Ebook53 pages31 minutes
OWASP Top 10: Sicherheitslücken im Web
Rating: 0 out of 5 stars
()
About this ebook
Sicherheit im Web ist ein immerwährendes Thema, dem durch gewisse Vorfälle, wie dem NSA-Skandal, stetig mehr Aufmerksamkeit zuteilwurde. Der größte Teil der Sicherheitslücken ist auf dem Web Application Layer zu verorten. Das Open Web Application Security Project (OWASP) untersucht die dort zu findenden Sicherheitslücken und stellt Lösungen bereit, mit denen man ihnen entgegenwirken kann. Dieser shortcut behandelt die wohl derzeit größten Sicherheitsprobleme im Web. Das erste Kapitel befasst sich mit dem so genannten Authentication-Management, es dreht sich also alles um Passwort- und Benutzereingaben. Kapitel 2 stellt das Sessionmanagement vor, worunter das Cross-Site Scripting und die Serverkonfiguration fallen. Im dritten Kapitel geht der Autor abschließend gezielt auf das Thema Passwort-Hashing ein.
Read more from Tobias Zander
schnell + kompakt
Related to OWASP Top 10
Titles in the series (100)
Skalierbare Softwaresysteme: Design, Betrieb und Optimierungspotenziale Rating: 0 out of 5 stars0 ratingsJavaScript für Eclipse-Entwickler: Orion, RAP und GWT Rating: 0 out of 5 stars0 ratingsEinstieg in Google Go Rating: 0 out of 5 stars0 ratingsTFS 2012 Anforderungsmanagement: Work Items und Prozessvorlagen Rating: 0 out of 5 stars0 ratingsNFC: Near Field Communication für Android-Entwickler Rating: 5 out of 5 stars5/5Erfolgreiche Spieleentwicklung: OpenGL, OpenAL und KI Rating: 0 out of 5 stars0 ratingsServiceorientierte Architektur: Anforderungen, Konzeption und Praxiserfahrungen Rating: 0 out of 5 stars0 ratingsHTML5 für Mobile Web Rating: 0 out of 5 stars0 ratingsBig Data: Executive Briefing Rating: 0 out of 5 stars0 ratingsJavaScript auf dem Server Rating: 0 out of 5 stars0 ratingsErfolgreiche Spieleentwicklung: OpenCL Rating: 0 out of 5 stars0 ratingsApache Tapestry: Einstieg in die komponentenorientierte Webentwicklung Rating: 0 out of 5 stars0 ratingsQualitätssicherung mit JavaScript und PHP Rating: 0 out of 5 stars0 ratingsAlgorithmen: Grundlagen und Implementierung Rating: 0 out of 5 stars0 ratingsHTML5 Security Rating: 0 out of 5 stars0 ratingsJava EE Security Rating: 0 out of 5 stars0 ratingsAgile Architektur mit .NET - Grundlagen und Best Practices Rating: 0 out of 5 stars0 ratingsPaaS - Die wichtigsten Java Clouds auf einen Blick: Die wichtigsten Java Clouds auf einen Blick Rating: 0 out of 5 stars0 ratingsUX Design für Tablet-Websites: Ein Überblick Rating: 0 out of 5 stars0 ratingsAmazon Web Services für .NET Entwickler Rating: 0 out of 5 stars0 ratingsBusiness-Intelligence-Lösungen für Unternehmen Rating: 0 out of 5 stars0 ratingsBig Data: Technologiegrundlagen Rating: 0 out of 5 stars0 ratingsBPM: Strategien und Anwendungsfälle Rating: 0 out of 5 stars0 ratingsIT Wissensmanagement: Theorie und Praxis Rating: 0 out of 5 stars0 ratingsJava 7: Fork-Join-Framework und Phaser Rating: 0 out of 5 stars0 ratingsTFS 2012 Versionskontrolle: Grundlagen, Check-In Policies und Branch-Modelle Rating: 0 out of 5 stars0 ratingsJava EE 7: Ein Ausblick Rating: 0 out of 5 stars0 ratingsJava FX - Status Quo: Status Quo Rating: 0 out of 5 stars0 ratingsGeolocation mit PHP: Foursquare-API, Google Places & Qype Rating: 0 out of 5 stars0 ratingsMobile Business: Was Entscheider morgen wissen müssen Rating: 0 out of 5 stars0 ratings
