Zusammenfassung
Die OWASP Top 10 aus 2010 kamen nicht nur hierzulande der Sensibilisierung der Websicherheit zu Gute, auch dem Open Web Application Security Project wurde mehr Aufmerksamkeit zuteil, unterstützt von der deutschen übersetzung der Top 10. Der Beitrag ruft ein paar vergessene Aspekte der Top 10 in Erinnerung und berichtet über aktuelle Entwicklungen.
Literatur
Steve Christey, Robert A. Martin: Vulnerability Type Distributions in CVE. MITRE, 22.05.2007. http://cwe.mitre.org/documents/vuln-trends/index.html
J.D. Meier, Alex Mackman, Michael Dunner, Srinath Vasireddy, Ray Escamilla, Anandha Murukan: Improving Web Application Security: Threats and Countermeasures. Microsoft Patterns & Practice, Chapter 3: Threat Modelling, June 2003. http://msdn.microsoft.com/en-us/library/ff648644.aspx
Dana Epp: Secure Software Programming: DREAD is Dead. 15.11.2005. http://silverstr.ufies.org/blog/archives/000875.html
Dirk Wetter: OWASP Top 10: Was nun? 20.10.2012. http://drwetter.eu/talks/OWASP_T10-Was-tnun.pdf
Heise Security: Schwachstelle beim Postbank-Onlinebanking. 13.03.2008. http://www.heise.de/-190238
OWASP: OWASP Risk Rating Methodology. https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
OWASP: OWASP Testing Guide v3. https://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents
OWASP: OWASP Application Testing Guide v4. https://www.owasp.org/index.php/OWASP_Application_Testing_guide_v4
Golem.de: Schäuble gehackt. 11.02.2009:. http://www.golem.de/0902/65186.html
Die Süddeutsche: Das Internet entlässt Kuranyi. 11.02.2009. http://www.sueddeutsche.de/sport/fussball-bundesliga-fc-schalke-das-internetentlaesst-kuranyi-1.470299
OWASP: OWASP Top 10 Cheet Sheet. https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet
OWASP: Cheat Sheets. https://www.owasp.org/index.php/Cheat_Sheets
OWASP: OWASP Cloud Top 10 Security Risks. https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2%80%90_10_Project
OWASP: Top 10 Mobile Risks. https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#Top_Ten_Mobile_Risks, Slides mit Erklärungen: http://www.slideshare.net/JackMannino/owasp-top-10-mobile-risks.
Justin Case: Vulnerability In Skype For Android Is Exposing Your Name, Phone Number, Chat Logs, And A Lot More. 05.06.2012 (Update). http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skypefor-android-is-exposing-your-name-phone-number-chat-logs-and-alot-more/
Bugzilla@Mozilla: Bug 650509: Other apps can read Firefox profile files. 16.04.2011. https://bugzilla.mozilla.org/show_bug.cgi?id=650509
The Wall Street Journal: Citi Discloses Security Flaw in Its iPhone App. 27.07.2010. http://online.wsj.com/article/SB10001424052748703700904575391273536355324.html
Bastian Könings, Jens Nickels, and Florian Schaub: Catching AuthTokens in the Wild: The Insecurity of Google’s ClientLogin Protocol. 15.06.2011 (Update). http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
Jack Mannino: Scary, Scary Mobile Banking. 01.02.2011. http://jack-mannino.blogspot.de/2011/02/scary-scary-mobile-banking.html
OWASP: OWASP Mobile Security Project. https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
OWASP: Top 10 Mobile Controls. https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Controls
enisa: Smartphone Secure Development Guidelines. 25.11.2011. http://www.enisa.europa.eu/activities/application-security/smartphone-security-1/smartphone-secure-development-guidelines
OWASP: IOS Developer Cheat Sheet. https://www.owasp.org/index.php/IOS_Developer_Cheat_Sheet
OWASP: Security Testing Guide. OWASP Mobile Security Project. https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Security_Testing_Guide
OWASP: OWASP GoatDroid Project. https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#OWASP_GoatDroid_Project
OWASP: QuickStartGuide (GoatDroid). 22.08.2011 (Update). http://code.google.com/p/owasp-goatdroid/wiki/QuickStartGuide
Dirk Wetter: Die 10 größten Risiken für Webanwendungen des Open Web Application Security Project. 25.06.2010. http://www.heise.de/-1028905
Additional information
Dr. Dirk Wetter ist selbständig und berät technisch, konzeptionell und organisatorisch im Bereich sicherer Systeme und Webanwendungen. Er ist im Vorstand des German OWASP Chapters sowie der GUUG und hat zahlreiche Fachbeiträge in Print- und Onlinemedien veröffentlicht.
Rights and permissions
About this article
Cite this article
Wetter, D. OWASP Top 10: Zwei Jahre danach. Datenschutz Datensich 36, 810–813 (2012). https://doi.org/10.1007/s11623-012-0277-1
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11623-012-0277-1