This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/Neuerungen"

From OWASP
Jump to: navigation, search
(Created page with "{{Top_10_2013_DeveloperEdition:TopTemplate |usenext=2013NextLinkDeveloperEdition |next={{Top_10:LanguageFile|text=risk|year=2013|language=de}} |useprev=2013PrevLin...")
 
(Updated according to OWASP Top10 2013 DE)
 
(3 intermediate revisions by the same user not shown)
Line 8: Line 8:
 
}}
 
}}
  
 +
{{Top_10_2010:SubsectionColoredTemplate
 +
      |{{Top_10:LanguageFile|text=releaseNotes|year=2013|language=de}}
 +
      ||year=2013
 +
}}
 
{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=whatChangedFrom2010to2013|year=2013|language=de}}|width=100%|year=2013|language=de}}
 
{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title={{Top_10:LanguageFile|text=whatChangedFrom2010to2013|year=2013|language=de}}|width=100%|year=2013|language=de}}
The threat landscape for applications security constantly changes. Key factors in this evolution are advances made by attackers, the release of new technologies with new weaknesses as well as more built in defenses, and the deployment of increasingly complex systems. To keep pace, we periodically update the OWASP Top 10. In this 2013 release, we made the following changes:
+
Die Bedrohungen für die Sicherheit von Anwendungen ändern sich permanent. Schlüsselfaktoren dieser Weiterentwicklung sind die Fortschritte, die Angreifer machen, Veröffentlichungen neuer Technologien mit neuen Schwachstellen oder integrierte Abwehrmechanismen und der Einsatz immer komplexerer Systeme. Um mit dieser Entwicklung Schritt zu halten, aktualisieren wir die OWASP Top 10 regelmäßig. In der vorliegenden Version 2013 gibt es die folgenden Änderungen:
 
<ol>
 
<ol>
<li>Broken Authentication and Session Management moved up in prevalence based on our data set,. Probably because this area is being looked at harder, not because issues are actually more prevalent. This caused Risks A2 and A3 to switch places.</li>
+
 
<li>Cross-Site Request Forgery (CSRF) moved down in prevalence based on our data set from 2010-A5 to 2013-A8. We believe this is because CSRF has been in the OWASP Top 10 for 6 years, and organizations and framework developers have focused on it enough to significantly reduce the number of CSRF vulnerabilities in real world applications.</li>
+
<li>Die Häufigkeit der Kategorie „''Fehler in Authentifizierung und Session Management''“ ist den Daten nach gestiegen. Wir glauben, dass dies nicht an einer tatsächlichen Steigerung der Häufigkeit liegt, sondern daran, dass dieser Bereich stärker in den Fokus geraten ist. Daher sind die Risiken A2 und A3 in ihrer Reihenfolge getauscht worden</li>
<li>We broadened Failure to Restrict URL Access from the 2010 OWASP Top 10 to be more inclusive:
+
 
 +
<li>„''Cross-Site Request Forgery (CSRF)''” rutschte aufgrund unserer Datenbasis in der Häufigkeit von 2010-A5 auf 2013-A8. CSRF ist seit 6 Jahren in den OWASP Top 10 zu finden. Wir glauben, dass sich daher in dieser Zeit Organisationen, Firmen und Entwickler von Frameworks genug mit diesem Thema beschäftigt haben, um die Zahl von CSRF-Schwachstellen in produktiven Anwendungen signifikant zu senken.</li>
 +
 
 +
<li>Wir haben die Kategorie „''Mangelhafter URL-Zugriffschutz''” aus den OWASP Top 10 2010 erweitert und verallgemeinert:
 
<p style="padding-left: 2em; text-indent: -2em;">
 
<p style="padding-left: 2em; text-indent: -2em;">
+&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2010-A8: Failure to Restrict URL Access is now <u>2013-A7: Missing Function Level Access Control</u> – to cover all of function level access control. There are many ways to specify which function is being accessed, not just the URL.</p></li>
+
+&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2010-A8:„''Mangelhafter URL-Zugriffschutz''” ist nun zu 2013-A7: „''Fehlerhafte Autorisierung auf Anwendungsebene''” geworden. Um den Zugriffsschutz und die Autorisierung auf Anwendungsebene sicherzustellen gibt es viele Möglichkeiten, eben nicht nur die URL.</p></li>
<li>We merged and broadened 2010-A7 & 2010-A9 to CREATE: <u>2013-A6: Sensitive Data Exposure</u>:
+
 
