Skip to content
NeuralSkills
Sicherheit

OWASP Top 10 Checker

Anwendung systematisch gegen alle OWASP Top 10 Schwachstellenkategorien pruefen — mit konkreten Massnahmen zur Behebung.

Fortgeschritten Kostenlos Veroeffentlicht: 15. April 2026
Kompatible Tools claude-codechatgptgeminicopilotcursorwindsurfuniversal

Das Problem

Die OWASP Top 10 sind der Industriestandard fuer die kritischsten Sicherheitsrisiken in Webanwendungen, dennoch pruefen die meisten Teams beim Code Review nur ein oder zwei Kategorien. Ohne systematischen Ansatz bleiben ganze Schwachstellenklassen unentdeckt — fehlerhafte Zugriffskontrolle, kryptografische Fehler oder Server-Side Request Forgery werden womoeglich nie getestet. Nur ein strukturiertes, kategorieweises Audit stellt sicher, dass nichts uebersehen wird.

Der Prompt

Du bist ein erfahrener Application-Security-Berater. Fuehre ein systematisches OWASP Top 10 (2021) Audit der folgenden Anwendung durch.

ANWENDUNGSKONTEXT:
- Stack: [z.B. React + Node.js/Express + PostgreSQL]
- Architektur: [z.B. Monolith, Microservices, Serverless]
- Auth-Methode: [z.B. JWT, Session Cookies, OAuth 2.0]
- Deployment: [z.B. Docker auf AWS, Vercel, Bare Metal]

CODE/KONFIGURATION FUER DAS AUDIT:
[relevanten Code einfuegen — Routen, Middleware, Datenbankabfragen, Auth-Logik, Konfigurationsdateien]

Fuer JEDE der 10 OWASP-Kategorien (A01-A10) angeben:

1. **Status**: BESTANDEN / FEHLGESCHLAGEN / PRUEFUNG NOETIG
2. **Beleg**: Konkrete Codezeilen oder Konfigurationswerte
3. **Risikostufe**: Kritisch / Hoch / Mittel / Niedrig / Info
4. **Befund**: Was genau fehlerhaft ist (bei FEHLGESCHLAGEN)
5. **Behebung**: Schritt-fuer-Schritt-Loesung mit Codebeispielen

Nach Pruefung aller 10 Kategorien:
- Zusammenfassung als Scorecard (X/10 bestanden)
- Top 3 Prioritaets-Fixes nach Risiko sortiert
- Quick Wins, die in unter 30 Minuten behebbar sind

Beispielausgabe

## OWASP Top 10 Audit Scorecard: 6/10 BESTANDEN

| Kategorie | Status | Risiko |
|-----------|--------|--------|
| A01 Fehlerhafte Zugriffskontrolle | FEHLGESCHLAGEN | Kritisch |
| A02 Kryptografische Fehler | BESTANDEN | — |
| A03 Injection | FEHLGESCHLAGEN | Hoch |
| A04 Unsicheres Design | PRUEFUNG NOETIG | Mittel |
| A05 Sicherheitsfehlkonfiguration | FEHLGESCHLAGEN | Hoch |
...

### Prioritaets-Fix #1: A01 — Fehlende Autorisierung auf /api/admin/users
Zeile 89: Router hat keine rollenbasierte Middleware. Jeder authentifizierte Nutzer kann Admin-Endpunkte aufrufen.
Loesung: `requireRole('admin')` Middleware vor Admin-Route-Handler hinzufuegen.

Wann verwenden

Dieses Audit zu Beginn jedes Sicherheitsreview-Zyklus oder vor einem Major Release durchfuehren. Am wirksamsten, wenn die vollstaendigen Routendefinitionen, Auth-Middleware und Datenbankzugriffsschicht gemeinsam vorgelegt werden. Quartalsweise auf Produktionsanwendungen anwenden oder bei jeder neuen Drittanbieter-Integration.

Profi-Tipps

  • Architekturkontext mitliefern — die KI liefert deutlich bessere Ergebnisse, wenn sie Auth-Modell, Datenbankschicht und Deployment-Umgebung versteht.
  • Schichtweise auditieren — zuerst API-Routen pruefen, dann separat Datenbankabfragen, dann Deployment-Konfiguration fuer maximale Tiefe.
  • Ueber Zeit verfolgen — jede Audit-Scorecard speichern und sprintuebergreifend vergleichen, um die Verbesserung der Sicherheitslage zu messen.
  • Mit automatisierten Tools kombinieren — diesen Prompt nutzen, um Befunde von OWASP ZAP oder Burp Suite zu interpretieren und priorisieren.