OWASP WSTG
Was ist OWASP WSTG?
OWASP WSTGOWASP Web Security Testing Guide, ein umfassendes Open-Source-Handbuch, das beschreibt, wie Webanwendungen auf die haufigsten Sicherheitsschwachen getestet werden.
Der OWASP Web Security Testing Guide (WSTG) ist ein quelloffenes, von der Community gepflegtes Handbuch, das Techniken und Testfalle fur Penetrationstests und Security-Assessments von Webanwendungen dokumentiert. Version 4.2 ist in Kapitel wie Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side und API Testing gegliedert, jeweils mit detaillierten Test-IDs (z.B. WSTG-AUTHN-01). Jeder Test beschreibt Ziele, Vorgehen und Referenzen. Der WSTG dient als Basis vieler Pentest-Methoden, RFP-Testanforderungen sowie als Lernressource neben ASVS und Top 10.
● Beispiele
- 01
Pentest-Bericht, der jedes Finding auf die entsprechende WSTG-INPV-Test-ID (Input Validation) abbildet.
- 02
Ein neues AppSec-Team nutzt WSTG-Checklisten, um Pentester zu onboarden und die Methodik zu standardisieren.
● Häufige Fragen
Was ist OWASP WSTG?
OWASP Web Security Testing Guide, ein umfassendes Open-Source-Handbuch, das beschreibt, wie Webanwendungen auf die haufigsten Sicherheitsschwachen getestet werden. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet OWASP WSTG?
OWASP Web Security Testing Guide, ein umfassendes Open-Source-Handbuch, das beschreibt, wie Webanwendungen auf die haufigsten Sicherheitsschwachen getestet werden.
Wie funktioniert OWASP WSTG?
Der OWASP Web Security Testing Guide (WSTG) ist ein quelloffenes, von der Community gepflegtes Handbuch, das Techniken und Testfalle fur Penetrationstests und Security-Assessments von Webanwendungen dokumentiert. Version 4.2 ist in Kapitel wie Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side und API Testing gegliedert, jeweils mit detaillierten Test-IDs (z.B. WSTG-AUTHN-01). Jeder Test beschreibt Ziele, Vorgehen und Referenzen. Der WSTG dient als Basis vieler Pentest-Methoden, RFP-Testanforderungen sowie als Lernressource neben ASVS und Top 10.
Wie schützt man sich gegen OWASP WSTG?
Schutzmaßnahmen gegen OWASP WSTG kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für OWASP WSTG?
Übliche alternative Bezeichnungen: Web Security Testing Guide, WSTG.
● Verwandte Begriffe
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs.
- compliance№ 781
OWASP Top 10
Awareness-Dokument der OWASP, das die kritischsten Sicherheitsrisiken für Webanwendungen auflistet und periodisch anhand realer Schwachstellendaten aktualisiert wird.
- compliance№ 783
OWASP ZAP
Zed Attack Proxy, ein quelloffenes Werkzeug zum Web-Application-Security-Testing, ursprunglich aus OWASP, heute von Checkmarx und der ZAP-Community gepflegt.
- appsec№ 273
DAST (Dynamic Application Security Testing)
Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
- compliance№ 204
Compliance
Die Disziplin, gesetzliche, regulatorische, vertragliche und interne Sicherheitsanforderungen durch dokumentierte Kontrollen, Nachweise und laufende Bewertung einzuhalten.
● Siehe auch
- № 778OWASP MASVS