Related ebooks
Aufsetzen, Testen und Betrieb einer Android-App Rating: 0 out of 5 stars0 ratings55 WordPress-Tipps: So gelingt Ihr Webauftritt Rating: 0 out of 5 stars0 ratingsJava EE Security Rating: 0 out of 5 stars0 ratingsWebsecurity: Angriffe mit SSRF, CSRF und XML Rating: 0 out of 5 stars0 ratingsJavaScript Security: Sicherheit im Webbrowser Rating: 0 out of 5 stars0 ratingsiOS Essentials: Frameworks, Tools und Twitter API Rating: 0 out of 5 stars0 ratingsSoftware Development Trends: Wegweisende Beiträge für eine neue IT: Wegweisende Beiträge für eine neue IT Rating: 0 out of 5 stars0 ratingsSecurity im E-Commerce: Absicherung von Shopsystemen wie Magento, Shopware und OXID Rating: 0 out of 5 stars0 ratingsBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Rating: 3 out of 5 stars3/5JavaScript für Java-Entwickler Rating: 0 out of 5 stars0 ratingsHTML5 Security Rating: 0 out of 5 stars0 ratingsTesting mit Visual Studio 2012: Testing mit Visual Studio 2012 Rating: 0 out of 5 stars0 ratingsWebsecurity: Jahresrückblick Rating: 0 out of 5 stars0 ratingsMQL: Eine hierarchische Abfragesprache mit TypeScript erstellen Rating: 0 out of 5 stars0 ratingsEnterprise Java Web Services Rating: 0 out of 5 stars0 ratingsXtend beyond Java: DSL für mobile Business-Apps Rating: 0 out of 5 stars0 ratingsMicrosoft Azure: Cloud Entwicklung für lokale Applikationen Rating: 0 out of 5 stars0 ratings.NET-Praxis: Tipps und Tricks zu .NET und Visual Studio Rating: 0 out of 5 stars0 ratingsAngriffsziel UI: Benutzeraktionen, Passwörter und Clickjacking Rating: 0 out of 5 stars0 ratingsMemory Leaks in Java Rating: 0 out of 5 stars0 ratingsJavaScript auf dem Server Rating: 0 out of 5 stars0 ratingsDependency Injection in Java: Testing mit CDI-Unit und DI-Frameworks Rating: 0 out of 5 stars0 ratingsjQuery Mobile: Unit Testing Rating: 0 out of 5 stars0 ratingsSQL Server: Performanceprobleme analysieren und beheben Rating: 0 out of 5 stars0 ratingsSpring: Vier Perspektiven auf Framework und Ökosystem Rating: 0 out of 5 stars0 ratingsJavaScript und TypeScript für C#-Entwickler Rating: 0 out of 5 stars0 ratingsBig Data: Datenverarbeitung basierend auf MOM und SQL Rating: 0 out of 5 stars0 ratingsDas Java Memory Model: Überblick und Ausblick auf Java 9 Rating: 0 out of 5 stars0 ratingsOSGi-Entwicklung Rating: 0 out of 5 stars0 ratingsSpock, Geb und Selenium: Testframeworks unter die Lupe genommen Rating: 0 out of 5 stars0 ratings
Security For You
Hacken mit Kali-Linux: Schnelleinstieg für Anfänger Rating: 0 out of 5 stars0 ratingsDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Rating: 0 out of 5 stars0 ratingsKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Rating: 0 out of 5 stars0 ratingsHeimnetzwerke XL-Edition: DSL/WLAN/PC/Handy/Drucker & Co. Rating: 0 out of 5 stars0 ratingsNeun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013 Rating: 0 out of 5 stars0 ratingsAndroid Security: Von Fake-Apps, Trojanern und Spy Phones Rating: 0 out of 5 stars0 ratingsEinführung ins Darknet: Darknet ABC Rating: 0 out of 5 stars0 ratingsKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Rating: 0 out of 5 stars0 