banner

Application Security oder wann wurde ihre WebApp gehackt?

Früher wurden Netzwerke gehackt, heute sind es die Anwendungen selbst. Warum? Netzwerke sind heute durch Firewalls und andere Techniken mittlerweile relativ gut geschützt. Auf fast jedem Computer läuft ein Antivirus-Programm, was zumindest die nicht-staatlichen Viren und Trojaner relativ gut aussortiert und den Computer selbst schützt. Zumindest, wenn die Viren nicht zu neu oder zu exotisch sind.

Aber was ist mit den Webanwendungen? Sie erlauben einen legitimierten Zugriff zu einem Rechner. Anwendungen sind direkt mit den Daten verbunden, für die sich kriminelle Hacker heutzutage interessieren: Ihre Daten auf ihrem Smartphone, die Kreditkarten- und Kontodaten eines Webshops, das Designmodell für ein neues Auto oder gar den Stealth-Bomber. Niemals war es einfacher als heute, risikolose Fernspionage zu betreiben, Atomanlagen zu sabotieren, Konkurrenten auszuspähen oder zumindest in Mißkredit zu bringen.

Der Referent wird in einer Life-Hacking-Session verschiedene Techniken demonstrieren, mit denen Hacker, den Login einer Webanwendung umgehen, sich Administrationsrechte verschaffen, Kreditkartendaten des Kundenstamms besorgen und andere Dinge bewerkstelligen, die vom Entwickler der Anwendung sicher nicht beabsichtigt sind.

Ist ihre Webanwendung genauso einfach zu knacken? Sind nur Webanwendungen betroffen? Warum reicht Verschlüsselung der Kommunikation allein nicht aus? Was sind die am häufigsten ausgenutzten Schwachstellen? Welche Bedrohungen gibt es und welche Techniken kann man einsetzen, um sichere Anwendungen zu schreiben?

Die vorgestellten Software-Verwundbarkeiten sollten bei jeder heutigen IT-Entwicklung bedacht werden. Entwickler sollten die Problemstellen kennen und entsprechende Abwehr-Muster programmieren. IT Manager müssen sich überlegen, wie sie dieser neuen Bedrohung begegnen können. Checkpoints müssen aufgesetzt werden, bei denen abseits der reinen Funktionstests auch Security-Tests einer Anwendung durchgeführt werden.

Dauer: 90 min
Zielgruppen: Entwickler, Systemarchitekten, Projektmanager, IT Manager
URLs: http://www.webappsec.org/, https://www.owasp.org

Uhrzeit: 
09:30 - 10:15
Track: 
IT Security

Referenten