1. Keinen Eingabedaten vertrauen: Alle Webeingaben müssen serverseitig überprüft werden, etwa Typ, Länge und Format. Gefährliche Daten werden zurückgewiesen, ignoriert, gelöscht oder ersetzt.
2. Fehlermeldungen möglichst wenig aussagekräftig: Fehlermeldungen moderner Entwicklungsbibliotheken sind hilfreich in der Projektphase, aber auch für Angreifer eine beliebte Informationsquelle.
3. Den Fehlerfall einplanen: Komplexe Software enthält immer Fehler. Gute Fehlerbehandlung belässt die Anwendung in einem definierten Zustand und gestattet keine unvorhergesehenen Aktionen.
4. Sicherheitsrelevante Aktionen protokollieren, etwa Login, Zugriff auf sensible Daten, fehlgeschlagene Zugriffsversuche.
5. Zentralen Zugang zur Applikation schaffen, etwa über eine zentrale Authentifizierungsklasse. Alle anderen Eingänge schließen.
6. Sicherheitsrelevante Daten schützen und nicht auf Client-Seite speichern; wo unumgänglich, verschlüsselt und signiert.
7. Sichere Authentifizierung: Starke Passwörter fordern, Authentifizierung nur über SSL-Verbindungen, keine Übertragung und Speicherung von Passworten.
8. Minimale Privilegien: Alle nicht benötigten Admin-Konten entfernen, auf Ressourcen nur mit ausreichenden, aber nicht höheren Privilegien zugreifen. Vorsicht bei der Benutzerauthentifizierung.
9. Mehrere Verteidigungslinien einsetzen, nicht auf einen Schutzmechanismus verlassen.
10. Kryptoverfahren zur Verschlüsselung von Daten und Verbindungen nutzen: Keine eigenen Verschlüsselungsalgorithmen schreiben, immer die größtmögliche Schlüsselstärke nutzen, keine Schlüssel oder sonstigen Geheimnisse im Programmcode speichern.
Quelle: OWASP/LL
Weitere Informationen:
Das Open Web Application Security Project (OWASP) bietet zahlreiche Tipps und News zu sicheren Webapplikationen.
Bundesamt für Sicherheit in der Informationstechnik:
Sicherheit von Webanwendungen: Maßnahmenkatalog und Best Practices (PDF)
Für Entwickler, mit zahlreichen praktischen Tipps, etwa zur Absicherung von „Sessions“.
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…