OWASP Top 10: Sicherheitslücken im Web
()
About this ebook
Read more from Tobias Zander
schnell + kompakt
Related to OWASP Top 10
Titles in the series (100)
Skalierbare Softwaresysteme: Design, Betrieb und Optimierungspotenziale Rating: 0 out of 5 stars0 ratingsJavaScript für Eclipse-Entwickler: Orion, RAP und GWT Rating: 0 out of 5 stars0 ratingsEinstieg in Google Go Rating: 0 out of 5 stars0 ratingsTFS 2012 Anforderungsmanagement: Work Items und Prozessvorlagen Rating: 0 out of 5 stars0 ratingsNFC: Near Field Communication für Android-Entwickler Rating: 5 out of 5 stars5/5Erfolgreiche Spieleentwicklung: OpenGL, OpenAL und KI Rating: 0 out of 5 stars0 ratingsServiceorientierte Architektur: Anforderungen, Konzeption und Praxiserfahrungen Rating: 0 out of 5 stars0 ratingsHTML5 für Mobile Web Rating: 0 out of 5 stars0 ratingsBig Data: Executive Briefing Rating: 0 out of 5 stars0 ratingsJavaScript auf dem Server Rating: 0 out of 5 stars0 ratingsErfolgreiche Spieleentwicklung: OpenCL Rating: 0 out of 5 stars0 ratingsApache Tapestry: Einstieg in die komponentenorientierte Webentwicklung Rating: 0 out of 5 stars0 ratingsQualitätssicherung mit JavaScript und PHP Rating: 0 out of 5 stars0 ratingsAlgorithmen: Grundlagen und Implementierung Rating: 0 out of 5 stars0 ratingsHTML5 Security Rating: 0 out of 5 stars0 ratingsJava EE Security Rating: 0 out of 5 stars0 ratingsAgile Architektur mit .NET - Grundlagen und Best Practices Rating: 0 out of 5 stars0 ratingsPaaS - Die wichtigsten Java Clouds auf einen Blick: Die wichtigsten Java Clouds auf einen Blick Rating: 0 out of 5 stars0 ratingsUX Design für Tablet-Websites: Ein Überblick Rating: 0 out of 5 stars0 ratingsAmazon Web Services für .NET Entwickler Rating: 0 out of 5 stars0 ratingsBusiness-Intelligence-Lösungen für Unternehmen Rating: 0 out of 5 stars0 ratingsBig Data: Technologiegrundlagen Rating: 0 out of 5 stars0 ratingsBPM: Strategien und Anwendungsfälle Rating: 0 out of 5 stars0 ratingsIT Wissensmanagement: Theorie und Praxis Rating: 0 out of 5 stars0 ratingsJava 7: Fork-Join-Framework und Phaser Rating: 0 out of 5 stars0 ratingsTFS 2012 Versionskontrolle: Grundlagen, Check-In Policies und Branch-Modelle Rating: 0 out of 5 stars0 ratingsJava EE 7: Ein Ausblick Rating: 0 out of 5 stars0 ratingsJava FX - Status Quo: Status Quo Rating: 0 out of 5 stars0 ratingsGeolocation mit PHP: Foursquare-API, Google Places & Qype Rating: 0 out of 5 stars0 ratingsMobile Business: Was Entscheider morgen wissen müssen Rating: 0 out of 5 stars0 ratings
Related ebooks
Aufsetzen, Testen und Betrieb einer Android-App Rating: 0 out of 5 stars0 ratings55 WordPress-Tipps: So gelingt Ihr Webauftritt Rating: 0 out of 5 stars0 ratingsJava EE Security Rating: 0 out of 5 stars0 ratingsWebsecurity: Angriffe mit SSRF, CSRF und XML Rating: 0 out of 5 stars0 ratingsJavaScript Security: Sicherheit im Webbrowser Rating: 0 out of 5 stars0 ratingsiOS Essentials: Frameworks, Tools und Twitter API Rating: 0 out of 5 stars0 ratingsSoftware Development Trends: Wegweisende Beiträge für eine neue IT: Wegweisende Beiträge für eine neue IT Rating: 0 out of 5 stars0 ratingsSecurity im E-Commerce: Absicherung von Shopsystemen wie Magento, Shopware und OXID Rating: 0 out of 5 stars0 ratingsBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Rating: 3 out of 5 stars3/5JavaScript für Java-Entwickler Rating: 0 out of 5 stars0 ratingsHTML5 Security Rating: 0 out of 5 stars0 ratingsTesting mit Visual Studio 2012: Testing mit Visual Studio 2012 Rating: 0 out of 5 stars0 ratingsWebsecurity: Jahresrückblick Rating: 0 out of 5 stars0 ratingsMQL: Eine hierarchische Abfragesprache mit TypeScript erstellen Rating: 0 out of 5 stars0 ratingsEnterprise Java Web Services Rating: 0 out of 5 stars0 ratingsXtend beyond Java: DSL für mobile Business-Apps Rating: 0 out of 5 stars0 ratingsMicrosoft Azure: Cloud Entwicklung für lokale