<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de-x-formal">
	<id>https://glossar.hs-augsburg.de/w/api.php?action=feedcontributions&amp;feedformat=atom&amp;user=Sauterbe</id>
	<title>GlossarWiki - Benutzerbeiträge [de-formal]</title>
	<link rel="self" type="application/atom+xml" href="https://glossar.hs-augsburg.de/w/api.php?action=feedcontributions&amp;feedformat=atom&amp;user=Sauterbe"/>
	<link rel="alternate" type="text/html" href="https://glossar.hs-augsburg.de/Spezial:Beitr%C3%A4ge/Sauterbe"/>
	<updated>2026-07-19T11:44:17Z</updated>
	<subtitle>Benutzerbeiträge</subtitle>
	<generator>MediaWiki 1.43.3</generator>
	<entry>
		<id>https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12005</id>
		<title>Sicherheitsanalyse Webanwendung</title>
		<link rel="alternate" type="text/html" href="https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12005"/>
		<updated>2008-07-08T05:59:10Z</updated>

		<summary type="html">&lt;p&gt;Sauterbe: /* Quellen */&lt;/p&gt;
&lt;hr /&gt;
&lt;div&gt;{{In Bearbeitung}}&lt;br /&gt;
&lt;br /&gt;
=Definition=&lt;br /&gt;
Schwachstellen in Internetanwendungen sind heutzutage allgegenwärtig. Die große Vielfalt an Technologien in Verbindung mit der Struktur für eine Softwareanwendung im Internet bieten daher viele verschiedene Angriffsmöglichkeiten und Schwachstellen. Um das Potenzial so gering wie möglich zu halten, ist es wichtig keine offensichtlichen oder bekannten Fehler in den Algorithmen und Strukturen der Anwendung zu haben. &lt;br /&gt;
&lt;br /&gt;
=Verfahren=&lt;br /&gt;
&lt;br /&gt;
Basierend auf dem Maßnahmenkatalog „Sicherheit von Webanwendungen[2]“ des „Bundesamt für Sicherheit in der Informationstechnik“ (kurz BSI) kann eine Analyse der typischen Schwachstellen durchgeführt. Das Dokument beinhaltet einen sehr übersichtlichen Maßnahmenkatalog. Die einzelnen Maßnahmen müssen für die Analyse nach ihrer Relevanz für die Anwendung sortiert und gewertet. &lt;br /&gt;
&lt;br /&gt;
=Beispiele=&lt;br /&gt;
&lt;br /&gt;
Im folgenden sind ein paar Beispielmaßnahmen aus dem Katalog aufgelistet.&lt;br /&gt;
&lt;br /&gt;
==M100 Data Validation: Filterung==&lt;br /&gt;
Alle Daten, die von außen in die Anwendung gelangen, sind zu validieren und zu fil­&lt;br /&gt;
tern. Neben den offensichtlichen Eingabedaten in Form-Variablen existieren eine&lt;br /&gt;
Reihe weiterer Quellen. Ebenso sind Ausgaben an den Browser zu filtern, wenn dies&lt;br /&gt;
nicht bereits durch die Inputfilterung mit abgedeckt ist. Der Abschnitt &amp;quot;Output Filte­&lt;br /&gt;
rung&amp;quot; geht auf diese Frage näher ein.&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
==M110 Data Validation: Whitelisting statt Blacklisting==&lt;br /&gt;
&lt;br /&gt;
Eine grundsätzliche Entscheidung ist die Wahl des Validierungs- bzw. Filterprinzips:&lt;br /&gt;
Blacklisting oder Whitelisting. Beim Blacklisting werden die Muster definiert, die&lt;br /&gt;
aus dem Eingabestrom herausgefiltert werden, alles andere wird durchgelassen. Beim&lt;br /&gt;
Whitelisting ist es umgekehrt: was nicht ausdrücklich erlaubt ist, ist verboten. Black­&lt;br /&gt;
listing ist dann problematisch, wenn als &amp;quot;nicht kritisch&amp;quot; erkannte Zeichen im Verlaufe&lt;br /&gt;
der weiteren Verarbeitung zu einem ungewollten Systemverhalten führen.&lt;br /&gt;
&lt;br /&gt;
==M140 Data Validation: SQL-Injection verhindern==&lt;br /&gt;
&lt;br /&gt;
Durch Verwendung von Prepared Statements anstatt dynamisch zusammengebauter&lt;br /&gt;
SQL-Statements kann dem Problem der SQL-Injection aus dem Weg gegangen wer­&lt;br /&gt;
