OWASP Top 10 – wie Webanwendungen angegriffen werden und wie Entwickler sicher entwickeln können

Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit von Webanwendungen verbessern will. Ihre bekannteste Veröffentlichung ist die OWASP Top 10, eine Aufzählung der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Die Liste wurde erstmals 2003 veröffentlicht und zuletzt 2017 aktualisiert.

Der Workshop stellt anhand der OWASP Top Ten Angriffe auf Webanwendungen vor, ihre Ursachen und welche Maßnahmen bei der Entwicklung dagegen helfen. Er besteht aus abwechselnd Vortrag und Übungen sowohl zum Angreifen einer Webanwendung als auch zum Finden und Beheben der Schwachstellen im Quelltext (auf Basis von Node.js).

Vorkenntnisse

Grundlagen der Webentwicklung, Einsatz virtueller Maschinen

Lernziele

Warum sind Eingabevalidierung und Ausgabekodierung wichtige Grundlagen sicherer Webanwendungen? Was muss ich beim Umsetzen von Mechanismen zur Authentifizierung und Autorisierung beachten? Inwiefern kann eine Anwendung von Injektionsschwachstellen betroffen sein? Warum sollte ich beim Entwickeln auf verlässliche Komponenten von Dritten achten und darauf, dass möglicherweise sicherheitsrelevante Aktionen von meiner Anwendung geloggt werden?
Sicherheit muss beim Entwickeln von Webanwendungen von Anfang an berücksichtigt werden – dieses Bewusstsein und das notwendige Wissen werden jedoch in Studium und Kursen unzureichend vermittelt. Zudem gibt es für jede Plattform und Sprache geeignete Bibliotheken, die beim sicheren Programmieren helfen, aber oft nicht oder unzureichend genutzt werden.
Dieser Workshop soll helfen, diese Lücken zu schließen, und gibt zum Abschluss Hinweise auf gute weiterführende Quellen zur tieferen Auseinandersetzung mit dem Thema.

Speaker

 


Frank Ully studierte Technische Redaktion, baute die Unternehmenskommunikation eines Softwareherstellers auf und leitete sie einige Jahre. Später war er dort für IT-Sicherheit verantwortlich. Berufsbegleitend schloss er das Masterstudium Security Management ab. Im November 2017 begann er bei Oneconsult Deutschland. Seit April 2018 ist er Senior Penetration Tester und Security Consultant.

betterCode-Newsletter

Sie möchten über die betterCode() und weitere unserer betterCode()-Events auf dem Laufenden gehalten werden?

 

Anmelden