Frank Ully

10.12.2019

11:30 - 12:15

Okzident

Session

Sicherheit im Web ist ein wichtiges Thema, das beim Entwerfen und Entwickeln von Anwendungen noch immer vernachlässigt wird. Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit von Webanwendungen verbessern will. Ihre wohl bekannteste Veröffentlichung ist die OWASP Top 10, eine Aufzählung der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Die Liste wurde erstmals 2003 veröffentlicht, zuletzt 2017 aktualisiert und ist vielen Entwicklern ein Begriff. Doch auch wenn bereits beim Entwickeln grundlegende Top-10-Lücken wie Cross-Site Scripting (XSS) oder SQL-Injections vermieden werden, sind Webapplikationen und Schnittstellen anfällig für teilweise kuriose Schwachstellen.

Inwiefern kann eine Anwendung von Injektionen in anderen Komponenten wie Templates betroffen sein? Was muss beim Umsetzen von Mechanismen zur Authentifizierung und Autorisierung beachtet werden? Welche sicherheitskritischen Fehler in der Anwendungslogik können auftreten? Warum kann es bei neueren Authentifizierungsmechanismen wie OAuth zu Schwachstellen kommen? Was hat es mit Server-Side Request Forgery (SSRF) auf sich? Wie kann eine Schutzmaßnahme wie Rate Limiting womöglich umgangen werden? Sicherheit muss bei Webanwendungen und Schnittstellen von Anfang an berücksichtigt werden – dieses Bewusstsein und das notwendige Wissen werden jedoch in Studium und Kursen unzureichend vermittelt.

Dieser Vortrag soll helfen, diese Lücken zu schließen. Der Referent berichtet über unbekanntere Schwachstellenarten, die ein Penetration Tester in der Berufspraxis in Webapplikationen und Schnittstellen findet. Zum Abschluss gibt er Hinweise auf gute tiefergehende Quellen zur weiteren Auseinandersetzung mit dem Thema.