den. Software-Entwickler müssen sich im Rahmen des Designs einer Funktion oder&lt;br /&gt;
hat bzw. was die Menge aller möglichen Abfragestrukturen ist, die in Abhängigkeit&lt;br /&gt;
vom Input zur Ausführung gelangen können. &lt;br /&gt;
&lt;br /&gt;
==M150 Data Validation: Diverse Maßnahmen==&lt;br /&gt;
* Namen von Formularen überprüfen&lt;br /&gt;
* Länge/Größe der Eingabedaten begrenzen&lt;br /&gt;
* Serverseitig validieren&lt;br /&gt;
* Datentypen der Eingabedaten&lt;br /&gt;
* Ausgabedaten filtern&lt;br /&gt;
&lt;br /&gt;
==M170 Session Management==&lt;br /&gt;
&lt;br /&gt;
* SessionID nach Authentisierung erneuern&lt;br /&gt;
* Cookies einschränken&lt;br /&gt;
* Session beenden&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
=Quellen=&lt;br /&gt;
&lt;br /&gt;
*[http://www.bsi.bund.de/literat/studien/websec/WebSec.pdf Sicherheit von Webanwendungen]&lt;br /&gt;
*[http://www.heise.de/security/Sicherheit-von-Webanwendungen--/artikel/84149 Gesundes Misstrauen]&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:Programmierung]]&lt;br /&gt;
[[Kategorie:Internet]]&lt;/div&gt;</summary>
		<author><name>Sauterbe</name></author>
	</entry>
	<entry>
		<id>https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse&amp;diff=12004</id>
		<title>Sicherheitsanalyse</title>
		<link rel="alternate" type="text/html" href="https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse&amp;diff=12004"/>
		<updated>2008-07-08T05:58:23Z</updated>

		<summary type="html">&lt;p&gt;Sauterbe: hat Sicherheitsanalyse nach Sicherheitsanalyse Webanwendung verschoben: passt mehr, das war ja auch mein Thema aus der Arbeit&lt;/p&gt;
&lt;hr /&gt;
&lt;div&gt;#REDIRECT [[Sicherheitsanalyse Webanwendung]]&lt;/div&gt;</summary>
		<author><name>Sauterbe</name></author>
	</entry>
	<entry>
		<id>https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12003</id>
		<title>Sicherheitsanalyse Webanwendung</title>
		<link rel="alternate" type="text/html" href="https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12003"/>
		<updated>2008-07-08T05:58:23Z</updated>

		<summary type="html">&lt;p&gt;Sauterbe: hat Sicherheitsanalyse nach Sicherheitsanalyse Webanwendung verschoben: passt mehr, das war ja auch mein Thema aus der Arbeit&lt;/p&gt;
&lt;hr /&gt;
&lt;div&gt;{{In Bearbeitung}}&lt;br /&gt;
&lt;br /&gt;
=Definition=&lt;br /&gt;
Schwachstellen in Internetanwendungen sind heutzutage allgegenwärtig. Die große Vielfalt an Technologien in Verbindung mit der Struktur für eine Softwareanwendung im Internet bieten daher viele verschiedene Angriffsmöglichkeiten und Schwachstellen. Um das Potenzial so gering wie möglich zu halten, ist es wichtig keine offensichtlichen oder bekannten Fehler in den Algorithmen und Strukturen der Anwendung zu haben. &lt;br /&gt;
&lt;br /&gt;
=Verfahren=&lt;br /&gt;
&lt;br /&gt;
Basierend auf dem Maßnahmenkatalog „Sicherheit von Webanwendungen[2]“ des „Bundesamt für Sicherheit in der Informationstechnik“ (kurz BSI) kann eine Analyse der typischen Schwachstellen durchgeführt. Das Dokument beinhaltet einen sehr übersichtlichen Maßnahmenkatalog. Die einzelnen Maßnahmen müssen für die Analyse nach ihrer Relevanz für die Anwendung sortiert und gewertet. &lt;br /&gt;
&lt;br /&gt;
=Beispiele=&lt;br /&gt;
&lt;br /&gt;
Im folgenden sind ein paar Beispielmaßnahmen aus dem Katalog aufgelistet.&lt;br /&gt;
&lt;br /&gt;
==M100 Data Validation: Filterung==&lt;br /&gt;
Alle Daten, die von außen in die Anwendung gelangen, sind zu validieren und zu fil­&lt;br /&gt;
