OWASP API Security Top 10: Wie APIs angegriffen werden und wie Entwickler sicher entwickeln können

Sicherheit ist ein wichtiges Thema, das beim Entwerfen von Anwendungen und Schnittstellen noch immer vernachlässigt wird. Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit im Web verbessern will. Ihre bekannteste Veröffentlichung ist die "OWASP Top 10", eine Aufzählung der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Ende 2019 hat das OWASP eine Liste von Sicherheitsrisiken in Schnittstellen veröffentlicht.

Der Vortrag stellt anhand der "OWASP API Security Top 10" Angriffe auf Schnittstellen vor, ihre Ursachen und welche Maßnahmen bei der Entwicklung dagegen helfen; er gibt zum Abschluss Hinweise auf weiterführende Quellen.

Vorkenntnisse

Zuhörer sollten mit den Grundlagen der Entwicklung von Schnittstellen vertraut sein; idealerweise, aber nicht notwendig, auch mit neueren Technologien wie Cross-Origin Resource Sharing (CORS) oder JSON Web Token (JWT). Der Vortrag erfordert keine Vorkenntnisse über Schwachstellen oder sichere Entwicklung.

Lernziele

Was muss beim Umsetzen von Mechanismen zur Authentifizierung und Autorisierung beachtet werden? Warum darf man sich nicht auf Standardeinstellungen von Frameworks und Komponenten verlassen? Welche Sicherheitslücken können durch fehlende Eingabevalidierung entstehen? Wie kann eine Schutzmaßnahme wie Rate Limiting womöglich umgangen werden? Wesentlich soll das Bewusstsein dafür geschärft werden, dass "Sicherheit" nicht mit Abarbeiten einer Top-10-Liste entsteht. Zudem soll das Interesse zur tiefergehenden Beschäftigung mit Sicherheitsaspekten geweckt werden.

 

Speaker

 

Frank Ully
Frank Ully studierte Technische Redaktion, baute die Unternehmenskommunikation eines Softwareherstellers auf und leitete sie einige Jahre. Später war er dort für IT-Sicherheit verantwortlich. Berufsbegleitend schloss er das Masterstudium Security Management ab. Im November 2017 begann er bei Oneconsult Deutschland. Seit April 2018 ist er Senior Penetration Tester & Security Consultant.

Gold-Sponsoren


B1 Systems
Microstream

betterCode-Newsletter

Sie möchten über die betterCode
auf dem Laufenden gehalten werden?

 

Anmelden