Papers

HTML 5 Security

HTML 5 Security (Artikel in iX 1/2013)

Beim kommenden Webstandard HTML5 haben sich die Entwickler in Sachen Sicherheit viel Mühe gegeben. Doch mit den neuen Features wächst auch die Komplexität und damit die Angriffsfläche. Eine Übersicht über verbleibende und neue Risiken sowie die Anwendungssicherheit erhöhende Konzepte von HTML5.

“Felsenfest – Sicherheitsaspekte bei HTML5″ in iX 1/2013

 

iX-Extra: Sicherheit bei Webapplikationen beginnt mit der Entwicklung

Der iX-Artikel gibt einen Überblick über den Stand der Web Application Security und Ansatzpunkte zur Herstellung sicherer Webanwendungen.

 “Sicherheit bei Webapplikationen beginnt mit der Entwicklung” in iX 10/2012

 

Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)

Das Dokument gibt die Ergebnisse einer Untersuchung zur Verbreitung des HSTS Server Response-Headers unter den weltweit 1 Mio. meist-besuchten Websites, den darin enthaltenen rund 40.000 deutschen Websites sowie auf 424 deutschen Onlinebanking-Websites wieder. Die Untersuchung zeigt, dass diese wichtige Sicherheitsmaßnahme bisher noch kaum eingesetzt wird.

“Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)” 11/2012

 

 

Whitepaper: HTTP Strict Transport Security (HSTS)

In diesem Whitepaper erklären wir SSL-Strippung und geben konkrete Gegenmaßnahmen an. Dabei steht der HSTS-Header im Vordergrund. Da diese Schutzmaßnahme aber eine Lücke offen lässt und der Header auch noch nicht von allen Browsern unterstützt wird, werden weiterführende Empfehlungen  gegeben.

“Whitepaper: HTTP Strict Transport Security (HSTS)” 11/2012

 

 

Einbruchsichere Webanwendungen mit Java-Frameworks

HDIV und Stinger sind zwei neue freie Java-Frameworks, mit denen eine weitreichende Absicherung von Java-Anwendungen gegen Hackerangriffe möglich ist. Der Artikel beschreibt die Einsatzmöglichkeiten dieser mächtigen Bibliotheken im Umfeld von Java EE, Struts und Spring.

“Einbruchsichere Webanwendungen” im Java-Magazin 2/2008

 

 

Die Datenbank als Erfüllungsgehilfe für Datendiebe Eine Kurzeinführung in Injection Angriffe

In diesem Whitepaper schlagen wir den Bogen von der “normalen” und der Blind SQL-Injection über die Advanced SQL-Injection bis hin zur ORM-Injection, die es ermöglicht, SQL-Injection durch moderne O/R-Mapper in die Datenbank zu schleusen.

Vortrag auf der DOAG Konferenz 2009 in Nürnberg.

 

 

An der Quelle – Automatische Sourcecode-Analyse

Der Artikel aus dem Entwickler-Magazin Jan/Feb 08 führt auf technischem Niveau in die Sicherheitsanalyse von Webanwendungen durch Automatische Sourcecodeanalyse ein.

An der Quelle – Automatische Sourcecode-Analyse – Artikel aus Entwickler Magazin 01/2008

 

 

 

Best Practices für sichere Webanwendungen

Auf 4 Seiten gibt dieser iX-Artikel einen Kickstart zur Herstellung sicherer Webanwendungen.
Herkömmliche Firewalls bieten keinerlei Schutz gegen Angriffe auf Webanwendungen. Oder anders gesagt: Eine Schwachstelle in einer Webanwendung kann von einem Angreifer ungehindert ausgenutzt werden, wenn die einzige Barriere zwischen seinem Browser und dem Webserver eine herkömmliche Firewall ist – gegenwärtig der Normalzustand bei fast allen Webangeboten…

Best Practices für sichere Webanwendungen – Artikel aus iX 03/2007

 

