© saicle/Shutterstock.com
Die zehn größten Sicherheitslücken im Web in drei Teilen

Security Patterns


Nicht erst seit dem NSA-Skandal ist Security wieder ein Thema. Erst kürzlich wurde vom Ponemon Institute eine Umfrage veröffentlicht [1], in der 73 Prozent der befragten Unternehmen zugaben, mindestens einmal in den letzten zwei Jahren gehackt worden zu sein. Da ein Großteil der Sicherheitslücken auf dem Web Application Layer zu finden ist, wollen wir in den nächsten Ausgaben einige der Hauptprobleme aufzeigen und Lösungen dafür anbieten.

Doch was sind denn die wichtigsten Sicherheitsprobleme? Dieser Frage hat sich das Open Web Application Security Project (kurz OWASP [2], Kasten: „OWASP“) gewidmet, das bisher alle drei Jahre eine Top-10-Liste der riskantesten Sicherheitslücken erstellt hat.

Die aktuelle Version wurde 2013 veröffentlicht und um nicht nur aufzuzeigen, wie groß denn der technische Impact ist, wurde eine Einstufung nach Risiken vorgenommen. Hier ist unter anderem dann auch die wirtschaftliche Sicht berücksichtigt:

  • Wie hoch ist der finanzielle Schaden?

  • Kann das Ausnutzen der Lücke zu einem Reputationsverlust führen?

  • Wie viele persönliche/sensitive Daten können veröffentlicht werden?

OWASP

OWASP ist eine Non-Profit-Vereinigung mit verschiedenen Chapters, meist nach Ländern organisiert und über den ganzen Globus verteilt. Zudem hat zum Beispiel der Germany Chapter weitere Unterteilungen in diverse lokale Gruppen, wie z. B. im Rhein-Main-Gebiet oder Hamburg. Diese treffen sich dann in regelmäßigen Abständen und tauschen sich über aktuelle Sicherheitsthemen aus. Die meisten Mitglieder kommen bisher aus der Java-Welt, aber auch PHP-Entwickler sind herzlich willkommen. Wir werden dann zunächst zwar erst belächelt, aber es ist unsere Aufgabe, die Fahne hochzuhalten und aufzuzeigen, dass uns das Thema ernst ist!

Neben dem riesigen Wiki auf der OWASP-Website [2] mit über 1 000 Mitgliedern gibt es auch zahlreiche Mailing-Listen zu diversen Themen, professionell produzierte Videos von Talks und veranschaulichte Erklärungen der Sicherheitslücken sowie Events, die gemeinnützig veranstaltet werden. Die bekannteste europäische Veranstaltung ist dabei sicherlich die AppSecEU, die 2013 in Hamburg stattfand und im Juni 2014 in Cambridge zu Gast sein wird. Die Liste der Speaker ist dabei international und sehr hochkarätig besetzt.

Die OWASP arbeitet an einer ganzen Liste von Projekten, wie z. B. einem XSS-Tool, dem Zed Attack Proxy [3] oder Webgoat [4], eine Webanwendung, die beabsichtigt unsicher programmiert wurde, um so eine praktische Anleitung zu biete...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang