Wie lernt man die Sicherheit von Webanwendungen?

Die Sicherheit im Web ist eine ernstzunehmende Angelegenheit, und es ist ratsamer, sich dessen frühzeitig bewusst zu sein, anstatt auf das Eintreten eines Schadensfalls zu warten.

Der rasante technologische Fortschritt, insbesondere im Bereich der Webservices und -anwendungen, hat Unternehmen grundlegend verändert. Viele Firmen haben den Großteil ihrer Abläufe ins Internet verlagert, was eine unkomplizierte Zusammenarbeit und den Datenaustausch in Echtzeit für Mitarbeiter und Geschäftspartner weltweit ermöglicht.

Mit der Einführung moderner HTML5-Web-Apps und Web 2.0 haben sich die Erwartungen der Kunden gewandelt. Heutzutage erwartet jeder einen permanenten Zugang zu den benötigten Informationen. Dies zwingt Online-Unternehmen dazu, ihre Daten kontinuierlich bereitzustellen.

Während die globale Ausgangssperre für Homeoffice-Mitarbeiter und Online-Händler durchaus positive Auswirkungen hatte, hat sie auch Cyberkriminellen einen enormen Vorteil verschafft.

Die Zunahme von Online-Transaktionen und Remote-Arbeit ermöglichte es diesen, zahlreiche Kreditkarteninformationen zu stehlen und Remote-Mitarbeiter sowie deren Organisationen anzugreifen. Diese Entwicklung hat auch Betrüger und bösartige Hacker angezogen, die immer wieder neue Bedrohungswege entwickeln.

Ein Bericht zeigt, dass in diesem Jahr etwa 80 % der Unternehmen eine Zunahme von Cyberangriffen verzeichneten, während die Bedrohungen für Banken im Zuge des Coronavirus um 238 % gestiegen sind.

Um diesen Angriffen entgegenzuwirken, wurde die Sicherheit von Webanwendungen bereits vor langer Zeit etabliert. In dieser Branche werden qualifizierte Fachkräfte benötigt, um Unternehmen vor Datenverlusten, finanziellen Einbußen und dem Verlust von Kundenvertrauen zu schützen.

Ziel dieses Artikels ist es, Ihr Verständnis für Sicherheitsfragen zu vertiefen, die Erwartungen an Web-Sicherheitsexperten zu erläutern und Ihnen Quellen aufzuzeigen, die Ihnen beim Erwerb und der Perfektionierung relevanter Fähigkeiten helfen.

Sind Sie bereit zu beginnen?

Was versteht man unter Webanwendungssicherheit?

Websicherheit, Cybersicherheit oder Webanwendungssicherheit bezeichnet den Schutz von Online-Diensten und Websites vor diversen Bedrohungen, die Schwachstellen in den Codes einer Anwendung ausnutzen.

Zu den häufigsten Angriffszielen gehören Datenbankverwaltungssysteme wie phpMyAdmin, SaaS-Anwendungen und Content-Management-Systeme (CMS) wie WordPress.

Die Web-Sicherheit zielt darauf ab, solche Angriffe durch die Verweigerung unbefugten Zugriffs, Nutzung, Zerstörung/Unterbrechung oder Veränderung zu verhindern.

Doch warum sind Webanwendungen ein so beliebtes Ziel für Angreifer?

  • Die Komplexität des Anwendungscodes erhöht die Wahrscheinlichkeit von Schwachstellen und Code-Manipulationen.
  • Anwendungen sind leicht zu attackieren; Angreifer können die meisten Angriffe einfach starten oder automatisieren, und dies auf Tausende von Anwendungen gleichzeitig.
  • Es locken wertvolle Beute, wie sensible und private Daten durch Quellcode-Manipulationen, sowie finanzielle Gewinne.

Gängige Arten von Schwachstellen

Cross-Site-Scripting (XSS)

XSS ermöglicht es Angreifern, clientseitige Skripte in eine Webseite einzuschleusen und direkt auf wichtige Daten zuzugreifen, Benutzer zur Preisgabe sensibler Informationen zu verleiten oder sich als Benutzer auszugeben. Dies kann zur Übernahme von Konten, Aktivierung von Trojanern, Änderung von Seiteninhalten und mehr führen.

