• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Web Application Security

BurnerR

Bot #0384479

BurnerR
Registriert
20 Juli 2013
Beiträge
5.507
Ich möchte tiefer ins Thema Web Application Security einsteigen. Mir scheint einen ersten guten Überblick gibt die Lektüre des OWASP Development Guide. Danach scheint mir die Lektüre eines technischeren Werkes sinnvoll, aber welches Buch eignet sich? Testen und Verifizieren ist vermutlich noch ein eigenes Thema?
Kann ich mich generell guten Gewissens an den OWASP Ressourcen orientieren?
Im speziellen interessiert mich das Thema Sicherheit in Hinblick auf Frameworks wie GWT, Vaadin oder auch Spring.

PS.: So beim zweiten nachdenken bin ich vermutlich im falschen Forum gelandet, es gehört wohl nach Technik:Webmaster.
PPS.: Danke fürs verschieben.
 
Zuletzt bearbeitet:

Kugelfisch

Nerd

Kugelfisch
Registriert
12 Juli 2013
Beiträge
2.342
Ort
Im Ozean
In wie weit bist du mit der Thematik bereits vertraut? Das OWASP Development Guide gibt IMHO durchaus einen guten Überblick, ebenfalls sehr lehrreich und interessant sind meines Erachtens auch Übungsplattformen wie z.B. http://google-gruyere.appspot.com/ (inklusive ausführlicher Erklärungen und bei Bedarf nutzbarer Hilfestellungen) oder https://www.hacking-lab.com/ (speziell die OWASP-Top-Ten- und WebGoat-Challenges, die Hackademics sind meines Erachtens zu konstruiert; passend in Bezug auf dein Interesse an Frameworks wäre auch die Struts2-Schwachstelle aus dem Hacking-Challenge Event).

Im Grunde ist allerdings ein grosser Teil der Schwachstellen in Webanwendungen auf eine vergleichsweise kleine Menge von banalen Fehlern zurückzuführen, insbesondere die Injection-Klasse (XSS, SQL-Injection, Code-Injections, ...) durch inkorrekte, unvollständige oder deplatzierte Filterung/Maskierung. Andere entstehend aufgrund von Design-Fehlern, etwa weil ein komplexer Parser ohne entsprechende Konfiguration auf nicht vertrauenswürdige Daten angesetzt wird (XXE-Problematik, Struts2-ONGL-Injection, ...). Zumindest Erstere sind sehr leicht zu vermeiden, wenn man sich als Entwickler vor der Verwendung einer Benutzereingabe Gedanken macht, welche Inhalte an der jeweiligen Stelle problematisch sein könnten - doch sie finden sich leider nach wie vor in vielen Webanwendungen ...
 

BurnerR

Bot #0384479

BurnerR
Registriert
20 Juli 2013
Beiträge
5.507
  • Thread Starter Thread Starter
  • #3
Bisher her bin ich eher punktuell damit vertraut gewesen, kenne die Grundzüge einiger üblichen Schwachstellen.
Ich werde also erstmal den Guide durcharbeiten und mir das Thema aus praktischer Sicht mithilfe der Übungsplatformen näher bringen. Melde mich dann mit daraus resultierenden Fragen ;-).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben