Entdecken Sie das TÜV-zertifizierte GoogleTest mit Agentic AI für C/C++-Tests!
Details ansehen »
Zum Abschnitt springen
Parasoft-Blog
Das Open Web Application Security Project (OWASP) bietet durch Schulungen und Foren Antworten auf kritische IT-Fragen. Lesen Sie weiter, um Antworten auf die drängenden OWASP Top 10:2025 für Webanwendungen zu finden.
Zum Abschnitt springen
Freigegeben: Die OWASP Top 10:2025 wurde im November 2025 auf der OWASP Global AppSec Conference in Washington, DC angekündigt. Die endgültige Version wurde im Januar 2026 veröffentlicht.
Vorherige Ausgabe: OWASP Top 10:2021
Was gibt's Neues: Zwei neue Kategorien (Software Supply Chain Failures und Mishandling of Exceptional Conditions), vier bedeutende Neubewertungen, drei Umbenennungen und die Eingliederung von SSRF in Broken Access Control.
Daten hinter der Liste: Mehr als 175,000 CVEs wurden analysiert, 248 CWEs den 10 Kategorien zugeordnet und Umfragen unter Praktikern in Tausenden von Organisationen durchgeführt.
Im November 2025 veröffentlichte die OWASP Foundation auf der Global AppSec Conference in Washington, DC, die OWASP Top 10:2025 – die erste Aktualisierung der Liste seit 2021. Die Aktualisierung spiegelt vier Jahre sich weiterentwickelnder Bedrohungsdaten, Rückmeldungen von Experten und Branchenveränderungen wider.
Für die Entwicklungs- und Sicherheitsteams, die für die Sicherheit von Anwendungen verantwortlich sind, ist die Liste von 2025 nicht nur eine Aktualisierung. Sie signalisiert vielmehr bedeutende Veränderungen hinsichtlich der Angriffsziele und der notwendigen Verteidigungsmaßnahmen.
Dieser Leitfaden erläutert die Änderungen der Liste von 2025, deren Bedeutung und die daraus resultierenden Handlungsempfehlungen für Entwicklungs- und Sicherheitsteams. Ob Sie als Entwickler Code schreiben, als Sicherheitsingenieur Richtlinien festlegen oder als Führungskraft Ressourcen verteilen – das Verständnis des Updates von 2025 ist die unerlässliche Grundlage für ein modernes Anwendungssicherheitsprogramm. Grundlage für jedes OWASP-Compliance-Programm.
Die OWASP Top 10 ist ein weithin anerkanntes Dokument zur Sensibilisierung für Sicherheitsrisiken, das vom Open Web Application Security Project (OWASP) veröffentlicht wird. Es identifiziert die zehn kritischsten Sicherheitsrisiken für Webanwendungen.
Basierend auf realen Daten und dem Konsens von Sicherheitsexperten weltweit dient die Liste als anerkannter Branchenstandard für Entwickler, Sicherheitsteams und Organisationen, um die häufigsten und gefährlichsten Anwendungsschwachstellen zu verstehen, zu priorisieren und zu beheben.
Die Liste wird etwa alle zwei bis vier Jahre aktualisiert – die letzte Ausgabe ist die von 2025 – und konzentriert sich auf Risiken wie fehlerhafte Zugriffskontrolle, kryptografische Ausfälle und Probleme in der Software-Lieferkette. Sie hilft Teams dabei, von reaktivem Patching zu proaktiven, risikoorientierten Sicherheitspraktiken überzugehen.
Die Liste für 2025 basiert auf einem umfangreicheren und strengeren Datensatz als alle vorherigen Ausgaben. OWASP analysierte über 175,000 CVE-Einträge, führte Umfragen unter Praktikern in Tausenden von Organisationen durch und bezog Beiträge von Sicherheitsanbietern, Bug-Bounty-Programmen und Community-Mitgliedern mit ein.
Jede der 10 Kategorien ist nun spezifischen CWEs zugeordnet – insgesamt 248 –, wodurch eine präzisere Anleitung zur Erkennung und Behebung als in früheren Versionen ermöglicht wird.
Die Rangliste spiegelt Folgendes wider:
Zwei Kategorien wurden abgeschafft oder zusammengelegt. Zwei völlig neue Kategorien wurden erstmals hinzugefügt.
