Einleitung

Herzlich Willkommen zu OWASP Top 10 - 2017!

Diese große Überarbeitung bringt mehrere neue Themen, darunter zwei von der OWASP-Community ausgewählte Aspekte – A8:2017-Unsichere Deserialisierung und A10:2017-Unzureichendes Logging & Monitoring. Zwei wesentliche Unterschiede zu früheren OWASP Top 10-Ausgaben sind das starke Feedback durch die Community und eine umfangreiche Datenerhebung durch dutzende von Organisationen, vermutlich die größte die je für die Vorbereitung von Best-Practices für Anwendungssicherheit erhoben wurde. Dies gibt uns das Vertrauen, dass die neuen OWASP Top10 die Sicherheitsrisiken in Anwendungen mit den größten Auswirkungen für Organisationen adressiert.
In erster Linie basiert OWASP Top 10 – 2017 auf über 40 Datenzulieferungen von auf Anwendungssicherheit spezialisierten Firmen und auf einer Befragung von über 500 Sicherheitsexperten. Die Datenzulieferung umfasst die Schwachstellen von hunderten von Firmen mit insgesamt über 100.000 existierenden Anwendungen und APIs. Die Top 10 Rangliste ergibt sich aus den Verbreitungsdaten in Verbindung mit abgestimmten Abschätzungen zu Ausnutzbarkeit, Nachweisbarkeit und Auswirkungen.
Es ist ein wesentliches Ziel der OWASP Top 10, Entwickler, Designer, Architekten und Führungskräfte von Organisationen und Unternehmen über die Risiken der wichtigsten Schwachstellen von Webanwendungen aufzuklären. Die Top 10 stellen grundlegende Techniken zum Schutz gegen diese hochriskanten Probleme vor. Sie zeigen auch auf, wie es danach weitergeht.

Roadmap für weitere Aktivitäten

Hören Sie nicht bei 10 auf! Es gibt hunderte von Problemen, die Auswirkungen auf die Gesamtsicherheit einer Webanwendung haben wie im OWASP Developer’s Guide und in der OWASP Cheat Sheet Series. dargestellt. Diese sollten von jedem Entwickler von Webanwendungen und APIs gelesen werden. Ein Leitfaden zum effizienten Finden von Schwachstellen in Webanwendungen uns APIs liefert der OWASP Security Testing Guide.

Ständiger Wandel! Die OWASP Top 10 befinden sich in stetem Wandel. Ohne eine einzige Codezeile in der Anwendung zu ändern kann sie angreifbar werden sobald neue Schwachstellen aufgedeckt und Angriffsmethoden verfeinert werden. Bitte berücksichtigen Sie die Ratschläge am Ende der Top 10 unter Nächste Schritte für Entwickler, Sicherheitstester, Organisationen und Anwendungs-Verantwortliche für mehr Informationen.

Denke positiv! Wenn Sie bereit sind, das bloße Reagieren auf Schwachstellen zu beenden und stattdessen den Fokus auf die Implementierung von starken Sicherheitsfunktionen in der Anwendung legen wollen, ist das OWASP Proactive Controls-Projekt ein guter Startpunkt für Entwickler, um Sicherheit in ihre Anwendungen einzubauen. Der OWASP Application Security Verification Standard (ASVS) ist ein Leitfaden für Organisationen und Prüfer von Anwendungen.

Nutze Tools mit Bedacht! Sicherheitslücken können sehr komplex und versteckt im Code sein. Oft ist zum Finden und Beseitigen dieser Lücken der Einsatz von Experten mit Profi-Tools am kosteneffektivsten. Das alleinige Vertrauen auf Tools gibt ein trügerisches Sicherheitsgefühl und wird nicht empfohlen.

Schauen Sie über den Tellerrand! Machen Sie Sicherheit zu einem integrierten Bestandteil Ihrer IT-Organisation. Informieren Sie sich über das OWASP Software Assurance Maturity Model (SAMM).

Danksagung

Unser Dank gilt den Firmen für das Bereitstellen der Daten über Sicherheitslücken für die 2017-Aktualisierung. Wir erhielten mehr als 40 Antworten auf unseren Aufruf zur Datenerhebung. Zum ersten Mal sind alle zu dem neuen Release beigesteuerten Daten und die vollständige Liste der Mitwirkenden öffentlich einsehbar. Wir denken, dass dies eine der größeren vielfältigeren Schwachstellensammlungen ist, die je öffentlich gesammelt wurden.

Aus Platzgründen werden die beitragenden Firmen auf einer eigenen Seite gewürdigt. Wir möchten diesen Organisationen herzlichst dafür danken, dass sie ganz vorne dabei sind und die gesammelten Schwachstellen öffentlich zur Verfügung gestellt haben. Wir hoffen, das wird sich weiterentwickeln und weitere Organisationen ermutigen diese Richtung zu gehen mit dem Ziel eine nachweisbaren Sicherheit. OWASP Top 10 wäre nicht möglich ohne diese fantastischen Beiträge.

Ein großer Dank geht an über 500 Einzelpersonen die sich die Zeit für die Expertenumfrage nahmen. Ihre Stimme half bei der Aufnahme von zwei neuen Risiken in die OWASP Top 10. Die Kommentare, Ermutigungen und Kritikpunkte waren durchgehend willkommen. Wir wissen Ihre Zeit ist wertvoll und wir möchten Ihnen dafür danken.

Wir wollen uns bei jenen Personen bedanken, die in besonderem Maße konstruktive Kommentare und Zeit für den Review dieses Updates beigesteuert haben. So weit wie möglich sind sie auf der Seite ‘Danksagung’ aufgeführt.

Abschließend danken wir im Voraus allen Übersetzern dort draußen, die auf Grundlage diese Ausgabe eine neue Version der Top 10 in zahlreichen Sprachen erstellen, um die OWASP Top 10 auf dem ganzen Planet leichter zugänglich zu machen.