ESAPI 1.4: Security-Methoden für Webanwendungen

- 05. November 2008

Für jede der zehn häufigsten Angriffsarten auf Webanwendungen kennt ESAPI geeignete Gegenmaßnahmen.

Das Enterprise Security API (ESAPI), eine Beschreibung von Sicherheitsmaßnahmen für Webanwendungen, ist in Version 1.4 erschienen. Diese Release aktualisiert vor allem die Javadoc-Seiten und entfernt veraltete Schnittstellen.

ESAPI ist ein Unterfangen des Open Web Application Security Project (OWASP). Die Organisation sammelt Know-How zur Sicherheit von Webanwendungen, veranstaltet Konferenzen und entwickelt auch Security-Tools wie beispielsweise den HTTP-Analyse-Proxy Webscarab. zu den OWASP-Mitglieder gehören kleine Beratungsfirmen, Security-Anbieter wie Symantec und Branchenriesen wie IBM und Microsoft.

ESAPI beschreibt Methoden, die ein typische Webanwendung zur Absicherung benötigt. Dazu gehört die Bereinigung von Benutzereingaben, Schutz gegen Cross-Site-Scripting (XSS), Cross-Site Request Forgery (CSRF) und SQL-Injection. Weitere Methoden dienen der Zugangsbeschränkung für geschützte Inhalte, der Verschlüsselung von Kommunikation sowie einer geeigneten Fehlerbehandlung. Das Projekt stellt seiner Liste der zehn häufigsten Angriffsarten auf Webanwendungen jeweils geeignete Sicherheitsmaßnahmen entgegen.

Das ESAPI-Projekt rät Entwickler dazu, derartige Sicherheitsmethoden nicht immer neu nach eigenem Gutdünken umzusetzen, sondern auf das Know-How des OWASP-Projekts zu bauen, das nach eigenen Angaben das Wissen aus Penetration Testing und Code Review der vergangenen zehn Jahre versammelt.

Für jede der zehn häufigsten Angriffsarten auf Webanwendungen kennt ESAPI geeignete Gegenmaßnahmen.

Das API ist im Prinzip unabhängig von Betriebssystem-Umgebung und verwendeter Programmiersprache. Die derzeitige Referenzimplementierung ist allerdings in Java umgesetzt und bringt eine entsprechende Javadoc mit. Umsetzungen in Dotnet und PHP sind laut Projekt-Homepage in Arbeit.

Die Java-Implementierung von ESAPI 1.4 setzt Java 1.4.2 voraus, für Java-1.6-Anwendungen ist passender Code bereits in Quelltext-Kommentaren mitgeliefert. Die Referenz-Implementierung steht in Form von binären Jar-Dateien und als Quelltext-Archiv zum Download unter LGPL bereit. Die Macher laden zum Erfahrungsaustausch in ihre Mailingliste ein.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen