Java-Web-Security
eBook - ePub

Java-Web-Security

Sichere Webanwendungen mit Java entwickeln

  1. 250 Seiten
  2. German
  3. ePUB (handyfreundlich)
  4. Über iOS und Android verfügbar
eBook - ePub

Java-Web-Security

Sichere Webanwendungen mit Java entwickeln

Angaben zum Buch
Buchvorschau
Inhaltsverzeichnis
Quellenangaben

Über dieses Buch

Java hat den Ruf, eine relativ sichere Programmiersprache zu sein. Verschiedene Spracheigenschaften und Java-interne Sicherheitsmechanismen unterstützen den Entwickler beim Erstellen sicherer Anwendungen. Sie helfen aber nicht, wenn bei der Programmierung ungewollt Schwachstellen eingebaut werden, über die Übeltäter erfolgreiche Angriffe durchführen können. Das betrifft insbesondere Webapplikationen für Intranets oder das Internet.Dieses Buch zeigt, wie Sie als Java-Entwickler vielen dieser teilweise längst bekannten Unzulänglichkeiten und Programmierfehlern entgegentreten können. Dabei erfahren Sie Hintergründe zu Java-basierten Sicherheitsmechanismen und bekommen einen Überblick über hilfreiche Tools. Sie lernen unter anderem folgende Angriffsformen kennen und erfahren, wie Sie Ihre Java-Webapplikationen von diesen Schwachstellen freihalten: - Injections, u.a. SQL Injection- Cross-Site Scripting (XSS)- Cross-Site Request Forgery (CSRF)Nicht immer ist es nötig, dass Sie die eigene Entwicklungsmethodik oder gar Ihren Software-Entwicklungsprozess komplett umkrempeln. An vielen Stellen genügen geringe Änderungen am Code und kleine Anpassungen der eigenen Entwicklungsweise. Die auf diese Weise entstehenden Webapplikationen profitieren von einer höheren Sicherheit und machen das Ausnutzen von sicherheitskritischen Programmierfehlern für Angreifer deutlich schwieriger.Vorausgesetzt werden Kenntnisse der Java-Programmierung, vor allem im Umfeld von Webanwendungen.

Häufig gestellte Fragen

Gehe einfach zum Kontobereich in den Einstellungen und klicke auf „Abo kündigen“ – ganz einfach. Nachdem du gekündigt hast, bleibt deine Mitgliedschaft für den verbleibenden Abozeitraum, den du bereits bezahlt hast, aktiv. Mehr Informationen hier.
Derzeit stehen all unsere auf Mobilgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.
Mit beiden Aboplänen erhältst du vollen Zugang zur Bibliothek und allen Funktionen von Perlego. Die einzigen Unterschiede bestehen im Preis und dem Abozeitraum: Mit dem Jahresabo sparst du auf 12 Monate gerechnet im Vergleich zum Monatsabo rund 30 %.
Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.
Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.
Ja, du hast Zugang zu Java-Web-Security von Dominik Schadow im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Computer Science & Cyber Security. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag
dpunkt
Jahr
2014
ISBN
9783864914492
Auflage
1
Thema
Computer Science
Thema
Cyber Security

1 Einleitung

Die Entwicklung von sicheren Webapplikationen ist ein wichtiges und herausforderndes Thema für jeden Java-Entwickler. Vielfältige Aufruf- und Verwendungsmöglichkeiten von Java-Core-Funktionalität und Frameworks, komplexe individuelle Webanwendungen mit zahlreichen angebundenen Systemen und kreative Angreifer sind nur einige der in diesem Umfeld zu bewältigenden Aufgaben. Vor dem Hintergrund von Java-Anwendungen in der Cloud, serviceorientierten Architekturen und auch ganz »normalen« Enterprise-Webanwendungen bleibt die Webapplikationssicherheit – unabhängig von aktuellen Hypes – eine der wesentlichen Herausforderungen der nächsten Jahre.
Zweifellos hat man allgemein erkannt, dass wir simple sicherheitsrelevante Programmierfehler und dadurch unsichere Webapplikationen heute nicht mehr länger tolerieren können. Immer mehr gespeicherte (Kunden-)Daten bedeuten schließlich auch, dass bei einem erfolgreichen Angriff sehr viel mehr Daten verloren gehen können. Gleichzeitig werden Angriffe immer standardisierter durchgeführt. Als Angreifer kommen so neben »professionellen« Übeltätern gleichermaßen Amateure mit nur geringen Entwickler- und IT-Kenntnissen infrage. Angriffe auf Webanwendungen können so zumindest teilweise per simplem Copy & Paste aus fertigen »Angriffs-Kits« durchgeführt werden.
Viele dieser Angriffe können Sie bereits im Vorfeld durch eine sicherheitsorientierte Softwareentwicklung verhindern oder zumindest erschweren. Doch was bedeutet die Entwicklung von sicherer Software – speziell von sicheren Webanwendungen – konkret? Was müssen Sie bei der Entwicklung einer Java-Webanwendung beachten, um häufig gemachte Fehler und die größten Risiken zu umgehen? Und welche Gefahren sind das eigentlich genau? Diese und viele weitere Fragen rund um die sichere Softwareentwicklung werde ich in diesem Buch beantworten, und ich werde Ihnen zeigen, wie einfach Ihre ersten Schritte in der Welt der sicheren Entwicklung von Java-Webapplikationen sein können.

1.1 Über dieses Buch

Das Know-how der Entwickler macht den Unterschied zwischen sicherer und unsicherer Software aus. Ihre tagtäglichen Entscheidungen bestimmen, ob eine Webanwendung zuverlässig und sicher ihren Dienst verrichtet oder ob sie aufgrund von Sicherheitslöchern traurige Berühmtheit erlangt. Auf welcher Seite dieser beiden Extreme sich Ihre Webanwendung wiederfindet, bestimmen Sie vor allem durch drei Dinge: durch eine gute Ausbildung der Entwickler im Umfeld der Softwaresicherheit (u. a. zur Schaffung des notwendigen Sicherheitsbewusstseins), durch eine nach diesen Richtlinien durchgeführte sichere Entwicklung sowie durch Sicherheitstests während und nach der Entwicklung der Software.
Allerdings ist Sicherheit, egal ob IT-Sicherheit im Allgemeinen oder sichere Softwareentwicklung im Speziellen, leider allzu häufig als trocken und wenig spannend verrufen. Viel zu wenige Entwickler beschäftigen sich intensiver mit diesem überaus wichtigen Thema. Gleichzeitig sind wir alle heutzutage von sehr vielen, mitunter auch täglich verwendeten Webapplikationen umgeben. Laufend kommen neue Webanwendungen hinzu. Immer mehr unserer Daten, darunter zunehmend solche sensibler Natur, sind in Webapplikationen erfasst. Die Sicherheit von Webanwendungen – die Sicherheit unserer Daten – wird damit zur wichtigsten Aufgabe aller an der Softwareentwicklung beteiligten Personen.
Mit dem vorliegenden Buch möchte ich Sie für die sichere Softwareentwicklung von Java-Webanwendungen begeistern und Ihnen zeigen, dass das Entwickeln sicherer Webanwendungen ebenso interessant und für jeden möglich sein kann wie die Entwicklung gewöhnlicher Software. Den ersten Schritt haben Sie bereits durch den Erwerb dieses Buches getan. Als Nächstes will ich Ihnen Ihre ersten praktischen Entwicklungsaktivitäten erleichtern und Ihnen zeigen, wie Sie als Java-Entwickler, notfalls unabhängig von anderen, in Ihrer täglichen Arbeit sichere Webanwendungen entwickeln können.
Sichere Software und die sichere Softwareentwicklung sind jedoch nahezu unerschöpfliche Themengebiete. Allein über die Hitliste der zehn kritischsten Websicherheitslücken – die sogenannten OWASP Top 10 (Abschnitt 3.5.1) – ließe sich ein umfangreiches Buch schreiben, ganz zu schweigen von den CWE/SANS Top 25 (einer weiteren (Un)Sicherheitshitliste (Abschnitt 3.5.2)). Alle darin aufgeführten Sicherheitsprobleme und -risiken sind prinzipiell wichtig und die meisten sind weit verbreitet. Allerdings zielen diese Listen, zumindest in einigen wenigen Punkten, eher auf Nicht-(Java-)Entwickler. Nicht alle Punkte sind daher für Entwickler gleichermaßen wichtig und interessant. Deshalb habe ich dieses Buch geschrieben. Es konzentriert sich auf die Punkte, die meiner Erfahrung nach in der täglichen Entwicklungsarbeit häufig falsch gemacht oder schlichtweg vergessen werden. Ich stelle Ihnen dabei wo immer möglich praktisch einsetzbare und konkrete Gegenmaßnahmen vor, die Sie auch allein und nur in Ihrem eigenen Code verwenden können. Klar, niemand kann die Sicherheit einer im Team entwickelten Software allein gewährleisten, aber zumindest den Grundstein können Sie ohne weitere Unterstützung selbst legen.
Das Buch orientiert sich für Ihren Einstieg zunächst an den drei meiner Ansicht nach drängendsten Problemen bei Webanwendungen: Injections (Kapitel 6), Cross-Site Scripting (Kapitel 7) und Cross-Site Request Forgery (Kapitel 8) – definitiv drei der gefährlichsten und gleichzeitig verbreitetsten Sicherheitsprobleme. Aber natürlich sind dies bei Weitem nicht alle. Gleichzeitig können Sicherheitsprobleme nicht völlig isoliert voneinander betrachtet werden. Häufig öffnet eine Angriffsvariante erst die Tür für den folgenden schwerwiegenderen Angriff, oder ein Angriff wird erst durch das gleichzeitige Ausnutzen mehrerer Schwachstellen möglich. Neben diesen drei Hauptproblemen und den Gegenmaßnahmen finden Sie daher noch verschiedene dazugehörige kleinere Themen, die diese drei Angriffsformen unterstützen oder zumindest begünstigen. Auf diese Art erhalten Sie einen breiten Einblick in die sicherheitsorientierte Entwicklung von Java-Webanwendungen. Der Entwicklung von Webapplikationen, die vor den genannten Bedrohungen sicher sind, steht damit nichts mehr im Weg.

