book

Java-Web-Security

by Dominik Schadow

March 2014

Intermediate to advanced

250 pages

6h 47m

German

dpunkt

Read now

Unlock full access

1.1 Über dieses Buch1.2 Zielgruppe und Voraussetzungen1.3 Webanwendungen1.4 Abgrenzung1.5 Der Quellcode zum Buch1.6 Aufbau des Buches1.7 Danksagungen
2.1 Forderung nach Sicherheit2.2 Warum ist sichere Software wichtig?2.3 Wer muss sicher entwickeln?2.4 Sicherheit in allen Phasen2.5 Veränderungen im Entwicklungsprozess2.5.1 Klärung der notwendigen Sicherheitsanforderungen2.5.2 Risikoanalyse2.5.3 Sicherheit einplanen2.5.4 Code-Reviews2.5.5 Ganzheitliche Sicherheit2.6 Der Preis der Sicherheit2.7 Sichere Webapplikationen entwickeln2.7.1 Altapplikationen absichern2.7.2 Web Application Firewalls2.8 Absolute Sicherheit gibt es nicht2.9 Auf einen Blick
3.1 Grundlagen3.2 Java-Features rund um die Sicherheit3.3 Was Java nicht leisten kann3.4 Welche Java-Versionen sind betroffen?3.5 Sichere Entwicklung mit Java3.5.1 Open Web Application Security Project3.5.2 CWE/SANS3.6 Auf einen Blick
4.1 Security-Frameworks4.1.1 Enterprise Security API4.1.2 Coverity Security Library4.1.3 Korrekte Verwendung4.2 Input-Validierung4.2.1 Threat Modeling4.2.2 Validierungsregeln4.2.3 Validierung aller Benutzereingaben4.2.4 Validierung in Frontend und Backend4.2.5 Frameworks4.3 Output-Escaping4.3.1 Grundlagen4.3.2 Frameworks4.4 Fehlerbehandlung4.5 Auf einen Blick4.5.1 Beispielprojekte4.5.2 Checkliste
5.1 Grundlagen5.1.1 Frühzeitige Klärung der Anforderungen5.1.2 Transportsicherheit5.2 Session-Handling und Session-ID5.2.1 Session-Fixation5.2.2 HTTP Strict Transport Security5.2.3 Cookies5.2.4 Sessiondaten im Cookie speichern5.2.5 Vollständige Konfiguration der web.xml5.3 Authentifizierung und Autorisierung5.3.1 Presentation Layer Access Control5.3.2 Anwendungen für Benutzer und Administratoren5.4 Verwendung von Frameworks5.5 Auf einen Blick5.5.1 Beispielprojekte5.5.2 Checkliste
6.1 Grundlagen6.2 SQL Injection6.2.1 Was kann passieren?6.2.2 Wie läuft ein Angriff ab?6.2.3 Was können Sie dagegen tun?6.3 Weitere Injections6.3.1 XPath Injection6.3.2 Log Injection6.4 Auf einen Blick6.4.1 Beispielprojekte6.4.2 Checkliste
7.1 Grundlagen7.2 Was kann passieren?7.3 Wie läuft ein Angriff ab?7.3.1 Stored XSS7.3.2 Reflected XSS7.3.3 DOM Based XSS7.4 Was können Sie dagegen tun?7.4.1 Session-Informationen schützen7.4.2 Input-Validierung7.4.3 Output-Escaping7.4.4 Content Security Policy (CSP)7.4.5 Browsererkennung von XSS7.5 Auf einen Blick7.5.1 Beispielprojekte7.5.2 Checkliste
8.1 Grundlagen8.2 Was kann passieren?8.3 Wie läuft ein Angriff ab?8.4 Was können Sie dagegen tun?8.4.1 Begrenzung der Sessiondauer8.4.2 Formulare per HTTP POST übertragen8.4.3 Captchas8.4.4 Verwendung eines Anti-CSRF-Tokens8.5 Kombination von CSRF- und XSS-Angriffen8.6 Auf einen Blick8.6.1 Beispielprojekte8.6.2 Checkliste
9.1 Codeanalyse und Codequalität9.1.1 Überblick9.1.2 FindBugs9.1.3 PMD9.1.4 OWASP Dependency Check9.1.5 Weitere Tools9.2 Analyse und Training9.2.1 Überblick9.2.2 OWASP ZAP9.2.3 OWASP Security Shepherd9.2.4 OWASP Broken Web Applications Project9.2.5 Weitere Tools9.3 Auf einen Blick9.3.1 Checkliste

10.1 Was Sie jetzt beherrschen10.2 Weitere Themen10.3 Nächste Schritte10.3.1 Security Testing10.3.2 Security Reviews10.3.3 Security Development Lifecycle10.4 Fazit
B.1 Spring SecurityB.2 Apache Shiro

Overview

Java-Entwickler lernen in diesem Buch, wie sie sichere Java-Webapplikationen entwickeln und die Anzahl sicherheitskritischer Programmierfehler in ihrer Software möglichst auf null reduzieren. Dominik Schadow zeigt Ihnen dazu typische Probleme in Webapplikationen – u.a. Cross Site-Scripting und Cross Site-Request Forgery – und erläutert, wie diese ausgenutzt werden können. Anschließend lernen Sie anhand von Codebeispielen, wie Sie diese Probleme vermeiden und Ihre Java-Webapplikation damit bedeutend sicherer machen.