Die Datenbank als Erfüllungsgehilfe für Datendiebe
Eine Kurzeinführung in Injection Angriffe
In diesem Whitepaper schlagen wir den Bogen von der "normalen" und der Blind
SQL-Injection über die Advanced SQL-Injection bis hin zur ORM-Injection,
die es ermöglicht, SQL-Injection durch moderne O/R-Mapper in die Datenbank zu schleusen.
Vortrag auf der DOAG Konferenz 2009 in Nürnberg. - PDF
Einbruchsichere Webanwendungen mit Java-Frameworks
HDIV und Stinger sind zwei neue freie Java-Frameworks, mit denen eine weitreichende Absicherung von Java-Anwendungen gegen Hackerangriffe möglich ist. Der Artikel beschreibt die Einsatzmöglichkeiten dieser mächtigen Bibliotheken im Umfeld von Java EE, Struts und Spring.
An der Quelle - Automatische Sourcecode-Analyse
Der Artikel aus dem Entwickler-Magazin Jan/Feb 08 führt auf technischem Niveau in die Sicherheitsanalyse von Webanwendungen durch Automatische Sourcecodeanalyse ein.
An der Quelle - Automatische Sourcecode-Analyse - Artikel aus Entwickler Magazin 01/2008
Best Practices für sichere Webanwendungen
Auf 4 Seiten gibt dieser iX-Artikel einen Kickstart zur Herstellung sicherer Webanwendungen.
Herkömmliche Firewalls bieten keinerlei Schutz gegen Angriffe auf Webanwendungen. Oder anders gesagt: Eine Schwachstelle in einer Webanwendung kann von einem Angreifer ungehindert ausgenutzt werden, wenn die einzige Barriere zwischen seinem Browser und dem Webserver eine herkömmliche Firewall ist - gegenwärtig der Normalzustand bei fast allen Webangeboten...
Best Practices für sichere Webanwendungen - Artikel aus iX 03/2007 - PDF
6-teilige Reihe zur Web Application Security in der Zeitschrift IT-Sicherheit
 |  |  |
| Session Riding | Cross-Site Scripting sperrt Benutzer aus | Best Practices für sichere Webanwendungen mit dem neuen BSI-Handbuch |
 |  |  |
| Das Pferd am vorderen Ende aufzäumen mit automatischer Source Code Analyse | Den Missbrauch des Vertrauenskontextes verhindern | Web Application Firewalls - Unverzichtbar für wirklich sicheres E-Business |
Maßnahmenkatalog und Best Practices zur Sicherheit von Webanwendungen
Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir einen Maßnahmenkatalog zur Sicherheit von Webanwendungen erstellt. Das 105-seitige Dokument richtet sich an Projektleiter und Softwareentwickler, die Webanwendungen konzipieren und implementieren. Ein vorangestellter Leitfaden gibt Hinweise für ein systematisches Vorgehen zur Erstellung sicherer Webanwendungen. Dabei werden sowohl bereits bestehende, als auch neu zu entwickelnde Webanwendungen betrachtet. Der Maßnahmenkatalog stellt vielfach erprobte Schutzmaßnahmen und Best Practices zur Vorbeugung gegen typische Schwachstellen in Webanwendungen bereit.
"Sicherheit von Webanwendungen: Maßnahmenkatalog und Best Practices" - PDF - August 2006,
https://www.bsi.bund.de/cae/servlet/contentblob/476464/publicationFile/30632/
WebSec_pdf.pdf
Coding-Richtlinien sichern E-Business
Bei Webanwendungen stecken Security-Ansätze in vielen E-Business-Unternehmen noch in den Kinderschuhen. Im Unterschied zu qualitätssichernden Funktions- und Lasttests ist die systematische Betrachtung der Sicherheit bisher kaum in den Prozessen verankert.
Artikel aus Computerzeitung vom 1.8.05 - PDF
Das SecureNet/BSI Sechs-Ebenen-Modell der Web Application Security
Vorgestellt wird eine Kategorisierung der Web Application Security in sechs Ebenen: (1) System, (2) Technologie, (3) Implementierung, (4) Logik, (5) Semantik, sowie (6) Vorschriften und Bestimmungen. Dieses Modell erleichtert das Verständnis der unterschiedlichen Aspekte der Sicherheit von Webanwendungen und hat sich als nützlich für ein systematisches Vorgehen bei der Untersuchung der Sicherheit von Webanwendungen erwiesen.
Sicher auf allen Ebenen, Bundesamt für Sicherheit in der Informationstechnik und SecureNet GmbH, - Artikel in 2005/03 - papers/BSI-Sechs-Ebenen-Modell.pdf
Artikel im Tagungsband des Deutschen IT-Sicherheitskongress 2005, SecureNet GmbH - Mai 2005 - PDF
Session Riding - A Widespread Vulnerability in Today's Web Applications
Whitepaper
Session Riding bezeichnet eine Möglichkeit des Missbrauchs einer bestehenden Session. Bei diesem Angriff wird ein von außen zugeführter Link im Kontext einer bestehenden Session ausgeführt und wirkt daher auf den Daten des betroffenen Benutzers. Potentiell betroffen ist jede Webanwendung, die nicht besondere Vorkehrungen getroffen hat (kaum eine hat dies). Eine besondere Klasse von betroffenen Anwendungen sind solche, die eigentlich gar keine Webanwendungen sind, sondern lediglich mit einem Webfrontend gesteuert oder konfiguriert werden, nämlich Firewalls, Router, Server usw. Mittels Session Riding lassen sie sich - sogar bis ins Intranet hinein - manipulieren.
Dezember 2004 - PDF - 16 Seiten - englisch
Stichwort Phishing: Was hat Phishing mit Web Application Security zu tun?
Auf den ersten Blick hat Phishing wenig mit der Sicherheit von Webanwendungen - der Web Application Security - zu tun, kann doch ein Unternehmen kaum etwas dazu, wenn ein Betrüger eine Website aufmacht, die so ähnlich heißt und genauso aussieht wie die eigene, und dann mit Spam-Mails und unter einem überzeugenden Vorwand die ahnungslosen Kunden auf diese Websites lockt, um sie dort zur Übergabe ihrer Kennung, ihres Passworts und beim Banking auch noch der TAN zu bewegen.
Die semantische Ebene der Sicherheit von Webanwendungen
Whitepaper
Über die unbegrenzten Möglichkeiten für Täuschung und Betrug im Web.
Die semantische Ebene der Web Application Security umfasst inhaltliche und die Kommunikation betreffende Aspekte einer Website. Sie stellt den Vertrauenskontext für die Interaktion mit dem Benutzer her. Wird in diesem Bereich nicht sehr viel Sorgfalt aufgewandt, so kann eine Webanwendung oder Website von Dritten leicht dazu missbraucht werden, den Benutzer zu täuschen und zu betrügen. Das Papier will anhand einiger Beispiele die Awareness für diese bisher kaum beachteten Aspekte der Sicherheit von Webanwendungen wecken.