Die folgende Tabelle zeigt die vollständige Zuordnung zwischen den Listen von 2021 und 2025. Zwei neue Kategorien kommen 2025 hinzu (siehe unten). Eine Kategorie aus dem Jahr 2021 (SSRF) wurde in A01 integriert.
| Rang | OWASP Top 10:2021 | OWASP Top 10:2025 | Ändern |
|---|---|---|---|
| #1 | Unterbrochene Zugangskontrolle | Unterbrochene Zugangskontrolle | Keine Änderung |
| #2 | Kryptografische Fehler | Sicherheitskonfiguration | ↑ von #5 |
| #3 | Spritze | Ausfälle in der Software-Lieferkette | ★ NEU |
| #4 | Unsicheres Design | Kryptografische Fehler | ↓ von #2 |
| #5 | Sicherheitskonfiguration | Spritze | ↓ von #3 |
| #6 | Anfällige und veraltete Komponenten | Unsicheres Design | ↓ von #4 |
| #7 | Identifizierungs- und Autorisierungsfehler | Authentifizierungsfehler | Umbenannt |
| #8 | Software- und Datenintegritätsfehler | Software- oder Datenintegritätsfehler | Geringfügige Umbenennung |
| #9 | Sicherheitsprotokollierung und Überwachung von Fehlern | Sicherheitsprotokollierungs- und Alarmierungsfehler | Umbenannt |
| #10 | Serverseitige Anforderungsfälschung (SSRF) | Fehlbehandlung außergewöhnlicher Umstände | ★ NEU / SSRF → A01 |
★ Zwei brandneue Kategorien im Jahr 2025. SSRF (A10:2021) wurde in A01:2025 Broken Access Control integriert.
„Sensitive Data Exposure“ war die Bezeichnung in der OWASP Top 10-Liste von 2017. Im Update von 2021 benannte OWASP sie in „Cryptographic Failures“ um, um die eigentliche Ursache – schwache oder fehlende Kryptografie – besser zu kennzeichnen als nur das Symptom.
In der Liste von 2025 bleibt Kryptografische Fehler ein Top-Risiko und belegt Platz 4 (gegenüber Platz 2 im Jahr 2021, was die verbesserte TLS-Nutzung und stärkere Standard-Verschlüsselungssammlungen in der gesamten Branche widerspiegelt). Im Abschnitt A04:2025 – Kryptografische Fehler weiter unten finden Sie den aktuellen Umfang, die CWE-Zuordnungen und Hinweise zur Behebung.
Die wichtigsten Neuerungen der Liste von 2025 sind die beiden brandneuen Kategorien. Sie repräsentieren keine neu entdeckten Schwachstellenklassen, sondern Angriffsflächen, die nach Ansicht der Sicherheitscommunity zu wichtig geworden sind, um weiterhin in breiteren Kategorien eingebettet zu bleiben.
Der SolarWinds-Angriff, Log4Shell und eine Zunahme von Angriffen, die auf Abhängigkeitsverwirrung beruhen, haben gezeigt, dass die Kompromittierung der Lieferkette oft einfacher ist als ein direkter Angriff auf die Anwendung.
Fehler in der Software-Lieferkette befassen sich mit Risiken, die entstehen, wenn die Komponenten, Bibliotheken, Build-Tools und Vertriebsmechanismen, von denen moderne Anwendungen abhängen, selbst kompromittiert oder nicht vertrauenswürdig sind. Im Gegensatz zu herkömmlichen Schwachstellenkategorien, die sich auf Fehler im geschriebenen Code konzentrieren, fokussiert sich diese Kategorie auf die Integrität aller Elemente, die in den Build-Prozess einfließen.
Die Kategorie ist auf 5 CWEs abgebildet und umfasst Szenarien wie: Pakete aus nicht vertrauenswürdigen oder durch Typosquatting verseuchten Registries, Build-Pipelines ohne Integritätsprüfung, unsignierte oder nicht verifizierte Artefakte sowie Abhängigkeitsverwirrungsangriffe, bei denen interne Paketnamen durch öffentliche Registry-Einträge missbraucht werden.
Implementieren Sie die Generierung von Software-Stücklisten (SBOM) für alle Builds. Erzwingen Sie die Signierung und Verifizierung von Artefakten. Nutzen Sie Dependency Pinning und überwachen Sie Registries auf Typosquatting. Überprüfen Sie die Berechtigungen der CI/CD-Pipeline und beschränken Sie, was Builds oder Deployments auslösen kann.
50 % der Befragten einer OWASP-Umfrage stuften dies als ihre größte neu auftretende Sicherheitsbedrohung ein – dennoch taucht es selten in CVE-Datenbanken auf, da es sich erst unter Belastung und nicht im Normalbetrieb manifestiert.
Der unsachgemäße Umgang mit Ausnahmesituationen verdeutlicht eine lange unterschätzte Schwachstelle: Was passiert, wenn Ihre Anwendung auf etwas Unerwartetes stößt? Ressourcenmangel, fehlerhafte Eingaben, Timeout-Situationen, Ausfälle nachgelagerter Dienste – Anwendungen, die diese Szenarien unsicher behandeln, können sensible Daten durch ausführliche Fehlermeldungen preisgeben, Zugriffskontrollen durch Fail-Open-Logik umgehen oder zu Einfallstoren für Denial-of-Service-Angriffe werden.
Diese Kategorie fasst 24 CWEs zusammen, darunter CWE-209 (Erzeugung von Fehlermeldungen mit sensiblen Informationen), CWE-476 (Dereferenzierung eines Nullzeigers) und CWE-636 (unsicheres Abfangen von Fehlern). Diese Schwachstellen bleiben bei Standard-SAST- und DAST-Scans oft unentdeckt, da sie nur unter Bedingungen auftreten, die nicht Teil normaler Testläufe sind.
Definieren Sie explizite Fehlermodi für jede Systemgrenze. Implementieren Sie ein zentrales Ausnahmebehandlungs-Framework, das intern detaillierte Fehlerkontexte protokolliert und extern nur generische Meldungen zurückgibt. Testen Sie unter Belastungs- und Fehlerinjektionsbedingungen, nicht nur im Normalfall. Wenden Sie das Prinzip „Fail-Closed“ an: Im Zweifelsfall Zugriff verweigern.
Neben den beiden neuen Kategorien haben sich vier bestehende Kategorien in ihrer Rangfolge deutlich verschoben. Diese Verschiebungen spiegeln reale Veränderungen in der Bedrohungslandschaft wider – Bereiche, in denen Angreifer laut Datenlage erfolgreich sind.
Fehlkonfigurationen im Bereich Sicherheit klettern um drei Plätze auf Rang 2 – der größte Aufwärtstrend in der Liste für 2025. Dieser Anstieg spiegelt die rasante Expansion von Cloud-Infrastruktur, containerisierten Workloads und Microservices-Architekturen wider – allesamt Faktoren, die neue Konfigurationsflächen schaffen, die Teams oft nicht ausreichend absichern.
Fehlkonfigurationen in der Cloud zählen weiterhin zu den Hauptursachen für Datenschutzverletzungen in Unternehmen. Da Infrastruktur als Code und automatische Bereitstellung immer mehr zum Standard werden, können sich Fehlkonfigurationen unbemerkt über Hunderte von Ressourcen ausbreiten.
Umfasst 20 CWEs. Häufige Beispiele: unveränderte Standardanmeldeinformationen, aktivierte unnötige Funktionen, fehlende Sicherheitsheader, zu permissive Cloud-Speicherrichtlinien, ausführliche Fehlermeldungen im Produktivbetrieb.
Siehe den entsprechenden Abschnitt oben.
SQL-Injection fällt um zwei Plätze – ein Abwärtstrend, der sich über mehrere Ausgaben hinweg fortsetzt, nachdem sie ein Jahrzehnt lang Platz 1 belegt hatte. Dies spiegelt den tatsächlichen Fortschritt der Branche wider: Parametrisierte Abfragen sind mittlerweile Standard, moderne Frameworks bereinigen Eingaben standardmäßig, und das Bewusstsein für SQL-Injection ist bei Entwicklern nahezu flächendeckend vorhanden. Die Kategorie bleibt jedoch weiterhin hochgefährlich und umfasst nach wie vor 274,000 erkannte Schwachstellen im OWASP-Datensatz.
Lassen Sie sich durch den Rangverfall nicht in falscher Sicherheit wiegen. Injection-Schwachstellen gehören weiterhin zu den am häufigsten ausgenutzten Schwachstellenklassen bei aktiven Angriffen. Der Rückgang spiegelt verbesserte Präventionsmaßnahmen im Vorfeld wider, nicht etwa ein geringeres Interesse der Angreifer.
Umfasst 33 CWEs. Wichtige Beispiele: SQL-Injection (CWE-89), Cross-Site-Scripting (CWE-79), OS-Befehlsinjektion (CWE-78).
Kryptografische Fehler fallen von Platz 2 auf Platz 4, was die zunehmende branchenweite Verbreitung von TLS als Standard, stärkere Standards für Verschlüsselungssuiten und ein breiteres Bewusstsein für diese Kategorie widerspiegelt (die 2021 von „Offenlegung sensibler Daten“ umbenannt wurde, um die Ursachen besser zu identifizieren). Es bleibt ein kritisches Risiko – der Rückgang signalisiert Fortschritt, aber keine endgültige Lösung.
Schwache oder fehlende Kryptografie ist weiterhin die Grundlage einiger der größten jemals verzeichneten Datenpannen. Diese Kategorie umfasst nicht nur die Wahl des Verschlüsselungsalgorithmus, sondern auch Schlüsselverwaltung, Zertifikatshandhabung und den Schutz von Daten während der Übertragung.
Umfasst 29 CWEs. Wichtige Beispiele: schwache Algorithmusauswahl, fest codierte Schlüssel, fehlende HSTS, Übertragung sensibler Daten im Klartext.
Drei Kategorien wurden im Jahr 2025 umbenannt. Dabei handelt es sich nicht um kosmetische Änderungen – jede Umbenennung schärft die Definition des Problems und beeinflusst vor allem, wie Werkzeuge Regeln Kategorien zuordnen.
Die kürzere Bezeichnung verzichtet auf „Identifizierung“ und konzentriert sich stattdessen direkt auf Authentifizierungsmechanismen – Anmeldeinformationsverwaltung, Sitzungsmanagement und Sicherheitslücken bei der Multi-Faktor-Authentifizierung. Dadurch wird die Kategorie präziser mit den zugehörigen CWEs (Clinical Work Environments) in Einklang gebracht.
Eine einzige Wortänderung – „und“ wird zu „oder“ –, aber eine bedeutsame. Sie verdeutlicht, dass Softwareintegrität und Datenintegrität unabhängige Aspekte sind: Ein Fehler in einem der beiden reicht aus, um diese Kategorie auszulösen. Dies ist relevant für Tools und Compliance-Frameworks, die den Kategorienamen zur Abgrenzung des Geltungsbereichs verwenden.
„Alarmierung“ ersetzt „Überwachung“, um zu verdeutlichen, dass passive Protokollierung ohne aktive Alarmierung und Reaktion auf Vorfälle unzureichend ist. Man kann alles protokollieren und trotzdem einen Angriff verpassen, wenn bei Anomalien niemand alarmiert wird.
Unterbrochene Zugangskontrolle OWASP bleibt im vierten Bewertungszyklus in Folge auf Platz 1 und festigt damit seinen Status als häufigste Sicherheitslücke in Anwendungen. Das Update von 2025 erweitert die CWE-Abdeckung von 34 auf 40 und integriert insbesondere Server-Side Request Forgery (SSRF), das zuvor eine eigene Kategorie bildete. OWASP erkennt SSRF nun als spezifische Ausprägung unzureichender Zugriffskontrolle und nicht mehr als eigenständige Klasse an, was widerspiegelt, wie beide in Cloud-Umgebungen häufig gemeinsam ausgenutzt werden.
Die anhaltende Spitzenposition von „Fehlerhafte Zugriffskontrolle“ ist ein deutliches Zeichen: Die Branche arbeitet nicht an einer Lösung dieses Problems. Die Autorisierungslogik bleibt eine der größten Herausforderungen bei der Implementierung in großem Umfang und gleichzeitig eines der lohnendsten Ziele für Angreifer.
Die Liste von 2025 ist nicht nur ein Nachschlagewerk, sondern ein Priorisierungsrahmen. So sollten verschiedene Rollen die Aktualisierung interpretieren:
Die Tatsache, dass Fehler in der Software-Lieferkette zu den drei häufigsten Fehlerkategorien zählen, bedeutet, dass sicheres Programmieren heute weit über den geschriebenen Code hinausgeht. Herkunft, Integrität und Vertrauenswürdigkeit Ihrer Abhängigkeiten sind nun explizit relevant. Überprüfen Sie Ihre Abhängigkeitsverwaltung, verstehen Sie, worauf Ihre CI/CD-Pipeline implizit vertraut, und behandeln Sie die Integrität von Build-Artefakten mit der gleichen Sorgfalt wie die Eingabevalidierung.
Zwei Kategorien, die zuvor in Grauzonen lagen – Lieferkettenintegrität und Ausnahmebehandlung – verfügen nun über klare OWASP-Definitionen, CWE-Zuordnungen und Community-Dokumentation. Dies bietet Ihnen die Sprache und das Framework, um Abdeckungsanforderungen zu formalisieren, Regelkonfigurationen in statischen Analysetools zu aktualisieren und Testkriterien zu erstellen, die zuvor nicht standardisiert waren.
Der Aufstieg von Sicherheitsfehlkonfigurationen auf Platz 2 ist ein Indiz für unzureichende Ressourcenzuweisung. Wenn Ihr Unternehmen eine umfangreiche Cloud-Infrastruktur betreibt und nicht entsprechend in Konfigurationsmanagement, Policy-as-Code und Tools zur Bewertung der Infrastruktursicherheit investiert hat, deuten die Daten für 2025 darauf hin, dass sich Ihr Risiko genau dort konzentriert. Ebenso unterstreicht die neue Kategorie „Fehlbehandlung von Ausnahmesituationen“ die Notwendigkeit von Fehlerinjektions- und Chaos-Engineering-Verfahren in Ihrer Teststrategie – und zwar nicht nur von Funktions- und Sicherheitstests unter normalen Bedingungen.
Die statischen Analysetools von Parasoft –C / C ++ - Test, Test und dotTESTDie Daten wurden aktualisiert, um die Kategorisierung der OWASP Top 10:2025 widerzuspiegeln. Jedes Produkt wird mit vorkonfigurierten Compliance-Paketen ausgeliefert, die Analyseregeln direkt den Kategorien von 2025 zuordnen, einschließlich der beiden neuen.
Die Version 2025 führt zwei neue Kategorien ein und ordnet acht andere neu. Die Compliance-Pakete von Parasoft berücksichtigen diese Änderungen automatisch – Regeln, die zuvor der Norm A10:2021 (SSRF) zugeordnet waren, werden nun der Norm A01:2025 (Fehlerhafte Zugriffskontrolle) zugeordnet, und neue Prüfsets decken speziell die Kategorien „Fehler in der Software-Lieferkette“ und „Fehlbehandlung von Ausnahmesituationen“ ab.
Die Anpassung an eine neue Listenversion kann eine große Anzahl an Ergebnissen zutage fördern. Die KI-gestützte Triage von Parasoft hilft Teams, die zu behebenden Verstöße anhand von Ausnutzbarkeit, Schweregrad und Codekontext zu priorisieren. Für unterstützte Regeltypen reduzieren automatisierte Korrekturvorschläge den manuellen Aufwand und ermöglichen es Entwicklern, Korrekturen direkt in ihrer IDE zu prüfen und zu akzeptieren.
Für Organisationen, die mehrere Codebasen oder Programmiersprachen verwenden, bietet die Development Testing Platform (DTP) von Parasoft eine zentrale Übersicht über die OWASP-Konformität aller Projekte. Teams können die Abdeckung anhand der Liste von 2025 verfolgen, die am stärksten betroffenen Kategorien im Portfolio identifizieren und Konformitätsberichte erstellen, die direkt mit OWASP-Kategorie-IDs und CWE-Zuordnungen verknüpft sind.
Parasoft integriert sich nahtlos in IDE-Umgebungen und CI/CD-Pipelines und ermöglicht so Echtzeit-Feedback während der Codeentwicklung. Entwickler sehen Verstöße gegen OWASP-Kategorien – inklusive der zutreffenden Kategorie für 2025 – direkt im Code, bevor dieser eingecheckt wird. Dieser Ansatz erkennt Probleme genau dann, wenn ihre Behebung am kostengünstigsten ist, und reduziert den Aufwand für die Einhaltung der Sicherheitsrichtlinien in nachgelagerten Phasen der Sicherheitsprüfung.
Wenn Ihre Organisation bereits OWASP Top 10:2021-Compliance-Prozesse implementiert hat, ist der Übergang zu 2025 machbar – erfordert aber gezielte Maßnahmen und nicht nur eine Aktualisierung der Versionsnummer in Ihrer Dokumentation. Für Teams, die ganz von vorn beginnen, bieten wir folgende Unterstützung: Leitfaden für den Einstieg in die OWASP-Konformität behandelt die grundlegenden Praktiken vor den unten aufgeführten Aktualisierungen für 2025.
