Teil I. Aufklären

Statt eines technischen Überblicks, den du an mehreren Stellen in Web Application Security finden kannst, beginne ich diesen Teil des Buches mit einem philosophischen Überblick.

Um Webanwendungen effizient auszunutzen, ist ein breites Spektrum an Fähigkeiten erforderlich. Einerseits braucht ein Hacker Kenntnisse über Netzwerkprotokolle, Softwareentwicklungstechniken und häufige Schwachstellen in verschiedenen Anwendungstypen. Andererseits muss der Hacker auch die Anwendung verstehen, die er ins Visier nimmt. Je detaillierter dieses Wissen ist, desto besser und anwendbarer ist es.

Der Hacker sollte den Zweck der Anwendung aus einer funktionalen Perspektive verstehen. Wer sind die Nutzer? Wie generiert die Anwendung Einnahmen? Aus welchem Grund wählen die Nutzer die Anwendung gegenüber der Konkurrenz aus? Wer sind die Konkurrenten? Welche Funktionen bietet die Anwendung?

Ohne ein tiefes Verständnis der Zielanwendung aus einer nichttechnischen Perspektive ist es tatsächlich schwierig zu bestimmen, welche Daten und Funktionen wichtig sind. Eine Webanwendung, die für den Autoverkauf genutzt wird, könnte zum Beispiel die Speicherung von Objekten, die zum Verkauf stehende Autos darstellen (Preis, Bestand usw.), als geschäftskritische Daten betrachten. Bei einer Hobby-Website, auf der Autofans Änderungen an ihren Autos veröffentlichen und mit anderen teilen können, sind die Benutzerkonten vielleicht wertvoller als das Inventar auf dem Profil eines Benutzers.

Das Gleiche ...