|
|
Der Internetauftritt ist in manchen Firmen reine Imagesache, in anderen Hauptumsatzbringer. Welche Bedeutung auch immer hinter der eigenen Website steht, Angriffen ist sie auf alle Fälle ausgesetzt. Angriffe per Cross-Site-Scripting und SQL-Injection führen häufig zum Erfolg, auch wenn dazu Fachkenntnisse auf Seiten der Cyberkriminellen von Nöten sind. Dagegen hilft nur testen, testen und nochmals testen.
Damit von Anfang an die richtigen Weichen gestellt werden, sollten sich Admins mit Sicherheitsverantwortung und Web-Entwickler auf alle Fälle O’Reillys "Web Security Testing Cookbook" ansehen. Die Autoren Hope und Walter nutzen das Kochbuch-Prinzip – kurze, in sich abgeschlossene Abschnitte von ein paar Seiten Länge – um von den Grundlagen des Sicherheitstestens über die richtigen Tools bis hin zur Automatisierung und Angriffen auf Ajax alles in schlüssiger Form darzustellen.
Auch wenn viele der vorgestellten Tools die Arbeit erleichtern, ohne HTML- und Programmierkenntnisse geht es nicht. Allerdings lässt sich etwa die Hälfte der Kochrezepte auch mit sehr rudimentären Scripting-Erfahrungen nachvollziehen. Wenn man sich konsequent von Anfang bis Ende mit dem Buch beschäftigt, dürften drei Viertel der Tests und Attacken für Nicht-Programmierer umsetzbar sein. Zumindest bei der Anpassung auf die eigene Netzwerksituation muss der Leser aber sicher im HTML-Sattel sitzen. Nichtsdestotrotz liefern die Autoren ein sehr interessantes Abbild der heute üblichen Angriffe und ihrer Abwehr durch korrekte Programmierung und Konfiguration. Weil das Vorgehen sehr methodisch ist, passen die Kochrezepte prinzipiell auf jede Umgebung, davon profitiert jeder Sicherheitstester.
Fazit: Für sicherheitsinteressierte Admins und Web-Entwickler eine echte Fundgrube. Die Kochrezept-Struktur bringt schnelle Ergebnisse ohne lange Vorbereitung. HTML- und Programmierkenntnisse sind unbedingt notwendig, für viele Tests reichen aber auch schon rudimentäre Programmiererfahrungen. (Elmar Török)
|
