Ebook198 pages1 hour
Security im E-Commerce: Absicherung von Shopsystemen wie Magento, Shopware und OXID
Rating: 0 out of 5 stars
()
About this ebook
Das Buch richtet sich besonders an Webentwickler und IT-Entscheider, die eine E-Commerce-Seite betreiben wollen oder dies bereits schon tun.
Es werden neben den häufigsten Angriffsszenarien wie XSS, Injection oder CSRF auch Exoten wie Pixel Perfect Timing beschrieben und mögliche Verteidigungsmethoden besprochen. Die Beispiele beruhen dabei auf der langjährigen Erfahrung des Autors und sind zum Großteil auch für Applikationen außerhalb des E-Commerce wie CMS-Projekte, Blogs oder Intranetapplikationen interessant.
Zudem werden Frameworks und Tools analysiert, die helfen, Ihre Applikation mit möglichst geringem Aufwand abzusichern.
Es werden neben den häufigsten Angriffsszenarien wie XSS, Injection oder CSRF auch Exoten wie Pixel Perfect Timing beschrieben und mögliche Verteidigungsmethoden besprochen. Die Beispiele beruhen dabei auf der langjährigen Erfahrung des Autors und sind zum Großteil auch für Applikationen außerhalb des E-Commerce wie CMS-Projekte, Blogs oder Intranetapplikationen interessant.
Zudem werden Frameworks und Tools analysiert, die helfen, Ihre Applikation mit möglichst geringem Aufwand abzusichern.
Read more from Tobias Zander
shortcuts
Related to Security im E-Commerce
Titles in the series (20)
Abofallen im Netz: Wie Sie teure Klicks vermeiden Rating: 0 out of 5 stars0 ratingsJavaScript für Java-Entwickler Rating: 0 out of 5 stars0 ratingsCloud Computing: Rechtliche Grundlagen Rating: 0 out of 5 stars0 ratingsSQL-Abfragen optimieren: Was Entwickler über Performance wissen müssen Rating: 0 out of 5 stars0 ratingsNeo4j 2.0: Eine Graphdatenbank für alle Rating: 0 out of 5 stars0 ratingsJavaScript und TypeScript für C#-Entwickler Rating: 0 out of 5 stars0 ratingsAgile Softwareentwicklung: Ein Leitfaden für Manager Rating: 0 out of 5 stars0 ratingsZertifizierung für Softwarearchitekten: Ihr Weg zur iSAQB-CPSA-F-Prüfung Rating: 0 out of 5 stars0 ratingsSecurity im E-Commerce: Absicherung von Shopsystemen wie Magento, Shopware und OXID Rating: 0 out of 5 stars0 ratingsCSS3: Die Referenz für Webentwickler Rating: 0 out of 5 stars0 ratingsIhr Recht bei Onlineauktionen. Juristische Tipps für eBay und Co. Rating: 0 out of 5 stars0 ratingsJavaScript für Java-Entwickler Rating: 0 out of 5 stars0 ratingsVorsicht Suchmaschine: Rechtliche Tipps für Google und Co. Rating: 0 out of 5 stars0 ratingsDynamic Proxies: Effizient programmieren Rating: 0 out of 5 stars0 ratingsCrime Scene Internet: Ein Streifzug durch das Computer- und Internetstrafrecht Rating: 0 out of 5 stars0 ratingsJavaScript für Java-Entwickler Rating: 0 out of 5 stars0 ratingsSQL Server: Performanceprobleme analysieren und beheben Rating: 0 out of 5 stars0 ratingsIhr Recht als Blogger: Juristische Tipps für Blogs, Podcasts und Co. Rating: 0 out of 5 stars0 ratingsIhr Recht als Programmierer: Juristische Tipps für Angestellte, Selbstständige und Freelancer Rating: 0 out of 5 stars0 ratingsZertifizierung für Softwarearchitekten: Ihr Weg zur iSAQB-CPSA-F-Prüfung Rating: 0 out of 5 stars0 ratings
Related ebooks
