Jeder Web Entwickler muss sich beim Entwurf und später bei der Entwicklung seiner Anwendung Gedanken über Sicherheit machen. Dazu muss er aber erstmal mögliche Angriffsszenarien und -arten kennenlernen, um dagegen vorzugehen zu können. Am besten lernt es sich nicht nur in grauer Theorie, sondern wenn man es auch gleich mal praktisch anwenden darf.

Norwegischer Käse: Jarlsberg

Um es Webentwickler nachvollziehbar zu gestalten, hat Google bzw. die Google Code University ein Online Tutorial für Web Entwickler bereit gestellt. Zum einen wird die Problematik kurz in allgemeiner Theorie erklärt. Im praktischen Einsatz kommt die extra löchrige Mini Blog Anwendung Jarlsberg, benannt nach einem norwegischen Käse. Der Kurs Leitfaden erklärt die Probleme und gibt Hinweise auf mögliche Löcher in Jarlsberg. Man kann entweder Online in einer eigenen Server Instanz rumspielen oder ihn auch Lokal laufen lassen. Zu den behandelten Themen gehören Problematiken wie Cross-Site Scripting (XSS), Cross-Site Request Forgery, Remote Code Execution, Path Traversal, Denial of Service (DoS), AJAX Schwachstellen, SQL Injection. Am Ende eines Themen Abschnitts steht quasi die Lösung, wie man die Schwachstelle ausnutzen kann und vor allem wie man sie als Entwickler behebt bzw. vermeidet.

Anmerkungen

Die meisten Angriffsszenarien sind unabhängig von der gewählten Programmiersprache und System Umgebung. Dennoch lässt sich zur zusätzlichen Analys der Quelltext der in Python geschriebenen Software herunterladen. Angemerkt sei, das die Probleme nicht Programmiersprachen spezifisch sind. Sie resultieren aus mangelnder Überprüfung bzw. Absicherung der Benutzer Eingaben, so das sich etwa fremder HTML bzw. schlimmer fremder Javascript Code einschleussen lässt.

Jarlsberg Webseite

Was ist ..?

Cross-Site Scripting (XSS)
Cross-Site Request Forgery
Denial of Service (DoS)
SQL Injection