Security im E-Commerce: Absicherung von Shopsystemen wie Magento, Shopware und OXID
Von Tobias Zander
()
Über dieses E-Book
Es werden neben den häufigsten Angriffsszenarien wie XSS, Injection oder CSRF auch Exoten wie Pixel Perfect Timing beschrieben und mögliche Verteidigungsmethoden besprochen. Die Beispiele beruhen dabei auf der langjährigen Erfahrung des Autors und sind zum Großteil auch für Applikationen außerhalb des E-Commerce wie CMS-Projekte, Blogs oder Intranetapplikationen interessant.
Zudem werden Frameworks und Tools analysiert, die helfen, Ihre Applikation mit möglichst geringem Aufwand abzusichern.
Mehr von Tobias Zander lesen
schnell + kompakt
Ähnlich wie Security im E-Commerce
Titel in dieser Serie (20)
Agile Softwareentwicklung: Ein Leitfaden für Manager Bewertung: 0 von 5 Sternen0 BewertungenAbofallen im Netz: Wie Sie teure Klicks vermeiden Bewertung: 0 von 5 Sternen0 BewertungenZertifizierung für Softwarearchitekten: Ihr Weg zur iSAQB-CPSA-F-Prüfung Bewertung: 0 von 5 Sternen0 BewertungenJavaScript für Java-Entwickler Bewertung: 0 von 5 Sternen0 BewertungenNeo4j 2.0: Eine Graphdatenbank für alle Bewertung: 0 von 5 Sternen0 BewertungenSQL-Abfragen optimieren: Was Entwickler über Performance wissen müssen Bewertung: 0 von 5 Sternen0 BewertungenSecurity im E-Commerce: Absicherung von Shopsystemen wie Magento, Shopware und OXID Bewertung: 0 von 5 Sternen0 BewertungenCloud Computing: Rechtliche Grundlagen Bewertung: 0 von 5 Sternen0 BewertungenJavaScript und TypeScript für C#-Entwickler Bewertung: 0 von 5 Sternen0 BewertungenVorsicht Suchmaschine: Rechtliche Tipps für Google und Co. Bewertung: 0 von 5 Sternen0 BewertungenCSS3: Die Referenz für Webentwickler Bewertung: 0 von 5 Sternen0 BewertungenJavaScript für Java-Entwickler Bewertung: 0 von 5 Sternen0 BewertungenIhr Recht bei Onlineauktionen. Juristische Tipps für eBay und Co. Bewertung: 0 von 5 Sternen0 BewertungenDynamic Proxies: Effizient programmieren Bewertung: 0 von 5 Sternen0 BewertungenJavaScript für Java-Entwickler Bewertung: 0 von 5 Sternen0 BewertungenCrime Scene Internet: Ein Streifzug durch das Computer- und Internetstrafrecht Bewertung: 0 von 5 Sternen0 BewertungenIhr Recht als Blogger: Juristische Tipps für Blogs, Podcasts und Co. Bewertung: 0 von 5 Sternen0 BewertungenZertifizierung für Softwarearchitekten: Ihr Weg zur iSAQB-CPSA-F-Prüfung Bewertung: 0 von 5 Sternen0 BewertungenSQL Server: Performanceprobleme analysieren und beheben Bewertung: 0 von 5 Sternen0 BewertungenIhr Recht als Programmierer: Juristische Tipps für Angestellte, Selbstständige und Freelancer Bewertung: 0 von 5 Sternen0 Bewertungen
Ähnliche E-Books
Hacking mit Python: Fehlersuche, Programmanalyse, Reverse Engineering Bewertung: 0 von 5 Sternen0 BewertungenSicherheit von Webanwendungen in der Praxis: Wie sich Unternehmen schützen können – Hintergründe, Maßnahmen, Prüfverfahren und Prozesse Bewertung: 0 von 5 Sternen0 BewertungenJava-Web-Security: Sichere Webanwendungen mit Java entwickeln Bewertung: 0 von 5 Sternen0 BewertungenHacking mit Metasploit: Das umfassende Handbuch zu Penetration Testing und Metasploit Bewertung: 0 von 5 Sternen0 BewertungenSicher ins Netz: Mit einfachen Mitteln entspannt online gehen Bewertung: 0 von 5 Sternen0 BewertungenSharePoint Kompendium - Bd. 20 Bewertung: 0 von 5 Sternen0 BewertungeniOS Security: Sichere Apps für iPhone und iPad Bewertung: 0 von 5 Sternen0 BewertungenSicherheit in vernetzten Systemen: 26. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenPasswortsicherheit und Digitale Identität: Wie man die Passwortsicherheit erhöht! Bewertung: 0 von 5 Sternen0 BewertungenEinfach Verschlüsseln Bewertung: 0 von 5 Sternen0 BewertungenBasiswissen Sichere Software: Aus- und Weiterbildung zum ISSECO Certified Professionell for Secure Software Engineering Bewertung: 0 von 5 Sternen0 BewertungenBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Bewertung: 3 von 5 Sternen3/5Sicherheit in vernetzten Systemen: 28. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenDie Effizienz von Security Monitoring und Log Management: IT-Systeme und -Dienste unter Beschuss Bewertung: 0 von 5 Sternen0 BewertungenIT-Sicherheit für Internet- und Windows 10 Nutzer*innen: Hilfe, mein PC hat einen Virus eingefangen! Bewertung: 0 von 5 Sternen0 BewertungenSicherheit in vernetzten Systemen: 23. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenBasiswissen Sicherheitstests: Aus- und Weiterbildung zum ISTQB® Advanced Level Specialist – Certified Security Tester Bewertung: 0 von 5 Sternen0 BewertungenHacken mit Kali-Linux: Schnelleinstieg für Anfänger Bewertung: 0 von 5 Sternen0 BewertungenManipulationssichere Cloud-Infrastrukturen: Nachhaltige Digitalisierung durch Sealed Cloud Security Bewertung: 0 von 5 Sternen0 BewertungenNetzwerkprotokolle hacken: Sicherheitslücken verstehen, analysieren und schützen Bewertung: 0 von 5 Sternen0 BewertungenMobile Security: Schwachstellen verstehen und Angriffsszenarien nachvollziehen Bewertung: 0 von 5 Sternen0 BewertungenSecurity für Data-Warehouse- und Business-Intelligence-Systeme: Konzepte, Vorgehen und Praxis Bewertung: 0 von 5 Sternen0 BewertungenSicherheit in vernetzten Systemen: 24. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenSemantische Datenintelligenz im Einsatz Bewertung: 0 von 5 Sternen0 BewertungenVirenschutz Regeln gegen Spam, Phising und Co.: so kannst du deinen Computer schützen. Bewertung: 0 von 5 Sternen0 BewertungenProjekt Eureka bei Investments Unlimited: Der Roman über DevOps, Sicherheit, Audit, Compliance und Erfolg im digitalen Zeitalter Bewertung: 0 von 5 Sternen0 BewertungenPraxis-Ratgeber Sicherheit im Internet: So surfen Sie sicherer Bewertung: 0 von 5 Sternen0 BewertungenQuick Guide Consent-Management: Einwilligungen marketingoptimiert und DSGVO-konform einholen, verwalten und dokumentieren Bewertung: 0 von 5 Sternen0 BewertungenImplementierung von Lizenzmodellen in .NET Bewertung: 0 von 5 Sternen0 Bewertungen
E-Commerce für Sie
Google Ads: Von Google Analytics über Google Shopping bis zu Google Adwords - in diesem Ratgeber findest du alles, was du über Google wissen musst. Bewertung: 0 von 5 Sternen0 BewertungenGrundlagen des Marketing: Einführung, Konzeption, Print, Online, Werbung, Branding, Media, PR, Marketingmix Bewertung: 0 von 5 Sternen0 BewertungenGrundlagen des Online Marketing: Digital Marketing, SEO, Storytelling, Inbound-Marketing, Funnel Bewertung: 0 von 5 Sternen0 BewertungenPsychologie im Online-Marketing: Sozialwissenschaftliche Erkenntnisse und ihre Bedeutung für Marketing und Werbung im Web Bewertung: 0 von 5 Sternen0 BewertungenIdeen Für Passive Einkommen: Financial Investments Bewertung: 0 von 5 Sternen0 BewertungenManipulative Werbetexte: Ein praktischer Ratgeber zur Erkennung und Benennung von beeinflussenden Methoden Bewertung: 0 von 5 Sternen0 BewertungenAmazon FBA Meisterung: Online Trading Bewertung: 0 von 5 Sternen0 Bewertungen30 Minuten Suchmaschinenmarketing Bewertung: 0 von 5 Sternen0 Bewertungen30 Minuten Online-Marketing Bewertung: 0 von 5 Sternen0 BewertungenDas