Bibliographic Metadata

Title
Sicherheit für RESTful Webservices: Implementierungen und Tests zu aktuellen Anwendungsgebieten / vorgelegt von Florian Krutzler
Additional Titles
Security for RESTful Webservices: Implementations and Tests for Current Application Areas
AuthorKrutzler, Florian
Thesis advisorSchefer-Wenzl, Sigrid ; Koschuch, Manuel
Published2018
Descriptionvi, 163 Blatt : Illustrationen
Institutional NoteWien, FH Campus Wien, Masterarb., 2018
Date of SubmissionMay 2018
LanguageGerman
Document typeMaster Thesis
Keywords (DE)RESTful Webservices / Hyper Text Transfer Protocol / Sichere Software-Entwicklung / Penetration Tests / Nachrichtentransport / Authentifizierung / Autorisierung / Service Angriffe / JSON Web Tokens / OAuth 2.0 / OpenID Connect
Keywords (EN)RESTful Webservices / Hyper Text Transfer Protocol / Secure Software Development / Penetration Testing / Message Transport / Authentication / Authorization / Service Attacks / JSON Web Tokens / OAuth 2.0 / OpenID Connect
Keywords (GND)REST <Informatik>
URNurn:nbn:at:at-fhcw:1-3527 Persistent Identifier (URN)
Restriction-Information
 The work is publicly available
Files
Sicherheit für RESTful Webservices: Implementierungen und Tests zu aktuellen Anwendungsgebieten [19.33 mb]
Links
Reference
Classification
Abstract (German)

REpresentational State Transfer (REST) stellt einen kompakten Ansatz zur Entwicklung von Webservices dar, der immer mehr an Popularität gewinnt. Allerdings gibt es für RESTful Webservices keinen einheitlichen Security-Standard. Diese Masterarbeit geht der Fragestellung nach, wie Sicherheit für RESTful Web Services generiert werden kann. In diesem Zusammenhang werden sicherer Nachrichtentransport, Authentifizierung, Autorisierung sowie Schutz vor Service Angriffen für RESTful Webservices beschrieben. Es werden Implementierungen dieser Anwendungsgebiete, deren Konfiguration und Programmcode dokumentiert und einheitlichen Penetration Tests unterzogen, um deren Eignung für moderne Sicherheit zu erforschen. Es wurde dabei festgestellt, dass für die meisten Implementierungen Transport Layer Security (TLS) zusätzlich benötigt wird, um Vertraulichkeit und Verbindlichkeit sicherzustellen. Des Weiteren wurde festgestellt, dass es im Kontext der Authentifizierung einige verschiedene Verfahren gibt, die für unterschiedliche Bereiche geeignet sind und eigene sicherheitstechnische Besonderheiten haben. Auch wurde festgestellt, dass moderne Lösungen wie OpenID Connect, OAuth 2.0, Webserver wie Apache Tomcat oder APIs wie JAX-RS von Java die Absicherung von RESTful Webservices erleichtern und viele Anforderungen an die Sicherheit bereits abdecken. Eine weitere Feststellung der Forschung in dieser Arbeit ist, dass eine Implementierung von Verfahren unter Berücksichtigung der 'Zustandslosigkeit', die eine wesentliche Eigenschaft von REST ist, mit einer Beeinträchtigung der sicherheitstechnischen Funktionalität einhergehen kann.

Abstract (English)

REpresentational state transfer (REST) is a compact approach to webservice development that is gaining popularity. However, RESTful web services do not have a uniform security standard. This master thesis aims to answer the question of how to generate security for RESTful Web Services. In this context, secure message transport, authentication, authorization and protection against service attacks for RESTful web services are described. Implementations of these application areas, their configuration and program code are documented and subjected to unified penetration tests to explore their suitability for modern security. It was found that for most implementations Transport Layer Security (TLS) is additionally needed to ensure confidentiality and non-repudiation. Furthermore, it has been found that in the context of authentication there are several different methods that are suitable for different areas and have their own security features. It has also been found that modern solutions such as OpenID Connect, OAuth 2.0, web servers such as Apache Tomcat or APIs like JAX-RS from Java facilitate the protection of RESTful web services and already cover many security requirements. A further finding of the research in this work is that an implementation of procedures, taking into account the property of 'statelessness' that is fundamental for REST, may be accompanied by a loss of security-related functionality.

Stats
The PDF-Document has been downloaded 8 times.
License
CC-BY-License (4.0)Creative Commons Attribution 4.0 International License