Drucksache: Entwickler Magazin 2.2014 - Die OWASP Top 10, Teil 1
Im Entwickler Magazin 2.2014 ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10, die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen.
Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:
- Die Wahrscheinlichkeit dafür, dass eine Webanwendung die Schwachstelle enthält ("Prevalence").
- Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle entdeckt ("Detectability").
- Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle erfolgreich ausnutzt ("Exploitability").
- Die typischen Folgen eines Angriffs ("Impact").
Los geht es mit den Plätzen 1 bis 5:
- A1 - Injection
- A2 - Broken Authentication and Session Management
- A3 - Cross-Site Scripting (XSS)
- A4 - Insecure Direct Object References
- A5 - Security Misconfiguration
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] OWASP Top 10 2013
- [2] OWASP Top 10 2013: A1 - Injection
- [3] Carsten Eilers: "SQL-Injection im Schnelldurchlauf"
- [4] Carsten Eilers: "Passwortlecks ohne Ende?"
- [5] Carsten Eilers: "Drive-by-Infektionen durch SQL-Injection vorbereitet"
- [6] Carsten Eilers: "PHP-Sicherheit von PHP 4.x bis PHP 5.5"; PHP Magazin 5.13
- [7] OWASP Enterprise Security API
- [8] OWASP Top 10 2013: A2 - Broken Authentication and Session Management
- [9] Carsten Eilers: "Websecurity - Angriffe über Logikfehler"
Carsten Eilers: "Websecurity - Angriffe über Logikfehler, Teil 2"
Carsten Eilers: "Websecurity - Logikfehler in der Authentifizierung"
Carsten Eilers: "Websecurity - Logikfehler in der Authentifizierung und auf der Flucht" - [10] Carsten Eilers: "HTTPS und Cookies sicher einsetzen"
Carsten Eilers: "Angriff und Abwehr des CookieMonster"
Carsten Eilers: "Firesheep fängt ungeschützte Cookies" - [11] Carsten Eilers: "SSL/HTTPS - Schon wieder schlechte Nachrichten"
- [12] Carsten Eilers: "Passwortlecks ohne Ende?"
- [13] OWASP Top 10 2013: A3 - Cross-Site Scripting (XSS)
- [14] Carsten Eilers:"Drive-by-Infektionen - Gefahren drohen überall"
- [15] OWASP: "XSS (Cross Site Scripting) Prevention Cheat Sheet"
- [16] OWASP: "DOM based XSS Prevention Cheat Sheet"
- [17] OWASP Top 10 2013: A4 - Insecure Direct Object References
- [18] OWASP Top 10 2013:A5 - Security Misconfiguration
Trackbacks