Die Webanwendung als Sicherheitsrisiko – Teil 3

Schutzvorkehrungen gegen Web-basierte Angriffe rechtzeitig treffen

13.02.2009 | Autor / Redakteur: Marcell Dietl / Stephan Augsten

Schon während der Entwicklung sollte eine Webanwendung ständig auf ihre Sicherheit hin durchleuchtet werden.
Schon während der Entwicklung sollte eine Webanwendung ständig auf ihre Sicherheit hin durchleuchtet werden.

Scannerprogramme suchen im Internet pausenlos nach verwundbaren Rechnern, Angriffe erfolgen häufig völlig automatisiert. Binnen weniger Stunden können Angreifer tausende Server kompromittieren und deren Daten stehlen. Der einzig wirksame Schutz sind präventive Maßnahmen, wie sie dieser letzte Teil unserer Artikelreihe „Die Webanwendung als Sicherheitsrisiko“ beschreibt.

Serverdienste wie der IIS von Microsoft oder die freie Alternative Apache werden von einer großen Anzahl von Programmierern entwickelt und haben sich bezüglich der Sicherheit stetig verbessert. Schwerwiegende Fehler gab es in den letzten Jahren kaum noch.

Webanwendungen jedoch sind vergleichsweise neuartig. Oftmals werden sie von kleineren Teams entwickelt und an die jeweiligen Bedürfnisse des Unternehmens angepasst.

Viele dieser „Webentwickler“ vernachlässigen die Sicherheit oder sind über die Risiken nicht ausreichend informiert. Daher muss ein Unternehmen nicht nur seine Mitarbeiter regelmäßig schulen sondern auch jede neue Webseite vor der Inbetriebnahme fachgerecht überprüfen.

Penetrationstests bei Webapplikationen

Wie bei Tests gegen die Infrastruktur eines Netzwerks oder von außen zugängliche Serverdienste unterscheidet man auch bei Programmen in Sprachen wie PHP oder JSP zwischen Black-Box- und White-Box-Testing. Entscheidender Unterschied ist dabei die dem Tester zur Verfügung stehende Menge an Informationen.

Bei einem Black-Box-Test befindet sich der Mitarbeiter in der gleichen Situation wie ein potentieller Angreifer. Das Ziel, etwa eine Domain, ist bekannt – jedoch nicht dessen Programmcode oder Einstellungen in Konfigurationsdateien. Ohne weitere Vorkenntnisse wird anschließend versucht möglichst viele Fehler zu finden und erfolgreich auszunutzen.

Ein White-Box-Test hingegen bietet dem Mitarbeiter die Möglichkeit den Code einer Anwendung zu betrachten. Unter Umständen darf er auch mit einem extra erstellten Testaccount Funktionen überprüfen, die öffentlich nicht erreichbar sind.

Seite 2: Automatisierte und manuelle Angriffe

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2019388 / Mobile- und Web-Apps)