Vermeidung der OWASP Top 10 für eXperts

25. März 2014

Auf einem der letzten “SDX Office Day” (eine monatliche, interne Veranstaltung der SDX mit technischen Vorträgen, Workshops und Diskussionsrunden) konnte ich die OWASP Top 10 (2013) wieder einem breiteren Entwickler-Publikum vorstellen.

Immer noch lag “Injection” im Jahr 2013 auf Platz 1. XSS hat mit “Broken Authentication and Session Management” (jetzt Platz 2) den Platz getauscht und lag 2013 auf Platz 3.

Zu jedem Punkt der Liste gab es Beispiele und Tipps, wie Probleme dieser Art im eigenen Projekt zu vermeiden sind. Zusätzlich konnten wir noch weitere Themen wie unsicheres Passwort-Hashing des ASP.NET Membership-Providers bei Einsatz des Visual Studio 2010 oder problematisches Scaffolding bei Generierung der ASP.NET MVC Controller abhandeln. Zum Abschluss gab es noch eine Übersicht nützlicher Tools für den Selbstversuch (z.B. Havij als eines meiner Lieblings-Tools für den Test auf SQL-Injection).