Sicherheitslücken in Webapplikationen – Seminararbeit
Posted: Dezember 18th, 2012 | Filed under: Programmieren, Sicherheit, Tutorials | Tags: CodeIgniter, Cross-Site Request Forgery, Cross-Site-Scripting, Datei-Upload, download, Einwegverschlüsselung, Hashwerte salzen, Hochschule Karlsruhe, HTTP Response Splitting, pdf, Remote Command Execution, Seminararbeit, Sicherlücken, SQL-Injections, Webanwendungen, XSS | 3 Comments »Abstract
Da webseitenbasierte Applikationen immer mehr an Bedeutung gewinnen, stellt sich die Frage nach der Vertraulichkeit, mit der unsere im World Wide Web gespeicherten Daten behandelt werden. Sicherheitslücken und erfolgreiche Angriffe auf Webapplikationen schaden oft nicht nur dem Betreiber des jeweiligen Dienstes, sondern auch dem Endverbraucher, der seine privaten Daten wie beispielsweise Konto- oder Kreditkartennummer, E-Mail-Adresse oder Passwörter an den Angreifer unfreiwillig abgibt.
In dieser Arbeit werden häufige Sicherheitslücken in PHP-basierten Webanwendungen erklärt und anhand eines praktischen Beispiels verständlich gemacht. Um einen Überblick über eingesetzte Websprachen zu geben wird zu Beginn der Arbeit auf die Verbreitung verschiedener Sprachen eingegangen. Resultierend aus dem hohen Marktanteil werden Sicherheitslücken und Angriffsmechanismen wie Remote Command Execution, SQL-Injections, XSS-Attacken, Cross-Site Request Forgery und HTTP Response Splitting am Beispiel von PHP vorgestellt. In einem zweiten Teil der Arbeit wird beschrieben, wie man Passwörter mit Hilfe von sogenannten gesalzenen Hashes in einer Datenbank sicher schützen kann. Zum Abschluss wird das PHP-Framework CodeIgniter und seine Schutzmechanismen vor Angriffen auf Applikationsebene vorgestellt. Sicherheitsprobleme auf Netzwerk- und Betriebsystemebene werden in dieser Arbeit aufgrund des begrenzten Umfanges nicht angesprochen.
Inhaltsverzeichnis
- Abstract
- Einleitung
- Angriffsmechanismen
- Remote Command Execution
- XSS – Cross-Site-Scripting
- SQL-Injections
- Datei-Upload
- Cross-Site Request Forgery
- HTTP Response Splitting
- Passwörter in Datenbank schützen
- Einwegverschlüsselung
- Hashwerte salzen
- Einsatz von Frameworks
- CodeIgniter
- Schutzmechanismus: URL-Sicherheit
- Schutzmechanismus: Error-Reporting
- Schutzmechanismus: Hochkommas escapen
- Schutzmechanismus: XSS-Filter
- Schutzmechanismus: SQL-Injection
- Schutzmechanismus: Form-Validation
- Schutzmechanismus: CSRF-Protection
Download
Herunterladen könnt ihr euch meine Seminararbeit unter Folgendem Link:
http://blog.mynotiz.de/downloads/sicherheitsluecken_in_webapplikationen_frank_roth.pdf (PDF)
Screenshots
Screenshots vom Inhaltsverzeichnis und dem Abstract.
Auf den ersten Blick auf jeden Fall sehr interessant, werde ich mir mal genauer zu Gemüte ziehen. Auch wenn einem Vieles selbstverständlich erscheint, gibt es bestimmt einiges, woran man noch nicht gedacht hat.
Sehr gute Arbeit! Es waren doch noch ein paar Angriffe dabei, die ich so noch nicht kannte.
[…] An dieser Stelle verweise ich auf den Blog eines Kommilitonen, der seine Seminararbeit zum Thema “Sicherheitslücken in Webapplikationen” verfasst hat. Zu finden HIER. […]