1. Keinen Eingabedaten vertrauen: Alle Webeingaben müssen serverseitig überprüft werden, etwa Typ, Länge und Format. Gefährliche Daten werden zurückgewiesen, ignoriert, gelöscht oder ersetzt.
2. Fehlermeldungen möglichst wenig aussagekräftig: Fehlermeldungen moderner Entwicklungsbibliotheken sind hilfreich in der Projektphase, aber auch für Angreifer eine beliebte Informationsquelle.
3. Den Fehlerfall einplanen: Komplexe Software enthält immer Fehler. Gute Fehlerbehandlung belässt die Anwendung in einem definierten Zustand und gestattet keine unvorhergesehenen Aktionen.
4. Sicherheitsrelevante Aktionen protokollieren, etwa Login, Zugriff auf sensible Daten, fehlgeschlagene Zugriffsversuche.
5. Zentralen Zugang zur Applikation schaffen, etwa über eine zentrale Authentifizierungsklasse. Alle anderen Eingänge schließen.
6. Sicherheitsrelevante Daten schützen und nicht auf Client-Seite speichern; wo unumgänglich, verschlüsselt und signiert.
7. Sichere Authentifizierung: Starke Passwörter fordern, Authentifizierung nur über SSL-Verbindungen, keine Übertragung und Speicherung von Passworten.
8. Minimale Privilegien: Alle nicht benötigten Admin-Konten entfernen, auf Ressourcen nur mit ausreichenden, aber nicht höheren Privilegien zugreifen. Vorsicht bei der Benutzerauthentifizierung.
9. Mehrere Verteidigungslinien einsetzen, nicht auf einen Schutzmechanismus verlassen.
10. Kryptoverfahren zur Verschlüsselung von Daten und Verbindungen nutzen: Keine eigenen Verschlüsselungsalgorithmen schreiben, immer die größtmögliche Schlüsselstärke nutzen, keine Schlüssel oder sonstigen Geheimnisse im Programmcode speichern.
Quelle: OWASP/LL
Weitere Informationen:
Das Open Web Application Security Project (OWASP) bietet zahlreiche Tipps und News zu sicheren Webapplikationen.
Bundesamt für Sicherheit in der Informationstechnik:
Sicherheit von Webanwendungen: Maßnahmenkatalog und Best Practices (PDF)
Für Entwickler, mit zahlreichen praktischen Tipps, etwa zur Absicherung von „Sessions“.
Neueste Kommentare
Noch keine Kommentare zu Sicherheit in Webanwendungen: Maßnahmen und Best Practices
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.