Cross-Site Request Forgery (CSRF)

CSRF täuscht Opfer, um Anfragen zu stellen, die ihre Autorisierung oder Authentifizierung missbrauchen. Angreifer können mit diesen Kontoberechtigungen Anfragen versenden, die als die des Benutzers erscheinen. Dies kann zu unerwünschten Überweisungen, Passwortänderungen usw. führen.

Denial-of-Service (DoS) & Distributed-Denial-of-Service (DDoS)

Angreifer überlasten den Zielserver und/oder seine Infrastruktur durch eine Flut von bösartigen Anfragen. Wenn der Server nicht mehr in der Lage ist, Anfragen effektiv zu bearbeiten, wird er langsam und verweigert schließlich selbst legitimen Besuchern den Dienst.

SQL-Injection 💉

Angreifer nutzen hierbei eine ähnliche Methodik wie bei der Implementierung von Suchabfragen in Datenbanken. Sie verwenden SQI, um unbefugten Zugriff auf Daten zu erhalten, Benutzerrechte zu erstellen oder zu ändern, vertrauliche Daten zu zerstören oder zu manipulieren und vieles mehr.

Remote-Dateieinbindung

Angreifer verwenden diese Methode, um bösartige Dateien mit Codes in einen Webanwendungsserver einzuschleusen und diese dann auszuführen, um die Anwendung zu beschädigen, zu manipulieren oder Daten zu entwenden.

Andere

Weitere Angriffe umfassen Speicherbeschädigung, Datenschutzverletzung, Clickjacking, Directory Traversal, Command Injection, Buffer Overflow und mehr.

Ich hoffe, es ist nun klar, dass Web-Sicherheit essenziell ist und dass jeder sie so schnell wie möglich implementieren sollte, bevor sie zu einer Bedrohung für Ihre Anwendung wird und finanzielle oder Reputationsschäden verursacht.

Aufgrund des steigenden Bedarfs interessieren sich immer mehr Menschen für dieses Thema. Wenn Sie also auch daran interessiert sind, in diesem Bereich tätig zu sein, könnte dies eine lohnende Karriereoption darstellen.

Was machen Web-Sicherheitsexperten?

Web-Sicherheitsexperten sind verantwortlich für den Schutz von Webanwendungen, zugehörigen Netzwerken und Anwendungsdaten. Sie helfen, Datenverluste durch die Überwachung des Netzwerks und die Reaktion auf Bedrohungen zu reduzieren.

Diese Fachleute haben oft einen Hintergrund als Netzwerk- oder Systemadministratoren oder Programmierer. Dieser Bereich erfordert Neugier, kritisches Denken und eine Leidenschaft für Forschung und Weiterbildung. Es ist wichtig, dass sie in der Lage sind, die „kreativ-destruktiven“ Taktiken von Hackern zu durchschauen.

Da Sicherheitsbedrohungen jederzeit auftreten können, müssen Sicherheitsexperten über die neuesten Methoden informiert sein, die Hacker verwenden, um in Systeme und Netzwerke einzudringen. Einige der Aufgaben von Web-Sicherheitsexperten umfassen:

  • Identifizierung von Schwachstellen in Webanwendungen, Datenbanken und Verschlüsselungen.
  • Abwehr von Angriffen durch die Behebung von Sicherheitsproblemen.
  • Regelmäßige Durchführung von Audits zur Einhaltung bewährter Sicherheitsmethoden.
  • Implementierung von Tools zur Endpunktprävention und -erkennung zur Verhinderung von Angriffen.
  • Implementierung von Systemen zur Schwachstellenverwaltung in der Cloud und lokal.
  • Handhabung von Bereinigungsmaßnahmen nach erfolgreichen Angriffen.
  • Zusammenarbeit mit anderen IT-Abteilungen zur Erstellung von Notfallplänen.
  • Zusammenarbeit mit Teamleitern und Personalabteilung, um alle Mitarbeiter im Erkennen verdächtiger Aktivitäten zu schulen.

Bewährte Sicherheitspraktiken zur Sicherung von Webanwendungen

Einsatz von Web Application Firewalls (WAF)

WAFs helfen, Webanwendungen vor bösartigen HTTP-Anfragen zu schützen. Sie errichten eine Barriere zwischen dem Angreifer und dem Server. Dies schützt die Layer-7 vor Bedrohungen wie XSS, CSRF, SQL-Injection usw.

