Thema
Kategorisierung von Sicherheitsmängeln in Webanwendungen
Einführung
Sicherheit spielt in der IT-Branche eine wichtige Rolle. Aktuell werden immer wieder Informationen über kritische Sicherheitsmängel und Skandale von Datenmissbrauch öffentlich: Begebenheiten, die aus der Sicht der Softwaretechnik leicht vermeidbar wären.
Webbasierte Applikationen sind wohl am häufigsten von Sicherheitsmängeln betroffen. Dieses Problem sollte schon an der Wurzel, d.h. während der Entwicklung eines Programms, berücksichtigt werden. Entwickler sollten Methoden zur Erkennung von Sicherheitslücken zur Verfügung stehen, die Programmausführungen oder Programmcode nach bekannten Problemmustern durchsuchen und mögliche Probleme an den Entwickler melden.
In vielleicht nicht allzu ferner Zukunft könnte eine „Security-Test-Suite“ schon zum Standardrepertoire der Entwicklungswerkzeuge für webbasierte Anwendungen gehören.
Aufgabenstellung
Ziel dieses Projektes ist es bekannte (und evtl. auch unbekannte) Sicherheitslücken in Technologien für Webanwendungen zusammenzutragen und als Muster zu kategorisieren. Später sollten geeignete Methoden zur Erkennung solcher Fehlermuster entwickelt werden. Der Entwickler einer Webanwendung kann dies in Mustern aggregierte Wissen über Sicherheitslücken z.B. in Form eines Tools (Security-Test-Suite) einsetzen um eine Anwendung auf Sicherheitslücken zu überprüfen. Folgende Aspekte sind in diesem Projekt zu bearbeiten:
- Einarbeitung in verschiedene Technologien webbasierter Anwendungen
- Sammlung, Analyse und Kategorisierung bekannter Sicherheitsprobleme
- Recherche nach, bzw. Entwurf von Methoden zur Vermeidung oder Erkennung von Sicherheitsproblemen nach Kategorien
- Illustration dieser Methoden an Beispielen
Links
Team
Christian Dormann, Yvonne Maydt und Sebastian Stiller
