Das Open Web Application Security Project (OWASP) hatte Ende 2017 seine OWASP Top 10 aktualisiert (wir berichteten). Gestern wurde beim German OWASP Day 2018 in Münster die deutsche Übersetzung vorgestellt.
OWASP Top 10 – der De-Facto-Standard
Die OWASP Top 10-Liste hat sich seit 2003 zum De-Facto-Standard bei der Klassifizierung von Sicherheitsrisiken in Webanwendungen entwickelt. Seit letztem Jahr ersetzt die 2017er Version den Vorgänger aus dem Jahr 2013.
Die Übersicht zeigt die Auf- und Absteiger und die Neuzugänge zur OWASP Top 10 im Vergleich der Versionen von 2013 und 2017.
Das German Chapter der OWASP hat nun die deutsche Übersetzung veröffentlicht. Über die inhaltlichen Neuerungen hatten wir bereits in einem früheren Beitrag berichtet.
„Die Top 10 bestehen nicht nur aus 10 Seiten, sondern aus 24.“
— Torsten Gigler, Leiter des Übersetzungsteams
Torsten Gigler war es bei der Vorstellung der Übersetzung wichtig zu betonen, dass die OWASP Top 10 nicht nur auf die zehn Seiten mit den Top 10 selbst beschränkt sind. Insbesondere hob er die Folgeseiten +E, +T, +O und +A hervor. Diese enthalten Nächste Schritte für…
- … Software-Entwickler (+E)
- … Sicherheitstester (+T)
- … Organisationen (+O)
- … Anwendungsverantwortliche (+A)
Auch wir waren an der Übersetzung der OWASP Top 10 beteiligt. Neben dem CycleSEC-Gründer Sebastian Klipper hat auch Louisa Frick mitgewirkt, die seit Juni als Junior-Consultant zum CycleSEC-Team gehört.
„Die OWASP Top 10 bieten Einsteigern sowie Fortgeschrittenen einen wertvollen Überblick über die wichtigsten Softwareschwachstellen im Web-Umfeld. Jede Schwachstelle wird zunächst verständlich erklärt, während zahlreiche Links zu weiteren Quellen dabei helfen, die Schwachstellen in eigenen Anwendungen zu vermeiden.“
— Louisa Frick, Junior Consultant (Trainee)
Laut Gigler sollen die Top 10 mittel- bis langfristig dazu beitragen, „Security-by-Default“ zu erreichen. Die Top 10 versteht er dabei als Projekt, das dazu beitragen soll, Anwendungen mit anderen Augen zu sehen.
Unterschiede der Versionen
Die deutsche Version unterscheidet sich nur unwesentlich von der englischen Version und ist im Wesentlichen eine wörtliche Übersetzung. In einigen Teilen gibt es aber auch spannende Unterschiede, die man kennen sollte.
„Die deutsche Version der OWASP Top 10 war eine Herausforderung, dem Ziel und dem Geist der Top 10 in deutscher Sprache gerecht zu werden. Hierbei wurden bei Bedarf auch kleinere Präzisierungen vorgenommen, die das Verständnis erleichtern“, heißt es im Vorwort zur deutschen Übersetzung.
So verwendet man zum Beispiel abweichende Bezeichnungen für die verschiedenen Arten von Cross-Site-Scriptings (XSS):
| Englisch: | Deutsch: |
|---|---|
| Reflected XSS | Nicht-persistentes/ reflektiertes XSS |
| Stored XSS | Persistentes XSS |
| DOM XSS | DOM-basiertes (lokales) XSS |
Es lohnt sich also durchaus, deutsche und englische Version nebeneinander zu legen und die Details zu vergleichen. Das PDF zur deutschen Version der OWASP Top 10 finden Sie unter https://www.owasp.org/….
Sie suchen Unterstützung?
CycleSEC bietet seit seiner Gründung vor drei Jahren individuelle Inhouse-Schulungen zur OWASP Top 10 an und hat bereits mehrere hundert Teilnehmerinnen und Teilnehmer zur sicheren Softwareentwicklung geschult.
Kontaktformular
Sie haben Fragen zur OWASP Top 10 oder unseren Schulungen? Nutzen Sie gerne das folgende Kontaktformular. Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.