|
|
Das Buch "Sichere Webanwendungen" eines Autorenteams handelt praktisch alle Webtechnologien ab, mit denen heute am meisten Schindluder getrieben wird. SQL Injection gehört ebenso dazu wie Cross Site Scripting und Directory Traversal. Nachdem der Autor in den Kapiteln großen Wert auf Nachvollziehbarkeit legt, beschreibt er die Schwachstellen sehr oft detailliert und versieht sie mit Anleitungen zum Nachmachen.
Es gibt natürlich einen Einführungsteil, der den so genannten "Hackerparagrafen" 202c erläutert, den (fast) aktuellen Stand der Rechtsprechung dazu dokumentiert und vor Nachahmung warnt. Jeder Leser muss aber selbst Sorge dafür tragen, dass er die Beispiele aus dem Buch nicht in der freien Wildbahn, sondern in seinem eigenen Netz anwendet und nirgendwo sonst. Auch wenn immer wieder Codeschnipsel und Tabellen den Fluss unterbrechen, findet sich der interessierte Laie gut in den beschriebenen Techniken zurecht. Am Ende der Kapitel ermöglichen umfangreiche Linkverweise die weitere Recherche nach Tools und tiefer gehenden Anleitungen. Besonders lobenswert: Die Autoren beschreiben nicht nur den Angriff und überlassen es dem Admin, die Erkenntnisse selbst sozusagen "rückwärts" zur Verteidigung anzuwenden.
Der Großteil des Buchs beschäftigt sich explizit mit dem Bauen sicherer Webanwendungen. Das fängt ganz weit unten bei Besonderheiten des HTTP-Protokolls an, geht mit der String-Konvertierung und Unicode weiter und hört mit der Validierung auf. Alles ist so laiengerecht aufbereitet, dass auch ein Nichtprogrammierer ganz gut mit den meisten Konzepten und deren Anwendung klarkommt. Also optimal für den Admin, der die Sicherheit seiner Webanwendungen nicht nur dem Dienstleister überlassen will.
Fazit: Das Buch führt hervorragend und vor allem sehr praxisorientiert in das Thema Applikationssicherheit ein. Selbst ohne oder mit geringen Programmierkenntnissen lassen sich sinnvolle Checks auf die Anfälligkeit der eigenen Webanwendungen durchführen. (Elmar Török)
|
