Brainscape's Knowledge GenomeTM


Top Flashcards (Certified)
All Flashcards

OWASP TOP 10 2021 German > OWASP TOP 10 2021 German > Flashcards

OWASP TOP 10 2021 German Flashcards

1
Q

A01:2021

A

Broken Access Control

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

A02:2021

A

CRYPTOGRAPHIC FAILURES

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

A03:2021

A

INJECTION

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

A04:2021

A

INSECURE DESIGN

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

A05:2021

A

SECURITY MIS-CONFIGURATION

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

A06:2021

A

VULNERABLE AND OUTDATED COMPONENTS

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

A07:2021

A

IDENTIFICATION AND AUTHENTICATION FAILURES

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

A08:2021

A

SOFTWARE AND DATA INTEGRITY FAILURES
Fehlerhafte Prüfung der Software- und Datenintegrität

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

A09:2021

A

SECURITY LOGGING AND MONITORING FAILURES

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

A10:2021

A

SERVER SIDE REQUEST FORGERY

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

WHAT IS BROKEN ACCESS CONTROL

A

Gemeint ist damit, dass Angreifer auf Daten und Funktionen zugreifen können, auf welchen sie eigentlich keinen Zugriff hätten.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

IMPACT OF BROKEN ACCESS CONTROL

A

Das kann von einem “einfachem” Daten anzeigen lassen, bis zur Priviledge Escalation führen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

MITIGATION FOR BROKEN ACCESS CONTROL

A

Zugriff verweigern ausser notwendig, Härtung der Webserver, Protokollierung von Zugriffsfehler (Erkennung), Ratenbegrenzung bei API Einsatz um permanten Angriff zu verhindern.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

WHAT ARE CRYPTOGRAPHIC FAILURES

A

Der Punkt A02:2021 der OWASP Top 10, bekannt als “Fehlerhafter Einsatz von Kryptographie” (Cryptographic Failures), bezieht sich auf Schwachstellen, die durch unsachgemäße Implementierung oder den Verzicht auf kryptografische Maßnahmen entstehen. Solche Fehler können dazu führen, dass sensible Daten wie Passwörter, Kreditkartennummern oder persönliche Informationen ungeschützt bleiben und somit für Angreifer zugänglich sind.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

MITIGATION FOR CRYPTOGRAPHIC FAILURES

A

Verwendung sicherer Verfahren zur Verschlüsselung von Daten insbesondere im Transit, Regelmässige überprüfung, keine veralteten und unverschlüsselten Protokolle nutzen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

BUSINESS IMPACT OF: CRYPTOGRAPHIC FAILURES

A

Hauptsächlich können Daten in falsche hände gelangen. z.B.: könnte eine SQL Datenbank mit Automatic Database Encryption, daten aufgrund einer SQL Injection preisgeben, wenn dies z.B. Kreditkartendaten sind ist dies schlecht.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

WHAT ARE INJECTIONS

A

Über eine Injection wird eigener Code auf dem Zielsystem ausgeführt.

18
Q

BUSINESS IMPACT OF:
INJECTION

A

Das kann von einfachen Datenklau bis zu vollständigen übernahme des Zielsystems führen.

19
Q

MITIGATION FOR:
INJECTION

A

Folgenden Massnahmen helfen: Eingabevalidierung, Parametrisierte Abfragen, Kontextbezogenes Escaping und auch wichtig Minimalprinzip bei Berechtigungen

20
Q

WHAT ARE INSECURE DESIGNS

A

z.B. Passwortrücksetzung aufgrund von Fragen und Antwort, wie in Windows. Die NIST 800-63b verbietet diese Art der Passwortrücksetzung, da jemand der mich kennt eventuell auch die Antworten auf diese Fragen kennt.

21
Q

BUSINESS IMPACT OF:
INSECURE DESIGN

A

Das kann von bis zur RCE und der kompletten übernahme des darunterliegenden Servers gehen.

22
Q

MITIGATION FOR:
INSECURE DESIGN

A

Wenn man hier bereits Probleme hat, sollte man sich Professionelle Unterstützung inst Team holen, welche den DevOps LifeCycle auch in Bezug auf Security neu aufbauen

23
Q

WHAT ARE SECURITY MISCONFIGURATIONS

A

Falsche Einrichtung von Sicherheitsrelevanten Einstellungen, z.B. fehlerhafte Härtung von Webserver, Aktivierte Features, welche nicht gebraucht werden, Standardkonten und Passwörter, Security Best Practice nicht eingehalten.

