Suchen

Die Webanwendung als Sicherheitsrisiko – Teil 3

Schutzvorkehrungen gegen Web-basierte Angriffe rechtzeitig treffen

Seite: 2/3

Firmen zum Thema

Automatisierte und manuelle Angriffe

Mittlerweile gibt es unzählige Tools im Internet, die mit der Intention programmiert wurden, Webseiten auf Fehler zu testen und diese möglichst gezielt und ohne jegliche Nutzerinteraktion auszunutzen. Viele dieser Programme sind frei verfügbar und technisch sehr ausgereift, jedoch oftmals nur speziell auf einen Angriff ausgelegt (bspw. SQL Injection).

Diese Lücke füllen immer mehr Firmen, die ihre Produkte als sehr umfangreich und vollständig automatisiert anpreisen. Solche Penetrationstools sollen es dem Versprechen nach möglich machen, schnell und ohne viel technisches Verständnis die eigene Webseite auf Schwachstellen zu testen.

In der Praxis funktioniert dies meist nur mäßig erfolgreich. Zudem enthalten die erstellten Reports automatisierter Scans oft eine große Anzahl an False Positives sowie Negatives.

Deshalb sollte die finale Analyse immer ein fachlich gut ausgebildeter Mitarbeiter oder ein externer Anbieter übernehmen. So ist sichergestellt, dass der für das Unternehmen erstellte Report korrekt ist und darauf besierend die richtigen Entscheidungen getroffen werden können.

Überprüfung des Programmcodes

Penetrationstests sollten zwar nie komplett vermieden werden, der dafür nötige Zeitaufwand kann jedoch durch regelmäßige Codeüberprüfungen bei neuen Webanwendungen stark reduziert werden. Viele Programme bestehen mittlerweile aus tausenden Zeilen Code und vielen verschiedenen logisch getrennten Blöcken, die miteinander interagieren.

Eine Analyse der gesamten Anwendung kurz nach der offiziellen Fertigstellung ist sehr aufwändig und oftmals werden dabei Fehler übersehen. Deshalb raten viele Experten dazu ein Programm in mehreren Stadien zu untersuchen.

Nur so kann man die Programmierer immer wieder dazu zu ermutigen Fehler schnellstmöglich zu korrigieren und nicht an anderer Stelle erneut einzubauen. Wichtig ist dabei die richtige Planung und Absprache untereinander.

Seite 3: Regelmäßige Schulungen der Mitarbeiter

Artikelfiles und Artikellinks

(ID:2019388)