1.2 Zielgruppe und Voraussetzungen

Das vorliegende Buch richtet sich an Java-Entwickler, die bereits über umfangreiche Erfahrung mit der Java Standard Edition (Java SE) und zumindest mit den verbreiteten Teilen der Java Enterprise Edition (Java EE) verfügen. Zur Java EE zählen hierbei JavaServer Pages, JavaServer Faces und Servlets. Sie müssen kein Experte in der Java-Enterprise-Entwicklung und der Entwicklung von Java-Webapplikationen sein, sollten aber zumindest über ein fundiertes allgemeines Java-Know-how und Programmiererfahrung verfügen und eventuell kurz vor der Entwicklung Ihrer ersten großen Webanwendung stehen. Ganz ohne Kenntnisse im Umfeld von Java-Webanwendungen werden Sie an einigen Stellen Verständnisschwierigkeiten haben. Dagegen sind keine Kenntnisse in der IT-Sicherheit oder gar der Kryptografie notwendig, umgekehrt schaden diese aber auch nicht.
An den wenigen Abschnitten bisher haben Sie wahrscheinlich bereits bemerkt, dass ich im Text durchgehend männliche Bezeichnungen verwende. Eine alle Geschlechter gleichermaßen ansprechende Variante – etwa Entwickelnde und Angreifende oder EntwicklerInnen und AngreiferInnen – ist beim Lesen nach einiger Zeit einfach nur noch anstrengend. Und als Entwickler respektive Entwicklerin sucht man ja gern den einfachsten Weg. Ich habe mich daher aus Gründen der Lesbarkeit durchgehend für die männliche Form entschieden. Ich hoffe, dass Sie, liebe Leserin und Entwicklerin, sich dadurch nicht weniger angesprochen fühlen und sich schon gar nicht vom Lesen des Buches abhalten lassen.

1.3 Webanwendungen

Bereits einige Male war nun schon die Rede von Webanwendungen bzw. Webapplikationen.1 Auch wenn dieser Begriff nicht ganz so nebulös wie der einer (Java-)Enterprise-Anwendung ist, bedarf er doch einer kurzen Erläuterung zum besseren Verständnis im weiteren Buch. So sind bei Webanwendungen durchaus einige Unterschiede vorhanden, beispielsweise, ob die Webanwendung über eine eigene Weboberfläche verfügt oder »nur« über die Protokolle des Webs kommuniziert.
Viele Angriffe, darunter einige der hier im Buch beschriebenen, sind nur auf Webapplikationen möglich, die über eine eigene GUI verfügen – aber längst nicht alle. Angriffe über Injections oder Cross-Site Request Forgery beispielsweise funktionieren ebenfalls ohne grafische Oberfläche, z. B. über Webservices. Selbst wenn Angriffe unter diesen Bedingungen schwieriger werden, manchmal sogar unwahrscheinlich oder unmöglich scheinen mögen, sollten Sie sich bei nicht vorhandener grafischer Web-Benutzeroberfläche nicht zu sehr in Sicherheit wiegen. Sichere Softwareentwicklung ist grundsätzlich unabhängig davon, ob ein Endbenutzer bzw. ein Angreifer eine GUI sieht oder nicht.
Auch wenn ich in diesem Buch zum einfacheren Verständnis und zur leichteren Nachvollziehbarkeit anhand der Beispielanwendungen einen Angriff über eine Weboberfläche beschreibe, sollten Sie sich der Gefahren bei Webanwendungen ohne eigene GUI bewusst sein. Der Begriff Webanwendung bezeichnet in diesem Buch so allgemein wie möglich solche Anwendungen, die normalerweise über einen Browser aufgerufen und bedient werden – und die selbstverständlich überwiegend in Java entwickelt wurden. Ob diese Webanwendung aus mehreren Seiten oder nur einer einzigen besteht (Single-Page-Application), im Internet oder Intranet zugänglich ist, nur von angemeldeten Benutzern oder anonym verwendet werden kann, spielt, bis auf wenige Ausnahmen, keine Rolle.

