Fakten:
Buchtitel: Sichere Webanwendungen
Verlag: Galileo Computing
Ausgabe: 1. Auflage
Erscheinungsjahr: Dezember 2008
ISBN: 978-3836211949
Umfang: Ca. 640 Seiten
Preis: 39,90 €
Einleitung
Die Sicherheit von Webanwendungen ist heutzutage ein immer wichtigeres Gut. Stetige Wartung und Weiterentwicklung der Software ist dafür unumgänglich weil, wir kennen es alle auch von TYPO3, immer wieder Sicherheitslücken in Software gefunden werden. Das Buch „Sichere Webanwendungen“ geht genau auf diesen Punkte ein. Das Buch stellt die Gratwanderung zwischen Experimentieren und Angreifen dar, zeigt wie Rich Internet Applikations gesichert werden und wie mit Forms, Sessions, Cookies…. umzugehen ist.
Das Buch
Das Buch ist in 15 Kapitel unterteilt, welche teils aufeinander aufbauen. Deshalb es es auch kein reines Nachschlagewerk sondern eher eine lesenswerte Lektüre für Webentwickler. Folgende Kapitel sind im Buch zu finden:
- Einleitung
- Rechtslage
- Vergangene Angriffe und Hacks
- Sicherheit im Web 2.0
- Webentwicklung mit Adobe Flash
- Sichere Webapplikationen bauen
- Testphase
- Pflege- und Erweiterungsphase
- XSS
- Cross Site Request Forgeries
- SQL Injection
- Directory Traversal
- RCE und LFI
- URI-Attaken
- Projekte und Tools
Das Buch geht zu beginn stark auf vergangene Hacks ein. Ob dies nun Samy bei MySpace war oder andere bekannte Würmer. Im Anschluss kommt der Übergang von Hacks zu Web 2.0 (incl. AJAX/JSON) incl. „User generated content“. Bevor es dann zum Haupt-Teil „Sichere Webapplikationen bauen“ kommt, ließt man etwas zu weitere Web Techniken, welche genauer erläutert werden. Einige davon werden evtl. nicht auf großes Gehör stoßen, wie z.B, Flash (es lebe Apple 😉 ). Im Implementierungsteil wird auf jede Technik eingegangen. Sichere Uploads, sichere Redirects, sichere Formulare, sichere Validierung… quasi alles was man so kennt – nur in „sicher“.
Nach der Implementierung geht es an das Testen. Cross Site Scripting, SQL Injection, Directory Traversal, URI Attacken und zahlreiche andere, werden im Detail erläutert. Zu jeder Technik gibt es umfangreiche Informationen, wie das Vorgehen ist und wie sich solch ein Angriff verhindern lasst.
Fazit
Das Buch ist wirklich gut geschrieben und auch als erfahrener Webentwickler gibt es viele Punkte welche ich noch nicht kannte. Man merkt schnell, dass XSS in allen Teilen des Buch eine sehr wichtige Rolle spielt. Für einen ersten Einblick in Sachen Sicherheit des Web ist es sehr gut zu lesen. Nach einem ersten durchlesen, kann es auch zudem als Nachschlage-Werk benutzt werden. Bei dem historischem Rückblick am Anfang, kann man zudem ein wenig schmunzeln. Denn gerade große Portale sollten sich ja Gedanken zur Sicherheit machen 😉