OWASP Top 10

Details
Vollständiger Name

OWASP Top 10 Web-Anwendungs-Sicherheitsrisiken

Auch bekannt als

OWASP Top Ten, Web Application Security Top 10

Kernkonzepte:

A01 – Fehlerhafte Zugriffskontrolle

Unzureichende Durchsetzung von Einschränkungen für authentifizierte Benutzer; häufigste Schwachstelle in Webanwendungen

A02 – Kryptographische Fehler

Offenlegung sensibler Daten durch schwache oder fehlende Verschlüsselung; früher als „Sensitive Data Exposure" bekannt

A03 – Injection

Einschleusen nicht vertrauenswürdiger Daten in einen Interpreter (SQL-, OS-, LDAP-Injection)

A04 – Unsicheres Design

Fehlende oder ineffektive Sicherheitsmaßnahmen durch fehlerhaftes Design und unzureichendes Threat Modeling

A05 – Sicherheitsfehlkonfiguration

Unsichere Standardeinstellungen, unvollständige Konfigurationen, offener Cloud-Speicher, zu ausführliche Fehlermeldungen

A06 – Veraltete und anfällige Komponenten

Einsatz von Bibliotheken, Frameworks oder Komponenten mit bekannten Schwachstellen

A07 – Fehler bei Identifizierung und Authentifizierung

Schwächen bei Authentifizierung, Session-Management und Credential-Verwaltung

A08 – Fehler bei Software- und Datenintegrität

Fehlende Absicherung gegen Integritätsverletzungen (z. B. unsichere Deserialisierung, Manipulation der CI/CD-Pipeline)

A09 – Unzureichendes Sicherheits-Logging und -Monitoring

Mangelnde Protokollierung, Erkennung und Reaktion auf Sicherheitsvorfälle

A10 – Server-Side Request Forgery (SSRF)

Server ruft externe Ressourcen von angreiferkontrollierten URLs ab, ohne diese zu validieren

Schlüsselvertreter

OWASP Foundation (https://owasp.org/Top10/, erstmals 2003 veröffentlicht; die Liste oben ist die Ausgabe 2021)

Wann zu verwenden:

  • Durchführung von Sicherheitsrisikobewertungen für Webanwendungen

  • Erstellung von Richtlinien für sicheres Programmieren und Entwicklerschulungen

  • Durchführung von Threat Modeling und sicherheitsorientierten Design-Reviews

  • Priorisierung von Sicherheitsbefunden bei Code-Reviews und Penetrationstests

  • Definition von Abnahmekriterien für Sicherheitsanforderungen

  • Prüfung von Drittanbieter- oder Open-Source-Komponenten auf bekannte Schwachstellen

Verwandte Anker:

Aktueller Stand:

  • Die Liste oben ist die Ausgabe 2021. Die aktuelle Ausgabe ist OWASP Top 10:2025 (RC November 2025, finalisiert um den Jahreswechsel 2025/26): neu sind Software Supply Chain Failures (A03) und Mishandling of Exceptional Conditions (A10), SSRF geht in Broken Access Control auf, mehrere Kategorien sind neu gereiht (Änderungsübersicht)

  • Der Trainingsdaten-Prior eines LLM für „OWASP Top 10" bedient höchstwahrscheinlich die Ausgabe 2021 — sie war über vier Jahre aktuell und dominiert Tutorials, Kurse und Blog-Material; Modelle mit älterem Cutoff mischen womöglich noch 2017 hinein

  • Nenne die Ausgabe im Prompt explizit („OWASP Top 10:2025" vs. „:2021") — nackte Kategorie-IDs sind editionsübergreifend mehrdeutig: A03 heißt 2021 Injection, 2025 aber Software Supply Chain Failures