Sicherheitsüberprüfung einer Webanwendung nach dem OWASP Application Security Verification Standard

Benedikt Bauer

Kurzfassung

Webanwendungen werden ständig komplexer und bedienen gleichzeitig mehr Menschen auf einmal als Desktop-Anwendungen. Damit steigt auch das Sicherheitsbedürfnis für Webanwendungen. Übliche Wege, um die Sicherheit einer Anwendung festzustellen und zu dokumentieren sind entweder reine Prozessdokumentationen oder simulierte Angriffe im Rahmen eines Penetration Tests. Der OWASP Application Security Verification Standard verspricht hier eine bessere Lösung gefunden zu haben indem konkrete Sicherheitsmaßnahmen geprüft und dokumentiert werden. Auf der anderen Seite setzen viele moderne Softwareprojekte auf die Hilfe von Frameworks und erprobten Architekturen, um den Sicherheits- und Wartungsaufwand während Betrieb und Entwicklung zu minimieren. Ziel dieser Arbeit ist es daher festzustellen inwieweit eine Sicherheitseinschätzung mithilfe des Standards möglich ist und ob und wie sich die Anforderungen entweder automatisieren lassen oder zumindest in den Entwicklungsprozess integriert werden können.

Schlagwörter: IT Sicherheit, Standards, Webentwicklung

Abstract

Web applications are getting more and more complex and at the same time serve more people at once than desktop applications. Therefor the security-requirements for web applications are rising to higher levels. Common ways to determine the security of an application are either purely documenting the processes or simulating attacks over the course of a penetration test. The OWASP Application Security Verification Standard promises to have a better solution by checking and documenting actual security features. On the other hand, many modern software projects use frameworks and tried and tested designs to reduce the overhead for security and maintenance during development and when running the application. The goal of this thesis is to find out how good one can assess the security of an application using that standard and if and how it’s possible to automate the security features or at least to include them in the development process.

Keywords: IT Security, standards, web development

x