kleine Hypnose Einmaleins - Alles was Sie schon immer über die Hypnose wissen wollten von Ewald Pipper vom Hypnoseinstitut Bewertung: 0 von 5 Sternen0 BewertungenDigital Marketing Leitfaden: Strategien für Wachstum Bewertung: 5 von 5 Sternen5/5Hamsterrad Adieu: Mit Büchern, T-Shirts, Nischenseiten & Co. ein automatisiertes Online-Business aufbauen, um mehr freie Lebenszeit zu gewinnen Bewertung: 0 von 5 Sternen0 BewertungenBusiness-Englisch beherrschen.: Business-Englisch beherrschen, #1 Bewertung: 0 von 5 Sternen0 BewertungenOnline-Marketing Konzept: Digital Marketing erfolgreich planen, umsetzen & optimieren Bewertung: 0 von 5 Sternen0 BewertungenAmazon KDP und Amazon Marketing: Passives Einkommen mit Self-Publishing auf Amazon — Die Schritt-für-Schritt-Anleitung, um Geld im Internet zu verdienen Bewertung: 0 von 5 Sternen0 BewertungenCopywriting: Überzeugende Worte, die verkaufen Bewertung: 0 von 5 Sternen0 BewertungenSeo Guru: Suchmaschinenoptimierung für Anfänger, Fortgeschrittene und Profis Bewertung: 0 von 5 Sternen0 BewertungenIhr erstes Startup Bewertung: 0 von 5 Sternen0 BewertungenKryptowährungen: Insiderwissen Für Den Handel, Das Investment Und Mining Bewertung: 0 von 5 Sternen0 BewertungenLinkedin Marketing Business: Wie Sie mit der "DASKY Methode" Ihre Content Marketing & Social Selling Strategie erstellen und Neukunden gewinnen Bewertung: 0 von 5 Sternen0 BewertungenVerbraucherrechte beim Onlineshopping: Juristische Fallstricke erkennen und vermeiden Bewertung: 0 von 5 Sternen0 BewertungenRaus aus dem Stundenlohn: Nie wieder für andere arbeiten und Lebenszeit verkaufen Bewertung: 0 von 5 Sternen0 BewertungeneCommerce Grundlagen: Der Leitfaden für den erfolgreichen Einstieg in den Online-Handel Bewertung: 0 von 5 Sternen0 BewertungenBusiness Science: Die besten Praxis-Tipps aus den renommiertesten 132 Büchern seit 2.500 Jahren Bewertung: 0 von 5 Sternen0 BewertungenDropshipping: Online-Business leicht gemacht Bewertung: 0 von 5 Sternen0 BewertungenMonatlich über 1000 Euro nebenbei: Wie Sie mit Angeboten auf Fiverr.com ein attraktives Nebeneinkommen oder eine neue Selbstständigkeit aufbauen Bewertung: 0 von 5 Sternen0 Bewertungen
Rezensionen für Security im E-Commerce
0 Bewertungen0 Rezensionen
Buchvorschau
Security im E-Commerce - Tobias Zander
tobias.zander@sitewards.com.
1 Sicher, aber wo anfangen?
In diesem Kapitel geht es zunächst um die Definition von Sicherheit. Wer entscheidet eigentlich, was sicher ist? Welche Organisationen und Dokumente gibt es und wo können Sie diese finden und Unterstützung erhalten?
1.1 Die Lage der Nation
1.1.1 NSA
Es ist wohl aktuell kaum möglich, ein Buch über Websecurity zu schreiben, ohne zumindest kurz auf die Vorkommnisse einzugehen, die quasi die ganze Welt aufgeweckt haben. Dass viele Webserver und deren Software heutzutage nicht wirklich sicher sind, ist kein großes Geheimnis, und je mehr Aufwand man betreibt, desto größer wird die Wahrscheinlichkeit, dass man auch Zugriff auf ein System bekommt. Doch was wirklich klar wurde, ist, dass kein System wirklich sicher ist. Je nach Höhe der Mittel, die dem Angreifer zur Verfügung stehen, ist der Kampf nahezu aussichtslos. Das ist aber kein Grund, die Flinte ins Korn zu werfen, denn auch wenn man sich gegenüber mächtigen Institutionen wie der NSA nicht wirklich absichern können wird, so gibt es auch zahlreiche weitere Gefahren, z. B. Scriptkiddies, Trickbetrüger oder die Konkurrenz, die Interesse an meinen Daten hat oder sich einen Vorteil davon erhofft, meinem Ruf zu schaden.
