Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben
Erschienen in:
Buchtitelbild

2018 | OriginalPaper | Buchkapitel

1. Einleitung

verfasst von : Matthias Rohr

Erschienen in: Sicherheit von Webanwendungen in der Praxis

Verlag: Springer Fachmedien Wiesbaden

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Zusammenfassung

In diesem Kapitel werden wir uns zunächst einigen wichtigen Grundlagen und Hintergründen unsicherer Webanwendungen (bzw. Software allgemein) widmen. Im ersten Teil werden wir uns hierzu mit den Ursachen für unsichere Webanwendungen befassen, um dann im zweiten Teil genauer auf den eigentlichen Begriff „Webanwendungssicherheit“ und deren Zusammenhang mit der IT-Sicherheit einzugehen.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Jetzt informieren
Nächstes Kapitel Bedrohungen für Webanwendungen
Fußnoten
1
Im Rahmen dieses Buches wird aus Gründen der Vereinfachung meist nur von „einem Webserver“ gesprochen, auch wenn damit in der Praxis diverse Cluster von Web- und Applikationsservern gemeint sein können, die aus vielen hunderten oder sogar tausenden Systemen bestehen. Applikationsserver (z. B. IIS, GlassFish, IBM WebSphere) sind für die Ausführung von komplexeren Anwendungen erforderlich. Immer häufiger kommen statt Applikationsserver hier aber auch einfach nur Laufzeitumgebungen (z. B. die JVM bei Java) zum Einsatz – weniger für ganze Webanwendungen, sondern lediglich um einzelne Anwendungskomponenten wie Microservices auszuführen.
 
2
Mit WebSockets existiert seit kurzem eine weitere Übertragungs-Technologie im Web, welche ein eigenes Protokoll (RFC 6455) einsetzt. Für die Zukunft ist davon auszugehen, dass dieses Protokoll zusätzlich zu HTTP deutlich häufiger zum Einsatz kommt.
 
3
Der Pfadbereich ist der Teil einer URL, welcher zwischen Hostname (hier „www.example.com“) und Dateiname (hier „welcome.html“) steht. In dem obigen Aufruf ist dieser also nicht existent.
 
4
Dieses Muster findet sich sehr häufig auch bei REST-Aufrufen, Beispiel: POST http(s)://www.example.com/customers/12345/orders.
 
5
In diesem Fall kann ein Benutzer seine eigene Session dadurch kompromittieren, dass er im angemeldeten Bereich Inhalte kopiert und per Mail versendet. Im so kopierten HTML-Markup sind dann die Links mit der jeweiligen Session-ID des Benutzers enthalten. Klickt der Empfänger dieser E-Mail nun auf einen der Links, so wird er über die darin enthaltene Session-ID an der Anwendung angemeldet (vergl. Session Hijacking, Abschn. 2.​7.​7).
 
6
Natürlich wird nicht bei jedem Zugriff ein Referer-Header mitgesendet. Etwa dann nicht, wenn der Zugriff über einen Bookmark, JavaScript oder durch Eingabe der Adresse in die Adresszeile erfolgte. Auch wird ein Referer nur dann übermittelt, wenn die aufgerufene Seite das gleiche Schema (also z. B. „https://“) besitzt.
 
7
Allerdings existieren hierfür mittlerweile verschiedene standardisierte Implementierungen. So z. B. JAAS im Fall von Java-basierten Webanwendungen, das von den meisten Applikationsservern unterstützt wird und in aktuellen Versionen inzwischen auch verschiedene Sicherheitsaspekte abbildet.
 
8
Geben Sie als kleine Übung die Suche nach „Wallace & Gromit“ bei Google ein und betrachten Sie den Parameter „q“ in der aufgerufenen URL.
 
9
Nur wenn der Server ein spezielles Feature des SSL/TLS-Protokolls, nämlich Perfect Forward Secrecy, aktiviert hatte, war das Mitlesen der Kommunikation nicht möglich. Näheres wird hierzu in Abschn. 3.​15.​3 erläutert.
 
10
Allgemein verstehen wir unter einem Asset alles, was den Wert eines Unternehmens ausmacht, sowohl materieller Natur (z. B. Immobilien, Büroausstattung, IT) als auch solche immaterieller Art (z. B. Patente, Software, Kunden und deren Daten). Auch Mitarbeiter stellen natürlich wichtige Assets eines Unternehmens dar.
 
11
Da ein Compliance-Verstoß (z. B. ein Verstoß gegen gesetzliche Vorschriften) häufig auch einen konkreten Schaden (z. B. eine Strafzahlung) zur Folge haben kann, lassen sich diese grundsätzlich ebenfalls als (Compliance-)Risiken sehen.
 
12
Natürlich trifft dies vor allem bei nicht-agilen Entwicklungsvorgehen zu, bei denen diese hohen Aufwände nicht zuletzt durch den Change-Prozess bedingt sind. Aber auch hier können Architekturänderungen oder bereits der Austausch einer verwundbaren Bibliothek enorme Aufwände zur Folge haben.
 
13
Allerdings kann es auch vorkommen, dass die Entwicklungsteams selbst bestimmte betriebliche Aufgaben ihrer eignen Anwendungskomponenten wahrnehmen. Wir sprechen hier dann von DevOps-Teams.
 
Literatur
1.
2.
3.
4.
Industrieanlagen gehackt, c’t-Magazin Ausgabe November 2013. Heise Verlag, S 78
5.
Rice D (2007) Geekonomics: the real cost of insecure software. Addison-Wesley, Boston, S 66 ff
6.
7.
Akerlof G (1979) The market for ‚Lemons‘: quality uncertainty and the market mechanism. Q J Econ 84(3):488–500CrossRef
8.
9.
10.
11.
12.
13.
ISO/IEC 9126-1:2001 Software engineering – product quality – part 1: quality model
14.
McGraw G (2006) Software security: building security in. Addison-Wesley, Boston
15.
Metadaten
Titel
Einleitung
verfasst von
Matthias Rohr
Copyright-Jahr
2018
Buch
Sicherheit von Webanwendungen in der Praxis

Print ISBN: 978-3-658-20144-9

Electronic ISBN: 978-3-658-20145-6

Copyright-Jahr: 2018

DOI
https://doi.org/10.1007/978-3-658-20145-6_1