Die Prüfpunkte A03 (Ausfälle in der Software-Lieferkette) und A10 (Fehlbehandlung von Ausnahmesituationen) haben keine direkten Vorgänger aus dem Jahr 2021. Prüfen Sie Ihren aktuellen Versicherungsschutz für jeden dieser Prüfpunkte.
Wenn Du Statische Anwendungssicherheitstests (SAST)Bestätigen Sie, dass die Zuordnungen gemäß Kategorievorgaben für 2025 aktualisiert wurden. Regeln, die bisher A10:2021 (SSRF) zugeordnet waren, sollten nun A01:2025 zugeordnet sein. Neue Regeln für die Lieferkette und die Ausnahmebehandlung sollten aktiviert sein.
Die Entwicklerschulungen zur IT-Sicherheit, die sich an den OWASP Top 10 orientieren, müssen aktualisiert werden. Die Änderungen in der Rangfolge sind so bedeutend, dass die Prioritäten der Schulungsinhalte entscheidend sind – Entwickler sollten verstehen, dass Lieferkettenfehler nun zu den drei wichtigsten Sicherheitsrisiken zählen und nicht mehr nur eine untergeordnete Rolle spielen.
Fehlerhafte Zugriffskontrolle belegt seit vier Ausgaben in Folge Platz 1 und ist kein Randaspekt – sie stellt ein anhaltendes Problem dar. Die Beständigkeit dieses Problems sollte die Schwerpunkte für Designprüfungen, Bedrohungsmodellierung und Tests bestimmen.
Wie oft wird die OWASP Top 10 aktualisiert?
Etwa alle drei bis vier Jahre. Ausgaben: 2003, 2004, 2007, 2010, 2013, 2017, 2021, 2025. Die Häufigkeit hängt von den Datenerfassungszyklen der Community und signifikanten Veränderungen der Bedrohungslandschaft ab.
Wo kann ich die OWASP Top 10:2025 herunterladen?
Die vollständige OWASP Top 10:2025 ist kostenlos unter owasp.org/Top10/2025/ im HTML- und PDF-Format verfügbar. OWASP veröffentlicht außerdem übersetzte Ausgaben und detaillierte Seiten zu jeder Kategorie mit CWE-Zuordnungen und Hinweisen zur Behebung von Problemen.
Wie viele CWEs sind den OWASP Top 10:2025 zugeordnet?
Im Jahr 2025 werden 248 Common Weakness Enumerations (CWEs) den 10 Kategorien zugeordnet, gegenüber 218 im Jahr 2021. Die größte Einzelkategorie ist Broken Access Control (A01) mit 40 zugeordneten CWEs.
Erfüllt die OWASP Top 10:2025 die Anforderungen von PCI DSS, SOC 2 oder HIPAA?
Kein Standard betrachtet die Einhaltung der OWASP Top 10 als automatische Erfüllung gesetzlicher Vorschriften. PCI DSS 4.0 (Anforderung 6.2.4), die SOC-2-Kriterien für sichere Entwicklung und die technischen Sicherheitsvorkehrungen von HIPAA verweisen jedoch alle auf die Abdeckung der OWASP Top 10 als anerkannten Nachweis sicherer Programmierpraktiken. Betrachten Sie die OWASP Top 10:2025 als Grundlage, nicht als vollständiges Kontrollsystem.
Worin unterscheidet sich die OWASP API Security Top 10 von der OWASP Top 10?
Die OWASP API Security Top 10 konzentriert sich auf API-spezifische Risiken wie Broken Object Level Authorization (BOLA) und Massenzuweisung. Die Standard-OWASP Top 10 deckt allgemeinere Schwachstellen von Webanwendungen ab, wie z. B. Injection und XSS. Es handelt sich um separate Listen, die von verschiedenen OWASP-Communities mit unabhängigen Veröffentlichungszyklen gepflegt werden.
Gibt es eine OWASP Top 10 für mobile Anwendungen?
Ja. Die OWASP Mobile Top 10 ist eine separate Liste, die sich auf mobile Risiken wie unsichere Datenspeicherung, schwache Kryptografie und unsichere Kommunikation konzentriert. Sie wird unabhängig von der Webanwendung Top 10:2025 gepflegt und wurde zuletzt 2024 aktualisiert.
Erste Schritte mit einem statischen Analysetool
