffsvektoren | Schwachstellen | Technische Auswirkung | Auswirkung auf das Unternehmen | |
|---|---|---|---|---|---|
|
Anwendungs- spezifisch |
Ausnutzbarkeit EINFACH |
Verbreitung HÄUFIG |
Auffindbarkeit DURCHSCHNITTLICH |
Auswirkung SCHWERWIEGEND |
Application / Business Specific |
| Jeder, der Daten, die nicht aus-reichend geprüft werden, an das System übermitteln kann: externe und interne Nutzer sowie Administratoren. | Der Angreifer sendet einfache text-basierte Angriffe, die die Syntax des Zielinterpreters missbrauchen. Fast jede Datenquelle kann einen Injection-Vektor darstellen, einschließlich interner Quellen. | Injection-Schwachstellen tauchen auf, wenn eine Anwendung nicht vertrauens-würdige Daten an einen Interpreter weiterleitet. Injection Schwachstellen sind weit verbreitet, besonders in altem Code; sie finden sich in SQL-, LDAP- und XPath-Anfragen, Systembefehlen, Programm-parametern usw. Injection-Schwachstellen lassen sich durch Code-Prüfungen einfach entdecken, schwieriger durch externe Tests. Scanner und Fuzzer können hier unterstützen. | Injection kann zu Datenverlust oder -verfälschung, Fehlen von Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. | Der Wert betroffener Daten für das Unternehmen sowie die Laufzeitumgebung des Interpreters sind zu berücksichtigen. Daten können entwendet, verändert, gelöscht werden. Kann Image-Schaden enstehen? | |
|
Mögliche Angriffsszenarien
Die Anwendung nutzt ungeprüfte Eingabedaten bei der Konstruktion der verwundbaren SQL-Abfrage: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";
Durch das alleinige Vertrauen auf Frameworks kann die Abfrage verwundbar bleiben (z.B. Hibernate Query Language (HQL)): Query unsafeHQLQuery = session.createQuery("from accounts where custID='"+request.getParameter("id")+"'");
Der Angreifer verändert den 'id'-Parameter im Browser und übermittelt: ' or '1'='1. Hierdurch wird die Logik der Anfrage so verändert, dass alle Datensätze der Tabelle accounts ohne Einschränkung auf den Kunden zurückgegeben werden. http://example.com/app/accountView?id=' or '1'='1
Im schlimmsten Fall nutzt der Angreifer die Schwachstelle, um spezielle Funktionalitäten der Datenbank zu nutzen, die ihm ermöglichen, die Datenbank und möglicherweise den Server der Datenbank zu übernehmen. |
Wie kann ich 'Injection' verhindern?
Das Verhindern von Injection erfordert das konsequente Trennen von Eingabedaten und Befehlen.
|
|
Verteidigungs-Option 1 gegen 'Injection':
Prepared Statements (Parameterized Queries) [nur für SQL]Java - Standard String custname = request.getParameter("customerName"); // This should REALLY be validated too Java - Hibernate String userSuppliedParameter = request.getParameter("id"); // This should REALLY be validated too |
Verteidigungs-Option 2 gegen 'Injection':
ESAPItbd |
|
Verteidigungs-Option 3 gegen 'Injection':
Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI. Codec ORACLE_CODEC = new OracleCodec(); //added
|
Referenzen
OWASP
Andere |
|
Verteidigungs-Option 1 gegen 'Injection':
Prepared Statements (Parameterized Queries) [nur für SQL]var conn = new SqlConnection(connString);
|
Verteidigungs-Option 2 gegen 'Injection':
tbd: Register für .NET, bitte befüllen |
|
Verteidigungs-Option 3 gegen 'Injection':
Benutzereingaben sorgfältig prüfen und entschärfen (Escaping All User Supplied Input)Diese Technik sollte bei SQL nur als Zusatzmaßnahme, oder als Notlösung für alte Software in Betracht gezogen werden, für die anderen Typen ist sie die einzige, bekannte Maßnahme. Die Metazeichen sind je Backend-Typ und meist auch je Backend-Hersteller unterschiedlich (z.B. Datenbank-Hersteller), vgl OWASP's ESAPI. var catID = Request.QueryString["CategoryID"];
} |
Auswirkung(en) auf den Benutzer
(optional) Text |
|
Referenzen
|
|
Verteidigungs-Option 1 gegen 'Injection':
tbd: Register für PHP, bitte befüllen |
Verteidigungs-Option 2 gegen 'Injection':
tbd Text |
|
Verteidigungs-Option 3 gegen 'Injection':
tbd Text | |
|
Auswirkung(en) auf den Benutzer
(optional) Text |
Referenzen
|
|
Verteidigungs-Option 1 gegen 'Injection':
tbd Text |
Verteidigungs-Option 2 gegen 'Injection':
tbd Text |
|
Verteidigungs-Option 3 gegen 'Injection':
tbd Text | |
|
Auswirkung(en) auf den Benutzer
(optional) Text |
Referenzen
|
| ← Top_10_fuer_Entwickler/Risiken | Top_10_fuer_Entwickler/A2_Cross-Site Scripting (XSS) → |
