Mein Buch „Web-Sicherheit“ ist nun offiziell erschienen!

Nach einenhalb Jahren harter Recherchearbeit, die das Durchforsten von zirka 30 Büchern und Unmengen von Online-Material erforderte (mein Download-Ordner für einschlägige Literatur umfasst inzwischen 159 MB) ist zweites mein Buch nun offiziell erhältlich. Ich hatte zwar schon jahrelange Erfahrung mit dem Thema Web-Sicherheit, dennoch gab es auch für mich noch viel Neues zu entdecken.

Der Verlag hat freundlicherweise einige Kapitel zum freien Download bereitgestellt, so können Sie sich vorab ein Bild darüber machen, ob das Buch für Sie von Nutzen ist, oder nicht. Zusätzlich zum Buch habe ich auch eine Webanwendung geschrieben, die die einzelnen Angriffstechniken in der Praxis nachvollziehbar macht. Sie wird in den nächsten Tagen ebenfalls zum freien Download zur Verfügung stehen.

Der Auftakt: Grundlagen der IT-Sicherheit

Im scharfen Kontrast zu meinem ersten Buch Software-Sanierung handelt es sich bei Web-Sicherheit um einen Leitfaden für Leute, die sich in das umfangreiche Thema der Absicherung von Webanwendungen vertiefen wollen.
Dementsprechend werden keine Kenntnisse der IT-Sicherheit vorausgesetzt; es ist also auch für Programmierer geeignet, die sich erstmals mit diesem Thema befassen.

Allerdings hält es auch für erfahrene Sicherheitsspezialisten die eine oder andere Überraschung bereit, denn der erste Teil enthält zahlreiches Material, welches ich noch in keinem Buch über IT-Sicherheit gefunden habe. So habe ich mich bemüht, dem Leser erst einmal grundlegende Kenntnisse zum Thema Sicherheit zu vermitteln, bevor ich im zweiten Teil auf das eigentliche Thema, nämlich das Beschreiben der häufigsten Schwachstellen und das Absichern von Webanwendungen eingehe. Im Zuge dessen habe ich versucht, gleich einmal mit gängigen Vorurteilen aufzuräumen, nämlich dem Mythos der absolut sicheren technischen Lösung, der 100% sicheren Nachrichtenübertragung und -speicherung sowie dem Mythos der unfehlbaren Authentifizierung.

Wie weit besonders der letztgenannte Mythos verbreitet ist, hat die Diskussion über den elektronischen Personalausweis in Deutschland wieder eindrucksvoll gezeigt. Der anerkannte Sicherheitsexperte Bruce Schneier hat schon vor längerer Zeit prophezeit, dass das nach hinten losgeht und spätestens wenn Sie den ersten Teil meines Buches gelesen haben, erkennen Sie, dass es kaum möglich ist, dass diese Prophezeiung nicht in Erfüllung geht.

Ans Eingemachte: Die häufigsten Schwachstellen

Zu Anfang des zweiten Teils rücke ich dann dem nächsten Mythos zu Leibe: Web Application Firewalls, Datenbankfirewalls, Intrusion-Detection-Systeme und vergleichbaren Techniken. In jedem weiteren Kapitel dieses Teils weise ich dann noch ausdrücklich darauf hin, inwieweit diese Technologien für die beschrieben Schwachstelle von Nutzen sind.
Die Beschreibung der Schwachstellen geht dabei über die bekannten OWASP Top Ten hinaus. So habe ich auch neuere Angriffstechniken (oder solche, die neuerdings bei Angreifern sehr beliebt sind) wie Clickjacking- und ReDoS-Schwachstellen mit aufgenommen.

Die Workshops, die ich zu diesen Themen bereits abgehalten habe, haben gezeigt, dass diese Themen auch von weniger erfahrenen Programmierern und sogar von manchen Managern schnell verstanden werden.
Allen Teilnehmern hat dieser Workshop bisher übrigens großen Spaß gemacht und sie konnten schon nach relativ kurzer Zeit ihre eigenen Webanwendungen erfolgreich angreifen. Dabei hat sich leider auch gezeigt, wie wenige Programmierer auch nur rudimentäre Kenntnisse in der IT-Sicherheit haben und das die Ausbildung (Hochschulen, Universitäten, etc.) hier vollkommen auslässt.

Erkennen, Absichern und Vorbeugen: Testen und Absichern von Webanwendungen

Der dritte Teil befasst sich mit dem Testen und Absichern von Webanwendungen. Den Anfang machen die gängigsten Techniken zum Aufspüren von Schwachstellen: Schwachstellen-Scans, Penetrationstests und Code-Reviews. Im Gegensatz zu vielen anderen Büchern werden diese Techniken Anhand von konkreten Beispielen demonstriert und es wird auf die Stärken und Schwächen derselben hingewiesen.
Weiter geht es dann mit einem Kapitel zu einer nützlichen Technik zur Vermeidung von Kodierungsproblemen, welche ja die Ursache vieler Schwachstellen wie Injection-Schwachstellen und Cross-Site Scripting sind, die da lautet:

So früh wie möglich Dekodieren und Validieren und so spät wie möglich Kodieren.
Diese Technik hat sich über die Jahre bewährt und sie hat inzwischen in der OWASP auch schon einige Freunde gefunden.

Den Abschluss machen dann zwei ausführliche Beispiele, anhand derer das Beheben von Schwachstellen in Webanwendungen demonstriert wird. Hier schließt sich der Kreis wieder zum Inhalt meines ersten Buch „Software-Sanierung“, denn ich demonstriere, wie man Schwachstellen mit der Unterstützung von automatisierten Tests behebt. Die Tests legen dabei erst einmal die Schwachstellen bloß und durch das beheben derselben laufen auch die Tests ohne Beanstandung durch. Der praktische Nebeneffekt dieser Tests ist, dass die Anwendung auch im Abgesicherten Zustand noch ordnungsgemäß funktioniert, denn was hilft schon die sicherste Anwendung, wenn sie nicht funktioniert?

Viel Spaß und Erfolg also mit den Beispielkapiteln, der Demo-Anwendung und vielleicht auch mit dem Buch!

Graz am 31.1.2011

Sebastian Kübeck

Falls Sie Fragen oder Anregungen haben, wenden Sie sich bitte an die Folgende Yahoo-Group:
http://de.groups.yahoo.com/group/websicherheit/

Dort werde ich morgen auch die Demo-Anwendung hochladen.