OWASP Top 10:2025

Über Zugriffskontrollen wird in der Webentwicklung sichergestellt, dass User nicht außerhalb der zugewiesenen Berechtigungen agieren. Fehler in der Access Control erlauben es Angreifern, auf Ressourcen zuzugreifen, für die sie keine Berechtigung haben. Das kann zu unkontrolliertem Datenabfluss, Datenmanipulationen oder zur kompletten Systemübernahme führen. 2025 wurde die vormals eigenständige Kategorie Server-Side Request Forgery (SSRF) hier integriert.

Typische Beispiele:

• Direkter Zugriff auf fremde Nutzerdaten per URL-Manipulation

• Fehlende Berechtigungsprüfungen in APIs

• Nutzung von SSRF, um interne Netzwerkressourcen abzufragen

Sicherheitsfehlkonfigurationen sind der am stärksten gestiegene Risikobereich in der 2025er-Liste: von Platz 5 auf Platz 2. Die Kategorie umfasst Fehler bei der Konfiguration von Sicherheitsmaßnahmen wie etwa fehlende oder mangelnde Systemhärtungen, fehlerhafte Zugriffsrechte von Cloud-Konfigurationen, die Nutzung von Standard-Passwörtern oder auch unnötige Portfreigaben. Rund 3 % aller getesteten Anwendungen sind laut OWASP von dieser Risikokategorie betroffen.

Typische Beispiele:

• Ungenutzte Features aktiviert lassen

• Standardkonfigurationen ohne Anpassung übernehmen

• Fehlende Sicherheitsupdates oder Patches

Diese neue Kategorie ersetzt und erweitert die bisherige Kategorie „Vulnerable and Outdated Components“ von 2021. Sie umfasst das gesamte Software-Ökosystem – von Drittanbieter-Bibliotheken über Build-Systeme bis zur CI/CD-Pipeline. Wenn Anwendungen auf Plugins, Bibliotheken oder Module aus nicht vertrauenswürdigen Quellen zurückgreifen, entstehen erhebliche Risiken.

Typische Beispiele:

• Kompromittierte Open-Source-Pakete (z. B. npm, PyPI)

• Schadcode in CI/CD-Pipelines eingeschleust

• Automatische Updates ohne Integritätsprüfung

Kryptografische Fehler entstehen, wenn sensible Daten unzureichend oder gar nicht verschlüsselt übertragen oder gespeichert werden. Besonders hohen kryptografischen Schutz erfordern Passwörter, Kreditkartennummern, Gesundheitsdaten, persönliche Informationen und Geschäftsgeheimnisse – vor allem, wenn die Informationen regulatorisch geschützt sind, etwa durch die DSGVO oder den PCI DSS.

Typische Beispiele:

• Veraltete Verschlüsselungsalgorithmen (z. B. MD5, SHA-1)

• Übertragung sensibler Daten ohne TLS-Verschlüsselung

• Schwache oder fest eingebettete Schlüssel

Bei Injection-Angriffen schleusen Angreifer Schadcode in eine Anwendung ein, der dort als Befehl ausgeführt wird. Die bekanntesten Varianten sind SQL Injection und Cross-Site Scripting (XSS). Alle enthaltenen Daten sowie angebundene Netzwerke und Services sind dabei potenziell gefährdet. Die Myra WAF (Web Application Firewall) erkennt und blockiert solche Injection-Versuche in Echtzeit.

Typische Beispiele:

• SQL Injection (Datenbankmanipulation)

• XSS – Cross-Site Scripting (Schadcode im Browser des Nutzers)

• Command Injection (Betriebssystembefehle ausführen)

Unsicheres Design bezieht sich auf grundlegende Architektur- und Designfehler, die bereits in der Planungsphase entstehen. Insecure Design ist nicht mit dem Implementierungsprozess verknüpft, da selbst eine perfekte Implementierung keine Designfehler beheben kann. Diese Kategorie betont die Notwendigkeit von Threat Modeling (Bedrohungsmodellierung) und Secure-by-Design-Prinzipien.

Typische Beispiele:

• Passwort-Reset-Funktion ohne Rate-Limiting – unbegrenzte Eingabeversuche sind möglich

• Ausgabe von Fehlermeldungen, die sensible Informationen enthalten

• Fehlende Rollentrennung im Datenmodell: Nutzerdaten sind über vorhersehbare URLs direkt abrufbar

Authentifizierungsfehler ermöglichen es Angreifern, fremde Accounts und Identitäten zu übernehmen. Die zuvor unter der Bezeichnung „Identification and Authentication Failures“ geführte Kategorie wurde 2025 umbenannt, um die 36 relevanten CWEs besser widerzuspiegeln.

Typische Beispiele:

• Fehlende oder schwache Multi-Faktor-Authentifizierung (MFA)

• Verwendung hart kodierter Passwörter oder Zugangsdaten

• Mangelhafter Schutz vor Brute Force, Credential Stuffing, Credential Cracking

Diese Kategorie umfasst Schwachstellen in Software-Updates, kritischen Daten und CI/CD-Pipelines, deren Integrität nicht überprüft wird. Dadurch können Angreifer unter Umständen Schadcode einschleusen und Systeme kompromittieren. Die Risiken ähneln denen der Kategorie A03:2025 – Software Supply Chain Failures, aber auf einer niedrigeren Ebene.

Typische Beispiele:

• Anwendungen nutzen Plugins, Bibliotheken oder Module aus nicht vertrauenswürdigen Quellen

• Automatische Updates ohne Signaturprüfung

• Unsichere Deserialisierung: nicht vertrauenswürdige Objekte werden ohne Validierung verarbeitet und ermöglichen Remote Code Execution

Vormals als „Insufficient Logging and Monitoring“ bekannt, wurde diese Kategorie 2025 umbenannt, um die Bedeutung der Alarmierung bei relevanten Protokollereignissen hervorzuheben. Nur mit reinem Logging ohne Alerting bleiben aktive Angriffe unentdeckt und können sich über Wochen oder Monate ausdehnen, bevor sie auffallen.

Typische Beispiele:

• Fehler erzeugen keine oder unzureichende Logeinträge

• Integrität der Logs nicht ausreichend vor Manipulation geschützt

• Schwellenwerte für Warnmeldungen falsch konfiguriert

Diese 2025 neu eingeführte Kategorie adressiert unsachgemäße Fehlerbehandlung als eigenständiges Sicherheitsrisiko. Wenn Anwendungen außergewöhnliche Situationen nicht verhindern, erkennen und korrekt darauf reagieren können, führt dies eventuell zu Abstürzen, unerwartetem Verhalten oder Sicherheitslücken.

Typische Beispiele:

• Anwendung stürzt bei unerwarteten Eingaben (z. B. null-Werte, ungewöhnliche Zeichenkodierungen) ab

• API-Antworten enthalten im Fehlerfall SQL-Abfragen, interne IP-Adressen oder Dateinamen

• Gezielt herbeigeführte Fehlerzustände überlasten die Anwendung (DoS), weil Timeouts oder Fallbacks fehlen