book

Java-Web-Security

Name: Java-Web-Security
Author: Dominik Schadow
ISBN: 97833864901461

by Dominik Schadow

March 2014

Intermediate to advanced

250 pages

6h 47m

German

dpunkt

Read now

Unlock full access

Inhaltsverzeichnis
1 Einleitung
1.1 Über dieses Buch1.2 Zielgruppe und Voraussetzungen1.3 Webanwendungen1.4 Abgrenzung1.5 Der Quellcode zum Buch1.6 Aufbau des Buches1.7 Danksagungen
2 Sicherheit von Anfang an
2.1 Forderung nach Sicherheit2.2 Warum ist sichere Software wichtig?2.3 Wer muss sicher entwickeln?2.4 Sicherheit in allen Phasen2.5 Veränderungen im Entwicklungsprozess2.5.1 Klärung der notwendigen Sicherheitsanforderungen2.5.2 Risikoanalyse2.5.3 Sicherheit einplanen2.5.4 Code-Reviews2.5.5 Ganzheitliche Sicherheit2.6 Der Preis der Sicherheit2.7 Sichere Webapplikationen entwickeln2.7.1 Altapplikationen absichern2.7.2 Web Application Firewalls2.8 Absolute Sicherheit gibt es nicht2.9 Auf einen Blick
3 Java ist doch schon sicher?!
3.1 Grundlagen3.2 Java-Features rund um die Sicherheit3.3 Was Java nicht leisten kann3.4 Welche Java-Versionen sind betroffen?3.5 Sichere Entwicklung mit Java3.5.1 Open Web Application Security Project3.5.2 CWE/SANS3.6 Auf einen Blick
4 Java-Security-Basics
4.1 Security-Frameworks4.1.1 Enterprise Security API4.1.2 Coverity Security Library4.1.3 Korrekte Verwendung4.2 Input-Validierung4.2.1 Threat Modeling4.2.2 Validierungsregeln4.2.3 Validierung aller Benutzereingaben4.2.4 Validierung in Frontend und Backend4.2.5 Frameworks4.3 Output-Escaping4.3.1 Grundlagen4.3.2 Frameworks4.4 Fehlerbehandlung4.5 Auf einen Blick4.5.1 Beispielprojekte4.5.2 Checkliste
5 Session-Management mit Java
5.1 Grundlagen5.1.1 Frühzeitige Klärung der Anforderungen5.1.2 Transportsicherheit5.2 Session-Handling und Session-ID5.2.1 Session-Fixation5.2.2 HTTP Strict Transport Security5.2.3 Cookies5.2.4 Sessiondaten im Cookie speichern5.2.5 Vollständige Konfiguration der web.xml5.3 Authentifizierung und Autorisierung5.3.1 Presentation Layer Access Control5.3.2 Anwendungen für Benutzer und Administratoren5.4 Verwendung von Frameworks5.5 Auf einen Blick5.5.1 Beispielprojekte5.5.2 Checkliste
6 Injections
6.1 Grundlagen6.2 SQL Injection6.2.1 Was kann passieren?6.2.2 Wie läuft ein Angriff ab?6.2.3 Was können Sie dagegen tun?6.3 Weitere Injections6.3.1 XPath Injection6.3.2 Log Injection6.4 Auf einen Blick6.4.1 Beispielprojekte6.4.2 Checkliste
7 Cross-Site Scripting (XSS)
7.1 Grundlagen7.2 Was kann passieren?7.3 Wie läuft ein Angriff ab?7.3.1 Stored XSS7.3.2 Reflected XSS7.3.3 DOM Based XSS7.4 Was können Sie dagegen tun?7.4.1 Session-Informationen schützen7.4.2 Input-Validierung7.4.3 Output-Escaping7.4.4 Content Security Policy (CSP)7.4.5 Browsererkennung von XSS7.5 Auf einen Blick7.5.1 Beispielprojekte7.5.2 Checkliste
8 Cross-Site Request Forgery (CSRF)
8.1 Grundlagen8.2 Was kann passieren?8.3 Wie läuft ein Angriff ab?8.4 Was können Sie dagegen tun?8.4.1 Begrenzung der Sessiondauer8.4.2 Formulare per HTTP POST übertragen8.4.3 Captchas8.4.4 Verwendung eines Anti-CSRF-Tokens8.5 Kombination von CSRF- und XSS-Angriffen8.6 Auf einen Blick8.6.1 Beispielprojekte8.6.2 Checkliste
9 Tools
9.1 Codeanalyse und Codequalität9.1.1 Überblick9.1.2 FindBugs9.1.3 PMD9.1.4 OWASP Dependency Check9.1.5 Weitere Tools9.2 Analyse und Training9.2.1 Überblick9.2.2 OWASP ZAP9.2.3 OWASP Security Shepherd9.2.4 OWASP Broken Web Applications Project9.2.5 Weitere Tools9.3 Auf einen Blick9.3.1 Checkliste

10 Ausblick
10.1 Was Sie jetzt beherrschen10.2 Weitere Themen10.3 Nächste Schritte10.3.1 Security Testing10.3.2 Security Reviews10.3.3 Security Development Lifecycle10.4 Fazit
Anhänge
A CSRF und Webservices
B Weitere Security-Frameworks
B.1 Spring SecurityB.2 Apache Shiro
C Abkürzungen
Literatur – offline und online
Index

Content preview from Java-Web-Security

6 Injections

Fällt unter Softwareentwicklern der Begriff »Injection«, denken die meisten sofort an die SQL Injection. Zweifellos ist die SQL Injection auch heute noch die am weitesten verbreitete und gleichzeitig eine der gefährlichsten Injections überhaupt. Tatsächlich existieren aber Unmengen von verschiedenen Injection-Angriffen gegen die verschiedensten Anwendungen. Prinzipiell lässt sich wohl fast jedes aus einem gemischten Benutzerdaten- und Befehlskontext bestehende Kommando für Injection-Angriffe verwenden. Ob und zu welchen Problemen das dann führt, hängt allerdings vom Interpreter und den Möglichkeiten des zugegriffenen Systems ab – beispielsweise von der Datenbank, LDAP (Active Directory) oder dem Dateisystem.

6.1 Grundlagen

Sicherlich ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781492014133

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Java-Web-Security

by Dominik Schadow