Suchen

Schutz vor SQL Injection und Cross-Site Scripting Tipps für Webentwickler-Richtlinien

| Redakteur: Stephan Augsten

Webanwendungen sind nützlich, gelten aufgrund ihrer Erreichbarkeit aber auch als häufiges Einfallstor ins Netzwerk. Als Experte für sichere Anwendungsentwicklung weiß Coverity, unter welchen Voraussetzungen Richtlinien dabei helfen, die Sicherheit von Webapplikationen zu erhöhen.

Firmen zum Thema

Richtlinien zur sicheren Entwicklung von Webapplikationen wollen gut durchdacht sein.
Richtlinien zur sicheren Entwicklung von Webapplikationen wollen gut durchdacht sein.
(Bild: Archiv)

Cyberkriminelle setzen besonders häufig auf bewährte Angriffstechniken wie SQL Injection oder Cross-Site Scripting, um Sicherheitslücken in Webapplikationen auszunutzen. Im Rahmen einer Studie hatte gut die Hälfte der befragten Software-Hersteller im Jahr 2012 eingeräumt, Schwachstellen in Webanwendungen entdeckt zu haben.

Richtlinien zur sicheren Entwicklung von Webanwendungen können zweifelsohne dabei helfen, das Risiko entsprechender Angriffe zu minimieren. Allerdings gilt es bereits bei der Definition solcher Security Policies, auch die die Belange der Entwicklerteams zu berücksichtigen, warnt Coverity.

Der Spezialist für sichere Anwendungsentwicklung hat deshalb sechs Fragen formuliert, die sich Sicherheitsverantwortliche vor diesem Hintergrund stellen sollten:

Welche Anwendungen bergen das größte Sicherheitsrisiko?

Am Anfang stehen die Bestandsaufnahme und die Risikobeurteilung. Denn mittlerweile sind häufig so viele Anwendungen in Unternehmen im Einsatz, dass eine sinnvolle Priorisierung für das Testen unabdingbar ist. Anderenfalls laufen die Bemühungen ins Leere und Ressourcen werden nur unnötig verschwendet, ohne den gewünschten Erfolg zu erzielen.

Wie lassen sich Entwickler für das Thema Sicherheit sensibilisieren?

Üblicherweise sprechen Sicherheitsverantwortliche und Developer unterschiedliche Sprachen. Beim Thema Security wittert der Entwickler schnell Zeitverzögerung, Mehraufwand und Innovationsverlust.

Tests sollten jedoch bereits in der Entwicklungsphase stattfinden und deshalb nahtlos in deren Prozesse integriert werden. Nur so können Behinderungen vermieden werden und Entwickler ein Sicherheitsbewusstsein aufbauen.

(ID:39211610)