ratingsSECURITY AWARENESS: Leitfaden zur IT-Sicherheit für Anwender Rating: 0 out of 5 stars0 ratingsHacken mit Python und Kali-Linux: Entwicklung eigener Hackingtools mit Python unter Kali-Linux Rating: 0 out of 5 stars0 ratingsWebseiten hacken: Schnelleinstieg inkl. Entwicklung eigener Angriffsscripte Rating: 0 out of 5 stars0 ratingsISO27001/ISO27002: Ein Taschenführer Rating: 0 out of 5 stars0 ratingsWeg ins Darknet und Im Darknet Rating: 0 out of 5 stars0 ratingsBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Rating: 3 out of 5 stars3/5FRITZ!Box: Konfigurieren - Tunen - Absichern Rating: 0 out of 5 stars0 ratingsCybercrime: Wie Sie Gefahren im Internet erkennen und sich schützen Rating: 0 out of 5 stars0 ratingsHeim-Netzwerke Tipps & Tools: Netzwerkverbindungen • Zentraler Datenspeicher • Mediastreaming Rating: 0 out of 5 stars0 ratingsNichts ist sicher: Tricks und Techniken von Cyberkriminellen verstehen und sich schützen Rating: 5 out of 5 stars5/5Resilience: Wie Netflix sein System schützt Rating: 0 out of 5 stars0 ratingsIch Hacker – Du Script-Kiddy: Hacking und Cracking Rating: 0 out of 5 stars0 ratingsIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Rating: 0 out of 5 stars0 ratingsVersteckte Botschaften (TELEPOLIS): Die faszinierende Geschichte der Steganografie Rating: 5 out of 5 stars5/5sichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Rating: 0 out of 5 stars0 ratingsHeim-Netzwerke: Netzwerktechnik • High-Speed-Internet • Arbeiten im Heimnetz Rating: 0 out of 5 stars0 ratings
Related podcast episodes
Datensicherheit in der Cloud mit Gerald Boyne (Amazon Web Services) 0% found this document usefulBenchmark OpenLB: Modellansatz 243 0% found this document usefulEZB gibt Daten US-Anbietern | Von Norbert Häring 0% found this document usefulInternet Security Days 2023: Wie gestalten wir die Cybersicherheit von Morgen? 0% found this document useful„ChatGPT bringt große Sicherheitsprobleme mit sich“ – Cyber-Expertin Claudia Eckert 0% found this document usefulCybersecurity: Warum müssen sich gerade Berufseinsteiger vor Hackern schützen?: WirtschaftsWoche Money Mates 0% found this document usefulMenschen kontrollieren | Von Stefan Korinth 0% found this document useful#86 Cloud Server – die Anwendung der Zukunft? 0% found this document useful042 - Apple Special Event '23: Ein Podcast von drei App Entwicklern 0% found this document useful„Wir brauchen ein neues Internet“ – Ivo Ivanov von De-Cix 0% found this document useful#34 mit Martin Geier (Director of Sales bei Microsoft): “Wir müssen uns von einer wissenden hin zu einer … 0% found this document useful007 - Xcode Teil 2: Ein Podcast von zwei App Entwicklern 0% found this document usefulWeb3, Bitcoin und DeFi: Das Ende des Finanzsystems as we know it: Wer über das Web3 spricht, kommt an Begriffen wie… 0% found this document usefulGinkgo: Modellansatz 240 0% found this document useful#061 Mark's Metaverse | AdTech Markt | GAFAM Earnings | China EduTech | Outbrain IPO 0% found this document usefulWissen Sie, ob Sie schon gehackt sind?: Log4j als weitere Warnung vor gravierenden Sicherheitslücken in der IT 0% found this document usefulWhatsApp : Die End-to-End Verschlüsselung war eine Lüge | Von Thomas Röper 0% found this document usefulAuf den Keks: Google schafft Cookies ab 0% found this document usefulState of Demo Automation 2024 (156) 0% found this document useful