Applikationen Rating: 0 out of 5 stars0 ratings.NET-Praxis: Tipps und Tricks zu .NET und Visual Studio Rating: 0 out of 5 stars0 ratingsAngriffsziel UI: Benutzeraktionen, Passwörter und Clickjacking Rating: 0 out of 5 stars0 ratingsMemory Leaks in Java Rating: 0 out of 5 stars0 ratingsJavaScript auf dem Server Rating: 0 out of 5 stars0 ratingsDependency Injection in Java: Testing mit CDI-Unit und DI-Frameworks Rating: 0 out of 5 stars0 ratingsjQuery Mobile: Unit Testing Rating: 0 out of 5 stars0 ratingsSQL Server: Performanceprobleme analysieren und beheben Rating: 0 out of 5 stars0 ratingsSpring: Vier Perspektiven auf Framework und Ökosystem Rating: 0 out of 5 stars0 ratingsJavaScript und TypeScript für C#-Entwickler Rating: 0 out of 5 stars0 ratingsBig Data: Datenverarbeitung basierend auf MOM und SQL Rating: 0 out of 5 stars0 ratingsDas Java Memory Model: Überblick und Ausblick auf Java 9 Rating: 0 out of 5 stars0 ratingsOSGi-Entwicklung Rating: 0 out of 5 stars0 ratingsSpock, Geb und Selenium: Testframeworks unter die Lupe genommen Rating: 0 out of 5 stars0 ratings
Security For You
Hacken mit Kali-Linux: Schnelleinstieg für Anfänger Rating: 0 out of 5 stars0 ratingsDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Rating: 0 out of 5 stars0 ratingsKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Rating: 0 out of 5 stars0 ratingsHeimnetzwerke XL-Edition: DSL/WLAN/PC/Handy/Drucker & Co. Rating: 0 out of 5 stars0 ratingsNeun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013 Rating: 0 out of 5 stars0 ratingsAndroid Security: Von Fake-Apps, Trojanern und Spy Phones Rating: 0 out of 5 stars0 ratingsEinführung ins Darknet: Darknet ABC Rating: 0 out of 5 stars0 ratingsKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Rating: 0 out of 5 stars0 ratingsSECURITY AWARENESS: Leitfaden zur IT-Sicherheit für Anwender Rating: 0 out of 5 stars0 ratingsHacken mit Python und Kali-Linux: Entwicklung eigener Hackingtools mit Python unter Kali-Linux Rating: 0 out of 5 stars0 ratingsWebseiten hacken: Schnelleinstieg inkl. Entwicklung eigener Angriffsscripte Rating: 0 out of 5 stars0 ratingsISO27001/ISO27002: Ein Taschenführer Rating: 0 out of 5 stars0 ratingsWeg ins Darknet und Im Darknet Rating: 0 out of 5 stars0 ratingsBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Rating: 3 out of 5 stars3/5FRITZ!Box: Konfigurieren - Tunen - Absichern Rating: 0 out of 5 stars0 ratingsCybercrime: Wie Sie Gefahren im Internet erkennen und sich schützen Rating: 0 out of 5 stars0 ratingsHeim-Netzwerke Tipps & Tools: Netzwerkverbindungen • Zentraler Datenspeicher • Mediastreaming Rating: 0 out of 5 stars0 ratingsNichts ist sicher: Tricks und Techniken von Cyberkriminellen verstehen und sich schützen Rating: 5 out of 5 stars5/5Resilience: Wie Netflix sein System schützt Rating: 0 out of 5 stars0 ratingsIch Hacker – Du Script-Kiddy: Hacking und Cracking Rating: 0 out of 5 stars0 ratingsIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Rating: 0 out of 5 stars0 ratingsVersteckte Botschaften (TELEPOLIS): Die faszinierende Geschichte der Steganografie Rating: 5 out of 5 stars5/5sichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Rating: 0 out of 5 stars0 ratingsHeim-Netzwerke: Netzwerktechnik • High-Speed-Internet • Arbeiten im Heimnetz Rating: 0 out of 5 stars0 ratings
Reviews for OWASP Top 10
0 ratings0 reviews
Book preview
OWASP Top 10 - Tobias Zander
GmbH
1 SQL Injection und Broken Authentication
Nicht erst seit dem NSA-Skandal ist Security wieder ein Thema. Erst kürzlich wurde vom Ponemon Institute eine Umfrage veröffentlicht [1], in der 73 Prozent der befragten Unternehmen zugaben, mindestens einmal in den letzten zwei Jahren gehackt worden zu sein. Da ein Großteil der Sicherheitslücken auf dem Web Application Layer zu finden ist, wollen wir in diesem shortcut einige der Hauptprobleme aufzeigen und Lösungen dafür anbieten.
