Sicherheit Architektur
Threat Modeling
Ein strukturierter Prozess zur Identifikation von Sicherheitsbedrohungen in Systemen – bevor Angreifer sie finden.
Einfach erklärt
OWASP definiert die wichtigsten Sicherheitsrisiken und wie man sie vermeidet.
OWASP Top 10 (2021):
| Rang | Risiko | Beispiel |
|---|---|---|
| 1 | Broken Access Control | User sieht Admin-Daten |
| 2 | Cryptographic Failures | Passwörter im Klartext |
| 3 | Injection | SQL Injection |
| 4 | Insecure Design | Fehlende Sicherheitsarchitektur |
| 5 | Security Misconfiguration | Default-Passwörter |
| 6 | Vulnerable Components | Veraltete Libraries |
| 7 | Auth Failures | Schwache Passwörter erlaubt |
| 8 | Software/Data Integrity | Unsichere CI/CD Pipeline |
| 9 | Logging Failures | Keine Audit Logs |
| 10 | SSRF | Server macht externe Requests |
Technischer Deep Dive
Injection Prevention
# SCHLECHT: SQL Injection möglich
query = f"SELECT * FROM users WHERE id = {user_input}"
# GUT: Parameterized Query
cursor.execute("SELECT * FROM users WHERE id = ?", (user_input,))Access Control
# SCHLECHT: Nur Client-Side Check
if user.role == "admin":
show_admin_panel()
# GUT: Server-Side Enforcement
@require_role("admin")
def admin_endpoint():
return admin_data()