Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit von Webanwendungen verbessern will. Ihre wohl bekannteste Veröffentlichung ist die OWASP Top 10, eine Aufzählung der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Die Liste wurde erstmals 2003 veröffentlicht und zuletzt 2017 aktualisiert.
Der Vortrag stellt anhand der OWASP Top Ten Angriffe auf Webanwendungen vor, ihre Ursachen und welche Maßnahmen bei der Entwicklung dagegen helfen.
Zielpublikum: Entwickler, Tester, Projektleiter
Vorraussetzungen: Teilnehmer sollten mit Grundlagen von Webtechnologien und der Entwicklung von Webanwendungen vertraut sein
Schwierigkeitsgrad: Basic
Extended Abstract:
Sicherheit im Web ist ein wichtiges Thema, das beim Entwickeln und Pflegen von Anwendungen und Schnittstellen noch immer vernachlässigt wird.
Warum sind Eingabevalidierung und Ausgabekodierung wichtige Grundlagen von sicheren Webanwendungen? Was muss ich beim Umsetzen von Mechanismen zur Authentifizierung und Autorisierung beachten? Inwiefern kann eine Anwendung von Injektionsschwachstellen betroffen sein? Warum sollte ich beim Entwickeln auf verlässliche Komponenten von Dritten achten und darauf, dass möglicherweise sicherheitsrelevante Aktionen von meiner Anwendung geloggt werden?
Sicherheit muss beim Entwickeln von Webanwendungen von Anfang an berücksichtigt werden - dieses Bewusstsein und das notwendige Wissen werden jedoch in Studium und Kursen unzureichend vermittelt. Zudem gibt es für jede Plattform und Sprache geeignete Bibliotheken, die beim sicheren Programmieren helfen, aber oft nicht oder unzureichend genutzt werden.
Dieser Vortrag soll helfen, diese Lücken zu schließen, und gibt zum Abschluss Hinweise auf gute weiterführende Quellen zur tieferen Auseinandersetzung mit dem Thema.