Die OWASP Top 10 sind eine Liste der 10 kritischsten Risiken für Webanwendungen. Dabei dient die OWASP Top 10 hauptsächlich zu Sensibilisierung von Entwicklern, Sicherheitsforschern und damit auch Bug-Bounty-Huntern. Für mich als Einsteiger in Penetrationtesting und Bug-Bounty-Hunting war diese Liste eine große Hilfe, um zu Entscheiden auf welche BEreich man sich zu Beginn beim Lernen konzentriert. Aus diesem Grund will ich diese hier vorstellen und einen Überblick geben.

Was ist das OWASP?

Zuerst einmal stellt sich die Frage, was eigentlich die OWASP ist und macht. OWASP steht für Open Web Application Security Project und ist eine Non-Profit Organisation, welche sich der Sicherheit von Webanwendungen verschrieben hat. Dabei bietet das OWASP viele Hilfestellungen für Entwickler von Webanwendungen und für Sicherheitsexperten, welche Webanwendungen auf Ihre Schwachstellen testen. Neben den Top 10 stellt das OWASP noch weitere Tools, wie den Juice Shop (kommen wir später noch dazu – auch extrem nützlich) oder Testing Guides für Pentesting von Webanwendungen oder mobile Apps.

Was ist in der OWASP Top 10 enthalten?

Die 10 kritischsten Risiken für Webanwendungen nach Aussage der OWASP sind (https://owasp.org/www-project-top-ten/):

Diese Liste stammt aus dem Jahr 2017 und stellt die aktuellste Variante zum Zeitpunkt dieses Artikels (2020) dar. Die einzelnen Punkte sind bzw. werden in weiterführenden Artikel beschrieben. Nicht verzagen, wenn einige noch nicht verlinkt sind, die Artikel folgen bald ;).

Kritik an den OWASP Top 10

An den OWASP Top 10 gibt es auch einige Kritik. So sollten die Auflistung nicht als vollständig und allumfassend angesehen werden. Es wurden empirische Daten analysiert, welche aber vermutlich einen gewissen Bias aufweisen. Hinzu kommt meiner Meinung nach, dass die hier aufgeführten Risiken aus vielen verschiedenen Bereichen kommen.

So sind Injections, XXS und XXE klare Angriffsvektoren. Sensitive Data Exposure hingegen stellt eher eine Folge eines Angriffs dar und die letzten beiden Punkte (Komponenten mit Schwachstellen und ungenügendes Monitoring und Logging) sind eher fehlende, teils präventive Sicherungsmaßnahmen. So stellt die OWASP Top 10 keine Liste von Angriffen dar, sondern Angriffe, Folgen von Angriffen und fehlende Best-Practice. Dessen muss man sich nur bewusst sein und die einzelnen Punkte entsprechende kategorisieren.

Mehr zu Kritik an den OWASP Top 10 in diesem ausführlichen Heise-Artikel: https://m.heise.de/developer/artikel/OWASP-Top-10-Kritischer-Blick-auf-die-Charts-3953648.html?seite=all.

Trotz allem erfüllt die OWASP Top 10 meiner Meinung nach ihren Zweck als Sensibilisierungswerkzeug und wird auch in diesem Blog zur Einführung in Bug-Bounty-Hunting sinnvoll sein!


5 Kommentare

Mein erstes Bounty – Maxanit Consulting · Mai 31, 2020 um 7:39 pm

[…] angemeldet habe, hab ich theoretisches Wissen zu Web Application Pentesting (vor Allem OWASP Top 10) […]

Sensitive Data Exposure – Maxanit Consulting · Juni 15, 2020 um 12:49 pm

[…] aktuelle zweite Platz auf der OWASP Top 10 ist ‚Sensitive Data Exposure‘. Direkt übersetzt bedeutet dies ‚Preisgabe […]

Broken Authentication – Maxanit Consulting · Juni 27, 2020 um 12:01 pm

[…] undefinierter Begriff, welcher viele Überschneidungen mit anderen Themen (auch auf der Liste der OWASP Top 10) […]

Überblick Bug-Bounty-Artikel – Maxanit Consulting · Juli 12, 2020 um 12:41 pm

[…] Übersicht […]

Überblick Informationssicherheitsmanagement – Maxanit Consulting · Juli 17, 2020 um 8:22 pm

[…] IT-Grundschutz des BSI […]

Schreibe einen Kommentar zu Sensitive Data Exposure – Maxanit Consulting Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.