Hacking mit Python: Fehlersuche, Programmanalyse, Reverse Engineering Rating: 0 out of 5 stars0 ratingsJava-Web-Security: Sichere Webanwendungen mit Java entwickeln Rating: 0 out of 5 stars0 ratingsHacking mit Metasploit: Das umfassende Handbuch zu Penetration Testing und Metasploit Rating: 0 out of 5 stars0 ratingsSicher ins Netz: Mit einfachen Mitteln entspannt online gehen Rating: 0 out of 5 stars0 ratingsSharePoint Kompendium - Bd. 20 Rating: 0 out of 5 stars0 ratingsiOS Security: Sichere Apps für iPhone und iPad Rating: 0 out of 5 stars0 ratingsSicherheit in vernetzten Systemen: 26. DFN-Konferenz Rating: 0 out of 5 stars0 ratingsPasswortsicherheit und Digitale Identität: Wie man die Passwortsicherheit erhöht! Rating: 0 out of 5 stars0 ratingsEinfach Verschlüsseln Rating: 0 out of 5 stars0 ratingsBasiswissen Sichere Software: Aus- und Weiterbildung zum ISSECO Certified Professionell for Secure Software Engineering Rating: 0 out of 5 stars0 ratingsBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Rating: 3 out of 5 stars3/5Sicherheit in vernetzten Systemen: 28. DFN-Konferenz Rating: 0 out of 5 stars0 ratingsDie Effizienz von Security Monitoring und Log Management: IT-Systeme und -Dienste unter Beschuss Rating: 0 out of 5 stars0 ratingsIT-Sicherheit für Internet- und Windows 10 Nutzer*innen: Hilfe, mein PC hat einen Virus eingefangen! Rating: 0 out of 5 stars0 ratingsSicherheit in vernetzten Systemen: 23. DFN-Konferenz Rating: 0 out of 5 stars0 ratingsBasiswissen Sicherheitstests: Aus- und Weiterbildung zum ISTQB® Advanced Level Specialist – Certified Security Tester Rating: 0 out of 5 stars0 ratingsHacken mit Kali-Linux: Schnelleinstieg für Anfänger Rating: 0 out of 5 stars0 ratingsManipulationssichere Cloud-Infrastrukturen: Nachhaltige Digitalisierung durch Sealed Cloud Security Rating: 0 out of 5 stars0 ratingsNetzwerkprotokolle hacken: Sicherheitslücken verstehen, analysieren und schützen Rating: 0 out of 5 stars0 ratingsMobile Security: Schwachstellen verstehen und Angriffsszenarien nachvollziehen Rating: 0 out of 5 stars0 ratingsSecurity für Data-Warehouse- und Business-Intelligence-Systeme: Konzepte, Vorgehen und Praxis Rating: 0 out of 5 stars0 ratingsSicherheit in vernetzten Systemen: 24. DFN-Konferenz Rating: 0 out of 5 stars0 ratingsSemantische Datenintelligenz im Einsatz Rating: 0 out of 5 stars0 ratingsVirenschutz Regeln gegen Spam, Phising und Co.: so kannst du deinen Computer schützen. Rating: 0 out of 5 stars0 ratingsProjekt Eureka bei Investments Unlimited: Der Roman über DevOps, Sicherheit, Audit, Compliance und Erfolg im digitalen Zeitalter Rating: 0 out of 5 stars0 ratingsPraxis-Ratgeber Sicherheit im Internet: So surfen Sie sicherer Rating: 0 out of 5 stars0 ratingsQuick Guide Consent-Management: Einwilligungen marketingoptimiert und DSGVO-konform einholen, verwalten und dokumentieren Rating: 0 out of 5 stars0 ratingsImplementierung von Lizenzmodellen in .NET Rating: 0 out of 5 stars0 ratings
E-Commerce For You
Psychologie im Online-Marketing: Sozialwissenschaftliche Erkenntnisse und ihre Bedeutung für Marketing und Werbung im Web Rating: 0 out of 5 stars0 ratingsGrundlagen des Marketing: Einführung, Konzeption, Print, Online, Werbung, Branding, Media, PR, Marketingmix Rating: 0 out of 5 stars0 ratingsAmazon FBA Meisterung: Online Trading Rating: 0 out of 5 stars0 ratingsOnline-Marketing Konzept: Digital Marketing erfolgreich planen, umsetzen & optimieren Rating: 0 out of 5 stars0 ratings30 Minuten Suchmaschinenmarketing Rating: 0 out of 5 stars0 ratingsIdeen Für Passive Einkommen: Financial Investments Rating: 0 out of 5 stars0 ratingsGrundlagen des Online Marketing: Digital Marketing, SEO, Storytelling, Inbound-Marketing, Funnel Rating: 