Vorwort
Der Stellenwert von Webapplikationen hat zu Zeiten des Web2.0-Trends einen neuen Pegel erreicht. Social Software1, Folksonomy2 und natürlich AJAX3 sind in aller Munde, nahezu täglich sprießen neue Applikationen aus der Internetverbindung oder bestehende Webseiten werden aufgerüstet.
Dabei stehen Benutzerfreundlichkeit und Funktionalität meistens im Vordergrund (die Benutzerfreundlichkeit sollte in jedem Fall ganz weit vor der Funktionalität stehen), was nicht selten einen der wichtigsten Aspekte in den Hintergrund gelangen lässt: die Sicherheit.
Sicherheit ist generell ein wichtiges Thema, wenn es um die Programmierung leistungsfähiger Applikationen geht. Egal, ob online oder offline. Dabei spielt es keine Rolle, ob es sich um die Verarbeitung sensibler Informationen, wie z.B. Benutzer oder Zahlungsdaten, Onlineshops, Foren oder lediglich um ein Content Management System (CMS) handelt. Die kleinste Nachlässigkeit gefährdet nicht nur die Applikation und deren Benutzer, sondern auch den Server. Ganz zu schweigen vom schlechten Ruf und verlorenen Vertrauen seitens der Benutzer.
Als Beispiel sei an dieser Stelle ein bekanntes Studentenverzeichnis genannt. Dieses Projekt wurde ursprünglich von drei Studenten ins Leben gerufen und dient als soziale Plattform für Studenten. Benutzerfreundlichkeit und Funktionalität wurden hier vorbildlich vereint, an der Sicherheit jedoch wurde erst einmal gespart. Ende 2006 ermöglichten gezielte Angriffe per Cross-Site Scripting, Cross-Site Request Forgery und Session-Hijacking-Attacken den Zugriff auf private Daten4. Aufgrunddessen geriet dieses Verzeichnis in negative Schlagzeilen, was einige Benutzer erst einmal von der Plattform vertrieb.
Dieses Beispiel soll veranschaulichen, dass es nicht reicht, auf Sicherheitslücken zu reagieren. Prävention ist das Zauberwort und gleichzeitig Pflicht, vor allem wenn es um die Daten der Benutzer geht.
Die Wahrscheinlichkeit eines Angriffs steigt stetig mit der Beliebtheit der Applikation. Diese Aussage wird täglich aufs Neue bekräftigt, wenn man sich in diversen Vulnerability-Datenban en5 umsieht.
Dort sind meistens bekannte Open-Source-Projekte wie beispielsweise OSCommerce (Onlineshop), Joomla! (CMS) und Word-Press (Blog) betroffen. Aber auch Closed-Source-Projekte wie beispielsweise eBay (Auktionshaus), Amazon (Onlineversandhandel), Studi-VZ (Soziales Netzwerk) und sogar Online-Banking-Systeme verschiedener Banken sahen sich bereits Angriffen ausgesetzt.
Alle Anwendungen haben eines gemeinsam: Sie sind beliebt. Open-Source-Produkte sind auf gar keinen Fall die schlechtere Wahl. Durch den offen gelegten Quellcode ist es lediglich einfacher, Sicherheitslücken zu finden. Closed-Source-Produkte sind deswegen allerdings nur unwesentlich schwieriger anzugreifen.
Es ist von großer Bedeutung, über die unterschiedlichen Angriffsmethoden und deren Auswirkung Bescheid zu wissen, um mit einem maximalen Sicherheitsbewusstsein an die Planung einer Webapplikation heranzutreten und den Erfolg möglicher Angreifer möglichst zu verhindern.
Das vorliegende Buch gibt einen kompakten Überblick über die bekanntesten Angreifermethoden und stellt deren Funktionsweisen dar. Es werden Maßnahmen erläutert, wie Sie solche Angriffe vermeiden und schädigende Vorfälle ausschließen können.
Am Ende des Buches sollte Ihr Sicherheitsbewusstsein so gestärkt sein, dass diverse Methoden zur Vermeidung von Sicherheitslücken tief eingeprägt sind und automatisch verwendet werden. Natürlich kann dieses Buch auch als Nachschlagewerk fungieren.
Top 10
Das CWE6(Common Weakness Enumeration) veröffentlichte einen Bericht, aus dem hervorgeht, welche Sicherheitslücken am häufigsten in Applikationen vorkommen und ausgenutzt werden. Interessant ist hierbei die Tatsache, dass SQL-Injections und Cross-Site Scripting an erster Stelle stehen, obwohl sich beide Vulnerabilitäten recht einfach vermeiden lassen.
