OWASP Top 10 – wie Webanwendungen angegriffen werden und wie Entwickler sicher entwickeln können
Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit von Webanwendungen verbessern will. Ihre bekannteste Veröffentlichung ist die OWASP Top 10, eine Aufzählung der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Die Liste wurde erstmals 2003 veröffentlicht und zuletzt 2017 aktualisiert.
Der Workshop stellt anhand der OWASP Top Ten Angriffe auf Webanwendungen vor, ihre Ursachen und welche Maßnahmen bei der Entwicklung dagegen helfen. Er besteht aus abwechselnd Vortrag und Übungen sowohl zum Angreifen einer Webanwendung als auch zum Finden und Beheben der Schwachstellen im Quelltext (auf Basis von Node.js).
Vorkenntnisse
Grundlagen der Webentwicklung, Einsatz virtueller Maschinen
Lernziele
Warum sind Eingabevalidierung und Ausgabekodierung wichtige Grundlagen sicherer Webanwendungen? Was muss ich beim Umsetzen von Mechanismen zur Authentifizierung und Autorisierung beachten? Inwiefern kann eine Anwendung von Injektionsschwachstellen betroffen sein? Warum sollte ich beim Entwickeln auf verlässliche Komponenten von Dritten achten und darauf, dass möglicherweise sicherheitsrelevante Aktionen von meiner Anwendung geloggt werden?
Sicherheit muss beim Entwickeln von Webanwendungen von Anfang an berücksichtigt werden – dieses Bewusstsein und das notwendige Wissen werden jedoch in Studium und Kursen unzureichend vermittelt. Zudem gibt es für jede Plattform und Sprache geeignete Bibliotheken, die beim sicheren Programmieren helfen, aber oft nicht oder unzureichend genutzt werden.
Dieser Workshop soll helfen, diese Lücken zu schließen, und gibt zum Abschluss Hinweise auf gute weiterführende Quellen zur tieferen Auseinandersetzung mit dem Thema.