Sichere Web-Anwendungen

Inhaltsverzeichnis

• Einleitung
• Motivation
• Ziel der Arbeit
• Vorgehen
• WebApplikation Angriffe
• Sicherheitskonzept
• OWASP
• Bewertung von Risiken
• Injektion
• Broken Authentication an Session Management
• CrossSiteScripting
• Insecure Direct Object References
• Security Misconfiguration
• Sicherheitstest
• Angriffe und Gegenmaßnahmen
• SQL Injektion
• Cross-Site-Scripting
• Zusammenfassung und Ausblick
• Literaturverzeichnis
• Anlage 1: Übung Websicherheit

Zielsetzung und Themenschwerpunkte

Die vorliegende Studien-/Diplomarbeit befasst sich mit dem Thema „Sichere Web-Anwendungen" und analysiert die verschiedenen Angriffsvektoren, Sicherheitslücken und Schutzmaßnahmen, die für die Entwicklung und den Betrieb von Webanwendungen relevant sind. Die Arbeit bietet Providern von Websites einen Einblick in die aktuelle Bedrohungslandschaft im Internet und zeigt Schwachstellen sowie praktikable Lösungen auf.

• Sicherheitskonzept für Webanwendungen
• Analyse der OWASP Top 10 Sicherheitsrisiken
• Detaillierte Betrachtung von SQL-Injektion und Cross-Site-Scripting (XSS)
• Praktische Sicherheitsüberprüfung und Testmethoden
• Zusammenhang zwischen Sicherheitslücken und möglichen Angriffen

Zusammenfassung der Kapitel

Die Einleitung führt in das Thema „Sichere Web-Anwendungen" ein und beleuchtet die steigende Bedeutung des Themas im Kontext der weltweiten Verbreitung des Internets und der wachsenden Anzahl von Angriffen auf Websites. Das Kapitel erläutert die Motivation, das Ziel der Arbeit und das Vorgehen, das in den folgenden Kapiteln verfolgt wird.

Das Kapitel „WebApplikation Angriffe" analysiert die verschiedenen Angriffsvektoren, denen Webanwendungen ausgesetzt sind. Es werden die verschiedenen Ebenen des Sicherheitskonzepts, wie Semantik, Logik, Implementierung, Technologie, System, Netzwerk und Host, vorgestellt und die entsprechenden Angriffsmethoden und Gegenmaßnahmen diskutiert. Des Weiteren werden die OWASP Top 10 Sicherheitsrisiken, darunter Injektion, Broken Authentication an Session Management, Cross Site Scripting, Insecure Direct Object References und Security Misconfiguration, im Detail beschrieben. Die Kapitel erläutert die Bewertungskriterien für die Risiken und die potentiellen Auswirkungen auf Webanwendungen.

Das Kapitel „Angriffe und Gegenmaßnahmen" widmet sich zwei konkreten Sicherheitsproblemen, die in der Praxis häufig auftreten: SQL-Injektion und Cross-Site-Scripting (XSS). Es werden die Funktionsweise der Angriffe, die möglichen Auswirkungen und die entsprechenden Schutzmaßnahmen, wie z. B. Escaping, Stored Procedures und Prepared Statements, detailliert erläutert. Die Kapitel beleuchtet auch die Problematik von Angriffen 2. Ordnung, bei denen die SQL-Injektion in die Datenbank gelangt und dann in einem zweiten Schritt bei der Verwendung von Suchfiltern zum Tragen kommt. Im Zusammenhang mit XSS werden die verschiedenen Szenarien, in denen XSS besonders gefährlich ist, wie z. B. das Ausführen von Browser Exploits, das Mitschneiden von Informationen und das Übernehmen von Accounts durch die Entführung der Session, dargestellt. Es werden auch die Methoden Session Hijacking und Session Fixation im Detail erläutert.

Schlüsselwörter

Die Schlüsselwörter und Schwerpunktthemen des Textes umfassen Web-Anwendungen, Sicherheit, Angriffe, Sicherheitslücken, Schutzmaßnahmen, OWASP Top 10, SQL-Injektion, Cross-Site-Scripting (XSS), Session Hijacking, Session Fixation, Sicherheitskonzept, Bewertung von Risiken, Sicherheitstest, Websicherheit, Bedrohungslandschaft.