Gefunden oder nicht gefunden werden – das ist hier die Frage.
 

Der Kunde kommt zu Ihnen – weil Sie auf ihn zugehen.
 

Referenzen sprechen für Qualität - Links beweisen das!
 

Lassen Sie sich bewerten - Ihre Netzwerkreputation.
 

Rufen Sie uns an:

Renommierte Partner

Blogroll

Inside AdWords Blog-Deutsch
GoogleWatchBlog.de
Linkmafia.org
Hamburg-Startups.de
mole2.de

OWASP: Sicher programmieren in 2010

geschrieben von martin am 12. Dezember 2009

Das Open Web Application Security Project (kurz “OWASP”) aktualisiert seine Top 10 der Sicherheitskriterien von Webanwendungen. Die neue OWASP Top 10 – 2010 steht kurz vor dem Release.

Bei der Entwicklung von Web-Applikationen wird häufig der Aufwand für Sicherheitstests und die Behebung der Sicherheitslücken unterschätzt. Oft ist es ungenügende Erfahrung oder Gutglaube des Programmiererteams, dass der eigene Quellcode keine Sicherheitslücken enthält. Doch gerade bei öffentlichen Websites sollte die Absicherung eine große Rolle spielen, denn das System ist weltweit abrufbar und damit angreifbar. Das OWASP, eine 2001 gegründete Gruppe von Programmierern, Software-Architekten und Sicherheitsexperten, gibt dazu in unregelmäßigen Abständen Empfehlungen heraus. Eines dieser Dokumente ist die Top 10 der größten Sicherheitsrisiken. Diese Liste ist natürlich nicht all-umfassend, stellt aber einen wichtigen Einstieg in die sichere Programmierung von Anwendungen dar.

Für 2010 ist die neue Version der Top 10 geplant. Sie liegt derzeit als Release Candidate vor.

Wie auch in der 2007er Top 10 ist Injection eines der kritischsten Risiken. Bei einer SQL-Injection bspw. gelangt eine Benutzereingabe über ein Formularfeld ungeprüft in den SQL-Befehl. Lautet die Benutzereingabe “DELETE FROM tabellexyz”, löscht das im schlimmsten Fall alle Daten einer Tabelle. Auch XSS (Cross Site Scripting), bei dem JavaScript eingeschleust wird und unsicheres Session-Management sind besonders hoch eingestufte Risiken. Auf den weiteren Plätzen folgen:

- unsichere Referenzierung auf Dateien,
- Ausnutzen von Logins anderer Websites über CSRF,
- falsche Konfiguration des Systems (z. B. des Servers),
- nicht ausreichender Schutz von “geheimen” URLs,
- ungeprüfte Weiterleitung (Redirect und Forward),
- unverschlüsseltes Speichern von sensiblen Daten,
- fehlende Nutzung von HTTPS oder anderen, sicheren Protokollen.

Die Top 10 benennt aber nicht nur Sicherheitslücken, sondern gibt dazu auch Beispiele für mögliche Angriffsszenarien. Damit bietet das Dokument einen schnellen und vor allem praktischen Einstieg in die sichere Programmierung von Web-Anwendungen. Dennoch sollten sich Software-Entwickler den Warnhinweis am Anfang des Dokuments zu Herzen nehmen: “Don’t stop at 10.” – Hören Sie nicht bei der Top 10 auf, denn es gibt natürlich weitere sicherheitsrelevante Aspekte, die ein einzelnes Dokument nicht abdecken kann.

Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • MisterWong
  • Y!GG
  • Webnews
  • Digg
  • del.icio.us
  • StumbleUpon
  • Reddit
Tags: , , ,


Kommentare sind deaktiviert.

Artikel (RSS) und Kommentare (RSS)
Impressum