Doch was sind denn die wichtigsten Sicherheitsprobleme? Dieser Frage hat sich das Open Web Application Security Project (kurz OWASP [2], Kasten: „OWASP") gewidmet, das bisher alle drei Jahre eine Top-10-Liste der riskantesten Sicherheitslücken erstellt hat.
OWASP
OWASP ist eine Non-Profit-Vereinigung mit verschiedenen Chapters, meist nach Ländern organisiert und über den ganzen Globus verteilt. Zudem hat zum Beispiel der Germany Chapter weitere Unterteilungen in diverse lokale Gruppen, wie z. B. im Rhein-Main-Gebiet oder Hamburg. Diese treffen sich dann in regelmäßigen Abständen und tauschen sich über aktuelle Sicherheitsthemen aus. Die meisten Mitglieder kommen bisher aus der Java-Welt, aber auch PHP-Entwickler sind herzlich willkommen. Wir werden dann zunächst zwar erst belächelt, aber es ist unsere Aufgabe, die Fahne hochzuhalten und aufzuzeigen, dass uns das Thema ernst ist!
Neben dem riesigen Wiki auf der OWASP-Website [2] mit über 1 000 Mitgliedern gibt es auch zahlreiche Mailing-Listen zu diversen Themen, professionell produzierte Videos von Talks und veranschaulichte Erklärungen der Sicherheitslücken sowie Events, die gemeinnützig veranstaltet werden. Die bekannteste europäische Veranstaltung ist dabei sicherlich die AppSecEU, die 2013 in Hamburg stattfand und im Juni 2014 in Cambridge zu Gast sein wird. Die Liste der Speaker ist dabei international und sehr hochkarätig besetzt.
Die OWASP arbeitet an einer ganzen Liste von Projekten, wie z. B. einem XSS-Tool, dem Zed Attack Proxy [3] oder Webgoat [4], eine Webanwendung, die beabsichtigt unsicher programmiert wurde, um so eine praktische Anleitung zu bieten, sichereren Code zu schreiben.
Die aktuelle Version wurde 2013 veröffentlicht und um nicht nur aufzuzeigen, wie groß denn der technische Impact ist, wurde eine Einstufung nach Risiken vorgenommen. Hier ist unter anderem dann auch die wirtschaftliche Sicht berücksichtigt:
Wie hoch ist der finanzielle Schaden?
Kann das Ausnutzen der Lücke zu einem Reputationsverlust führen?
Wie viele persönliche/sensitive Daten können veröffentlicht werden?
Neben der globalen Top-10-Liste [5] gibt es auch noch einen Ableger für Mobile Development [6], der sich speziell an Produzenten für mobile Apps richtet und aktuell ist eine OWASP Top 10 für Entwickler [7] in Arbeit, die sich speziell an uns richtet und u. a. auch mit mehr technischem Background und Codebeispielen in möglichst vielen Sprachen aufwarten soll.
Den ersten Sicherheitslücken der OWASP Top 10 wollen wir uns nun in diesem Kapitel widmen.
Injection
SQL Injections sind inzwischen fast jedem Entwickler