Sicherheitslücken in Webapplikationen – Seminararbeit

Posted: Dezember 18th, 2012 | Filed under: Programmieren, Sicherheit, Tutorials | Tags: , , , , , , , , , , , , , , , | 3 Comments »

Abstract

Da webseitenbasierte Applikationen immer mehr an Bedeutung gewinnen, stellt sich die Frage nach der Vertraulichkeit, mit der unsere im World Wide Web gespeicherten Daten behandelt werden. Sicherheitslücken und erfolgreiche Angriffe auf Webapplikationen schaden oft nicht nur dem Betreiber des jeweiligen Dienstes, sondern auch dem Endverbraucher, der seine privaten Daten wie beispielsweise Konto- oder Kreditkartennummer, E-Mail-Adresse oder Passwörter an den Angreifer unfreiwillig abgibt.

In dieser Arbeit werden häufige Sicherheitslücken in PHP-basierten Webanwendungen erklärt und anhand eines praktischen Beispiels verständlich gemacht. Um einen Überblick über eingesetzte Websprachen zu geben wird zu Beginn der Arbeit auf die Verbreitung verschiedener Sprachen eingegangen. Resultierend aus dem hohen Marktanteil werden Sicherheitslücken und Angriffsmechanismen wie Remote Command Execution, SQL-Injections, XSS-Attacken, Cross-Site Request Forgery und HTTP Response Splitting am Beispiel von PHP vorgestellt. In einem zweiten Teil der Arbeit wird beschrieben, wie man Passwörter mit Hilfe von sogenannten gesalzenen Hashes in einer Datenbank sicher schützen kann. Zum Abschluss wird das PHP-Framework CodeIgniter und seine Schutzmechanismen vor Angriffen auf Applikationsebene vorgestellt. Sicherheitsprobleme auf Netzwerk- und Betriebsystemebene werden in dieser Arbeit aufgrund des begrenzten Umfanges nicht angesprochen.

Inhaltsverzeichnis

  • Abstract
  • Einleitung
  • Angriffsmechanismen
    • Remote Command Execution
    • XSS – Cross-Site-Scripting
    • SQL-Injections
    • Datei-Upload
    • Cross-Site Request Forgery
    • HTTP Response Splitting
  • Passwörter in Datenbank schützen
    • Einwegverschlüsselung
    • Hashwerte salzen
  • Einsatz von Frameworks
    • CodeIgniter
      • Schutzmechanismus: URL-Sicherheit
      • Schutzmechanismus: Error-Reporting
      • Schutzmechanismus: Hochkommas escapen
      • Schutzmechanismus: XSS-Filter
      • Schutzmechanismus: SQL-Injection
      • Schutzmechanismus: Form-Validation
      • Schutzmechanismus: CSRF-Protection

Download

Herunterladen könnt ihr euch meine Seminararbeit unter Folgendem Link:

http://blog.mynotiz.de/downloads/sicherheitsluecken_in_webapplikationen_frank_roth.pdf (PDF)

Screenshots

Screenshots vom Inhaltsverzeichnis und dem Abstract.

imageimageimageimage