24
Q

BUSINESS IMPACT OF:
SECURITY MISCONFIGURATIONS

A

Kann von Datenveröffentlichung bis hin zur Übernahme der betroffenen Systeme führen

25
MITIGATION FOR: SECURITY MISCONFIGURATIONS
Wiederholbarer Härtungsprozess, System so minimalistisch wie möglich ausstatten (Unnötige Anwendungen deinstallieren)
26
WHAT ARE: VULNERABLE AND OUTDATED COMPONENTS
veraltete nicht mehr gewartete Drittkomponenten, wie Bibliotheken oder Framworks, welche Lücken aufweisen, welche genutzt werden können
27
MITIGATION FOR: VULNERABLE AND OUTDATED COMPONENTS
Flächendeckenede Inventarisierung verwendeter Komponenten, Regelmässige Aktualisierung, Überwachung von Sicherheitsmeldungen, Verwendung vertrauenswürdiger Quellen, Vulnerability Scans
28
BUSINESS IMPACT OF: VULNERABLE AND OUTDATED COMPONENTS
Das kann bis zur Übernahme des Systems oder der darunterliegenden Server führen.
29
WHAT ARE: IDENTIFICATION AND AUTHENTICATION FAILURES
Systeme/Applikationen welche Benutzer nicht korrekt Authentifizieren, ist z.B. auch der Fall wenn schwache Kennwörter genutzt werden können (admin/admin) oder wenn Sessions gestohlen werden.
30
MITIGATION FOR: IDENTIFICATION AND AUTHENTICATION FAILURES
MFA, Starke Passwort Richtlinien, Begrenzung Loginversuchen
31
BUSINESS IMPACT OF: IDENTIFICATION AND AUTHENTICATION FAILURES
kann auch bis zur Übernahme von System und Servern führen
32
WHAT ARE: SOFTWARE AND DATA INTEGRITY FAILURES
Es geht darum, dass Funktionen der Applikation/System, zu wenig auf Updates von Drittanwendungen achten und so z.B. über Download eines verseuchten Updates ein gesamtes Netz lahmlegen. z.B. über Supply Chain Attacks
33
MITIGATION FOR: SOFTWARE AND DATA INTEGRITY FAILURES
auf Digitale Signaturen von Zulieferer prüfen, vertrauenswürdige Drittanwendungen verwenden, regelmässige überprüfung für Code und Config, Supply Chain Security Tool
34
BUSINESS IMPACT OF: SOFTWARE AND DATA INTEGRITY FAILURES
Kann bis zur Vollständigen übernahme der Systeme misbraucht werden.
35
WHAT ARE: SECURITY LOGGING AND MONITORING FAILURES
liegt dann vor, wenn z.B. Loggin-Versuche nicht protokolliert werden, ein Angriff ist dadurch noch schwerer zu erkennen.
36
BUSINESS IMPACT OF: SECURITY LOGGING AND MONITORING FAILURES
Führt nicht direkt zu einem "Schaden/Verlust" sondern, verunmöglicht ein effektives Nachweisen von Angriffen.
37
MITIGATION FOR: SECURITY LOGGING AND MONITORING FAILURES
Sicherstellen, dass alle Anmeldeversuche entsprechend gelogged werden und die Daten manipuliersicher aufbewahrt werden.
38
WHAT ARE: SERVER-SIDE REQUEST FORGERIES
Das Requests, welche z.B. an ein Webserver gesendet werden und welche Ihn dazu bringen, andere interne Dienste/Server/Geräte anzusprechen
39
BUSINESS IMPACT OF: SERVER-SIDE REQUEST FORGERY
Es können weitere hinter der Firewall befindliche Geräte angegriffen werden.
40
MITIGATION FOR: SERVER-SIDE REQUEST FORGERY
Web-Server sauber härten und vom restlichen Netz soweit möglich trennen. Validation der Aufrufe auf dem Webserver einrichten.

OWASP TOP 10 2021 German (7 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2025 Bold Learning Solutions. Terms and Conditions