DDoS-Minderung

Wie der Name schon sagt, wird dies verwendet, um Anwendungs-DDoS- und Netzwerk-Layer-Angriffe abzuschwächen und somit Websites, Anwendungen und Serverinfrastruktur zu sichern.

Bot 🤖-Filterung

Sie dient dazu, schädlichen Bot-Traffic herauszufiltern.

DNS-Schutz

Dieser Schutz dient dazu, DNS-Anfragen vor Manipulationen durch On-Path-Angriffe und DNS-Cache-Poisoning zu schützen.

Verwendung von HTTPS

HTTPS verschlüsselt sämtliche Daten, die zwischen dem Server und dem Client ausgetauscht werden, und schützt Anmeldeinformationen, Header-Informationen, Cookies und Anforderungsdaten.

Wenn Sie sich entschieden haben, sich mit der Sicherheit von Webanwendungen zu befassen, können Sie sich auf die folgenden Lernressourcen beziehen und Ihre Fähigkeiten verbessern 🧑‍💻.

PortSwigger

Lernen Sie von den Machern der Burp Suite, einer führenden Plattform für eine Vielzahl von Cybersicherheitstools von PortSwigger. Dies ist ein KOSTENLOSES Online-Training, das Ihre Karriere im Bereich Cybersicherheit voranbringen kann.

Mit interaktiven Labs können Sie jederzeit und überall lernen und Ihre Fortschritte verfolgen. Es bietet Schulungen zu Schwachstellen in der Geschäftslogik, Offenlegung von Informationen, Web-Cache-Poisoning, unsichere Deserialisierung, SQL-Injection, XSS, CSRF, XXE-Injection und mehr.

Die Lernmaterialien von PortSwigger werden von erfahrenen Fachleuten, einem Forschungsteam und ihrem Gründer, Dafydd Stuttard, erstellt. Er ist auch Autor des berühmten Buches „Web Application Hacker’s Handbook“.

Die Tutorials werden mit umfassenden Text- und Videoinhalten erklärt, um Ihnen zu helfen, die wichtigsten Punkte leicht zu behalten. Die interaktiven Labs gestalten den gesamten Kurs spannend, und hier werden realistische Aufgaben gestellt, um Ihre Hacking-Fähigkeiten zu testen.

EdX

Die Grundlagen der Websicherheit von EdX sind ideal, um die grundlegenden Prinzipien zu verstehen. Es bietet einen Überblick über gängige Angriffe und die jeweils geeigneten Gegenmaßnahmen, sowohl theoretisch als auch praktisch.

Außerdem werden die derzeit üblichen Best Practices zur Sicherung von Webanwendungen vermittelt. Für die Teilnahme an diesem Kurs sind keine Sicherheitsvorkenntnisse erforderlich. Jedoch können Kenntnisse in Bereichen wie HTTP, JavaScript, HTML etc. sehr hilfreich sein.

Der Kurs dauert 5 Wochen mit einem Lernaufwand von 4-6 Stunden pro Woche. Die Teilnahme ist kostenlos; gegen eine Gebühr von 48,97 US-Dollar können Sie jedoch ein verifiziertes und vom Dozenten unterzeichnetes Zertifikat mit dem Logo der Institution erwerben. Dieses Zertifikat kann Ihre Jobaussichten verbessern und kann auf LinkedIn geteilt oder in Ihren Lebenslauf aufgenommen werden.

Stanford

Der Kurs CS 253 Web Security von Stanford bietet eine umfassende Einführung in die Web-Sicherheit und soll den Schülern ein Verständnis für gängige Webangriffe und deren Prävention vermitteln. Der Kurs behandelt sowohl grundlegende als auch fortgeschrittene Kenntnisse im Bereich der Web-Sicherheit.

Einige der Themen sind:

  • Prinzipien der Web-Sicherheit
  • Angriffe & Gegenmaßnahmen
  • Sicherheitslücken in Webanwendungen
  • Browser-Sicherheitsmodell
  • Injection-, DoS- und TLS-Angriffe
  • Fingerprinting, Datenschutz, Same-Origin-Policy, Authentifizierung, Cross-Site-Scripting, JavaScript-Sicherheit
  • Verteidigung in der Tiefe
  • Neue Bedrohungen
  • Techniken für sicheren Code, Sicherheits-Exploits
  • Implementierung sich entwickelnder Webstandards und Abwehr schwacher Web-Apps

Für die Teilnahme an diesem Kurs müssen Sie CS 142 oder eine vergleichbare Erfahrung in der Webentwicklung absolviert haben. Hier besteht Anwesenheitspflicht und die Benotung erfolgt anhand von:

  • 75 % auf Aufgaben
  • 25 % auf die Abschlussprüfung

Zur Vorbereitung können Sie die Lösungen der Abschlussprüfung 2019 und weitere Übungsfragen für CS253 einsehen.

Einsteigerfreundlich

Zweifelsohne ist Udemy einer der besten Orte, um online Kurse zu belegen, darunter auch zum Thema Web-Anwendungssicherheit. Für Anfänger ist dieser Kurs ideal, da keine Programmierkenntnisse erforderlich sind.

In diesem Kurs lernen Sie:

  • Die Top-10-Bedrohungen, die von OWASP oder dem Open Web Application Security Project identifiziert wurden.
  • Wie diese Bedrohungen gemindert werden können.
  • Die Auswirkungen jeder Bedrohung auf Ihr Unternehmen.
  • Wie Angreifer diese Bedrohungen umsetzen.

Der Kurs wird in einer einfachen Sprache erklärt, sodass er für jeden verständlich ist, auch wenn man nur über grundlegende Computerkenntnisse verfügt. Er umfasst auch eine ausführliche Erklärung zu Spoofing, Informationsverlust, Manipulation, Denial, Rechteausweitung und DoS.

Erfahrene Tutoren vermitteln Ihnen alles, was Sie benötigen, um die Grundlagen der Web-Sicherheit zu beherrschen.

Coursera

Eine weitere sehr gute Option auf der Liste ist Coursera, welches die Verwendung von OWASP ZAP oder Zed Attack Proxy lehrt. Dieses Tool hilft Sicherheitsexperten und Penetrationstestern bei der Suche nach Schwachstellen.

  • Sie lernen, wie man nach Schwachstellen sucht, Scan-Ergebnisse analysiert und Berichte erstellt.
  • Sie lernen auch die Browser-Proxy-Konfiguration kennen, um Antworten und Anfragen passiv zu scannen, während Sie Websites durchsuchen.
  • Eine kurze Erklärung zum Anzeigen, Abfangen, Weiterleiten und Ändern von Webanfragen, die zwischen der Webanwendung und dem Browser stattfinden.
  • Sie erfahren auch, wie man Wörterbuchlisten verwendet, um Ordner und Dateien auf dem Webserver zu finden.
  • Zudem können Sie verstehen, wie Sie Websites mithilfe von Spider-Crawling durchsuchen können, um URLs und Links zu finden.

Die Kursleiter führen Sie Schritt für Schritt durch jedes Thema im Video mit geteiltem Bildschirm, und da es sich in der Cloud befindet, müssen Sie keine Zeit mit dem Herunterladen verbringen. Coursera bietet für jedes Programm Zertifikate ohne zusätzliche Kosten an.

PentesterLab

PentesterLab deckt alle Ebenen vom Anfänger bis zum Experten ab. Sie zeigen Ihnen, wie man Schwachstellen findet und dann manuell ausnutzt. Alle Übungen umfassen gängige Schwachstellen oder Probleme, die in verschiedenen Systemen auftreten können.

Für besseres Lernen bieten sie echte Systeme und echte Schwachstellen, sodass Sie ohne Emulation in Echtzeit lernen können. Ihre Online-Übungen ermöglichen es Ihnen, nach Abschluss des Kurses Zertifikate zu erhalten. Alle Übungen sind in Abzeichen unterteilt, die Sie absolvieren können, um das Zertifikat zu erhalten.

Youtube

YouTube ist eine Informationsdrehscheibe; man muss sie nur richtig anwenden!

Es gibt einen Kanal – Google Chrome Developers mit 505.000 Abonnenten auf YouTube, den Sie konsultieren können, um mehr zu erfahren.