1.1.2 Ponemon Institute
Doch nicht erst seit dem NSA-Skandal ist Security wieder ein Thema. Erst kürzlich wurde vom Ponemon Institute eine Umfrage veröffentlicht, in der 73 Prozent der befragten Unternehmen zugaben, mindestens einmal in den letzten zwei Jahren gehackt worden zu sein.
Dabei ist es auch interessant, dass vielen gar nicht bekannt ist, welcher finanzielle Schaden dadurch entstanden ist bzw. entstehen kann. 47 Prozent der Befragten schätzten die Kosten auf 100 000 bis 500 000 $. Ein Viertel der Befragten konnte gar keine Schätzung dazu abgeben.
Zudem gaben 88 Prozent der Teilnehmer an, dass ihr Kaffeebudget in der Firma (im Schnitt 30 $ pro Mitarbeiter pro Monat) höher ist als das der Web Application Security.
Das komplette Ergebnis der Umfrage können Sie unter https://www.barracuda.com/assets/docs/white_papers/barracuda_web_app_firewall_wp_cenzic_exec_summary.pdf nachlesen.
1.1.3 Forrester
Auch Forrester veröffentlicht regelmäßig Statistiken und Umfragen zum Thema Websecurity. Interessant ist dabei u. a., dass 70 Prozent aller Sicherheitslücken auf dem Web Application Layer zu finden sind, also in der Software, die wir entwickeln und für die wir selbst verantwortlich sind!
Auch geht aus den Ergebnissen der Umfragen immer wieder hervor, dass die größte Herausforderung bei der Entwicklung von sicherer Software das Finden von geschultem Personal in ausreichender Menge ist. Es reicht leider nicht, einen Experten im Team zu haben, sondern bereits bei der Planung der Architektur und später bei der Implementierung jedes einzelnen Moduls muss darauf geachtet werden. Und am Ende, wenn etwas schief geht, interessiert es niemanden, wer den Fehler implementiert hat. Daher ist es an uns, das entsprechende Wissen auch weiterzugeben und ständig auf dem aktuellen Stand zu bleiben.
Sie haben nun erfahren, dass es 100 Prozent Sicherheit nicht geben kann. In den folgenden Kapiteln wollen wir uns anschauen, wie man nun zumindest die wichtigsten Maßnahmen ergreifen kann.
1.2 OWASP
Das Open Web Application Security Project (OWASP) ist eine der wichtigsten Institutionen, die das Thema Web Security stark vorantreibt. Der Grundsatz ist es, Web Security sichtbar zu machen, was dadurch geschieht, dass viele Beiträge zu den Themen geschrieben, und auch entsprechende Videos zu bestimmten Themen produziert oder von Vorträgen aufgezeichnet werden.
Abbildung 1.1: Das Logo der OWASP
Die OWASP ist eine Non-Profit-Vereinigung, es steht keine Firma dahinter, was einerseits die Unabhängigkeit gewährleistet, doch andererseits ist es natürlich nicht immer einfach, die nötigen Gelder aufzutreiben.
Es gibt zudem eine ganze Liste an Projekten, wie z. B. ein XSS-Tool, das Zed Attack Proxy (Kapitel 7.1) oder Webgoat, eine Webanwendung, die absichtlich unsicher programmiert wurde, um so eine praktische Anleitung zu bieten, sichereren Code zu schreiben.
1.2.1 Wiki
Einer der Hauptbestandteile ist sicherlich das Wiki, zu finden unter http://www.owasp.org. Dort sind über 1 000 Mitglieder aktiv und pflegen die Seiten zu den diversen Projekten. Einziger Nachteil ist, dass das Wiki durch die große Menge an Beiträgen ein wenig unübersichtlich geworden ist, doch aufgrund der zahlreichen Verlinkungen findet man selbst mit der Google-Suche relativ schnell den entsprechenden Content.
Besonderes Augenmerkt sollte u. a. auf die Cheat Sheets geworfen werden, die begleitend zu diesem Buch eine sehr gute Hilfe bieten, wie man sich gegen einige Sicherheitsprobleme schützen kann.
1.2.2 Chapters
Die Organisation unterteilt sich in verschiedene Chapters, meist nach Ländern getrennt und über den ganzen Globus verteilt. Zudem hat zum Beispiel der Germany Chapter weitere Unterteilungen in diverse lokale Gruppen, wie z. B. Rhein-Main-Gebiet oder Hamburg. Diese Chapters treffen sich dann in regelmäßigen Abständen und tauschen sich über aktuelle Sicherheitsthemen aus. Die meisten Mitglieder kommen bisher aus der Java-Welt, doch auch PHP- oder Ruby-Entwickler sind herzlich willkommen. Ich als PHP-Entwickler wurde zunächst zwar belächelt, doch ich wurde sehr schnell akzeptiert, nachdem ich gezeigt habe, dass auch uns das Thema ernst ist!
Zudem gibt es auch zahlreiche Mailing-Listen zu diversen Themen, in die man sich einschreiben und an denen man auch aktiv teilnehmen kann.
Zudem werden Events gemeinnützig veranstaltet. Die bekannteste europäische Veranstaltung ist dabei sicherlich die AppSecEU, die 2013 in Hamburg stattfand und im Juni 2014 in Cambridge stattfinden wird. Die Liste der Speaker ist international und hochkarätig besetzt.
1.2.3 Top 10
Doch was sind überhaupt die wichtigsten Sicherheitsprobleme? Dieser Frage hat sich die OWASP mit ihrem wohl bekanntesten Projekt der OWASP Top 10 gewidmet, wo bisher alle drei Jahre eine Liste der riskantesten Sicherheitslücken erstellt wurden. Die aktuelle Version wurde 2013 veröffentlicht, und um nicht nur aufzuzeigen, wie groß der technische Impact ist, wurde eine Einstufung nach Risiken vorgenommen. Hier ist unter anderem auch die wirtschaftliche Sicht berücksichtigt:
Wie hoch ist der finanzielle Schaden?
Kann das Ausnutzen der Lücke zu einem Reputationsverlust führen?
Wie viele persönliche/sensitive Daten können veröffentlicht werden?
Neben der globalen Top-10-Liste gibt es auch noch einen Ableger für Mobile Development, der sich speziell an Produzenten für mobile Apps richtet, und aktuell ist eine OWASP Top 10 für Entwickler in Arbeit, die sich speziell an Entwickler richtet und u. a. auch mit mehr technischem Background und Codebeispielen in möglichst vielen Sprachen aufwarten soll.
Dies sind die Top 10 der Liste von 2013 mit einer Referenz, wo in diesem Buch das jeweilige Problem besprochen wird:
Injection (Kapitel 3.1)
Broken Authentication and Session Management (Kapitel 4.2 und 4.3)
Cross-Site Scripting (Kapitel 2)
Insecure Direct Object References (Kapitel 4.5)
Security Misconfiguration (Kapitel 4.6)
Sensitive Data Exposure (Kapitel 5.1)
Missing Function Level Access Control (Kapitel 4.1)
Cross-Site Request Forgery (Kapitel 3.3)
Using Components with known Vulnerabilities (Kapitel 6 und 7)
Unvalidated Redirect and Forwards (Kapitel 4.5.2)
1.3 CWE/SANS Top 25
Analog zur OWASP Top 10 erscheint regelmäßig die „CWE & SANS Institute Top 25 of most dangerous software errors". Diese fokussiert sich nicht nur auf Webapplikationen, hat aber doch zahlreiche Überschneidungen und sollte entsprechend beachtet werden, wenn man sich mit dem Thema auseinandersetzt.
Die Common Weakness Enumeration (CWE) bezeichnet sich selbst als Wörterbuch, um die verschiedenen Softwareschwachstellen zu beschreiben und arbeitet ähnlich wie die OWASP communitygetrieben, wird aber von Spenden des Cybersecurity and Communications Department der Homeland Security unterstützt.
Die SANS ist eine kommerzielle Firma, die sich auf Trainings und Zertifizierungen rund um das Thema Sicherheit spezialisiert hat.
Lassen Sie uns die Liste der Top-25-Schwachstellen genauer anschauen. Wiederum werden Kapitel entsprechend referenziert, sofern es detaillierte Informationen dazu in diesem Buch gibt:
Improper Neutralization of Special Elements used in SQL Command (Kapitel 3.1.1)
Improper Neutralization of Special Elements used in an