Die Webanwendung als Sicherheitsrisiko – Teil 3

Schutzvorkehrungen gegen Web-basierte Angriffe rechtzeitig treffen

13.02.2009 | Autor / Redakteur: Marcell Dietl / Stephan Augsten

Schon während der Entwicklung sollte eine Webanwendung ständig auf ihre Sicherheit hin durchleuchtet werden.
Schon während der Entwicklung sollte eine Webanwendung ständig auf ihre Sicherheit hin durchleuchtet werden.

Automatisierte und manuelle Angriffe

Mittlerweile gibt es unzählige Tools im Internet, die mit der Intention programmiert wurden, Webseiten auf Fehler zu testen und diese möglichst gezielt und ohne jegliche Nutzerinteraktion auszunutzen. Viele dieser Programme sind frei verfügbar und technisch sehr ausgereift, jedoch oftmals nur speziell auf einen Angriff ausgelegt (bspw. SQL Injection).

Diese Lücke füllen immer mehr Firmen, die ihre Produkte als sehr umfangreich und vollständig automatisiert anpreisen. Solche Penetrationstools sollen es dem Versprechen nach möglich machen, schnell und ohne viel technisches Verständnis die eigene Webseite auf Schwachstellen zu testen.

In der Praxis funktioniert dies meist nur mäßig erfolgreich. Zudem enthalten die erstellten Reports automatisierter Scans oft eine große Anzahl an False Positives sowie Negatives.

Deshalb sollte die finale Analyse immer ein fachlich gut ausgebildeter Mitarbeiter oder ein externer Anbieter übernehmen. So ist sichergestellt, dass der für das Unternehmen erstellte Report korrekt ist und darauf besierend die richtigen Entscheidungen getroffen werden können.

Überprüfung des Programmcodes

Penetrationstests sollten zwar nie komplett vermieden werden, der dafür nötige Zeitaufwand kann jedoch durch regelmäßige Codeüberprüfungen bei neuen Webanwendungen stark reduziert werden. Viele Programme bestehen mittlerweile aus tausenden Zeilen Code und vielen verschiedenen logisch getrennten Blöcken, die miteinander interagieren.

Eine Analyse der gesamten Anwendung kurz nach der offiziellen Fertigstellung ist sehr aufwändig und oftmals werden dabei Fehler übersehen. Deshalb raten viele Experten dazu ein Programm in mehreren Stadien zu untersuchen.

Nur so kann man die Programmierer immer wieder dazu zu ermutigen Fehler schnellstmöglich zu korrigieren und nicht an anderer Stelle erneut einzubauen. Wichtig ist dabei die richtige Planung und Absprache untereinander.

Seite 3: Regelmäßige Schulungen der Mitarbeiter

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2019388 / Mobile- und Web-Apps)