Sicherheit beim Programmieren

Allgemein

• Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL
  Grundlagen über Angriffe und Verteidigungsmaßnahmen gegen Angriff auf Webanwendung in PHP.
• cms-sicherheit.de | php security guide
  Website mit vielen Verweisen zu Sicherheitsthemen, welche PHP und Webanwendungen betreffen.
• The Web Application Security Consortium – The WASC Threat Classification v2.0
  Hier findet sich auch eine Liste von Angriffsmöglichkeiten bei Webanwendung.
• OWASP: Top 10 Application Security Risks – 2010
  Die 10 häufigsten Sicherheitsrisiken von 2010.
• OWASP: Top 10 application vulnerabilities in 2007
  Die 10 häufigsten Sicherheitslücken von 2007.
• 2010 CWE/SANS Top 25 Most Dangerous Programming Errors
  Die 25 häufigsten Programmierfehler 2010.
• CWE/SANS TOP 25 Most Dangerous Programming Errors
• SearchSecurity: Tipp 9 – Web Application Security konsequent umsetzen und kontrollieren
• Web Application Security Scanner – Evaluation Criteria
  Eine Liste von Punkten, welche Webanwendungsscanner erfüllen sollte, inklusive eines Verweis zu einer Liste von verschiedenen Scannern.

Clickjacking

• Clickjacking Tool
• Heise: Clickjacking 2.0 mit Drag&Drop

Parameter Manipulation

• Introduction to HTTP Response Splitting

XSS & CSRF

• The Cross-Site Scripting (XSS) FAQ
• XSS (Cross Site Scripting) Cheat Sheet
• Cross-Site Request Forgeries (Re: The Dangers of Allowing Users to Post Images)

Sessions

• Session-Angriffe – eine Analyse an PHP

Tools

• Charles
  HTTP-Proxy/-Monitor / Reverse Proxy, welches es Entwicklern erlaubt jeglichen HTTP-/HTTPS-Traffic zwischen Ihrer Manschine und dem Internet zu betrachten, inklusive Anfragen, Antworten und HTTP-Headers.
• x5s
  Plug-In für Fiddler, welches automatisiert eine Seite auf die Anfälligkeit von XSS testet.
• SQL Map A SQL injection Tool
  Wie der Name schon andeutet ein Tool zum Prüfen, ob SQL injections möglich sind. Daher wohl ein unerlässiges Tool für jeden Webentwickler.
• fuzzdb
  Auch wenn es nicht direkt ein Tool ist, denke ich ist es eine gute Möglichkeit, um seine Anwendungen auf bekannte Angriffe zu testen. Denn fuzzdb ist eine Sammlung von bekannten Angriffen gegen Webanwendung, und lässt sich mit OpenSource (Fuzzing) Scannern nutzen. Unter Linux gäbe es bspw. fuzz, wapiti oder zzuf.
• the mole (neu, 28.12.2011)
  The mole ist ein automatischer SQL Injektionscanner. Leider befindet sich dieser aktuell noch im Beta-Statium.
• wapiti Web application vulnerability scanner / security auditor
  Ein Kommandozeilen Tool (in Phyton), um eine Web Applikation auf Schwachstellen zu testen.

Artikel

• Heise: Die Woche: Die Sünden der Programmierer (Warum das validieren von Eingabewerten wichtig ist)
• SearchSecurity: Online-Anwendungen sind Hauptangriffsziel für Hacker
• PHP Extention: Wann MySQLi statt MySQL benutzen? (neu, 17.12.2011)

Hinweise

• Diese Linksammlung stellt nur eine kleine Einführung in das Thema sicheres Programmieren dar, und bezieht sich insbesondere auf Webanwendungen.
• Vorschläge für weitere passende Seiten zu diesen Thema nehme ich gerne entgegen.
  • E-Mail: webmaster+websec@sascha-ahlers.de