Web Application Security - Wo starten?

HaBj

New member
#1
Hallo zusammen,

kurz zum Hintergrund: Ich habe Informatik studiert (>10 Jahre her), und seitdem in der Applikationsentwicklung gearbeitet.

Jetzt bin ich in die Webentwicklung gewechselt, und würde mich gerne speziell im Bereich Security verstärkt fortbilden/einlesen (Web Application Security).
Ich habe mich in den letzten Tage mal in die Klassiker wie XSS, SQL-Injection, etc. eingelesen. Alles, was man auf den einschlägigen IT-Portalen die letzten Jahre mal gelesen hat. Aktuell arbeite ich daran, mir ein Lab aufzubauen, um das alles mal durchspielen zu können.
Mit dem Ziel, mich mit dem Wissen mal auf meine, bzw. die Arbeit meines Teams zu stürzen :)
Aber ich merke, dass mir so richtig an Überblick fehlt ("Joa, okay, XSS, klar soweit... aber was gibt's noch?")

Könnt ihr eine oder mehrere Quelle (Seite, Buch) empfehlen, wo man relativ allgemein an das Thema herangeführt wird, und sich dann wie z.B. im Board hier in die Einzelthemen tiefer einarbeiten kann?

Ich habe mal gehört, dass "The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws" ganz gut sein soll, aber recht stark auf Tools der Autoren basiert. Das finde ich nicht gut/angemessen. Und sowas wie "Hacken mit Kali-Linux" scheint mich sehr allgemein zu sein. Ich will ja nicht "hacken" im klassischen Sinne, mit allen Mitteln, sondern Web Applikationen sicherer machen.
Ich fände es echt cool, wenn ihr mir ein Paar Artikel oder Bücher hier reinballern könntet, in denen man sich in die Grundlagen (s.o.) und alles, was es im Bereich Web Application Security noch so gibt, einlesen kann.

Dank an Euch schon mal!
 
#2
Der Beste Anlaufpunkt für Webapp-Security ist noch immer das OWASP-Projekt: OWASP Dort sollte man als Webentwickler das OWASP Top Ten Project im Auge behalten: Category:OWASP Top Ten Project - OWASP Dort findest du die 10 häufigsten Angriffsmethoden: Category:OWASP Top Ten 2017 Project - OWASP (2017... 2018 ist noch nicht raus)

In deren Wiki findest du aber auch zu jeder Menge eher selten eingesetzten Angriffsmethoden ein paar Infos. Wenn du dir einen Überblick verschaffen willst, dann schau dir die Kategorie "Attack" an: Category:Attack - OWASP Von da kann man sich dann eigentlich recht gut durch die Links hangeln.
 
Oben