Sichere Webanwendungen entwickeln

Inhalte des Seminars

Grundlagen sicherer Webanwendungen

• Was bedeutet Sicherheit?
• Minimalitätsprinzip für Informationen
• Ebenenmodell zur Sicherheitskonzeption
• Social Engineering-Angriffe
• Programmierfehler
• Verschlüsselung SSL/TLS/HTTPS
• Authentifizierungsverfahren im Web, Benutzerkennungen
• Absicherung der Systemplattform
• Ältere Webanwendungen überprüfen
• Vorgehensmodell bei neuen Webanwendungen
• Microsofts STRIDE Model
• Das ›Open Web Application Security Project‹ (OWASP)

Formulardaten und allgemeine Datenübergaben via HTTP

• Manipulierte Benutzereingaben
• Strategien zur Verhinderung von Parametermanipulationen
• Parametermanipulation über GET und POST
• Datenvalidierung, Filterung
• Client-Validierung und Server-Validierung
• Header-Manipulation
• Directory Traversal (Path Traversal) verhindern

Cross-Site Scripting (XSS)

• Das Prinzip der Code-Injektion
• Gefahren durch Injektion von HTML (Defacement) und Client-seitigen Skripten
• Whitelist-Verfahren und Blacklist-Verfahren
• Filterung von HTML-Tags
• Sicherheit von JavaScript
• DOM-based (Type 0) XSS Verwundbarkeit (local cross-site scripting)
• Non-persistent (Type 1) Verwundbarkeit
• Persistent (Type 2) Verwundbarkeit
• Frame Injection

Authentifizierung und sichereres Session Management

• Authentifizierung von Clients
• Wie kommt der Zustand in das zustandslose HTTP?
• URL-Rewriting, Cookies, Session-ID
• Sichere Session-IDs
• Referrer-Leck verhindern
• Secure-Flag von Cookies, HttpOnly-Flag
• Gültigkeitsdauer einer Session, SessionID erneuern, Session beenden
• Nutzung von Tokens
• IP-Adresse an die Session binden, Proxy-Architektur berücksichtigen
• Sichere URL-Weiterleitungen (Redirects)
• ›Cross-Site Request Forgery‹ (CSRF) als verwandter Angriff

Datenbankgetriebene Webseiten

• Was ist SQL-Injection?
• Beispiele und Vermeidungsstrategien
• First Order, Second Order SQL-Injection
• Escape-Funktionen verschiedener Programmbibliotheken
• Absichern durch Prepared Statements und OR-Mapper
• Datenbanken sicher konfigurieren, Privilegien bei Abfragen/Änderungen
• Allgemeine Probleme durch Remote-Command Execution

Absichern der Serverumgebung

• Ungewollte Veröffentlichung interner Informationen
• Kommentar einer Webseite
• Informationen über Serverumgebung verschleiern
• Einholen von Fingerprints über Web-Server, Betriebssystem unterbinden
• Namenserweiterungen richtig setzen
• Fehlerseiten
• Logging, Monitoring und Patching
• Rechtevergabe, Dateiberechtigungen für Verzeichnisse
• Benutzerkennung für Web-Server und Datenbank

Verhinderung von Denial-of-Service Attacken

• Welche automatisierten Angriffe gibt es?
• Angreifbarkeit des Passworts
• Rätselfrage
• Mustererkennung (Captchas)
• Blocken und Verzögern von Zugriffen

Verteidigung durch Web Shields und Web-Scanner

• Web Application Firewalls, Web Shields
• Schutz des Apache Web-Servers
• Application-Level-Firewall mit Apache mod_security
• Web Application Scanner (Web Scanner)
• Code-Scanner und Tools für Penetration Tests
• Kommerzielle und freie Tools im Überblick
• Sicherheitstestplan entwickeln und Sicherheitstest durchführen
• Rechtliche Aspekte von Web-Scannern

Weitere Sicherheitsbemerkungen

• Obfuscation/Decompilierung
• HTML and JavaScript durch Google Caja absichern
• Ajax Security, JavaScript Hijacking
• Google als Hacking Tool
• Persistent Cookies, Cached Web Content
• Browser History
• Umsetzung der Angriffsmethoden in der Praxis
• Wie ein Hacker bei Web-Angriffen vorgeht