Anzeige: Wie du durch Hacking besser entwickeln lernst

Wer sichere Anwendungen bauen will, sollte von Hackern lernen, sagt Paul Molin, Web Application Security Evangelist bei Theodo - und zeigt, wie es geht.

Sponsored Post von Golem.de veröffentlicht am
Anzeige: Wie du durch Hacking besser entwickeln lernst
(Bild: pexels.com)

Als Web Application Security Evangelist beim Webentwickler Theodo zeigt Paul Molin, wie man sichere Anwendungen baut. Deshalb weiß er, wo Lücken in Systemen stecken können - und wie man sie leicht findet.

Golem Akademie: Bei den "Before DevBreak"-Webinaren von talent.io haben Sie einen Workshop mit dem Titel "How to become a hacker in 10 minutes" gehalten. Hacker werden in 10 Minuten - ist das Ihr Ernst?

Paul Molin: Natürlich ist es nicht möglich, in genau dieser Zeit ein Hacker oder eine Hackerin zu werden. Das war zunächst als Scherz gemeint. Dennoch ist es für Entwickler einfacher, zu lernen und zu verstehen, was Hacker tun, als es vielleicht den Anschein hat. Das habe ich in meinem Vortrag erklärt, indem ich eine Reihe von passenden Tools und Ressourcen vorgestellt habe.

Golem Akademie: Warum sollten sich Entwickler mit dem Thema befassen?

Molin: Als Entwickler bauen wir Produkte, die von echten Nutzer verwendet werden. Es ist unsere Aufgabe, dafür zu sorgen, dass diese Produkte eine hohe Qualität haben. Dazu gehört auch die Sicherheit. Indem wir uns in die Lage von Hackern versetzen, können wir am besten verstehen, wie wir unsere Anwendungen schützen können.

Golem Akademie: Wie sind Sie selbst auf das Thema gekommen?

Molin: Ursprünglich bin ich Entwickler, aber ich war schon immer vom Thema Sicherheit fasziniert. Die Suche nach Schwachstellen ist wie ein Spiel: Man versucht herauszufinden, was die Entwickler beim Erstellen der Anwendung vergessen oder vernachlässigt haben. Wie umgeht man die Schutzmechanismen? Nach fehlgeschlagenen Sicherheits-Audits wurden mir all die Schwachstellen bewusst, die ich unbewusst einführen könnte. In meinem Bestreben, dieses Thema zu verstehen und weiterzuentwickeln, entdeckte ich ZAP, einen vom Open Web Application Security Project (OWASP) entwickelten Proxy, von dem ich viel gelernt habe. Proxy bedeutet, dass er den gesamten Austausch zwischen Browser und Server abhört, um ihn zu analysieren und zu manipulieren.

Golem Akademie: Und wie funktioniert das nun genau?

Molin: Es ist ein eher technisches Thema; daher braucht man zumindest ein paar Kenntnisse über das Web und wie es funktioniert. Wer bereits Erfahrung als Entwickler oder mit der Sicherheit von Webanwendungen hat, ist im Vorteil. In meinem Vortrag erkläre ich, wie man ZAP installiert und verwendet, um frühzeitig Schwachstellen in einer Anwendung zu finden, und zeige Beispiele für solche Anwendungen. Das Tool ist für Einsteiger so gut geeignet, weil sie damit arbeiten können, ohne von Anfang an alles verstehen zu müssen. Je mehr man es verwendet, desto mehr Links zu Ressourcen entdeckt man und versteht immer mehr der fortgeschrittenen Funktionen.

Golem Akademie: Und wie sollte man sein neugewonnenes Hacker-Wissen nutzen?

Molin: Als Entwickler kann man damit sicherere Anwendungen bauen und andere Entwickler in seinem Team schulen. Ich habe zum Beispiel einen YouTube-Kanal gestartet, um Entwickler die Sicherheit von Webanwendungen zu erklären und ihnen zu helfen, sichere Anwendungen zu erstellen. Als Sicherheitsforscher oder wenn man in Anwendungen nach Schwachstellen sucht, die man nicht selbst entwickelt, ist es wichtig, Schwachstellen an das technische Team zu melden. Natürlich sollte solches Wissen nicht für persönliche Interessen genutzt werden. Außerdem ist es in vielen Ländern eine Straftat, wenn man eine Anwendung, die einem nicht gehört, angreift, ohne dass man eine schriftliche Erlaubnis dafür hat. Bei Theodo bewertet zum Beispiel jedes Team jede Woche die Qualität der Webanwendung, an der es arbeitet: ihre Stabilität, Geschwindigkeit und natürlich die Sicherheit.

Golem Akademie: Was können wir von Hackern lernen?

Molin: Wir können lernen zu verstehen, welche Schwachstellen wir in die von uns entwickelten Anwendungen einbringen und wie wir uns davor schützen können. Letztendlich können wir lernen, bessere Entwickler zu werden!

Golem Akademie: Was sollten wir lieber nicht von ihnen lernen?

Molin: Ich glaube nicht, dass es irgendetwas gibt, das man nicht von Hackern lernen sollte. Was wirklich zählt, ist, was man damit macht.

Hier kann man die Aufzeichnung des Workshops sehen. Mit talent.io findest du ganz leicht deinen nächsten Tech-Job: Das französische Start-up vernetzt auf smarte Weise Tech-Talente und potenzielle Arbeitgeber miteinander.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed

    •  /