OWASP Top Ten

OWASP steht für Open Worldwide Application Security Project und ist eine weltweit anerkannte, gemeinnützige Organisation, die sich der Verbesserung der Sicherheit von Software verschrieben hat. Das Ziel von OWASP ist es, Entwicklern, Unternehmen und Sicherheitsexperten frei zugängliche Werkzeuge,
Dokumentationen und Best Practices zur Verfügung zu stellen, um Anwendungen sicherer zu gestalten. Die Community/OWASP-Community veröffentlicht regelmäßig Leitfäden, Tools und Schulungsmaterialien - eines der bekanntesten Projekte ist die OWASP Top 10, eine Liste der zehn kritischsten Sicherheitsrisiken für
Webanwendungen.

• A01:Broken Access Control Fehler in der Zugriffskontrolle, die unberechtigte Zugriffe ermöglichen.
• A02:Cryptographic Failures Unsichere oder fehlerhafte Implementierungen von Verschlüsselung.
• A03:Injection Einschleusen von bösartigem Code (z. B. SQL-, LDAP-, oder OS-Injection).
• A04:Insecure Design Unsichere Architekturentscheidungen oder fehlende Sicherheitsprinzipien.
• A05:Security Misconfiguration Fehlkonfigurationen von Servern, Frameworks oder Datenbanken.
• A06:Vulnerable and Outdated Components Nutzung veralteter Bibliotheken oder Frameworks.
• A07:Identification and Authentication Failures Schwachstellen bei Login- und Session-Management.
• A08:Software and Data Integrity Failures anipulation von Daten oder Software-Komponenten.
• A09:Security Logging and Monitoring Failures Fehlende Überwachung und Protokollierung von Angriffen.
• A10:Server-Side Request Forgery (SSRF) Manipulation von Server-Anfragen durch Angreifer.

Die OWASP Top Ten wird regelmäßig aktualisiert, um neue Bedrohungen und Trends in der IT-Sicherheitslandschaft zu berücksichtigen.

Bei unseren Security Tests orientieren wir uns gezielt an den OWASP-Richtlinien und insbesondere an der OWASP Top Ten, sowie dem OWASP Web Security Testing Guide. Dadurch stellen wir sicher, dass die getesteten Anwendungen gegen die häufigsten und gefährlichsten Angriffsszenarien geschützt sind.

imbus Mitarbeiter arbeiten auf der Grundlage von OWASP Informationen, sind Mitglieder der Community sowie regelmäßig auf Veranstaltungen wie Stammtischen, Konferenzen etc. vertreten. In unseren Security Tests sind OWASP Standards das Minimum unserer Vorgehensweise.

Unsere Vorgehensweise umfasst unter anderem: 

• Automatisierte Scans mit branchenüblichen Tools (Burpsuite Professional, OWASP Zap uvm.).
• Manuelle Sicherheitsanalysen und Tests, um (logische) Schwachstellen zu erkennen.
• Überprüfung der Anwendung gegen die OWASP Top Ten-Kategorien.
• Überprüfung der Anwendung anhand des OWASP Web Security Testing Guide.

Ziel ist es, schon während der Entwicklung Sicherheitsrisiken zu minimieren und nicht erst nachträglich zu reagieren.

OWASP hat sich als internationaler Standard für sichere Softwareentwicklung etabliert. Die Prinzipien und Best Practices sind transparent, offen und praxisorientiert – ideal, um Sicherheit fest in den Entwicklungsprozess zu integrieren.

Durch den Einsatz und das Einhalten dieser Richtlinien:

• werden Sicherheitslücken frühzeitig erkannt,
• lässt sich das Risiko erfolgreicher Angriffe deutlich reduzieren,
• erhöht sich die Resilienz gegen Bedrohungen,
• und das Vertrauen von Kunden und Nutzern in die Anwendungen wird gestärkt.