Airlock und die OWASP Top 10 Web Application Security Risiken 2025
Diese Seite beschreibt die OWASP Top 10 Web Application Security Riskien für 2025 und wie Airlock diese angeht. Airlock Gateway und Airlock Microgateway bieten WAF- und WAAP- Funktionen – Gateway als Appliance, Microgatway als containerbasierte Lösung für Kubernetes-Umgebungen. Airlock IAM sorgt für eine starke Authentifizierung sowie ein zentralisiertes Identitäts- und Zugriffsmanagement über Anwendungen und APIs hinweg.
Inhaltsverzeichnis
- A01:2025 Fehlerhafte Zugriffskontrolle
- A02:2025 Sicherheitskonfigurationsfehler
- A03:2025 Schwachstellen in der Software-Lieferkette
- A04:2025 Kryptografische Schwachstellen
- A05:2025 Injection
- A06:2025 Unsicheres Design
- A07:2025 Authentifizierungsfehler
- A08:2025 Fehler bei der Software- oder Datenintegrität
- A09:2025 Fehler bei der Sicherheitsprotokollierung und -warnung
- A10:2025 Fehlbehandlung von Ausnahmezuständen
A01:2025 Fehlerhafte Zugriffskontrolle
Fehlerhafte Zugriffskontrolle bezieht sich auf Mängel bei der Durchsetzung von Autorisierungsregeln, wodurch Benutzer auf Daten oder Funktionen zugreifen können, die über ihre Berechtigungen hinausgehen. Häufige Beispiele hierfür sind unsichere direkte Objektreferenzen (IDOR), fehlende serverseitige Zugriffsprüfungen, Privilegien-Eskalation und serverseitige Request-Fälschungen (SSRF).
A02:2025 Sicherheitskonfigurationsfehler
Anwendungen sind Angriffen ausgesetzt, wenn unsichere Standardeinstellungen, unvollständige Konfigurationen, falsch konfigurierte Sicherheitsheader oder unsachgemässe Fehlerbehandlung nicht behoben werden.
A03:2025 Schwachstellen in der Software-Lieferkette
Wenn Komponenten von Drittanbietern, Build-Pipelines oder Update-Mechanismen kompromittiert werden, können Schwachstellen oder bösartiger Code unbemerkt in eine Anwendung eingeschleust werden.
A04:2025 Kryptografische Schwachstellen
Sensible Daten werden offengelegt, wenn keine Verschlüsselung vorhanden ist, schwache kryptografische Algorithmen verwendet werden oder die Schlüsselverwaltung unsicher gehandhabt wird.
A05:2025 Injection
Böswillige Eingaben werden als Befehle oder Abfragen interpretiert, wenn vom Benutzer bereitgestellte Daten nicht ordnungsgemäss validiert oder bereinigt werden, was Angriffe wie SQL-Injection, Command-Injection und Cross-Site-Scripting (XSS) ermöglicht.
A06:2025 Unsicheres Design
Wenn Sicherheitskontrollen auf Architekturebene fehlen oder unwirksam sind, entstehen ausnutzbare Schwachstellen, die nicht allein durch Implementierungskorrekturen behoben werden können, sondern grundlegende Designänderungen erfordern.
A07:2025 Authentifizierungsfehler
Eine schwache oder falsch implementierte Authentifizierung und Sitzungsverwaltung ermöglicht es Angreifern, sich als Benutzer auszugeben oder Anmeldemechanismen zu umgehen, unter anderem durch fehlende MFA, schwache Wiederherstellung von Anmeldedaten oder mangelnden Schutz vor automatisierten Angriffen wie Credential Stuffing und Brute-Force-Angriffen.
A08:2025 Fehler bei der Software- oder Datenintegrität
Nicht vertrauenswürdiger oder veränderter Code und Daten werden ohne Integritätsprüfungen als vertrauenswürdig verarbeitet, was Angriffe wie unsichere Deserialisierung oder das Einschleusen bösartiger Updates ermöglicht.
A09:2025 Fehler bei der Sicherheitsprotokollierung und -warnung
Wenn Protokollierung und Warnungen unzureichend oder falsch konfiguriert sind, bleiben Sicherheitsvorfälle länger unentdeckt oder unbehandelt, was Angreifern mehr Zeit gibt, Schaden anzurichten.
A10:2025 Fehlbehandlung von Ausnahmezuständen
Wenn ungewöhnliche oder unerwartete Zustände nicht ordnungsgemäss behandelt werden, können Systeme abstürzen, sensible Informationen preisgeben oder durch Denial-of-Service-Angriffe nicht mehr verfügbar sein.
Mit [IAM] gekennzeichnete Funktionen werden von Airlock IAM bereitgestellt. Alle anderen Funktionen sind Bestandteil von Airlock Gateway/Microgateway. Einige Funktionen gelten für beide Produkte.
Über OWASP
Das Open Worldwide Application Security Project (OWASP) ist eine globale, offene Community, die sich der Verbesserung der Softwaresicherheit widmet. Sie stellt kostenlose Ressourcen wie Tools, Dokumentationen und Standards bereit, um Unternehmen bei der Entwicklung und dem Betrieb sicherer Anwendungen zu unterstützen. Weitere Informationen: www.owasp.org
OWASP Top 10 der Sicherheitsrisiken für Webanwendungen
Die OWASP Top 10 für Web Application Security werden alle drei bis vier Jahre veröffentlicht und dienen als wichtige Referenz für das Bewusstsein für Anwendungssicherheit. Sie heben die kritischsten Risiken hervor. OWASP veröffentlicht zudem separate Top-10-Listen für APIs und nicht-menschliche Identitäten – jede zielt auf eine bestimmte Angriffsfläche ab. Airlock begegnet all diesen Bedrohungen über den gesamten HTTP-Stack hinweg und kombiniert WAF/WAAP-basierten Request-Schutz und die Durchsetzung von Autorisierungen mit Airlock IAM für starke Authentifizierung.