 

 

Maßnahmenkatalog und Best Practices zur Sicherheit von Webanwendungen

IFür das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir einen Maßnahmenkatalog zur Sicherheit von Webanwendungen erstellt. Das 105-seitige Dokument richtet sich an Projektleiter und Softwareentwickler, die Webanwendungen konzipieren und implementieren. Ein vorangestellter Leitfaden gibt Hinweise für ein systematisches Vorgehen zur Erstellung sicherer Webanwendungen. Dabei werden sowohl bereits bestehende, als auch neu zu entwickelnde Webanwendungen betrachtet. Der Maßnahmenkatalog stellt vielfach erprobte Schutzmaßnahmen und Best Practices zur Vorbeugung gegen typische Schwachstellen in Webanwendungen bereit.

„Sicherheit von Webanwendungen: Maßnahmenkatalog und Best Practices“ – August 2006

 

 

Coding-Richtlinien sichern E-Business

Bei Webanwendungen stecken Security-Ansätze in vielen E-Business-Unternehmen noch in den Kinderschuhen. Im Unterschied zu qualitätssichernden Funktions- und Lasttests ist die systematische Betrachtung der Sicherheit bisher kaum in den Prozessen verankert.

Artikel aus Computerzeitung vom 1.8.05

 

 

Das SecureNet/BSI Sechs-Ebenen-Modell der Web Application Security

Vorgestellt wird eine Kategorisierung der Web Application Security in sechs Ebenen: (1) System, (2) Technologie, (3) Implementierung, (4) Logik, (5) Semantik, sowie (6) Vorschriften und Bestimmungen. Dieses Modell erleichtert das Verständnis der unterschiedlichen Aspekte der Sicherheit von Webanwendungen und hat sich als nützlich für ein systematisches Vorgehen bei der Untersuchung der Sicherheit von Webanwendungen erwiesen.

Sicher auf allen Ebenen, Bundesamt für Sicherheit in der Informationstechnik und SecureNet GmbH, – Artikel in 2005/03 – papers/BSI-Sechs-Ebenen-Modell.pdf

Artikel im Tagungsband des Deutschen IT-Sicherheitskongress 2005, SecureNet GmbH – Mai 2005

 

 

 

 

 

Session Riding – A Widespread Vulnerability in Today’s Web Applications

Whitepaper

Session Riding bezeichnet eine Möglichkeit des Missbrauchs einer bestehenden Session. Bei diesem Angriff wird ein von außen zugeführter Link im Kontext einer bestehenden Session ausgeführt und wirkt daher auf den Daten des betroffenen Benutzers. Potentiell betroffen ist jede Webanwendung, die nicht besondere Vorkehrungen getroffen hat (kaum eine hat dies). Eine besondere Klasse von betroffenen Anwendungen sind solche, die eigentlich gar keine Webanwendungen sind, sondern lediglich mit einem Webfrontend gesteuert oder konfiguriert werden, nämlich Firewalls, Router, Server usw. Mittels Session Riding lassen sie sich – sogar bis ins Intranet hinein – manipulieren.

Dezember 2004

 

Die semantische Ebene der Sicherheit von Webanwendungen

Whitepaper
Über die unbegrenzten Möglichkeiten für Täuschung und Betrug im Web.

Die semantische Ebene der Web Application Security umfasst inhaltliche und die Kommunikation betreffende Aspekte einer Website. Sie stellt den Vertrauenskontext für die Interaktion mit dem Benutzer her. Wird in diesem Bereich nicht sehr viel Sorgfalt aufgewandt, so kann eine Webanwendung oder Website von Dritten leicht dazu missbraucht werden, den Benutzer zu täuschen und zu betrügen. Das Papier will anhand einiger Beispiele die Awareness für diese bisher kaum beachteten Aspekte der Sicherheit von Webanwendungen wecken.

Mai 2003