Web Development

In diesem Kapitel

Sie erhalten einen Einblick in die Sicherheits-Probleme von Web-Applikationen.

• Threat Modeling
• A01 - Zugriffskontrolle
• A02 - Fehlkonfiguration
• A03 - Software Supply Chain Failures
• A04 - Cryptographic Failures
• A05 - Injection + XSS
• A06 - Insecure design
• A07 - Authentication Failures
• A08 - Software or Data Integrity Failures
• A09 - Security Logging and Alerting Failures
• A10 - Mishandling of Exceptional Conditions
• Prompt Injection

Die Sicherheit von Web-Applikationen ist ein komplexes Thema. Die OWASP gibt dazu regelmäßig Empfehlungen heraus.

Für ein großes Web-Projekt liefert OWASP Application Security Verification Standard eine vollständige Checkliste.

Für den Einstieg werden wir die OWASP Top 10 von 2025 betrachten. Wir werden es speziell auf PHP, Postgres und Apache anwenden. Wenn man generative AI verwendet, sollte man außerdem die TOP 10 FOR GEN AI kennen.

Was Sie können sollten

• Sie können SQL-Injection-Probleme erkennen und mittels Prepared Statements vermeiden
• Sie können XSS-Probleme erkennen und durch geeignetes Escapen des Outputs und eine Content Security Policy vermeiden
• Sie können eine Authentisierung mit Passwort und Cookie in PHP implementieren
• Sie können Sicherheitsprobleme beim Speichern von Passwörtern und sensiblen Daten erkennen und vermeiden
• Sie können erkennen, wenn eine Applikation den Zugriffsschutz nicht konsequent für jede URL überprüft, und das Problem beheben

Die OWASP beschreibt bei den Top 10 nicht nur den Angriff selbst, sondern den gesamten Angriffsweg bis zu den wirtschaftlichen Auswirkungen:

Hier werden wir uns aber auf eine technische Beschreibung des Angriffes und auf die Gegenmaßnahmen beschränken.

Quellen

• OWASP Top 10, 2025
• Content Security Policy