 +
<li>2010-A7 und A9 wurden zusammengefasst, um daraus 2013-A6: „''Verlust der Vertraulichkeit sensibler Daten''“ zu machen:
 
<p style="padding-left: 2em; text-indent: -2em;">
 
<p style="padding-left: 2em; text-indent: -2em;">
-&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;This new category was created by merging 2010-A7 – Insecure Cryptographic Storage  & 2010-A9 - Insufficient Transport Layer Protection, plus adding browser side sensitive data risks as well. This new category covers sensitive data protection (other than access control which is covered by 2013-A4 and 2013-A7) from the moment sensitive data is provided by the user, sent to and stored within the application, and then sent back to the browser again.</p></li>
+
-&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Diese neue Kategorie wurde durch das Zusammenlegen von 2010-A7 – „''Kryptografisch unsichere Speicherung''“ und 2010-A9 – „''Unzureichende Absicherung der Transportschicht''“ zusätzlich mit den Risiken sensibler Daten im Browser geschaffen. Sie beinhaltet den Schutz der Vertraulichkeit sensibler Daten (anders als die Zugriffskontrollen aus 2013-A4 und 2013-A7) vom Moment der Eingabe über den Transport zum Server, die Verarbeitung und die Speicherung im Server bis hin zur erneuten Auslieferung an den Benutzer.</p></li>
<li>We added: <u>2013-A9: Using Components with Known Vulnerabilities</u>:
+
 
 +
<li>Wir haben 2013-A9: „''Verwendung von Komponenten mit bekannten Schwachstellen''” hinzugefügt::
 
<p style="padding-left: 2em; text-indent: -2em;">
 
<p style="padding-left: 2em; text-indent: -2em;">
+&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;This issue was mentioned as part of 2010-A6 – Security Misconfiguration, but now has a category of its own as the growth and depth of component based development has significantly increased the risk of using components with known vulnerabilities.</p></li>
+
+&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dieser Punkt wurde als Teil von 2010-A6 – „''Sicherheitsrelevante Fehlkonfiguration''” erwähnt, nun aber zur eigenen Kategorie gemacht: Die generelle Zunahme und die steigende Komplexität von komponentenbasierten Entwicklungen hat das Risiko, Komponenten mit bekannten Schwachstellen einzusetzen, signifikant erhöht.</p></li>
 
</ol>
 
</ol>
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
Line 28: Line 37:
 
{| style="width: 99%; align:center; text-align:center; border: 2px solid #4d953d; background-color:#F2F2F2; padding=2;"  
 
{| style="width: 99%; align:center; text-align:center; border: 2px solid #4d953d; background-color:#F2F2F2; padding=2;"  
 
|- style="background-color: #4d953d; color: #FFFFFF;"
 
|- style="background-color: #4d953d; color: #FFFFFF;"
! OWASP Top 10 - 2010 (Previous Version) !! OWASP Top 10 - 2013 (Current Version)
+
! OWASP Top 10 - 2010 (alt) !! OWASP Top 10 - 2013 (neu)
 
|- style="background-color: #FFFFFF;"  
 
|- style="background-color: #FFFFFF;"  
| [[Top_10_2010-A1 | A1-Injection]]
+
| [[Top_10_2010-A1 | A1-{{Top_10_2010:ByTheNumbers|1|language=de|year=2010}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A1-{{Top_10_2010:ByTheNumbers|1|language=de|year=2013}}|A1-{{Top_10_2010:ByTheNumbers|1|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A1-{{Top_10_2010:ByTheNumbers|1|language=de|year=2013}}|A1-{{Top_10_2010:ByTheNumbers|1|language=de|year=2013}}]]
 
|- style="background-color: #FFFFFF;"  
 
|- style="background-color: #FFFFFF;"  
| [[Top_10_2010-A3 | A3-Broken Authentication and Session Management]]
+
| [[Top_10_2010-A3 | A3-{{Top_10_2010:ByTheNumbers|3|language=de|year=2010}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A2-{{Top_10_2010:ByTheNumbers|2|language=de|year=2013}}|A2-{{Top_10_2010:ByTheNumbers|2|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A2-{{Top_10_2010:ByTheNumbers|2|language=de|year=2013}}|A2-{{Top_10_2010:ByTheNumbers|2|language=de|year=2013}}]]
 
|- style="background-color: #FFFFFF;"  
 
|- style="background-color: #FFFFFF;"  
| [[Top_10_2010-A2 | A2-Cross Site Scripting (XSS)]]
+
| [[Top_10_2010-A2 | A2-{{Top_10_2010:ByTheNumbers|2|language=de|year=2010}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A3-{{Top_10_2010:ByTheNumbers|3|language=de|year=2013}}|A3-{{Top_10_2010:ByTheNumbers|3|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A3-{{Top_10_2010:ByTheNumbers|3|language=de|year=2013}}|A3-{{Top_10_2010:ByTheNumbers|3|language=de|year=2013}}]]
 
|- style="background-color: #FFFFFF;"  
 
|- style="background-color: #FFFFFF;"  
| [[Top_10_2010-A4 | A4-Insecure Direct Object Reference]]
+
| [[Top_10_2010-A4 | A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2010}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2013}}|A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2013}}|A4-{{Top_10_2010:ByTheNumbers|4|language=de|year=2013}}]]
 
|- style="background-color: #FFFFFF;"  
 
|- style="background-color: #FFFFFF;"  
| [[Top_10_2010-A6 | A6-Security Misconfiguration]]
+
| [[Top_10_2010-A6 | A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2010}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2013}}|A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2013}}|A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2013}}]]
 
|- style="background-color: #D7D6C0;"  
 
|- style="background-color: #D7D6C0;"  
| [[Top_10_2010-A7 | A7-Insecure Cryptographic Storage - Merged with A9 -->]]
+
| [[Top_10_2010-A7 | A7-{{Top_10_2010:ByTheNumbers|7|language=de|year=2010}} - mit A9 -->]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2013}}|A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2013}}|A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2013}}]]
 
|- style="background-color: #D7D6C0;"  
 
|- style="background-color: #D7D6C0;"  
| [[Top_10_2010-A8 | A8-Failure to Restrict URL Access - Broadened into -->]]
+
| [[Top_10_2010-A8 | A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2010}} - erweitert zu -->]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A7-{{Top_10_2010:ByTheNumbers|7|language=de|year=2013}}|A7-{{Top_10_2010:ByTheNumbers|7|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A7-{{Top_10_2010:ByTheNumbers|7|language=de|year=2013}}|A7-{{Top_10_2010:ByTheNumbers|7|language=de|year=2013}}]]
 
|- style="background-color: #FFFFFF;"  
 
|- style="background-color: #FFFFFF;"  
| [[Top_10_2007-A5 | A5-Cross Site Request Forgery (CSRF)]]
+
| [[Top_10_2007-A5 | A5-{{Top_10_2010:ByTheNumbers|5|language=de|year=2010}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2013}}|A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2013}}|A8-{{Top_10_2010:ByTheNumbers|8|language=de|year=2013}}]]
 
|- style="background-color: #D7D6C0;"  
 
|- style="background-color: #D7D6C0;"  
| [[Top_10_2010-A6 | <buried in A6: Security Misconfiguration>]]
+
| [[Top_10_2010-A6 | <Teil von A6: {{Top_10_2010:ByTheNumbers|6|language=de|year=2010}}>]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2013}}|A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2013}}|A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2013}}]]
 
|- style="background-color: #FFFFFF;"  
 
|- style="background-color: #FFFFFF;"  
| [[Top_10_2010-A10 | A10-Unvalidated Redirects and Forwards]]
+
| [[Top_10_2010-A10 | A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2010}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2013}}|A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2013}}]]
 
| [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2013}}|A10-{{Top_10_2010:ByTheNumbers|10|language=de|year=2013}}]]
 
|- style="background-color: #E6B9B8;"  
 
|- style="background-color: #E6B9B8;"  
| [[Top_10_2010-A9 | A9-Insufficient Transport Layer Protection]]
+
| [[Top_10_2010-A9 | A9-{{Top_10_2010:ByTheNumbers|9|language=de|year=2010}}]]
| Merged with [[Top_10_2010-A7 | 2010-A7]] into [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2013}}|2013-A6]]
+
| Zusammen mit [[Top_10_2010-A7 | 2010-A7]] nun im neuen [[{{Top_10:LanguageFile|text=documentRootTop10|year=2013|language=de}}-A6-{{Top_10_2010:ByTheNumbers|6|language=de|year=2013}}|2013-A6]]
 
|}
 
|}
 
</center>
 
</center>

Latest revision as of 16:15, 25 February 2016

← Einleitung
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Risiko →
Neuerungen
Was hat sich von Version 2010 zu 2013 verändert?

