Die Open Web Application Security Project-Liste fasst die kritischsten Risiken für Web-Apps zusammen (regelmäßig aktualisiert). Entwickler und Pentester nutzen sie als Checkliste.

Typische Kategorien (Namen können sich je nach Version leicht ändern):

1. Broken Access Control — Zugriff ohne Berechtigung.

2. Cryptographic Failures — schwache TLS/Keys, Klartext-Speicherung.

3. Injection — SQL/Command Injection.

4. Insecure Design — fehlende Threat Models.

5. Security Misconfiguration — Debug an, Standard-Passwörter.

6. Vulnerable Components — veraltete Libraries.

7. Auth Failures — Session/Login-Schwächen.

8. Software/Data Integrity — unsignierte Updates.

9. Logging/Monitoring — Angriffe unbemerkt.

10. SSRF — Server fragt interne URLs ab.

Kombiniere OWASP mit CryptoLab: Verstehe JWT-Fehler (Auth), Hashing (Crypto Failures), sichere Passwörter (Credentials). In Version 1.2 kann CryptoTutor dich zu passenden Kapiteln führen.