tern. Neben den offensichtlichen Eingabedaten in Form-Variablen existieren eine&lt;br /&gt;
Reihe weiterer Quellen. Ebenso sind Ausgaben an den Browser zu filtern, wenn dies&lt;br /&gt;
nicht bereits durch die Inputfilterung mit abgedeckt ist. Der Abschnitt &amp;quot;Output Filte­&lt;br /&gt;
rung&amp;quot; geht auf diese Frage näher ein.&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
==M110 Data Validation: Whitelisting statt Blacklisting==&lt;br /&gt;
&lt;br /&gt;
Eine grundsätzliche Entscheidung ist die Wahl des Validierungs- bzw. Filterprinzips:&lt;br /&gt;
Blacklisting oder Whitelisting. Beim Blacklisting werden die Muster definiert, die&lt;br /&gt;
aus dem Eingabestrom herausgefiltert werden, alles andere wird durchgelassen. Beim&lt;br /&gt;
Whitelisting ist es umgekehrt: was nicht ausdrücklich erlaubt ist, ist verboten. Black­&lt;br /&gt;
listing ist dann problematisch, wenn als &amp;quot;nicht kritisch&amp;quot; erkannte Zeichen im Verlaufe&lt;br /&gt;
der weiteren Verarbeitung zu einem ungewollten Systemverhalten führen.&lt;br /&gt;
&lt;br /&gt;
==M140 Data Validation: SQL-Injection verhindern==&lt;br /&gt;
&lt;br /&gt;
Durch Verwendung von Prepared Statements anstatt dynamisch zusammengebauter&lt;br /&gt;
SQL-Statements kann dem Problem der SQL-Injection aus dem Weg gegangen wer­&lt;br /&gt;
den. Software-Entwickler müssen sich im Rahmen des Designs einer Funktion oder&lt;br /&gt;
hat bzw. was die Menge aller möglichen Abfragestrukturen ist, die in Abhängigkeit&lt;br /&gt;
vom Input zur Ausführung gelangen können. &lt;br /&gt;
&lt;br /&gt;
==M150 Data Validation: Diverse Maßnahmen==&lt;br /&gt;
* Namen von Formularen überprüfen&lt;br /&gt;
* Länge/Größe der Eingabedaten begrenzen&lt;br /&gt;
* Serverseitig validieren&lt;br /&gt;
* Datentypen der Eingabedaten&lt;br /&gt;
* Ausgabedaten filtern&lt;br /&gt;
&lt;br /&gt;
==M170 Session Management==&lt;br /&gt;
&lt;br /&gt;
* SessionID nach Authentisierung erneuern&lt;br /&gt;
* Cookies einschränken&lt;br /&gt;
* Session beenden&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
=Quellen=&lt;br /&gt;
&lt;br /&gt;
*[http://www.bsi.bund.de/literat/studien/websec/WebSec.pdf Sicherheit von Webanwendungen]&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:Programmierung]]&lt;br /&gt;
[[Kategorie:Internet]]&lt;/div&gt;</summary>
		<author><name>Sauterbe</name></author>
	</entry>
	<entry>
		<id>https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12002</id>
		<title>Sicherheitsanalyse Webanwendung</title>
		<link rel="alternate" type="text/html" href="https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12002"/>
		<updated>2008-07-08T05:54:25Z</updated>

		<summary type="html">&lt;p&gt;Sauterbe: &lt;/p&gt;
&lt;hr /&gt;
&lt;div&gt;{{In Bearbeitung}}&lt;br /&gt;
&lt;br /&gt;
=Definition=&lt;br /&gt;
Schwachstellen in Internetanwendungen sind heutzutage allgegenwärtig. Die große Vielfalt an Technologien in Verbindung mit der Struktur für eine Softwareanwendung im Internet bieten daher viele verschiedene Angriffsmöglichkeiten und Schwachstellen. Um das Potenzial so gering wie möglich zu halten, ist es wichtig keine offensichtlichen oder bekannten Fehler in den Algorithmen und Strukturen der Anwendung zu haben. &lt;br /&gt;
&lt;br /&gt;
=Verfahren=&lt;br /&gt;
&lt;br /&gt;
Basierend auf dem Maßnahmenkatalog „Sicherheit von Webanwendungen[2]“ des „Bundesamt für Sicherheit in der Informationstechnik“ (kurz BSI) kann eine Analyse der typischen Schwachstellen durchgeführt. Das Dokument beinhaltet einen sehr übersichtlichen Maßnahmenkatalog. Die einzelnen Maßnahmen müssen für die Analyse nach ihrer Relevanz für die Anwendung sortiert und gewertet. &lt;br /&gt;
