Web Application Security – Eine Buchvorstellung

Immer wieder dominieren Sicherheitsvorfälle im Zusammenhang mit Software die Schlagzeilen – mit verheerenden Folgen für Unternehmen und die Nutzer:innen. Und fast immer liegt der Ursprung solcher Vorfälle im Code und wäre vermeidbar gewesen: irgendein:e Entwickler:in hat Mist gebaut. Sei es aus Unwissenheit, einem „Wird schon passen“-Moment oder dem Druck, schnell Features für Kund:innen bereitzustellen.

Wir als Softwareentwickler:innen sollten es wissen: Softwarequalität ist nicht optional. Und Security – insbesondere im Web – ist eines der wichtigsten Qualitätsmerkmale überhaupt. Deshalb habe ich das Buch „Web Application Security“ von Andrew Hoffman in der zweiten Auflage von 2024 gelesen und mich entschlossen, es hier kurz vorzustellen.

Dieses Buch unterteilt sich in 3 große Bereiche: Recon, Offense und Defense.

Recon

Der erste Teil des Buches behandelt das systematische Sammeln von Informationen über eine Webanwendung, um Schwachstellen ausfindig zu machen. Dieses Thema kommt dem Autor, wie er schreibt, in der sonstigen Fachliteratur oft zu kurz. Dabei geht es z. B. darum, Subdomains über Suchmaschinen oder Webarchive zu entdecken oder per Developer Tools die API-Endpunkte einer Anwendung zu analysieren. Auch Third-Party Dependencies lassen sich oft leicht identifizieren – etwa durch Response-Header, 404-Seiten oder direkt im Frontend-Code. Mit diesem Wissen können über öffentliche CVE-Datenbanken gezielt bekannte Schwachstellen aufgedeckt werden.

Offense

Weiter geht es mit der Frage, wie man eine gefundene Sicherheitslücke ausnutzen kann. Behandelt werden dabei verschiedenste Schwachstellen wie Cross-Site Scripting, XML External Entities, Denial of Service oder Injections – viele von ihnen sind in den OWASP Top 10 vertreten [1]. Besonders hilfreich: Für jede Angriffsart gibt es konkrete Codebeispiele in JavaScript, die zeigen, wie der Angriff funktioniert – natürlich nicht, um ihn nachzubauen, sondern um zu verstehen, wie ein:e Angreifer:in vorgehen würde. Der Fokus liegt hier nicht auf Tools, sondern auf dem Verständnis typischer Sicherheitslücken und ihrer Auswirkungen.

Defense

Zum Schluss der für uns Softwareentwickler:innen wahrscheinlich relevanteste Teil: Was können wir tun, um unsere Webanwendung vor Angriffen zu schützen? Für jeden der im zweiten Teil behandelten Angriffe wird hier in einem Kapitel erläutert, wie man ihn verhindern oder zumindest deutlich erschweren kann. Außerdem geht der Autor auf sichere Konfiguration bspw. über Content Security Policies ein, auf die Wichtigkeit von Code Reviews auch in Bezug auf Sicherheitsaspekte oder auch darauf, wie man mit Hilfe von Threat Modeling Risiken frühzeitig erkennen kann.

Wem würde ich das Buch weiterempfehlen?

Web Application Security von Andrew Hoffman richtet sich an Webentwickler:innen, die sich intensiver mit dem Thema Sicherheit auseinandersetzen wollen. Das Buch bietet einen guten Überblick über die bekanntesten Angriffsarten im Web und erklärt anschaulich, wie diese funktionieren – oft mit kleinen Codebeispielen in JavaScript. Gerade für Entwickler:innen, die Sicherheitsaspekte bisher eher haben „mitlaufen“ lassen, ist das Buch ein guter Einstieg hin zu einer bewussteren Herangehensweise.

Einen Hinweis möchte hier jedoch noch geben: Am Anfang gibt es ein, zwei Kapitel, die man ruhig überspringen kann, wenn man schon mal eine Webanwendung gebaut hat. Dort werden einige Grundlagen erklärt wie „Was ist eine API?“ oder „Was ist eine Single Page Application?“ – Dinge, die den meisten Webentwickler:innen vertraut sein dürften.

Besonders hat mir gefallen, dass das Buch versucht, Konzepte zu vermitteln und weniger Tools. Jemand, der wissen möchte, wie man mit Framework X Angriff Y verhindert, wird hier nicht fündig. Aber genau das macht das Buch langfristig wertvoll: Es vermittelt ein Verständnis, das unabhängig vom verwendeten Tech Stack nützlich bleibt.

 

[1]	https://owasp.org/www-project-top-ten/, zuletzt aufgerufen am 08.07.2025