0 out of 5 stars0 ratings30 Minuten Online-Marketing Rating: 0 out of 5 stars0 ratingsManipulative Werbetexte: Ein praktischer Ratgeber zur Erkennung und Benennung von beeinflussenden Methoden Rating: 0 out of 5 stars0 ratingsDigital Marketing Leitfaden: Strategien für Wachstum Rating: 5 out of 5 stars5/5Das kleine Hypnose Einmaleins - Alles was Sie schon immer über die Hypnose wissen wollten von Ewald Pipper vom Hypnoseinstitut Rating: 0 out of 5 stars0 ratingsCopywriting: Überzeugende Worte, die verkaufen Rating: 0 out of 5 stars0 ratingsBusiness-Englisch beherrschen.: Business-Englisch beherrschen, #1 Rating: 0 out of 5 stars0 ratingsVerbraucherrechte beim Onlineshopping: Juristische Fallstricke erkennen und vermeiden Rating: 0 out of 5 stars0 ratingsIhr erstes Startup Rating: 0 out of 5 stars0 ratingsSeo Guru: Suchmaschinenoptimierung für Anfänger, Fortgeschrittene und Profis Rating: 0 out of 5 stars0 ratingsKryptowährungen: Insiderwissen Für Den Handel, Das Investment Und Mining Rating: 0 out of 5 stars0 ratingsOnline-Marketing: 10 Schritte zur finanziellen Freiheit Rating: 0 out of 5 stars0 ratingseCommerce Grundlagen: Der Leitfaden für den erfolgreichen Einstieg in den Online-Handel Rating: 0 out of 5 stars0 ratingsRaus aus dem Stundenlohn: Nie wieder für andere arbeiten und Lebenszeit verkaufen Rating: 0 out of 5 stars0 ratingsBusiness Science: Die besten Praxis-Tipps aus den renommiertesten 132 Büchern seit 2.500 Jahren Rating: 0 out of 5 stars0 ratings
Related podcast episodes
Internet Security Days 2023: Wie gestalten wir die Cybersicherheit von Morgen? 0% found this document usefulMenschen kontrollieren | Von Stefan Korinth 0% found this document usefulWie Corona den Schulen digital Beine macht: Wie Corona den Schulen digital Beine macht 0% found this document usefulQuanten-Computing: Wann gelingt endlich der Durchbruch für erste Anwendungen? 0% found this document usefulDer virtuelle Diener | Von Gustav Viktor Śmigielski 0% found this document useful#93 Ein Arbeitsschutz aus dem Elfenbeinturm ist zum Scheitern verurteilt 0% found this document useful„ChatGPT bringt große Sicherheitsprobleme mit sich“ – Cyber-Expertin Claudia Eckert 0% found this document useful„Wir brauchen ein neues Internet“ – Ivo Ivanov von De-Cix 0% found this document usefulDie Malle-Rallye und ein Börsendebüt des Jahres: 9.3.2021 - Der tägliche Börsen-Shot 0% found this document usefulSocial Media Marketing Special - Facebook: 41 - Social Media Marketing Special - Facebook 0% found this document useful522: Firma verkauft und jetzt: Wieso es nur ein Weiterentwicklungsschritt ist 0% found this document useful#224 Sicherheitskulturprojekt Safe Work@Schaeffler 0% found this document useful#255 - Warum Arbeitsschutz-Polizisten niemals eine Sicherheitskultur verbessern 0% found this document usefulGates kaperte Deutschland | Von Rüdiger Lenz 0% found this document useful#286 Die Auswirkungen einer guten Sicherheitskultur auf das Arbeitsumfeld 0% found this document usefulDie Gewinner des FinTech-Bebens und der Two-Bagger Deutsche Bank: 26.10.2023 – Der tägliche Börsen-Shot 0% found this document useful#51 Behavior Based Safety aus Sicht der Wissenschaft 0% found this document useful
Related articles
Zahlen & Trends Linux Magazin germanyArticle
Zahlen & Trends
Sep 1, 2021
9 min readZahlen & Trends Linux Magazin germanyArticle
Zahlen & Trends
Jul 7, 2021
9 min readSicher Sicherer? LinuxUserArticle
Sicher Sicherer?