&lt;br /&gt;
=Beispiele=&lt;br /&gt;
&lt;br /&gt;
Im folgenden sind ein paar Beispielmaßnahmen aus dem Katalog aufgelistet.&lt;br /&gt;
&lt;br /&gt;
==M100 Data Validation: Filterung==&lt;br /&gt;
Alle Daten, die von außen in die Anwendung gelangen, sind zu validieren und zu fil­&lt;br /&gt;
tern. Neben den offensichtlichen Eingabedaten in Form-Variablen existieren eine&lt;br /&gt;
Reihe weiterer Quellen. Ebenso sind Ausgaben an den Browser zu filtern, wenn dies&lt;br /&gt;
nicht bereits durch die Inputfilterung mit abgedeckt ist. Der Abschnitt &amp;quot;Output Filte­&lt;br /&gt;
rung&amp;quot; geht auf diese Frage näher ein.&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
==M110 Data Validation: Whitelisting statt Blacklisting==&lt;br /&gt;
&lt;br /&gt;
Eine grundsätzliche Entscheidung ist die Wahl des Validierungs- bzw. Filterprinzips:&lt;br /&gt;
Blacklisting oder Whitelisting. Beim Blacklisting werden die Muster definiert, die&lt;br /&gt;
aus dem Eingabestrom herausgefiltert werden, alles andere wird durchgelassen. Beim&lt;br /&gt;
Whitelisting ist es umgekehrt: was nicht ausdrücklich erlaubt ist, ist verboten. Black­&lt;br /&gt;
listing ist dann problematisch, wenn als &amp;quot;nicht kritisch&amp;quot; erkannte Zeichen im Verlaufe&lt;br /&gt;
der weiteren Verarbeitung zu einem ungewollten Systemverhalten führen.&lt;br /&gt;
&lt;br /&gt;
==M140 Data Validation: SQL-Injection verhindern==&lt;br /&gt;
&lt;br /&gt;
Durch Verwendung von Prepared Statements anstatt dynamisch zusammengebauter&lt;br /&gt;
SQL-Statements kann dem Problem der SQL-Injection aus dem Weg gegangen wer­&lt;br /&gt;
den. Software-Entwickler müssen sich im Rahmen des Designs einer Funktion oder&lt;br /&gt;
hat bzw. was die Menge aller möglichen Abfragestrukturen ist, die in Abhängigkeit&lt;br /&gt;
vom Input zur Ausführung gelangen können. &lt;br /&gt;
&lt;br /&gt;
==M150 Data Validation: Diverse Maßnahmen==&lt;br /&gt;
* Namen von Formularen überprüfen&lt;br /&gt;
* Länge/Größe der Eingabedaten begrenzen&lt;br /&gt;
* Serverseitig validieren&lt;br /&gt;
* Datentypen der Eingabedaten&lt;br /&gt;
* Ausgabedaten filtern&lt;br /&gt;
&lt;br /&gt;
==M170 Session Management==&lt;br /&gt;
&lt;br /&gt;
* SessionID nach Authentisierung erneuern&lt;br /&gt;
* Cookies einschränken&lt;br /&gt;
* Session beenden&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
=Quellen=&lt;br /&gt;
&lt;br /&gt;
*[http://www.bsi.bund.de/literat/studien/websec/WebSec.pdf Sicherheit von Webanwendungen]&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:Programmierung]]&lt;br /&gt;
[[Kategorie:Internet]]&lt;/div&gt;</summary>
		<author><name>Sauterbe</name></author>
	</entry>
	<entry>
		<id>https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12001</id>
		<title>Sicherheitsanalyse Webanwendung</title>
		<link rel="alternate" type="text/html" href="https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12001"/>
		<updated>2008-07-08T05:53:24Z</updated>

		<summary type="html">&lt;p&gt;Sauterbe: /* Quellen */&lt;/p&gt;
&lt;hr /&gt;
&lt;div&gt;{{In Bearbeitung}}&lt;br /&gt;
&lt;br /&gt;
=Definition=&lt;br /&gt;
Schwachstellen in Internetanwendungen sind heutzutage allgegenwärtig. Die große Vielfalt an Technologien in Verbindung mit der Struktur für eine Softwareanwendung im Internet bieten daher viele verschiedene Angriffsmöglichkeiten und Schwachstellen. Um das Potenzial so gering wie möglich zu halten, ist es wichtig keine offensichtlichen oder bekannten Fehler in den Algorithmen und Strukturen der Anwendung zu haben. &lt;br /&gt;
