Denken Sie wie ein Hacker und schließen Sie die Lücken in Ihrer Webapplikation, bevor diese zum Einfallstor für Angreifer wird.

Gute deutschsprachige Bücher, die das Thema Webapplikationen und Hacking bzw. Penetrationstests behandeln, sind selten. Das vorliegende Buch mit 504 Seiten wagt sich an dieses Thema heran. Zielgruppe sind primär Software-Entwickler, die sicheren Code schreiben wollen. Penetrationstester werden nicht explizit als Zielgruppe genannt, jedoch überlappen sich die Themen zwangsweise. Ein Auszug aus den Hauptüberschriften gibt die Themen vor: Session-Angriffe, Cross-Site-Scripting, Angriffe auf nachgelagerte Datenbanksysteme (Injections, SQL-Injections, LADP, XPATH), Sicherheit von Authentifizierungsmechanismen, File Inclusion, logische Fehler, Informationspreisgabe, UI-Redressing.

Etwas eigenartig ist, dass der Versuch unternommen wurde, einige gängige englischsprachige Begriffe, wie z. B. „Information Disclosure“, ins Deutsche zu übersetzen. Das ergibt dann etwas sperrig: Informationspreisgabe. Diese Versuche bleiben glücklicherweise selten. Weshalb UI-Redressing keine deutsche Entsprechung fand, Information Disclosure jedoch schon, bleibt leider im Verborgenen.

Beim ersten Blick ins Buch meint man, ein Exemplar in der Hand zu halten, das im Druckerschwärzesparmodus produziert wurde. Die hauchdünnen Schriften mögen bei Tageslicht gut zu lesen sein, wer jedoch gerne noch abends liest, wird hier überdurchschnittlich oft auf künstliche Lichtquellen zurückgreifen müssen. Dass es bei Franzis auch ganz anders geht, zeigt „Hacking Handbuch. Penetrationstests planen und durchführen“.

Weshalb die Tabellen in einem Pseudo-ASCII-Stil gestaltet wurden, der die Lesbarkeit eher hindert, ist unklar. Beim Lektorat wurde offensichtlich gespart, eine Überschrift heißt z.B. „fett gedruckter Text“ oder auch „Fettdruck“, was peinlich für den Verlag ist. Dass auch Fehler in einem SQL-Injection-Befehl zu finden sind, wundert da freilich nicht. Ebenso nicht nachvollziehbar ist, weshalb die Zeilen bei einer E-Mail mit 001, 002 usw. nummeriert sind, obwohl nie auf die Zeilen verwiesen wird.

Aber das sind kleine Äußerlichkeiten, wichtig ist der Inhalt. Und hier punktet das Buch voll, indem es einen guten Überblick über die Themen gibt. Entwickler finden hier eine herausragende Beschreibung, wie sichere Software erstellt werden soll. Jedes Thema wird ausreichend beschrieben und erklärt.

Ist das Buch für Penetrationstester geeignet?

Der Autor geht zwar nur nebenbei darauf ein, wie ein Penetrationstest in den unterschiedlichen Bereichen einer Webanwendung stattfinden soll. Dennoch ist die Beschreibung der Sicherheitslücken gut und nachvollziehbar. Wer einen Begriff aus der IT-Sicherheit von Webanwendungen in verständlichem Deutsch erklärt haben will, ist mit dieser Literatur gut bedient. Schäfers gibt auf 90 Seiten im Anhang eine wertvolle Zusammenfassung von Test-Tools. Jede Software wird kurz beschrieben und auf deren Eigenheiten wird eingegangen.

Fazit von „Hacking im Web“ von Tim Philipp Schäfers, Franzis Verlag

Für Software-Entwickler wird dieses Buch wärmstens empfohlen. Zu oft finden sich noch Sicherheitslücken in Webanwendungen wieder, was nicht sein müsste. Penetrationstester werden von diesem Buch ebenso profitieren, werden doch Angriffe gut erklärt und beschrieben. Mit unserer persönlichen Referenz „The Web Application Hacker’s Handbook“ ergänzt, ist es hervorragend geeignet, sich dem Thema Sicherheitstests gewinnbringend zu nähern. Als aktuelles deutschsprachiges Buch ist es einzigartig am Markt.

Tim Philipp Schäfers: Hacking im Web, 2016, Franzis Verlag.

Urheberrecht des Beitragsbildes: © by 123RF.com