Release Candidate für den neuen OWASP-Top 10:2025

Anfangs November präsentierte owasp.org den Release Candidate für die neuen OWASP-Top 10.

Die OWASP Top 10 ist eine regelmässig aktualisierte Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen, die von der Open Web Application Security Project (OWASP)-Gemeinschaft erstellt wird.

Sie dient als anerkannter Standard und Orientierungshilfe für Entwickler, Sicherheitsexperten und Organisationen, um Sicherheitslücken zu erkennen, zu bewerten und zu vermeiden.

Die Anzahl an Schwachstellenarten (CWE, Common Weakness Enumeration) welche OWASP für ihre Klassifizierung aufgreift, ging von 30 im Jahre 2017 zu fast 400 im Jahre 2021 zu 589 für die aktuelle Version. Total gibt es 968 CWEs, welche von MITRE definiert wurden. OWASP Top-10 klassifiziert und gruppiert diese CWEs in die Top 10 Kategorien.

Unsere Erfahrungen

Wir haben die OWASP-Top 10:2025 studiert und mit unseren Erfahrungen abgeglichen.

Zusammengefasst können wir sagen: Deckt sich sehr gut mit unseren Erfahrungen. Vier Punkte im Detail:

A01:2025 - Broken Access Control

Broken Access Control in einer seiner vielen Ausprägungen treffen wir häufig an.
Sei dies in Form der neu konsolidierten SSRF, Zugriff auf Objekte eines anderen Mandanten oder ein Zugriff auf Daten trotz fehlender Benutzerrechte.

A02:2025 - Security Misconfiguration

Sehen wir auch oft. Insbesondere die Security-Headers (siehe Einsatz von veraltete Security-Headers bei Webapplikationen oder Einsatz von modernen Security-Headers bei Webapplikationen) fehlen häufig oder weisen potenziell gefährliche Konfigurationen auf.

A03:2025 - Software Supply Chain Failures

Sehen wir bei unseren Engagements nicht so oft, aber es wird auch bei uns immer mehr zum Thema. Vor allem auch wie die Entwickler Libraries von Dritten auswählen / auswählen dürfen und was der Prozess dazu ist. Das jeder Entwickler von sich aus selbst Libraries einbinden kann, gehört der Vergangenheit an.

A10:2025 - Mishandling of Exceptional Conditions

Dies ist ein neuer Punkt in der Liste. Auch dieser Punkt begegnet uns immer wieder. Vor allem, dass beim Error-Handling zu viele Informationen (Bsp. Stack-Traces oder Funktionsnamen) in der Fehlermeldung bis zum Benutzer weitergegeben werden.

Fazit

Die OWASP-Top 10 eignet sich sehr gut für Entwickler und uns als Orientierungshilfe. Für die Entwickler brauchen die neuen Versionen etwas mehr Einsatz, den OWASP-Top 10 wandelt sich von klassischen Schwachstellen hin zu systemischen Risiken. Der Fokus wandelt sich immer mehr zu den Ursachen von Schwachstellen, anstatt nur die auftretenden Symptome / Schwachstellen zu beschreiben. Der Umfang pro Kategorie wird mit jeder neuen Version grösser, dies sieht man an der Anzahl der CWE's pro Kategorie.