&lt;br /&gt;
=Verfahren=&lt;br /&gt;
&lt;br /&gt;
Basierend auf dem Maßnahmenkatalog „Sicherheit von Webanwendungen[2]“ des „Bundesamt für Sicherheit in der Informationstechnik“ (kurz BSI) kann eine Analyse der typischen Schwachstellen durchgeführt. Das Dokument beinhaltet einen sehr übersichtlichen Maßnahmenkatalog. Die einzelnen Maßnahmen müssen für die Analyse nach ihrer Relevanz für die Anwendung sortiert und gewertet. &lt;br /&gt;
&lt;br /&gt;
=Beispiele=&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
==M100 Data Validation: Filterung==&lt;br /&gt;
Alle Daten, die von außen in die Anwendung gelangen, sind zu validieren und zu fil­&lt;br /&gt;
tern. Neben den offensichtlichen Eingabedaten in Form-Variablen existieren eine&lt;br /&gt;
Reihe weiterer Quellen. Ebenso sind Ausgaben an den Browser zu filtern, wenn dies&lt;br /&gt;
nicht bereits durch die Inputfilterung mit abgedeckt ist. Der Abschnitt &amp;quot;Output Filte­&lt;br /&gt;
rung&amp;quot; geht auf diese Frage näher ein.&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
==M110 Data Validation: Whitelisting statt Blacklisting==&lt;br /&gt;
&lt;br /&gt;
Eine grundsätzliche Entscheidung ist die Wahl des Validierungs- bzw. Filterprinzips:&lt;br /&gt;
Blacklisting oder Whitelisting. Beim Blacklisting werden die Muster definiert, die&lt;br /&gt;
aus dem Eingabestrom herausgefiltert werden, alles andere wird durchgelassen. Beim&lt;br /&gt;
Whitelisting ist es umgekehrt: was nicht ausdrücklich erlaubt ist, ist verboten. Black­&lt;br /&gt;
listing ist dann problematisch, wenn als &amp;quot;nicht kritisch&amp;quot; erkannte Zeichen im Verlaufe&lt;br /&gt;
der weiteren Verarbeitung zu einem ungewollten Systemverhalten führen.&lt;br /&gt;
&lt;br /&gt;
==M140 Data Validation: SQL-Injection verhindern==&lt;br /&gt;
&lt;br /&gt;
Durch Verwendung von Prepared Statements anstatt dynamisch zusammengebauter&lt;br /&gt;
SQL-Statements kann dem Problem der SQL-Injection aus dem Weg gegangen wer­&lt;br /&gt;
den. Software-Entwickler müssen sich im Rahmen des Designs einer Funktion oder&lt;br /&gt;
hat bzw. was die Menge aller möglichen Abfragestrukturen ist, die in Abhängigkeit&lt;br /&gt;
vom Input zur Ausführung gelangen können. &lt;br /&gt;
&lt;br /&gt;
==M150 Data Validation: Diverse Maßnahmen==&lt;br /&gt;
* Namen von Formularen überprüfen&lt;br /&gt;
* Länge/Größe der Eingabedaten begrenzen&lt;br /&gt;
* Serverseitig validieren&lt;br /&gt;
* Datentypen der Eingabedaten&lt;br /&gt;
* Ausgabedaten filtern&lt;br /&gt;
&lt;br /&gt;
==M170 Session Management==&lt;br /&gt;
&lt;br /&gt;
* SessionID nach Authentisierung erneuern&lt;br /&gt;
* Cookies einschränken&lt;br /&gt;
* Session beenden&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
=Quellen=&lt;br /&gt;
&lt;br /&gt;
*[http://www.bsi.bund.de/literat/studien/websec/WebSec.pdf Sicherheit von Webanwendungen]&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:Programmierung]]&lt;br /&gt;
[[Kategorie:Internet]]&lt;/div&gt;</summary>
		<author><name>Sauterbe</name></author>
	</entry>
	<entry>
		<id>https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12000</id>
		<title>Sicherheitsanalyse Webanwendung</title>
		<link rel="alternate" type="text/html" href="https://glossar.hs-augsburg.de/w/index.php?title=Sicherheitsanalyse_Webanwendung&amp;diff=12000"/>
		<updated>2008-07-08T05:53:05Z</updated>

		<summary type="html">&lt;p&gt;Sauterbe: &lt;/p&gt;
&lt;hr /&gt;
