Web Application Security

[BurnerR]

Ich möchte tiefer ins Thema Web Application Security einsteigen. Mir scheint einen ersten guten Überblick gibt die Lektüre des OWASP

You do not have permission to view link please Anmelden or Registrieren

. Danach scheint mir die Lektüre eines technischeren Werkes sinnvoll, aber welches Buch eignet sich? Testen und Verifizieren ist vermutlich noch ein eigenes Thema?
Kann ich mich generell guten Gewissens an den OWASP Ressourcen orientieren?
Im speziellen interessiert mich das Thema Sicherheit in Hinblick auf Frameworks wie GWT, Vaadin oder auch Spring.

PS.: So beim zweiten nachdenken bin ich vermutlich im falschen Forum gelandet, es gehört wohl nach Technik:Webmaster.
PPS.: Danke fürs verschieben.

 

[Kugelfisch]

In wie weit bist du mit der Thematik bereits vertraut? Das OWASP Development Guide gibt IMHO durchaus einen guten Überblick, ebenfalls sehr lehrreich und interessant sind meines Erachtens auch Übungsplattformen wie z.B.

You do not have permission to view link please Anmelden or Registrieren

(inklusive ausführlicher Erklärungen und bei Bedarf nutzbarer Hilfestellungen) oder

You do not have permission to view link please Anmelden or Registrieren

(speziell die OWASP-Top-Ten- und WebGoat-Challenges, die Hackademics sind meines Erachtens zu konstruiert; passend in Bezug auf dein Interesse an Frameworks wäre auch die Struts2-Schwachstelle aus dem Hacking-Challenge Event).

Im Grunde ist allerdings ein grosser Teil der Schwachstellen in Webanwendungen auf eine vergleichsweise kleine Menge von banalen Fehlern zurückzuführen, insbesondere die Injection-Klasse (XSS, SQL-Injection, Code-Injections, ...) durch inkorrekte, unvollständige oder deplatzierte Filterung/Maskierung. Andere entstehend aufgrund von Design-Fehlern, etwa weil ein komplexer Parser ohne entsprechende Konfiguration auf nicht vertrauenswürdige Daten angesetzt wird (XXE-Problematik, Struts2-ONGL-Injection, ...). Zumindest Erstere sind sehr leicht zu vermeiden, wenn man sich als Entwickler vor der Verwendung einer Benutzereingabe Gedanken macht, welche Inhalte an der jeweiligen Stelle problematisch sein könnten - doch sie finden sich leider nach wie vor in vielen Webanwendungen ...

 

[BurnerR]

Bisher her bin ich eher punktuell damit vertraut gewesen, kenne die Grundzüge einiger üblichen Schwachstellen.
Ich werde also erstmal den Guide durcharbeiten und mir das Thema aus praktischer Sicht mithilfe der Übungsplatformen näher bringen. Melde mich dann mit daraus resultierenden Fragen ;-).