Broken Access Control (fehlende oder fehlerhafte Zugriffskontrolle)
Cryptographic Failures (veraltete oder fehlende Verschlüsselung, z. B. beim Passworthashing)
Injection (Sicherheitslücken in Datenbanksystemen, z. B. SQL-Injections oder Cross-Site-Scripting)
Insecure Design (Sicherheitsaspekte, die bereits bei der Entwicklung von Applikationen auftreten, z. B. wenn im Design-Prozess auf Analysemethoden wie das Threat Modeling verzichtet wird)
Security Misconfiguration (Sicherheitsrisiken durch fehlerhafte Einstellungen oder überflüssige Features, z. B. aufgrund von in Konfigurationsdateien gespeicherten Passwörtern oder fehlenden Cookie-Flags)
Vulnerable and Outdated Components (Fehler durch den Einsatz von anfälligen oder veralteten Infrastrukturen und Programmversionen)
Identification and Authentication Failures (Sicherheitsrisiken durch Schwachstellen in Identifikations- bzw. Authentifizierungsprozessen, z. B. bei schwachen Passwort-Vergessen-Prozessen oder einer fehlenden Multi-Faktor-Authentifizierung)
Software and Data Integrity Failures (Bedrohungen, die durch Integritätsverletzungen entstehen, z. B. aufgrund von schadhaften Updates oder der versehentlichen Nutzung nicht vertrauenswürdiger Web-Anwendungen, etwa externer Bibliotheken)
Security Logaging and Monitoring Failures (Risiken durch eine unzureichende Protokollierung, Erkennung und Überwachung von IT-Aktivitäten, z. B. durch eine ausbleibende, regelmäßige Prüfung von Log-Dateien)
Server-Side Request Forgery (SSRF) (externe provozierte Serveranfragen auf Datenbanken oder andere interne Systeme, z. B. über Schwachstellen bei WebHooks oder XML-Parser)
Link kopieren