Suchen

Die Webanwendung als Sicherheitsrisiko – Teil 3 Schutzvorkehrungen gegen Web-basierte Angriffe rechtzeitig treffen

Autor / Redakteur: Marcell Dietl / Stephan Augsten

Scannerprogramme suchen im Internet pausenlos nach verwundbaren Rechnern, Angriffe erfolgen häufig völlig automatisiert. Binnen weniger Stunden können Angreifer tausende Server kompromittieren und deren Daten stehlen. Der einzig wirksame Schutz sind präventive Maßnahmen, wie sie dieser letzte Teil unserer Artikelreihe „Die Webanwendung als Sicherheitsrisiko“ beschreibt.

Firmen zum Thema

Schon während der Entwicklung sollte eine Webanwendung ständig auf ihre Sicherheit hin durchleuchtet werden.
Schon während der Entwicklung sollte eine Webanwendung ständig auf ihre Sicherheit hin durchleuchtet werden.
( Archiv: Vogel Business Media )

Serverdienste wie der IIS von Microsoft oder die freie Alternative Apache werden von einer großen Anzahl von Programmierern entwickelt und haben sich bezüglich der Sicherheit stetig verbessert. Schwerwiegende Fehler gab es in den letzten Jahren kaum noch.

Webanwendungen jedoch sind vergleichsweise neuartig. Oftmals werden sie von kleineren Teams entwickelt und an die jeweiligen Bedürfnisse des Unternehmens angepasst.

Viele dieser „Webentwickler“ vernachlässigen die Sicherheit oder sind über die Risiken nicht ausreichend informiert. Daher muss ein Unternehmen nicht nur seine Mitarbeiter regelmäßig schulen sondern auch jede neue Webseite vor der Inbetriebnahme fachgerecht überprüfen.

Penetrationstests bei Webapplikationen

Wie bei Tests gegen die Infrastruktur eines Netzwerks oder von außen zugängliche Serverdienste unterscheidet man auch bei Programmen in Sprachen wie PHP oder JSP zwischen Black-Box- und White-Box-Testing. Entscheidender Unterschied ist dabei die dem Tester zur Verfügung stehende Menge an Informationen.

Bei einem Black-Box-Test befindet sich der Mitarbeiter in der gleichen Situation wie ein potentieller Angreifer. Das Ziel, etwa eine Domain, ist bekannt – jedoch nicht dessen Programmcode oder Einstellungen in Konfigurationsdateien. Ohne weitere Vorkenntnisse wird anschließend versucht möglichst viele Fehler zu finden und erfolgreich auszunutzen.

Ein White-Box-Test hingegen bietet dem Mitarbeiter die Möglichkeit den Code einer Anwendung zu betrachten. Unter Umständen darf er auch mit einem extra erstellten Testaccount Funktionen überprüfen, die öffentlich nicht erreichbar sind.

Seite 2: Automatisierte und manuelle Angriffe

Artikelfiles und Artikellinks

(ID:2019388)