Übersicht Web-Sicherheit - So entwickeln Sie sichere Webapplikationen

0 | 9781 Aufrufe
Sie können diese Wikiseite nach der Anmeldung auf Webmasterpro bearbeiten. Helfen Sie mit und verbessern Sie "Übersicht Web-Sicherheit - So entwickeln Sie sichere Webapplikationen" mit Ihrem Wissen!

Anzeige Hier werben

Ein paar Worte zu der Web-Sicherheit

Wer Webanwendungen entwickelt, muss auf viele Sachen achten. Diese sind z.B. Usability, Kompatibilität zu den gängigen Browsern und Belastbarkeit der Anwendung. Alle sind wichtig und haben Einfluss auf Qualität der Anwendung. Aber auf eines muss immer Acht gegeben werden – egal ob es eine Online-Banking Anwendung ist, die von tausenden von Leuten täglich benutzt wird, oder eine für einen kleineren Nutzerkreis gedachte Applikation ist - die Sicherheit in Webanwendungen.

Soweit die Webanwendung eine Interaktionsfunktionalität dem Nutzer anbietet, können diverse Sicherheitslücken entstehen, die von der Nutzerdatenentwendung bis hin zur Zerstörung aller Datensätze in den Datenbanken führen kann. Und es kann einfacher sein als man sich vorstellt, wenn die Anwendung nicht ausreichend gegen Angriffe geschützt ist.

Es gibt Angriffsmethoden, die serverseitig oder clientseitig funktionieren, die die Ausgabe erzeugen oder unbemerkt für den Nutzer ablaufen, die die Interaktion bzw. direkte Beteiligung des Nutzers brauchen oder auch nicht. Typische Angriffsmethoden sind Cross-Site Scripting (auch XSS genannt), SQL-Injection bzw. Command Injection, Cross-Site Request Forgery, und Session-Fixation.

Es gibt keinen eindeutigen Weg und keine Methoden, die die Webapplikation hundertprozentig schützen würden. Der Grund ist einfach – es werden immer wieder neue Sicherheitslücken entdeckt und ausgenutzt. Auch die Hacker sind kreativ und erfinden neue Methoden zum Aufbrechen von Webapplikationen. Aber man kann den Hackern die Arbeit so erschweren, dass ein Angriff schwierig und richtig zeitaufwendig wird.

In unserer Serie von Sicherheitsartikeln erläutern wir die typischen Angriffspunkte und zeigen gegebenenfalls anhand von Beispielen, was man unternehmen kann, um seine eigene Webapplikation gegen Angriffe von außerhalb abzusichern.

Angriffsmethoden

SQL-Injection

Durch Einschleusen von SQL Statements in Benutzereingaben lassen sich vom Angreifer aus Abfragen an eine Datenbank erzielen um somit Daten zu erspähen, zu ändern oder gar zu löschen [Artikel lesen]

Cross-Site Scripting (XSS)

Rund 80% aller ausgenutzten Sicherheitslücken im Jahr 2007 entfielen auf Cross-Site Scripting (XSS). Dabei wird eine Sicherheitslücke in Webanwendungen ausgenutzt, indem ein Angreifer Webseiten mit clientseitigen Skripten infiziert, die von anderen Nutzern aufgerufen werden. [Artikel lesen]

Session Fixation

Austauschen von Session-ID eines Nutzers durch eine gewünschte um die Nutzeridentität auszunutzen. [Artikel lesen]

Session Hijacking

Entführung der Session-ID eines Nutzers um dessen Nutzeridentität auszunutzen. [Artikel lesen]

Cross-Site Request Forgery (CSRF)

Unberechtigtes Absenden einer HTTP-Anfrage beim Aufrufen der Seite durch einen eingeloggten Nutzer. [Artikel lesen]

Header-Injection

Header-Injection ist eine Klasse von Sicherheitslücken in Webanwendungen, welche auftreten, wenn die Header eines Protokolls dynamisch unter Hinzunahme von unzureichend geprüften Benutzereingaben generiert werden. [Artikel lesen]

HTTP-Response Splitting

Einfügen präparierter Inhalte in den HTTP-Header um die Seitendarstellung und Seiteninhalte zu manipulieren. [Artikel lesen]


Wikiseite bearbeiten

Diese Seite kann von jedem registrierten Benutzer bearbeitet werden. Bisher haben 3 Personen an der Seite "Übersicht Web-Sicherheit - So entwickeln Sie sichere Webapplikationen" mitgewirkt.

Sie haben einen Fehler entdeckt oder möchten etwas ergänzen? Dann können Sie nach der Anmeldung "Übersicht Web-Sicherheit - So entwickeln Sie sichere Webapplikationen" hier bearbeiten.

Mitarbeiter