Zielgruppe
Das Buch richtet sich an Entwickler von Webapplikationen. Dabei spielt es keine Rolle, ob Hobbyist oder Profi, Entwickler oder Architekt. Sicherheit spielt während des gesamten Prozesses der Applikationsentwicklung eine große Rolle.
Quellcode-Notation
Sämtlicher Quellcode wird durch einen C-ähnlichen Pseudocode dargestellt. Die Dateiendung .psc symbolisiert dabei das dazu passende Dateiformat (Pseudocode).
Buch-Webseite
Aktualisierungen sowie Korrekturen und verschiedene Werkzeuge sind auf der Webseite des Autors unter http://leserservice.wussoft.de zu finden. Selbstverständlich befinden sich dort auch Möglichkeiten, um in direkten Kontakt mit dem Autor und anderen Lesern zu treten. Ebenso freut sich der Autor über Lob, Anregungen und Kritik an info@wussoft.de.
Danksagungen
Vielen Dank an erster Stelle an Ilka Bonten, Jennifer Hund, Tim Hütz, Daniel Nolte, Sebastian Löwenhag und Jens Konerow für die fachliche Überprüfung und wertvolle Kritik an diesem Buch. Vielen Dank auch an Sonja Waldschuk, Christiane Auf und Erik Franz von entwickler.press für die gute Zusammenarbeit und die ruhigen Nerven, wenn es mit dem Abgabetermin mal wieder nicht auf Anhieb geklappt hat.
Danke auch an all diejenigen, die mich zwischendurch motiviert und aufgebaut haben, wenn es mal nicht so gut lief oder voranschritt wie gewünscht, und auch Verständnis zeigten, wenn ich mal nicht so viel Zeit wie gewollt aufbringen konnte.
Widmung
,,Hinter jedem erfolgreichen Mann steht eine Frau, die ihn stützt."7 So steht hinter einem jeden Buch von mir eine Frau. Mit dieser Widmung möchte ich mich von ganzem Herzen bei Ilka Bonten für ihre wertvolle Unterstützung in jeglicher Hinsicht (fachlich, wie auch psychologisch) meiner bisherigen Arbeiten bedanken. Mit einer bemerkenswerten Motivation behandelt sie meine Werke wie ihre Werke, steckt ihre Energie rein, und verleiht einem jeden Werk eine extravagante Note. Danke Ilka.
Fehlerteufel
Natürlich werden von vornherein fehlerfreie Beispiele angestrebt. Bevor sie in diesem Buch beschrieben und auf die Webseite gepackt werden, werden die Beispiele ausgiebig von verschiedenen Personen und auf verschiedenen Systemen getestet. Dennoch kann es durchaus einmal vorkommen, dass unerwartete Fehler auftreten. Sollten Sie auf einen solchen Fehler beim Abtippen eines Listings stoßen, so probieren Sie bitte zuerst das entsprechende fertige Beispiel von der Webseite aus. Sollte der gleiche Fehler auftreten und es sich wider Erwarten doch nicht um einen Druckfehler im Listing handeln, so wenden Sie sich bitte direkt an den Autor. Dieser wird dann schnellstmöglich reagieren und helfen sowie gegebenenfalls eine Aktualisierung auf der Webseite zum Buch vornehmen.
Sämtliche Fehler gehen natürlich auf das Fehlerkonto des Autors.
| 1 | Softwaresysteme zur Unterstützung menschlicher Kommunikation und Kollaboration (z.B. Wikis und Weblogs). Diese Systeme werden häufig auch zum Aufbau von Netzwerken (Social Networks) genutzt die weitestgehend durch Selbstorganisation funktionieren und Gemeinschaften (Communities) fördern. |
| 2 | Verschlagwortung (Tagging) durch den Benutzer |
| 3 | Acronym für Asynchronous Java-Script and XML |
| 4 | http://umrw.heise.de/security/news/meldung/81639 und http://www.heise.de/security/ news/meldung/85970 |
| 5 | Datenbanken mit Auflistung bekannter Schwachstellen und Sicherheitslücken |
| 6 | http://cwe.mitre.org/documents/vuln-trends.html |
| 7 | Waltraud Schoppe, geb. am 27. Juni 1942 |