Die Bedrohungen für die Sicherheit von Anwendungen ändern sich permanent. Schlüsselfaktoren dieser Weiterentwicklung sind die Fortschritte, die Angreifer machen, Veröffentlichungen neuer Technologien mit neuen Schwachstellen oder integrierte Abwehrmechanismen und der Einsatz immer komplexerer Systeme. Um mit dieser Entwicklung Schritt zu halten, aktualisieren wir die OWASP Top 10 regelmäßig. In der vorliegenden Version 2013 gibt es die folgenden Änderungen:

  1. Die Häufigkeit der Kategorie „Fehler in Authentifizierung und Session Management“ ist den Daten nach gestiegen. Wir glauben, dass dies nicht an einer tatsächlichen Steigerung der Häufigkeit liegt, sondern daran, dass dieser Bereich stärker in den Fokus geraten ist. Daher sind die Risiken A2 und A3 in ihrer Reihenfolge getauscht worden
  2. Cross-Site Request Forgery (CSRF)” rutschte aufgrund unserer Datenbasis in der Häufigkeit von 2010-A5 auf 2013-A8. CSRF ist seit 6 Jahren in den OWASP Top 10 zu finden. Wir glauben, dass sich daher in dieser Zeit Organisationen, Firmen und Entwickler von Frameworks genug mit diesem Thema beschäftigt haben, um die Zahl von CSRF-Schwachstellen in produktiven Anwendungen signifikant zu senken.
  3. Wir haben die Kategorie „Mangelhafter URL-Zugriffschutz” aus den OWASP Top 10 2010 erweitert und verallgemeinert:

    +     2010-A8:„Mangelhafter URL-Zugriffschutz” ist nun zu 2013-A7: „Fehlerhafte Autorisierung auf Anwendungsebene” geworden. Um den Zugriffsschutz und die Autorisierung auf Anwendungsebene sicherzustellen gibt es viele Möglichkeiten, eben nicht nur die URL.

  4. 2010-A7 und A9 wurden zusammengefasst, um daraus 2013-A6: „Verlust der Vertraulichkeit sensibler Daten“ zu machen:

    -     Diese neue Kategorie wurde durch das Zusammenlegen von 2010-A7 – „Kryptografisch unsichere Speicherung“ und 2010-A9 – „Unzureichende Absicherung der Transportschicht“ zusätzlich mit den Risiken sensibler Daten im Browser geschaffen. Sie beinhaltet den Schutz der Vertraulichkeit sensibler Daten (anders als die Zugriffskontrollen aus 2013-A4 und 2013-A7) vom Moment der Eingabe über den Transport zum Server, die Verarbeitung und die Speicherung im Server bis hin zur erneuten Auslieferung an den Benutzer.

  5. Wir haben 2013-A9: „Verwendung von Komponenten mit bekannten Schwachstellen” hinzugefügt::

    +     Dieser Punkt wurde als Teil von 2010-A6 – „Sicherheitsrelevante Fehlkonfiguration” erwähnt, nun aber zur eigenen Kategorie gemacht: Die generelle Zunahme und die steigende Komplexität von komponentenbasierten Entwicklungen hat das Risiko, Komponenten mit bekannten Schwachstellen einzusetzen, signifikant erhöht.

OWASP Top 10 - 2010 (alt) OWASP Top 10 - 2013 (neu)
A1-Injection A1-Injection
A3-Fehler in Authentifizierung und Session-Management A2-Fehler in Authentifizierung und Session-Management
A2-Cross-Site Scripting (XSS) A3-Cross-Site Scripting (XSS)
A4-Unsichere direkte Objektreferenzen A4-Unsichere direkte Objektreferenzen
A6-Sicherheitsrelevante Fehlkonfiguration A5-Sicherheitsrelevante Fehlkonfiguration
A7-Kryptografisch unsichere Speicherung - mit A9 --> A6-Verlust der Vertraulichkeit sensibler Daten
A8-Mangelhafter URL-Zugriffsschutz - erweitert zu --> A7-Fehlerhafte Autorisierung auf Anwendungsebene
A5-Cross-Site Request Forgery (CSRF) A8-Cross-Site Request Forgery (CSRF)
<Teil von A6: Sicherheitsrelevante Fehlkonfiguration> A9-Nutzung von Komponenten mit bekannten Schwachstellen
A10-Ungeprüfte Um- und Weiterleitungen A10-Ungeprüfte Um- und Weiterleitungen
A9-Unzureichende Absicherung der Transportschicht Zusammen mit 2010-A7 nun im neuen 2013-A6
← Einleitung
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

Risiko →

© 2002-2013 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png