O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

151.8 OWASP
1.7.4 WebAppSec
Für Entwickler von Webapplikationen hochinteressant ist die Liste
WebAppSec (kurz für »Web Application Security«). Hier tauschen sich
Webentwickler jeder Couleur über Sicherheitsfragen aus. Nicht nur
Lücken und Exploits gehören zum Thema der Liste, sondern auch Dis-
kussionen über den Einsatz von SSL, Webserver-Sicherheit und Fire-
walls. Auf der Liste gehen üblicherweise nicht mehr als zehn Postings
pro Tag ein, und die Schnittmenge mit Beiträgen auf BugTraq oder Full
Disclosure ist praktisch null. Daher sollten Sie ein Abonnement in
Erwägung ziehen – Postings sind in der Regel von hoher Qualität und
für Webentwickler interessant.
Auch für ein WebAppSec-Abonnement genügt eine leere Mail, in
diesem Fall an die Adresse webappsec-subscribe@securityfocus.com.
1.8 OWASP
Open Web Application
Security Project
Eine der wichtigsten Ressourcen für an Sicherheit interessierte Web-
entwickler ist das Open Web Application Security Project, kurz
OWASP. Hier versammeln sich Programmierer aus aller Herren Län-
der, um gemeinsame Richtlinien für Web Security zu definieren und zu
pflegen. Eine sehr umfangreiche Bibliothek enthält Checklisten, How-
Tos und Filterbibliotheken für verschiedene Sprachen.
Ein Ziel des OWASP ist es, feste Standards zu definieren, die jeder
Entwickler befolgen sollte, um ein Mindestmaß an Sicherheit für seine
Applikationen garantieren zu können. Das Projekt stützt sich hierbei
besonders auf die ISO-Richtlinie 17799 (bzw. ihr britisches Äquivalent
BS7799). Zusätzlich gehen die Projektmitglieder auf andere internati-
onale Standards für Sicherheit im Allgemeinen und speziell für Appli-
kationssicherheit ein – für jeden Entwickler, dessen Software auf der
ganzen Welt eingesetzt werden soll, ist die Konformität mit diesen
Standards unverzichtbar.
Von besonderem Interesse für jeden PHP-Entwickler ist der
»Guide to Building Secure Web Applications and Web Services«
11
.
Dieses über 200-seitige Dokument enthält zahlreiche Anregungen und
Best Practices für Entwickler webbasierter Applikationen – auch die
Autoren dieses Buches konnten noch das eine oder andere vom
OWASP-Guide lernen.
Ein weiteres interessantes Dokument ist die »OWASP Web Appli-
cation Penetration Checklist«, die als Grundlage für die Security-
Checkliste im Anhang diente. Neben den auch in unserem Buch ent-
11. http://www.owasp.org/documentation/guide.html

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required