Web-Sicherheit. Wie Sie Ihre Webandwendungen sicher vor Angriffen schützen

Inhaltsverzeichnis......Page 6
Einleitung......Page 12
Grundlagen der Informationssicherheit......Page 20
1.2 Telefonnetze und Phreaker......Page 22
1.3 Time-Sharing......Page 23
1.4 Die Bedeutungen des Wortes »Hacker« im Laufe der Zeit......Page 24
1.5 Computernetze......Page 25
1.6 Die unselige Verbindung von Computern und Telefonnetz......Page 26
1.7 Der BTX-Hack......Page 28
1.8 Das Internet......Page 29
1.9 Vom Wurm zum Bot-Netz......Page 31
1.10 Social Engineering......Page 34
1.10.1 Spam- oder Junk-Mails......Page 35
1.10.2 Verbreitung von Phishing-Mails......Page 37
1.10.3 Scareware......Page 38
1.11 Die Schattenwirtschaft im Internet......Page 39
1.12 Aktivitäten von Geheimdiensten im Internet......Page 40
2.1.1 Verbreitung von Schadsoftware......Page 42
2.1.4 Verbreitung von illegalen Daten......Page 43
2.1.6 DDoS-Attacken......Page 44
2.2 Was passiert, wenn etwas passiert?......Page 45
2.2.2 Personenbezogene Daten......Page 46
2.3 Vorbereitungen für den Ernstfall......Page 47
3.1 Die Prospect-Theorie......Page 48
3.2 Ökonomische Erklärungsversuche......Page 50
3.2.2 Sicherheit als Verkaufsargument......Page 51
3.2.4 Sicherheit durch Webseitenbetreiber......Page 52
3.3 Schlussfolgerungen......Page 53
4.1 Vertrauliche Daten......Page 56
4.2 Öffentlich zugängliche Daten......Page 57
4.3 Öffentlich veränderbare Daten......Page 58
4.5 Sicherheit als Wettbewerbssituation......Page 59
4.6 Es gibt keine perfekte Sicherheit......Page 60
4.7 Das Prinzip der tiefgreifenden Verteidigung (Defense In-Depth)......Page 61
4.8 Das Prinzip des schwächsten Gliedes (Weakest Link)......Page 62
4.9 Das Prinzip der minimalen Angriffsfläche (Minimum Attack Surface Area)......Page 63
4.11 Wenn Sicherheitssysteme fehlschlagen......Page 64
4.12 Beurteilung von Sicherheitsmaßnahmen......Page 66
4.13 Sicherheitstheater......Page 67
5.1 Begriffserklärungen......Page 70
5.2 Biometrische Verfahren......Page 71
5.3 Authentifizierung mithilfe eines Gegenstandes (Tokens)......Page 73
5.4.1 Passwortkomplexität......Page 76
5.4.4 Brute-Force-Attacken......Page 77
5.4.5 Wörterbuchattacken......Page 78
5.4.6 Mehrfach verwendete Passwörter......Page 79
5.5 Einsatz des richtigen Authentifizierungsverfahrens......Page 80
6.1 Das Problem der sicheren Nachrichtenübermittlung......Page 82
6.3.1 Setzen Sie nie ein selbst erfundenes kryptografisches Verfahren ein......Page 85
6.3.2 Bevorzugen Sie öffentlich bekannte und gut getestete kryptografische Verfahren......Page 86
6.3.4 Sorgen Sie für eine ausreichende Schlüssellänge......Page 87
6.4.1 Hashfunktionen......Page 88
6.4.2 Zufallszahlengeneratoren......Page 89
6.4.3 Symmetrische Verschlüsselungsverfahren......Page 91
6.4.5 Asymmetrische Verschlüsselungsverfahren......Page 93
6.4.6 Digitale Signatur......Page 94
6.4.8 Das SSL- bzw. TSL-Protokoll......Page 95
6.4.9 Verschlüsselung gespeicherter Daten und E-Mail-Verschlüsselung......Page 98
Die häufigsten Schwachstellen und deren Vermeidung......Page 102
7.1.1 Filtermechanismen zum Schutz vor Angriffen......Page 104
7.1.2 Bibliotheken und Frameworks zur sicheren Entwicklung von Webapplikationen......Page 107
8.1.1 Einschleusen in numerische Werte......Page 108
8.1.2 Einschleusen in Strings......Page 109
8.1.3 Beeinflussen der Anwendungslogik......Page 110
8.1.4 Auslesen von beliebigen Datenbankinhalten......Page 111
8.1.5 Blind-SQL-Injection......Page 112
8.1.6 Überprüfen und Umwandeln von Daten aus unsicheren Quellen......Page 114
8.1.7 Prepared-Statements......Page 115
8.1.8 Abdeckfunktionen......Page 117
8.2 Command-Injection-Schwachstellen......Page 118
8.2.1 Weitere Injection-Schwachstellen......Page 120
8.2.3 Verhindern von Injection-Schwachstellen......Page 121
9.1 Die Ursache von Cross-Site-Scripting-Schwachstellen......Page 124
9.2 Fallbeispiel: Ausspähen von Zugangsdaten beim Onlinebanking......Page 126
9.3 Cross-Site-Scripting-Schwachstellen in JavaScript......Page 129