&lt;div&gt;{{In Bearbeitung}}&lt;br /&gt;
&lt;br /&gt;
=Definition=&lt;br /&gt;
Schwachstellen in Internetanwendungen sind heutzutage allgegenwärtig. Die große Vielfalt an Technologien in Verbindung mit der Struktur für eine Softwareanwendung im Internet bieten daher viele verschiedene Angriffsmöglichkeiten und Schwachstellen. Um das Potenzial so gering wie möglich zu halten, ist es wichtig keine offensichtlichen oder bekannten Fehler in den Algorithmen und Strukturen der Anwendung zu haben. &lt;br /&gt;
&lt;br /&gt;
=Verfahren=&lt;br /&gt;
&lt;br /&gt;
Basierend auf dem Maßnahmenkatalog „Sicherheit von Webanwendungen[2]“ des „Bundesamt für Sicherheit in der Informationstechnik“ (kurz BSI) kann eine Analyse der typischen Schwachstellen durchgeführt. Das Dokument beinhaltet einen sehr übersichtlichen Maßnahmenkatalog. Die einzelnen Maßnahmen müssen für die Analyse nach ihrer Relevanz für die Anwendung sortiert und gewertet. &lt;br /&gt;
&lt;br /&gt;
=Beispiele=&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
==M100 Data Validation: Filterung==&lt;br /&gt;
Alle Daten, die von außen in die Anwendung gelangen, sind zu validieren und zu fil­&lt;br /&gt;
tern. Neben den offensichtlichen Eingabedaten in Form-Variablen existieren eine&lt;br /&gt;
Reihe weiterer Quellen. Ebenso sind Ausgaben an den Browser zu filtern, wenn dies&lt;br /&gt;
nicht bereits durch die Inputfilterung mit abgedeckt ist. Der Abschnitt &amp;quot;Output Filte­&lt;br /&gt;
rung&amp;quot; geht auf diese Frage näher ein.&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
==M110 Data Validation: Whitelisting statt Blacklisting==&lt;br /&gt;
&lt;br /&gt;
Eine grundsätzliche Entscheidung ist die Wahl des Validierungs- bzw. Filterprinzips:&lt;br /&gt;
Blacklisting oder Whitelisting. Beim Blacklisting werden die Muster definiert, die&lt;br /&gt;
aus dem Eingabestrom herausgefiltert werden, alles andere wird durchgelassen. Beim&lt;br /&gt;
Whitelisting ist es umgekehrt: was nicht ausdrücklich erlaubt ist, ist verboten. Black­&lt;br /&gt;
listing ist dann problematisch, wenn als &amp;quot;nicht kritisch&amp;quot; erkannte Zeichen im Verlaufe&lt;br /&gt;
der weiteren Verarbeitung zu einem ungewollten Systemverhalten führen.&lt;br /&gt;
&lt;br /&gt;
==M140 Data Validation: SQL-Injection verhindern==&lt;br /&gt;
&lt;br /&gt;
Durch Verwendung von Prepared Statements anstatt dynamisch zusammengebauter&lt;br /&gt;
SQL-Statements kann dem Problem der SQL-Injection aus dem Weg gegangen wer­&lt;br /&gt;
den. Software-Entwickler müssen sich im Rahmen des Designs einer Funktion oder&lt;br /&gt;
hat bzw. was die Menge aller möglichen Abfragestrukturen ist, die in Abhängigkeit&lt;br /&gt;
vom Input zur Ausführung gelangen können. &lt;br /&gt;
&lt;br /&gt;
==M150 Data Validation: Diverse Maßnahmen==&lt;br /&gt;
* Namen von Formularen überprüfen&lt;br /&gt;
* Länge/Größe der Eingabedaten begrenzen&lt;br /&gt;
* Serverseitig validieren&lt;br /&gt;
* Datentypen der Eingabedaten&lt;br /&gt;
* Ausgabedaten filtern&lt;br /&gt;
&lt;br /&gt;
==M170 Session Management==&lt;br /&gt;
&lt;br /&gt;
* SessionID nach Authentisierung erneuern&lt;br /&gt;
* Cookies einschränken&lt;br /&gt;
* Session beenden&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
=Quellen=&lt;br /&gt;
&lt;br /&gt;
*[www.bsi.bund.de/literat/studien/websec/WebSec.pdf Sicherheit von Webanwendungen]&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:Programmierung]]&lt;br /&gt;
[[Kategorie:Internet]]&lt;/div&gt;</summary>
		<author><name>Sauterbe</name></author>
	</entry>
</feed>