Web Application und Webserver Security

In letzter Zeit habe ich mich mit der Sicherheit von Webapplikationen beschäftigt. Eine erste Adresse ist das Open Web Application Security Project, kurz OWASP. Die OWASP veröffentlicht pro Jahr immer eine TOP 10 Liste der meisten Gefahren für Webentwickler. In dieser Liste findet man neben den üblichen Verdächtigen wie SQL-Injection, CSRF und XSS auch eher vernachlässigte Themen wie z.B. “Unvalidated Redirects and Forwards”.
Jeder Sicherheitsaspekt wird hierbei kurz erläutert. Neben Hinweisen, um überhaupt festzustellen ob die eigene Webapplikation anfällig dafür ist, werden auch noch Lösungswege aufgezeichnet. Doch nicht nur die Entwicklung von Webapplikationen wird durchleuchtet. Neben dieser TOP 10 Liste werden noch andere Themenbereiche angesprochen. Dabei hat mir der Artikel “Securing Tomcat” sehr gut gefallen. Der Artikel geht dabei auf die Sicherheitseinstellungen des Servers ein und liefert zahlreiche Anleitungen zur Absicherung. Jeder der einen eigenen Tomcat betreibt sollte diesen Artikel gelesen haben.