9.4 Persistente Cross-Site-Scripting-Verwundbarkeiten......Page 132
9.5 Maßnahmen zum Schutz vor Cross-Site-Scripting- Angriffen......Page 133
9.6 Verhindern von Cross-Site-Scripting-Angriffen......Page 137
10.1 Die Ursache von Cross-Site-Request-Forgery-Schwachstellen......Page 138
10.2 Vertrauliche Daten ausspähen mithilfe von Cross Site Request Forgery......Page 139
10.3 Cross-Site-Request-Forgery-Angriffe auf interne Anwendungen......Page 140
10.4 Verhindern von Cross-Site-Request-Forgery-Verwundbarkeiten......Page 141
10.5 Clickjacking......Page 143
10.5.1 Verhindern von Clickjacking-Angriffen......Page 146
11.1 Speichern von Passwörtern......Page 150
11.2 Authentifizierung durch den Browser......Page 151
11.3 Formularbasierte Authentifizierung......Page 152
11.4 Session-Management......Page 153
11.5 Zwei-Faktor-Authentifizierung in Webanwendungen......Page 155
11.6 Weiterführende Literatur......Page 156
12.1 Öffentlich zugängliche vertrauliche Informationen......Page 158
12.2 Verhindern, dass vertrauliche Daten unbeabsichtigt ins Netz gestellt werden......Page 159
12.3 Unsichere direkte Objektreferenzen......Page 160
12.4 Path-Traversal-Verwundbarkeiten......Page 163
12.4.1 Path-Traversal-Verwundbarkeiten bei Upload-Mechanismen......Page 165
12.5 Unsichere Weiterleitungen......Page 166
12.5.1 Absichern von unsicheren Weiterleitungen......Page 167
13.1 Pufferüberläufe (Buffer Overflows)......Page 168
13.1.1 Ausnutzen von Pufferüberläufen......Page 169
13.1.3 Verhindern von Pufferüberläufen......Page 171
13.2 Integer-Überläufe (Integer Overflows) und andere Rechenfehler......Page 172
13.2.1 Verhindern von Integer-Überläufen......Page 174
14.1 DDoS-Angriffe......Page 176
14.2 Endlosschleifen und Rekursionen mit fehlerhafter Abbruchbedingung......Page 177
14.3.1 Nicht geschlossene Ressourcen......Page 179
14.5 Regular-Expression-DoS-Schwachstellen (ReDoS- Schwachstellen)......Page 181
14.5.2 Gruppieren von mehreren Alternativen mit Wiederholungen......Page 183
14.5.3 Verwundbare reguläre Ausdrücke in Bibliotheken und Webanwendungen......Page 184
14.5.4 Verhindern von ReDoS-Schwachstellen......Page 185
Unsichere Konfiguration......Page 188
15.2 Unsichere Protokolle und nicht verwendete Funktionalitäten......Page 189
15.3 Übertriebene Auskunftsfreude......Page 190
15.4 Interne Fehlermeldungen......Page 191
15.5 Fehlende Softwareaktualisierungen......Page 192
15.6 Erste Schritte zu einer sicheren Konfiguration......Page 193
15.7 Weiterführende Informationen zur sicheren Konfiguration......Page 195
Testen und Absichern von Webanwendungen......Page 196
16.1 Sicherheitstests......Page 198
16.2 Überprüfen öffentlicher Inhalte......Page 200
16.3 Überprüfen von Netzwerken......Page 201
16.4 Überprüfen auf bekannte Schwachstellen......Page 202
17.1 Verwendung von Proxies für Penetrationstests......Page 206
18.1 Datenflussanalyse......Page 218
18.2 Suche nach verdächtigen Mustern im Quellcode......Page 223
18.3 Die üblichen Verdächtigen......Page 233
18.4 Werkzeuge zur Unterstützung von Code Reviews......Page 236
19.1 So früh wie möglich dekodieren, so spät wie möglich kodieren......Page 240
19.2 Validieren und Umwandeln in passende Datentypen......Page 242
19.3 So spät wie möglich kodieren......Page 250
20.1.1 Automatisierte Tests......Page 254
20.1.2 Produktivsetzung......Page 255
20.2 Beispiel: Beheben von SQL-Injection-Schwachstellen in einem Servlet......Page 256
20.2.1 Bereinigen der eingehenden Parameter......Page 266
20.3 Beispiel: Beheben von Schwachstellen in einem JSP-Skript......Page 275
20.3.1 Absichern des Skripts......Page 283
20.4 Abschließende Bemerkungen......Page 286
A.1 Hilfsklassen für Datenbankzugriffe......Page 288
A.2 Testimplementierungen von Webserver-Komponenten......Page 294
B.2 Teil 1 - Grundlagen der Informationssicherheit......Page 310
B.3 Die häufigsten Schwachstellen und deren Vermeidung......Page 315
Stichwortverzeichnis......Page 320