In diesem Tutorial lernen Sie einige typische Angriffsvektoren kennen und erfahren, wie Sie Ihre Daten, Benutzer und Ihren Ruf schützen können. Im Anschluss wird ein neuer Kurs vorgestellt, der prägnante Vorlesungen und praktische Übungen zu Themen wie Abwehr und Angriff bietet.

Mozilla

Schauen Sie sich die MDN-Webdokumentation von Mozilla an und greifen Sie auf nützliche Artikel zur Websicherheit zu. Die hier aufgelisteten Artikel decken eine Vielzahl von Themen ab, wie Content-Sicherheit, Verbindungssicherheit, Datensicherheit, Informationsverluste, Datenintegrität, Clickjacking-Schutz, Benutzerdatensicherheit usw.

Die Informationen in diesen Artikeln helfen Ihnen, Ihre Website und ihren Code vor Datendiebstahl und Angriffen zu schützen. Sie können interessante Dinge lernen, z. B. wie Sie Ihre Website reparieren, blockierte Inhalte beheben und über Signaturalgorithmen lernen.

Invicti

Ein umfassender Artikel von Invicti ist gut geeignet, die Grundlagen der Webanwendungssicherheit zu erklären. Der Artikel ist so geschrieben, dass auch Anfänger die in der Web-Sicherheit verwendeten Begriffe und Technologien verstehen können.

In dem Artikel werden die Mythen und Grundlagen der Web-App-Sicherheit erklärt und erläutert, wie moderne Unternehmen ihre Website- und Anwendungssicherheit verbessern können, um Cyberangriffe abzuwehren.

Hier lernen Sie:

  • Wie Sie Ihre Webanwendungen sichern.
  • Die Auswahl des richtigen Schwachstellen-Scanners.
  • Der Unterschied zwischen kostenlosen und kommerziellen Web-Schwachstellen-Scannern.
  • Wie Sie Ihren Schwachstellen-Scanner testen können und wann Sie ihn einsetzen sollten.
  • Einige bewährte Verfahren zur Sicherung des Webservers und anderer Komponenten.

SAN

Nehmen Sie an diesem Kurs – SEC22 von SAN teil, wenn Sie sich mit der Verteidigung von Webanwendungen befassen möchten. Er hilft Ihnen, alle Sicherheitslücken in Ihrer Webanwendung zu verstehen, um Ihre Webressourcen zu schützen.

Der Kurs führt Sie neben realen Methoden auch in die Architektur-, Infrastruktur- und Codierungstechniken ein. Sie lernen die Art dieser Schwachstellen kennen, um zu verstehen, warum sie auftreten und wie sie behoben werden können.

Er eignet sich für Personen, die für die Verwaltung, Implementierung oder Verteidigung von Webanwendungen verantwortlich sind. Dies können App-Sicherheitsanalysten, Architekten, Entwickler, Auditoren oder Pentester sein.

Der Kurs umfasst Themen wie:

  • Die Top-10-OWASP-Bedrohungen.
  • Spezifische Probleme der 25 häufigsten Softwarefehler von CWE.
  • Integration von Cloud in eine Web-App.
  • App-Sprachkonfiguration.
  • Infrastrukturkonfiguration und Sicherheitsmanagement.
  • Authentifizierungsmechanismen.
  • HTTP-Header.
  • Fehler in der Geschäftslogik.
  • Codierungsfehler wie XSS, CSRF, SQL-Injection usw.

Der Kurs ist ideal für Sie, wenn Sie die Grundlagen von Webanwendungskonzepten und -technologien wie JavaScript und HTML verstehen.

Cloudflare

Dies ist ein weiterer Artikel von Cloudflare, der die wichtigsten Aspekte der Webanwendungssicherheit behandelt.

Er erklärt genauer:

  • Was diese Terminologie bedeutet.
  • Einige typische Schwachstellen.
  • Bewährte Verfahren zur Verhinderung von Sicherheitslücken im Internet.

Lesen Sie diesen Artikel, um einige grundlegende Konzepte zu klären, die Ihnen bei der Auswahl eines Sicherheitsprogramms für Webanwendungen sehr hilfreich sein werden.

Fazit

Das Erlernen der Sicherheit von Webanwendungen wird immer wichtiger, da die Zahl der Cyberangriffe rasant zunimmt.

Viel Erfolg!