Dieses über 700 Seiten starke Buch zur Sicherheit von Web Anwendungen sollte jeder gelesen haben, der Web Anwendungen programmiert. Ich zumindest hätte dieses Buch viel früher lesen sollen, denn es wird einem nicht nur erklärt, welche Sicherheitsmechanismen es gibt, auf was man achten muss und wieso andere Vorgehensweisen in einem gewissen Kontext keinen Sinn machen, sondern auch wie ein typischer Hacker vorgeht, um Schwachstellen auszuspähen und zu benutzen.
Die Autoren arbeiten in einer Sicherheitssoftware-Firma, so dass das Buch durchweg praxisorientiert geschrieben ist. Neben den Standardschwächen wie SQL Injection, XSS, Command Injection oder Path Traversal wird auch darauf eingegangen, was ein Angreifer aus Fehlermeldungen ableiten kann. Auf Angriffspunkte von ActiveX und Java Applets wird genauso eingegangen wie auf die unterschiedlichen Methoden, mit denen ein Hacker relativ automatisiert eine Web Anwendung inklusive ihrer „versteckten“ Funktionalitäten erfassen kann.
Besonders interessant sind für mich solche SQL Injections, die keine Rückmeldung geben, da Fehlermeldungen und Ausgaben unterdrückt werden, aber mit Verzögerungen (Wait For-Anweisungen) Rückschlüsse auf das Ergebnis einer SQL-Anweisung ermöglichen.
Sehr ausführlich werden die zusammen gehörenden Bereiche Authentication, Session Management und Access Control besprochen. Und hier wird nicht zu unrecht darauf hingewiesen, dass Funktionen wie Zugangsdaten vergessen oder neues Passwort setzen generell Schwachstellen bieten können, um die Authentifizierung zu umgehen und zu verifizieren, welche User es in der Anwendung gibt.
Um es auf den Punkt zu bringen:
Ein absoluter Kaufbefehl!
(Jepp Felix, dieser Eintrag ist auch an dich gerichtet! ;o))