Related articles
Auf Spurensuche Linux Magazin germanyArticle
Auf Spurensuche
Mar 3, 2022
10 min readAbhärtung LinuxUserArticle
Abhärtung
Nov 17, 2021
4 min readTeilen und Herrschen Raspberry Pi GeekArticle
Teilen und Herrschen
Sep 21, 2023
4 min readTeilen und Herrschen LinuxUserArticle
Teilen und Herrschen
Sep 21, 2023
4 min readAbhärtung Linux Magazin germanyArticle
Abhärtung
Oct 6, 2021
3 min readWenn Es Kracht Linux Magazin germanyArticle
Wenn Es Kracht
May 5, 2021
5 min readVolle Kontrolle Über Den Datenverkehr MacLife GermanArticle
Volle Kontrolle Über Den Datenverkehr
Feb 4, 2021
8 min readEinbruchswerkzeug Linux Magazin germanyArticle
Einbruchswerkzeug
Sep 1, 2021
9 min readZahlen & Trends Linux Magazin germanyArticle
Zahlen & Trends
Sep 1, 2021
9 min readOnline À La Carte MacLife GermanArticle
Online À La Carte
Nov 3, 2023
3 min readDoppelt Kraftvoll Raspberry Pi GeekArticle
Doppelt Kraftvoll
Dec 8, 2022
5 min readGut Organisiert Raspberry Pi GeekArticle
Gut Organisiert
Oct 6, 2021
6 min readGut Organisiert Raspberry Pi GeekArticle
Gut Organisiert
Oct 6, 2021
6 min readVogelperspektive Linux Magazin germanyArticle
Vogelperspektive
Dec 1, 2021
8 min readIntegration Ausbauen Linux Magazin germanyArticle
Integration Ausbauen
Oct 6, 2021
9 min readVerletzungsrisiko Linux Magazin germanyArticle
Verletzungsrisiko
Apr 7, 2021
5 min readAlles Durchprobiert Linux Magazin germanyArticle
Alles Durchprobiert
Nov 3, 2021
10 min readScharfer Wachhund Linux Magazin germanyArticle
Scharfer Wachhund
Aug 4, 2021
10 min readSicherheitsproblem T2-Security-Chip MacLife GermanArticle
Sicherheitsproblem T2-Security-Chip
Nov 10, 2020
2 min readEinstellungssache Raspberry Pi GeekArticle
Einstellungssache
Aug 4, 2022
5 min readKomfort-Downloads LinuxUserArticle
Komfort-Downloads
Apr 21, 2022
9 min readPrivate Post Linux Magazin germanyArticle
Private Post
Dec 1, 2021
10 min readSparfunk Raspberry Pi GeekArticle
Sparfunk
Oct 6, 2022
7 min readRückschau Linux Magazin germanyArticle
Rückschau
Nov 3, 2021
7 min readRahmenkonstruktion Linux Magazin germanyArticle
Rahmenkonstruktion
Jul 7, 2021
7 min readVorschau auf 12/2021 LinuxUserArticle
Vorschau auf 12/2021
Oct 20, 2021
1 min readSchlüsselfragen Linux Magazin germanyArticle
Schlüsselfragen
Dec 1, 2021
11 min readNews Linux Magazin germanyArticle
News
Aug 4, 2021
6 min readGehäusedeckel Aufschrauben Raspberry Pi GeekArticle
Gehäusedeckel Aufschrauben
Apr 7, 2022
10 min readIn der Sackgasse LinuxUserArticle
In der Sackgasse
May 19, 2022
5 min read
Reviews for OWASP Top 10
Rating: 0 out of 5 stars
0 ratings
0 ratings0 reviews
Book preview
OWASP Top 10 - Tobias Zander
GmbH
1 SQL Injection und Broken Authentication
Nicht erst seit dem NSA-Skandal ist Security wieder ein Thema. Erst kürzlich wurde vom Ponemon Institute eine Umfrage veröffentlicht [1], in der 73 Prozent der befragten Unternehmen zugaben, mindestens einmal in den letzten zwei Jahren gehackt worden zu sein. Da ein Großteil der Sicherheitslücken auf dem Web Application Layer zu finden ist, wollen wir in diesem shortcut einige der Hauptprobleme aufzeigen und Lösungen dafür anbieten.