1.4 Abgrenzung

Trotz der im Buch angesprochenen Themen und Komponenten der Java Enterprise Edition ist dies kein vollständiges und allumfassendes Buch über die Sicherheit von Java-Enterprise-Applikationen. Bei der Entwicklung mit der Java Micro Edition (Java ME) profitieren Sie vermutlich ebenso vom ein oder anderen Tipp, allerdings steht diese Java-Edition nicht im Fokus. Sicherlich verhindern einige der vorgestellten Gegenmaßnahmen ähnliche oder gar identische Sicherheitsprobleme auf Mobilgeräten oder anderen eingeschränkten Geräten, allerdings existieren in diesen Umgebungen noch ganz andere Herausforderungen, die in diesem Buch keine Erwähnung finden.
Natürlich können nicht alle möglichen Sicherheitsprobleme rund um Java-Webapplikationen in diesem Buch abschließend behandelt werden. Selbst nachdem Sie Ihre Webapplikation gegen Injections, Cross-Site Scripting und Cross-Site Request Forgery abgesichert haben, ist Ihre Webapplikation nicht vor allen Angriffen und allen Angreifern sicher. Dafür sind die denkbaren Webanwendungen zu vielseitig und die dadurch möglichen Angriffe leider ebenfalls.
Gleichzeitig haben die im Buch vorgestellten Lösungen mit hoher Wahrscheinlichkeit keinen Bestand für alle Ewigkeit. Es ist ein Stück weit wie mit kryptografischen Algorithmen: Was heute sicher ist, kann morgen schon geknackt sein. Ganz so schlimm ist es bei der sicheren Softwareentwicklung zum Glück nicht: Die Grundlagen gelten in der Regel weiterhin. Die gezeigten Gegenmaßnahmen werden aller Voraussicht nach nicht von heute auf morgen vollständig wirkungslos. Allerdings liegt es durchaus im Bereich des Möglichen, dass ein kreativer Angreifer mit bestimmten Tricks einige der vorgestellten Gegenmaßnahmen umgehen kann. In diesem Fall werden dann Ergänzungen notwendig. Bleiben Sie daher auf dem Laufenden, folgen Sie den Java-Neuigkeiten im Internet, und passen Sie Ihre Webapplikationen bei Bedarf an.
Ganz im Sinne der Wiederverwendung werden im Buch verschiedene sicherheitsrelevante Open-Source-Frameworks vorgestellt, die ich bei der Entwicklung von sicheren Webanwendungen für hilfreich erachte. Die Frameworks selbst werden dabei nur kurz gestreift und in einigen Codebeispielen konkret in ihrer Anwendung gezeigt. Selbstverständlich stellt das keine umfassende Einführung in das jeweilige Framework dar. Manche Leser werden ihr Lieblingsframework im Buch auch ganz vermissen. Hier verändert sich das riesige Java-Universum einfach zu schnell, als dass ein allgemeines Buch zur sicheren Entwicklung mit Java jedes einzelne Framework in der gebotenen Tiefe behandeln könnte. Wichtiger als konkrete Framework-Kenntnisse sind ohnehin die Java-Grundlagen zur sicheren Softwareentwicklung. Dennoch ist die Verwendung von Frameworks in jedem Fall sinnvoll und erleichtert gleichzeitig die Entwicklungsarbeit. Im Literaturverzeichnis finden Sie daher verschiedene weiterführende Bücher und in den einzelnen Kapiteln zahlreiche Links zu den angesprochenen Frameworks.
Noch eine kleine Einschränkung zum Schluss: Dies ist kein Hacker-Buch.2 Natürlich stelle ich zum besseren Verständnis einige Angriffe auf Webapplikationen vor, allerdings nur so weit und so detailliert, wie dies für das Verständnis des Sicherheitsproblems notwendig ist. Die dabei vorgestellten und verwendeten Tools sind allesamt legal und können Sie bei Ihrer täglichen Arbeit als Entwickler unterstützen. Dass diese Tools teilweise ebenfalls von Angreifern verwendet werden, sollte uns Entwickler nich...

Inhaltsverzeichnis

  1. Cover
  2. Titel
  3. Impressum
  4. Inhaltsverzeichnis
  5. 1 Einleitung
  6. 2 Sicherheit von Anfang an
  7. 3 Java ist doch schon sicher?!
  8. 4 Java-Security-Basics
  9. 5 Session-Management mit Java
  10. 6 Injections
  11. 7 Cross-Site Scripting (XSS)
  12. 8 Cross-Site Request Forgery (CSRF)
  13. 9 Tools
  14. 10 Ausblick
  15. Anhänge
  16. Index