Aug 17, 2023
Sehr geehrte Leserinnen und Leser, Zunächst das Offensichtliche: Die Sicherheit und Vertrauenswürdigkeit von Softwaresystemen spielen eine kritische Rolle. Viele hängen in diesem Kontext immer noch einem längst überholten Dualismus an: Software wird
1 min readMit SICHERHEIT in die Arbeitswelt VON MORGEN New Work MagazineArticle
Mit SICHERHEIT in die Arbeitswelt VON MORGEN
Jul 10, 2020
„Anti-Virus ist tot“. Diese Aussage aus der Führungsriege des Anti-Virus-Herstellers Norton hat schon 2014 für Aufsehen gesorgt. Bevor die Anti-Virus-Software auf dem PC nun aber deinstalliert wird, sollte die Aussage im Kontext betrachtet werden. Kl
3 min read»Wir Können Beides Haben – Infektionsschutz Und Datenschutz!« iPhone & iPadLifeArticle
»Wir Können Beides Haben – Infektionsschutz Und Datenschutz!«
Jun 20, 2020
5 min readWenig Wahl, viel Qual LinuxUserArticle
Wenig Wahl, viel Qual
Jan 19, 2023
11 min readEffizient Entwanzt Linux Magazin germanyArticle
Effizient Entwanzt
Nov 3, 2021
7 min readWenig Wahl, viel Qual Raspberry Pi GeekArticle
Wenig Wahl, viel Qual
Jan 19, 2023
11 min read„Unechte“ Mac-Apps Finden Und Löschen MacLife GermanArticle
„Unechte“ Mac-Apps Finden Und Löschen
Jan 7, 2021
Tech-Tipp Wir beantworten Fragen zu Ihren Geräten, Gadgets und Apps Frage: Wie stelle ich sicher, dass nur echte, also wirklich für macOS geschriebene Anwendungen auf meinem Mac laufen? Antwort: Die Gegenfrage ist natürlich, warum sollte jemandem das
1 min readSicherheitsexperte Martin Schobert MacLife GermanArticle
Sicherheitsexperte Martin Schobert
Sep 3, 2023
Was macht ein gutes Passwort aus und wie sieht eine gute Strategie für sichere Passwörter aus? Ein gutes Passwort ist schwer erratbar und wird nicht bei anderen Diensten wiederverwendet. Ein merkbares Passwort lässt sich aus den Anfangsbuchstaben ein
1 min read»Sicherheit Für Immer Gibt Es Nicht.« Smart HomesArticle
»Sicherheit Für Immer Gibt Es Nicht.«
Apr 29, 2022
Stefan Eben ist Systemintegrator und Chef bei Syspa Gebäudesystemtechnik in Landshut. Gemeinsam mit seinem Team gehört er zu den Experten für das Smart Home in Deutschland. Bei der Datensicherheit von intelligenter Gebäudetechnik macht er keine Kompr
2 min readDie Download-Highlights dieser Ausgabe DigitalPhotoArticle
Die Download-Highlights dieser Ausgabe
Jun 2, 2023
97 € Wert* Unter www.digitalphoto.de/webdvd-0723 gehen Sie gleich auf Entdeckungsreise! Rufen Sie die Webseite auf und registrieren Sie sich mit Ihrer E-Mail-Adresse. Kurze Zeit später erhalten Sie eine E-Mail mit der Bitte, Ihre E-Mail-Adresse zu be
3 min readTrau, Schau, Wem! LinuxUserArticle
Trau, Schau, Wem!
