Videos

John erklärt zunächst, worum es sich bei den OWASP Top 10 handelt. Er geht auf Themen wie die Neuausrichtung von Risiken rund um Symptome und Ursachen, neue Risikokategorien und moderne Anwendungsarchitekturen ein. Hören Sie zu und sehen Sie sich zu jedem der Top-10-Risiken ein Video an.

94 % der geprüften Apps wiesen irgendeine Form von fehlerhafter Zugriffskontrolle auf. Fehler können zur unbefugten Offenlegung, Änderung oder Zerstörung von Daten und Rechteausweitung führen – und damit zu Kontoübernahmen (ATO), Datenschutzverletzungen, Geldstrafen und Markenschädigungen.

Kryptografische Fehler, früher als „Offenlegung sensibler Daten“ bekannt, führen zur Offenlegung vertraulicher Daten und zum Eingreifen in Benutzersitzungen. Trotz der weit verbreiteten Einführung von TLS 1.3 werden immer noch alte und anfällige Protokolle aktiviert.

Einschleusungen bilden eine umfangreiche Klasse von Angriffsvarianten, bei denen nicht vertrauenswürdige Daten die Ausführung von Anwendungsprogrammen verändern. Dies kann zu Datendiebstahl, Verlust der Datenintegrität, Denial-of-Service und vollständiger Systemkompromittierung führen. Einschleusungen stellen zwar nicht mehr das größte Risiko dar, sind aber immer noch sehr gefährlich.

Die Sicherheit muss den Anwendungen inhärent sein. Auch ein sicherer Entwurf kann Implementierungsfehler aufweisen, die zu Sicherheitslücken führen. Ein unsicherer Entwurf lässt sich auch durch eine perfekte Implementierung nicht beheben.

Eine fehlerhafte Sicherheitskonfiguration ist eine der Hauptursachen für Cloud-Verletzungen. Erfahren Sie, was Sie tun und was Sie vermeiden sollten, zumal die Entwicklung moderner Apps, die Wiederverwendung von Software und die architektonische Ausbreitung über verschiedene Clouds dieses Risiko erhöhen.

Viele der größten Sicherheitsvorfälle sind auf die Ausnutzung von Open-Source-Software zurückzuführen. Die jüngste Log4j2-Sicherheitslücke stellt möglicherweise das bisher größte Risiko in dieser Kategorie dar.

Es ist von entscheidender Bedeutung, seine Identität zu bestätigen und eine starke Authentifizierung und Sitzungsverwaltung zu verwenden, um einen Missbrauch der Geschäftslogik zu verhindern. Die meisten Authentifizierungsangriffe sind auf die fortgesetzte Verwendung von Kennwörtern zurückzuführen. Kompromittierte Anmeldedaten, Botnets und ausgefeilte Tools bieten eine attraktive Rendite für automatisierte Angriffe wie Credential Stuffing.

Diese neue Risikokategorie konzentriert sich auf das Treffen von Annahmen in Bezug auf Software-Updates, kritische Daten und CI/CD-Pipelines ohne Überprüfung der Integrität. Der Angriff auf die Lieferkette von SolarWinds gehört zu den schädlichsten, die wir je erlebt haben.