Secure Coding nach OWASP bei HTTP

Mehmet Avci

Kurzfassung

Im Zeitalter des Internets werden alltäglich private Daten über Webanwendungen übertragen. Für Softwareentwickler wird die Implementierung sicherer Webanwendungen daher zunehmend relevanter. Gleichzeitig steigt auch die Komplexität dieser Webanwendungen aufgrund des wachsenden Interesses an der Vernetzung von Systemen. Viele Webanwendungen nutzen zum Übertragen von Dateien das Übertragungsprotokoll HTTP, weshalb dies für Angreifer besonders attraktiv und eine sichere Implementierung des Protokolls unverzichtbar ist. Weiterbildungen für Entwickler im Bereich IT-Sicherheit beanspruchen Kapital und Zeit, die von Unternehmern bevorzugt für die Entwicklung von Software eingesetzt werden. Die vorliegende Arbeit thematisiert Secure Coding nach Open Web Application Security Project (OWASP) Application Security Verification Standard (ASVS), speziell in Bezug auf HTTP. Um dies zu realisieren wurde eine Lernplattform erstellt. Mithilfe dieser können Softwareentwickler anhand von Szenarien, die ‚Quest‘ genannt werden, spielerisch Secure Coding lernen. Dabei nimmt der Entwickler zunächst die Rolle des Angreifers ein und führt aktiv für jede Quest einen Sicherheitstest (Penetrationstest) durch. Anschließend versetzt er sich in die Rolle des Verteidigers und lernt aktiv, wie der Angriff verhindert werden kann.

Schlagwörter: OWASP, HTTP, XSS, ASVS, Secure Coding, Softwareentwickler, Webanwendungen

Abstract

In the age of the Internet, it is commonplace for private data to be transmitted through Web Applications. For software developers, the implementation of secure web applications is becoming more and more relevant. At the same time, the complexity of web applications is increasing due to the ever increasing interest in networking systems. Many web applications use the HTTP transmission protocol to transfer files. This is particularly attractive to attackers, making the secure implementation of the protocol indispensable. Further education for developers in the area of IT security demands capital and time, which are preferred by entrepreneurs for the development of software. This thesis deals with Secure Coding according to the Open Web Application Security Project (OWASP) Application Security Verification Standard (ASVS), especially with regard to HTTP. To realize this, a learning platform was created. With these, software developers can playfully learn Secure Coding through scenarios called 'Quest'. The developer assumes first the role of the attacker and actively carries out a security test (penetration test) for each quest. Then he takes the role of the defender and actively learns how to prevent the attack.

Keywords: OWASP, HTTP, XSS, ASVS, Secure Coding, Software developer, Webapplication

x