Wir haben ein Audit bei einem externen Penetrationstester durchlaufen und die Ergebnisse waren lehrreich. OWASP Top 10 ist ein Minimum, kein Maximum.
SQL Injection¶
Immer noch Nummer eins. In JPA: parametrisierte Abfragen verwenden. Niemals JPQL mit Benutzereingaben. Für natives SQL: PreparedStatement, niemals Statement.
XSS¶
Output Encoding — jede Ausgabe in HTML muss escaped werden. In JSF ist das der Standard (EL-Expressions). Vorsicht bei h:outputText mit escape=false.
CSRF¶
CSRF-Token in jedem Formular. JSF hat eingebauten CSRF-Schutz (ViewState). Für REST-APIs: benutzerdefinierter Token im HTTP-Header.
Session Management¶
HTTPS überall. Cookie-Flags: Secure, HttpOnly, SameSite. Session-Timeout von 30 Minuten (15 für Banken). Session-ID-Regenerierung nach dem Login.
Security Headers¶
Apache Reverse Proxy fügt hinzu: X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security.
Lektion¶
Jede Anwendung muss ein Sicherheitsaudit durchlaufen. Internes Code Review reicht nicht aus — Sie brauchen einen externen Penetrationstest.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns