OWASP Top 10: Sicherheitslücken in Webanwendungen und Web-APIs aufdecken

Moderne Single-Page-Webanwendungen und mobile Apps haben auch Web-APIs in den Fokus von Angreifern gerückt. Mithilfe von Interception Proxys erhalten diese vollständigen Einblick in die Antworten von Webanwendungen und Schnittstellen. Zudem können sie Anfragen beliebig manipulieren. In dieser Session lernen Teilnehmende anhand von praxisnahen Beispielen, wie Angreifer vorgehen, um Schwachstellen zu erkennen, auszunutzen und welche Auswirkungen dies haben kann.

Dynamische Tests mit spezialisierten Werkzeugen unterstützen Entwickler und Admins dabei, die Sicherheit eigener Webanwendungen und APIs zu überprüfen und identifizierte Schwachstellen zu beheben. Unser Experte Frank Ully geht dabei auch auf die Grenzen automatisierter Tests ein.

Voraussetzungen

Wissen auf dem Level eines Junior-System- oder Netzwerk-Administrators sowie grundsätzliches Verständnis des Aufbaus von Webanwendungen und Protokollen wie HTTP und HTML wird vorausgesetzt.

Agenda

• Einrichten eines Interception Proxys, auch bei mit HTTPS transportverschlüsselten Anwendungen, am Beispiel von ZAP (Zed Attack Proxy)

• Schwachstellen in Webanwendungen und Web-Schnittstellen anhand der OWASP Top 10 und OWASP API Security Top 10

• Automatisierte Schwachstellenscans laufender Anwendungen bei Web-Technologien (Dynamic Application Security Testing, DAST), auch authentisiert, mit generellen Werkzeugen wie ZAP und spezialisierten Tools wie dem JSON Web Token Toolkit – und die Grenzen dessen, was man automatisiert und teilautomatisiert finden kann

• Hinweis auf statische Codeanalyse (Static Application Security Testing, SAST) mit dem Geheimtipp semgrep