Doch was sind denn die wichtigsten Sicherheitsprobleme? Dieser Frage hat sich das Open Web Application Security Project (kurz OWASP [2], Kasten: „OWASP") gewidmet, das bisher alle drei Jahre eine Top-10-Liste der riskantesten Sicherheitslücken erstellt hat.
OWASP
OWASP ist eine Non-Profit-Vereinigung mit verschiedenen Chapters, meist nach Ländern organisiert und über den ganzen Globus verteilt. Zudem hat zum Beispiel der Germany Chapter weitere Unterteilungen in diverse lokale Gruppen, wie z. B. im Rhein-Main-Gebiet oder Hamburg. Diese treffen sich dann in regelmäßigen Abständen und tauschen sich über aktuelle Sicherheitsthemen aus. Die meisten Mitglieder kommen bisher aus der Java-Welt, aber auch PHP-Entwickler sind herzlich willkommen. Wir werden dann zunächst zwar erst belächelt, aber es ist unsere Aufgabe, die Fahne hochzuhalten und aufzuzeigen, dass uns das Thema ernst ist!
Neben dem riesigen Wiki auf der OWASP-Website [2] mit über 1 000 Mitgliedern gibt es auch zahlreiche Mailing-Listen zu diversen Themen, professionell produzierte Videos von Talks und veranschaulichte Erklärungen der Sicherheitslücken sowie Events, die gemeinnützig veranstaltet werden. Die bekannteste europäische Veranstaltung ist dabei sicherlich die AppSecEU, die 2013 in Hamburg stattfand und im Juni 2014 in Cambridge zu Gast sein wird. Die Liste der Speaker ist dabei international und sehr hochkarätig besetzt.
Die OWASP arbeitet an einer ganzen Liste von Projekten, wie z. B. einem XSS-Tool, dem Zed Attack Proxy [3] oder Webgoat [4], eine Webanwendung, die beabsichtigt unsicher programmiert wurde, um so eine praktische Anleitung zu bieten, sichereren Code zu schreiben.
Die aktuelle Version wurde 2013 veröffentlicht und um nicht nur aufzuzeigen, wie groß denn der technische Impact ist, wurde eine Einstufung nach Risiken vorgenommen. Hier ist unter anderem dann auch die wirtschaftliche Sicht berücksichtigt:
Wie hoch ist der finanzielle Schaden?
Kann das Ausnutzen der Lücke zu einem Reputationsverlust führen?
Wie viele persönliche/sensitive Daten können veröffentlicht werden?
Neben der globalen Top-10-Liste [5] gibt es auch noch einen Ableger für Mobile Development [6], der sich speziell an Produzenten für mobile Apps richtet und aktuell ist eine OWASP Top 10 für Entwickler [7] in Arbeit, die sich speziell an uns richtet und u. a. auch mit mehr technischem Background und Codebeispielen in möglichst vielen Sprachen aufwarten soll.
Den ersten Sicherheitslücken der OWASP Top 10 wollen wir uns nun in diesem Kapitel widmen.
Injection
SQL Injections sind inzwischen fast jedem Entwickler
Enjoying the preview?
Page 1 of 1