Secure Coding ist die Kunst, Software so zu entwickeln, dass sie durch Hacker nicht angreifbar ist. Wichtigste Voraussetzung für einen Entwickler ist es dabei, die Angriffsarten zu kennen. Denn nur wer seine Angreifer kennt, kann sich auch angemessen verteidigen.

In dieser Reihe sollen in einzelnen Abschnitten die 10 wichtigsten und am meisten ausgenützten Sicherheitslücken bei Webanwendungen vorgestellt werden. Wir orientieren uns dabei an den OWASP Top 10, das sind die 10 vom “Open Web Application Security Project” alle 3-4 Jahre ermittelten Charts der Schwergewichte der Schwachstellen bei Webanwendungen.

Hier die OWASP Top-10 2017:

A1:2017 – Injection – SQL, NoSQL, OS und LDAP Injection
A2:2017 – Broken Authentication – Fehler in Authentifizierung und Session-Management
A3:2017 – Sensitive Data Exposure – Verlust der Vertraulichkeit sensibler Daten
A4:2017 – XML External Entities (XXE) – Missbrauch von verwundbaren XML-Prozessoren
A5:2017 – Broken Access Control – Fehlerhafte Autorisierung auf Anwendungsebene
A6:2017 – Security Misconfiguration – Sicherheitsrelevante Fehlkonfiguration
A7:2017 – Cross-Site Scripting (XSS) – Manipulation von Datenflüssen auf Webseiten
A8:2017 – Insecure Deserialization – Unsichere Deserialisierung von persistierten Daten
A9:2017 – Using Components with Known Vulnerabilities – Verwendung von veralteten, verwundbaren Komponenten
A10:2017 – Insufficient Logging & Monitoring – Fehlende Transparenz durch ungenügende Informationen

Zu der Secure Coding Schulung gibt es als kleinen Vorgeschmack kurze Videos, die zeigen worum es geht:

Intro

A1:2017 Injektion: