OWASP API Security Top 10 – Wie APIs angegriffen werden und wie Entwickler sicher entwickeln können

Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit im Web verbessern will. Ihre bekannteste Veröffentlichung ist die „OWASP Top 10“, eine Liste der zehn kritischsten Schwachstellen in Webanwendungen. Ende 2019 hat das OWASP außerdem eine Liste von Sicherheitsrisiken in Schnittstellen veröffentlicht.
Der Vortrag stellt anhand der „OWASP API Security Top 10“ Angriffe auf Schnittstellen vor. Er zeigt ihre Ursachen und erläurtert, welche Maßnahmen bei der Entwicklung dagegen helfen.

Vorkenntnisse

Zuhörer sollten mit den Grundlagen der Entwicklung von Schnittstellen vertraut sein. Idealerweise, aber nicht notwendig, sollten sie auch neuere Techniken wie Cross-Origin Resource Sharing (CORS) oder JSON Web Token (JWT) kennen. Der Vortrag erfordert keine Vorkenntnisse über Schwachstellen oder sichere Entwicklung.

Lernziele

* Was muss beim Umsetzen von Mechanismen zur Authentifizierung und Autorisierung beachtet werden?
* Warum darf man sich nicht auf Standardeinstellungen von Frameworks und Komponenten verlassen?
* Welche Sicherheitslücken können durch fehlende Eingabevalidierung entstehen?
* Wie kann eine Schutzmaßnahme wie Rate Limiting womöglich umgangen werden?

Wesentlich soll das Bewusstsein dafür geschärft werden, dass „Sicherheit“ nicht mit Abarbeiten einer Top-10-Liste entsteht.
Zudem soll das Interesse zur tiefergehenden Beschäftigung mit Sicherheitsaspekten geweckt werden.

 

Speaker

 

Frank Ully
Frank Ully studierte Technische Redaktion, baute die Unternehmenskommunikation eines Softwareherstellers auf und leitete sie einige Jahre. Später war er dort für IT-Sicherheit verantwortlich. Berufsbegleitend schloss er das Masterstudium Security Management ab. Im November 2017 begann er bei Oneconsult Deutschland, wo er seit April 2018 als Senior Penetration Tester & Security Consultant tätig ist.

Gold-Sponsoren

WIBU Systems
Xanitizer

Silber-Sponsoren

Cologne Intelligence
Wings-Fernstudium

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden