Sicherheitsrisiko Single-Page-Applikation?

Single-Page-Applikationen (SPA) sind heutzutage sehr beliebt, aktuelle Frontends werden aus diesem Grund überwiegend als Javascript-Anwendungen vollständig im Web Browser des Anwenders ausgeführt. Mit Blick auf die Sicherheit bringen SPAs jedoch ein weit höheres Risko mit sich im Vergleich zu server-seitig ausgeführten Webanwendungen wie z.B. Spring MVC.

In diesem Vortrag werden wir uns die beliebten SPA-Bibliotheken Angular, React und Vue ansehen und einen genaueren Blick auf deren Sicherheitsaspekte werfen. Insbesondere werden wir uns mit Sicherheitsrisiken wie Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF), Risiken bei der token-basierten Authentifizierung und Fehlkonfigurationen von CORS beschäftigen.

Um Entwickler nicht schutzlos im Regen stehen zu lassen, werden wir die eingebauten Abwehrmechanismen der verschiedenen SPA-Bibliotheken bzw. -Frameworks analysieren und aufzeigen, welche Schritte darüber hinaus für Entwickler erforderlich sind. Bereitet Euch also darauf vor, dass in Euren beliebten SPAs einige XSS-Popups auftauchen werden.

Der Vortrag richtet sich an Softwareentwickler, Architekten und alle Sicherheitsinteressierte gleichermaßen. Zum Verständnis des Vortrags sind grundlegende Vorkenntnisse zur Funktionsweise von Webanwendungen notwendig. Kenntnisse in einer Programmiersprache wie Java oder Javascript sind hilfreich, aber nicht zwingend erforderlich.