1 Einleitung
2 Theoretische Grundlagen
2.1 Definitionen
2.1.1 Schutzziele in der IT-Sicherheit
2.1.2 Rich-Internet-Application / Single-Page-Application
2.1.3 REST-API
2.2 Vorstellung der Webtechnologien
2.2.1 Angular
2.2.2 ASP.NET MVC
2.2.3 ASP.NET Core als REST-API
2.3 Methodische Vorgehensweise
3 Angriffsmethoden
3.1 Cross-Site Scripting (XSS)
3.2 Cross-Site-Request-Forgery (CSRF/XSRF)
3.3 SQL-Injection
3.4 Directory Traversal
3.5 Remote Code Executions und Local File Inclusion
3.6 URI-Attacken
3.7 Open Redirects
3.8 Abgegrenzte Angriffsarten
3.9 Weitere Schwachstellen
3.9.1 Sicherheit in Ajax-Anfragen
3.9.2 Bibliotheken Dritter
4 Testing und Analyse der Webtechnologien
4.1 Methoden des Testing
4.1.1 Blackbox- und Whitebox Testing
4.1.2 Manuelle und automatische Code Analyse
4.1.3 Dynamische Analyse
4.2 Vorstellung ausgewählter Tools
4.2.1 OWASP Zed Attack Proxy (ZAP)
4.2.2 Cross Site "Scripter" (XSSer)
4.2.3 Firefox Tamper Data
4.2.4 Security Code Scan für .NET
4.2.5 Audit.Net und auditJs
4.3 Analyse der Webtechnologien
4.3.1 Einordnung der Webtechnologien
4.3.2 Angular
4.3.3 ASP.NET MVC
4.3.4 ASP.NET Core als REST-API
5 Handlungsempfehlung
5.1 Sollkonzept
5.2 Lösungsansätze
5.3 Allgemeines Sicherheitskonzept
6 Umsetzung
6.1 Anwendung ausgewählter Tools
6.1.1 OWASP Zed Attack Proxy (ZAP)
6.1.2 Quellcodeüberprüfung mit .NET Security Code Scan
6.1.3 Third-Party Überprüfung mit Audit.Net und auditJs
6.1.4 Request Manipulation mit Tamper Data
6.2 Kritische Betrachtung
7 Schlussbetrachtung
7.1 Resümee
7.2 Ausblick