Jul 21, 2022
10 min readDatensicherheit im Smart Home Smart HomesArticle
Datensicherheit im Smart Home
Jun 24, 2022
7 min read„iOS Ist Ungeheuer Komplex Geworden!“ MacLife GermanArticle
„iOS Ist Ungeheuer Komplex Geworden!“
Feb 4, 2021
9 min readFacebook Down LinuxUserArticle
Facebook Down
Oct 20, 2021
Sehr geehrte Leserinnen und Leser, Nobody is perfect, jeder macht mal Fehler. Doch es gibt Fehler und es gibt kapitale Böcke. Zur zweiten Kategorie dürfte wohl die Ursache hinter dem Ausfall aller Facebook-Dienste Anfang Oktober gehören – Facebook, I
2 min readKomfortabel Intelligent LinuxUserArticle
Komfortabel Intelligent
Dec 22, 2022
4 min read»Wir Sehen Uns In Der Verantwortung! « MacLife GermanArticle
»Wir Sehen Uns In Der Verantwortung! «
Feb 2, 2023
3 min read„iOS Ist Ungeheuer Komplex Geworden!“ iPhone & iPadLifeArticle
„iOS Ist Ungeheuer Komplex Geworden!“
Mar 11, 2021
8 min readZahlen & Trends Linux Magazin germanyArticle
Zahlen & Trends
May 5, 2021
9 min readSo Entfernst Du Malware Von Deinem Mac MacLife GermanArticle
So Entfernst Du Malware Von Deinem Mac
Mar 2, 2023
6 min readPoka Yoke Raspberry Pi GeekArticle
Poka Yoke
Jun 2, 2022
Sehr geehrte Leserinnen und Leser, gern rühmen wir „Computerspezialisten“ uns für unser Verständnis rund um die Sicherheit von Computern und Netzwerken. Wir amüsieren uns über Nutzer, die passwort oder 12345 als Passwort verwenden, und Anwender, die
2 min readSicher wie Fort Knox Linux Magazin germanyArticle
Sicher wie Fort Knox
Feb 3, 2022
2 min readVorschau auf 03/2022 LinuxUserArticle
Vorschau auf 03/2022
Jan 20, 2022
1 min readVorsicht Kamera New Work MagazineArticle
Vorsicht Kamera
Jul 10, 2020
11 min readAlleskönner Raspberry Pi GeekArticle
Alleskönner
Nov 16, 2023
5 min readIntegration Ausbauen Linux Magazin germanyArticle
Integration Ausbauen
Oct 6, 2021
9 min readEinbruchswerkzeug Linux Magazin germanyArticle
Einbruchswerkzeug
Sep 1, 2021
9 min readSuchspiel Raspberry Pi GeekArticle
Suchspiel
Mar 16, 2023
4 min readZahlen & Trends Linux Magazin germanyArticle
Zahlen & Trends
Jun 2, 2021
10 min read
Reviews for Security im E-Commerce
Rating: 0 out of 5 stars
0 ratings
0 ratings0 reviews
Book preview
Security im E-Commerce - Tobias Zander
tobias.zander@sitewards.com.
1 Sicher, aber wo anfangen?
In diesem Kapitel geht es zunächst um die Definition von Sicherheit. Wer entscheidet eigentlich, was sicher ist? Welche Organisationen und Dokumente gibt es und wo können Sie diese finden und Unterstützung erhalten?
1.1 Die Lage der Nation
1.1.1 NSA
Es ist wohl aktuell kaum möglich, ein Buch über Websecurity zu schreiben, ohne zumindest kurz auf die Vorkommnisse einzugehen, die quasi die ganze Welt aufgeweckt haben. Dass viele Webserver und deren Software heutzutage nicht wirklich sicher sind, ist kein großes Geheimnis, und je mehr Aufwand man betreibt, desto größer wird die Wahrscheinlichkeit, dass man auch Zugriff auf ein System bekommt. Doch was wirklich klar wurde, ist, dass kein System wirklich sicher ist. Je nach Höhe der Mittel, die dem Angreifer zur Verfügung stehen, ist der Kampf nahezu aussichtslos. Das ist aber kein Grund, die Flinte ins Korn zu werfen, denn auch wenn man sich gegenüber mächtigen Institutionen wie der NSA nicht wirklich absichern können wird, so gibt es auch zahlreiche weitere Gefahren, z. B. Scriptkiddies, Trickbetrüger oder die Konkurrenz, die Interesse an meinen Daten hat oder sich einen Vorteil davon erhofft, meinem Ruf zu schaden.
1.1.2 Ponemon Institute
Doch nicht erst seit dem NSA-Skandal ist Security wieder ein Thema. Erst kürzlich wurde vom Ponemon Institute eine Umfrage veröffentlicht, in der 73 Prozent der befragten Unternehmen zugaben, mindestens einmal in den letzten zwei Jahren gehackt worden zu sein.
Dabei ist es auch interessant, dass vielen gar nicht bekannt ist, welcher finanzielle Schaden dadurch entstanden ist bzw. entstehen kann. 47 Prozent der Befragten schätzten die Kosten auf 100 000 bis 500 000 $. Ein Viertel der Befragten konnte gar keine Schätzung dazu abgeben.
Zudem gaben 88 Prozent der Teilnehmer an, dass ihr Kaffeebudget in der Firma (im Schnitt 30 $ pro Mitarbeiter pro Monat) höher ist als das der Web Application Security.
Das komplette Ergebnis der Umfrage können Sie unter https://www.barracuda.com/assets/docs/white_papers/barracuda_web_app_firewall_wp_cenzic_exec_summary.pdf nachlesen.
1.1.3 Forrester
Auch Forrester veröffentlicht regelmäßig Statistiken und Umfragen zum Thema Websecurity. Interessant ist dabei u. a., dass 70 Prozent aller Sicherheitslücken auf dem Web Application Layer zu finden sind, also in der Software, die wir entwickeln und für die wir selbst verantwortlich sind!
Auch geht aus den Ergebnissen der Umfragen immer wieder hervor, dass die größte Herausforderung bei der Entwicklung von sicherer Software das Finden von geschultem Personal in ausreichender Menge ist. Es reicht leider nicht, einen Experten im Team zu haben, sondern bereits bei der Planung der Architektur und später bei der Implementierung jedes einzelnen Moduls muss darauf geachtet werden. Und am Ende, wenn etwas schief geht, interessiert es niemanden, wer den Fehler implementiert hat. Daher ist es an uns, das entsprechende Wissen auch weiterzugeben und ständig auf dem aktuellen Stand zu bleiben.
Sie haben nun erfahren, dass es 100 Prozent Sicherheit nicht geben kann. In den folgenden Kapiteln wollen wir uns anschauen, wie man nun zumindest die wichtigsten Maßnahmen ergreifen kann.
1.2 OWASP
Das Open Web Application Security Project (OWASP) ist eine der wichtigsten Institutionen, die das Thema Web Security stark vorantreibt. Der Grundsatz ist es, Web Security sichtbar zu machen, was dadurch geschieht, dass viele Beiträge zu den Themen geschrieben, und auch entsprechende Videos zu bestimmten Themen produziert oder von Vorträgen aufgezeichnet werden.
Abbildung 1.1: Das Logo der OWASP
Die OWASP ist eine Non-Profit-Vereinigung, es steht keine Firma dahinter, was einerseits die Unabhängigkeit gewährleistet, doch andererseits ist es natürlich nicht immer einfach, die nötigen Gelder aufzutreiben.
Es gibt zudem eine ganze Liste an Projekten, wie z. B. ein XSS-Tool, das Zed Attack Proxy (Kapitel 7.1) oder Webgoat, eine Webanwendung, die absichtlich unsicher programmiert wurde, um so eine praktische Anleitung zu bieten, sichereren Code zu schreiben.
1.2.1 Wiki
Einer der Hauptbestandteile ist sicherlich das Wiki, zu finden unter http://www.owasp.org. Dort sind über 1 000 Mitglieder aktiv und pflegen die Seiten zu den diversen Projekten. Einziger Nachteil ist, dass das Wiki durch die große Menge an Beiträgen ein wenig unübersichtlich geworden ist, doch aufgrund der zahlreichen Verlinkungen findet man selbst mit der Google-Suche relativ schnell den entsprechenden Content.
Besonderes Augenmerkt sollte u. a. auf die Cheat Sheets geworfen werden, die begleitend zu diesem Buch eine sehr gute Hilfe bieten, wie man sich gegen einige Sicherheitsprobleme schützen kann.
1.2.2 Chapters
Die Organisation unterteilt sich in verschiedene Chapters, meist nach Ländern getrennt und über den ganzen Globus verteilt. Zudem hat zum Beispiel der Germany Chapter weitere Unterteilungen in diverse lokale Gruppen, wie z. B. Rhein-Main-Gebiet oder Hamburg. Diese Chapters treffen sich dann in regelmäßigen Abständen und tauschen sich über aktuelle Sicherheitsthemen aus. Die meisten Mitglieder kommen bisher aus der Java-Welt, doch auch PHP- oder Ruby-Entwickler sind herzlich willkommen. Ich als PHP-Entwickler wurde zunächst zwar belächelt, doch ich wurde sehr schnell akzeptiert, nachdem ich gezeigt habe, dass auch uns das Thema ernst ist!
Zudem gibt es auch zahlreiche Mailing-Listen zu diversen Themen, in die man sich einschreiben und an denen man auch aktiv teilnehmen kann.
Zudem werden Events gemeinnützig veranstaltet. Die bekannteste europäische Veranstaltung ist dabei sicherlich die AppSecEU, die 2013 in Hamburg stattfand und im Juni 2014 in Cambridge stattfinden wird. Die Liste der Speaker ist international und hochkarätig besetzt.
1.2.3 Top 10
Doch was sind überhaupt die wichtigsten Sicherheitsprobleme? Dieser Frage hat sich die OWASP mit ihrem wohl bekanntesten Projekt der OWASP Top 10 gewidmet, wo bisher alle drei Jahre eine Liste der riskantesten Sicherheitslücken erstellt wurden. Die aktuelle Version wurde 2013 veröffentlicht, und um nicht nur aufzuzeigen, wie groß der technische Impact ist, wurde eine Einstufung nach Risiken vorgenommen. Hier ist unter anderem auch die wirtschaftliche Sicht berücksichtigt:
Wie hoch ist der finanzielle Schaden?
Kann das Ausnutzen der Lücke zu einem Reputationsverlust führen?
Wie viele persönliche/sensitive Daten können veröffentlicht werden?
Neben der globalen Top-10-Liste gibt es auch noch einen Ableger für Mobile Development, der sich speziell an Produzenten für mobile Apps richtet, und aktuell ist eine OWASP Top 10 für Entwickler in Arbeit, die sich speziell an Entwickler richtet und u. a. auch mit mehr technischem Background und Codebeispielen in möglichst vielen Sprachen aufwarten soll.
Dies sind die Top 10 der Liste von 2013 mit einer Referenz, wo in diesem Buch das jeweilige Problem besprochen wird:
Injection (Kapitel 3.1)
Broken Authentication and Session Management (Kapitel 4.2 und 4.3)
Cross-Site Scripting (Kapitel 2)
Insecure Direct Object References (Kapitel 4.5)
Security Misconfiguration (Kapitel 4.6)
Sensitive Data Exposure (Kapitel 5.1)
Missing Function Level Access Control (Kapitel 4.1)
Cross-Site Request Forgery (Kapitel 3.3)
Using Components with known Vulnerabilities (Kapitel 6 und 7)
Unvalidated Redirect and Forwards (Kapitel 4.5.2)
1.3 CWE/SANS Top 25
Analog zur OWASP Top 10 erscheint regelmäßig die „CWE & SANS Institute Top 25 of most dangerous software errors". Diese fokussiert sich nicht nur auf Webapplikationen, hat aber doch zahlreiche Überschneidungen und sollte entsprechend beachtet werden, wenn man sich mit dem Thema auseinandersetzt.
Die Common Weakness Enumeration (CWE) bezeichnet sich selbst als Wörterbuch, um die verschiedenen Softwareschwachstellen zu beschreiben und arbeitet ähnlich wie die OWASP communitygetrieben, wird aber von Spenden des Cybersecurity and Communications Department der Homeland Security unterstützt.
Die SANS ist eine kommerzielle Firma, die sich auf Trainings und Zertifizierungen rund um das Thema Sicherheit spezialisiert hat.
Lassen Sie uns die Liste der Top-25-Schwachstellen genauer anschauen. Wiederum werden Kapitel entsprechend referenziert, sofern es detaillierte Informationen dazu in diesem Buch gibt:
Improper Neutralization of Special Elements used in SQL Command (Kapitel 3.1.1)
Improper Neutralization of Special Elements used in an
Enjoying the preview?
Page 1 of 1