Applikationssicherheit

Web-App-Schwachstellen besser verstehen lernen

| Autor / Redakteur: Dan Kuykendall* / Stephan Augsten

Mithilfe von Hackazon sollen Web-Entwickler und -Designer mehr über potenzielle Schwachstellen in Web-Anwendungen lernen.
Mithilfe von Hackazon sollen Web-Entwickler und -Designer mehr über potenzielle Schwachstellen in Web-Anwendungen lernen. (Bild: Rapid 7)

Neue Web-Anwendungen, speziell mobile Anwendungen, sind in Unternehmen auf dem Vormarsch. Das Thema Applikationssicherheit kommt dabei oft zu kurz, weil die Risiken von Sicherheitsexperten und Entwicklern unterschätzt werden.

Obwohl viele Unternehmen sich bewusst sind, dass sie auf die Sicherheit von Web-Applikationen achten sollten. Doch in der allgemeinen Euphorie – nicht zuletzt dank der neuen Geschäftsmöglichkeiten – kommt das Thema Sicherheit manchmal zu kurz.

Oft fehlen schlicht und einfach die Ressourcen und die Tools sind veraltet. Um sich angemessen mit dem Bereich Anwendungssicherheit zu befassen, müssen Unternehmen in ihre Mitarbeiter, Prozesse und Technologien investieren; die gewählte Technologie sollte heutige Web- und mobile Anwendungen sowie die entsprechenden APIs versteht.

Um Unternehmen dabei zu unterstützen, hat Rapid7 unter dem Namen „Hackazon“ ein Open-Source-Projekt gestartet. Auf einer kostenlosen Test-Website können Programmierer und Sicherheitsexperten die Verwundbarkeit aktueller Web-Anwendungen besser nachvollziehen. Das Projekt dient zu Schulungszwecken, andere Webseiten lassen sich damit nicht prüfen.

Sicherheit steht oftmals nicht im Vordergrund

In manchen Branchen wie im Finanz- oder auch Gesundheitswesen gewinnt die Sicherheit von Web-Applikationen und -Services bereits mehr an Bedeutung, vor allem wegen Regulierungsvorgaben. In anderen Branchen hingegen geht es nach wie vor darum, ständig neue Funktionen und Web Apps so schnell wie möglich auf den Markt zu bringen, während die Sicherheit auf der Strecke bleibt.

Viele Unternehmen testen nicht einmal, ob ihre Web-Anwendungen sicher sind. Und wenn doch, kommen veraltete Methoden zum Einsatz, die für ältere Web-Anwendungen entwickelt wurden. Unternehmen wollen derzeit so schnell wie möglich mobile Anwendungen haben. Die heutige Situation ähnelt dem Internet in den späten 1990er Jahren, als die Entwicklung in einem rasanten Tempo voranschritt, ohne dass die Sicherheit berücksichtigt wurde.

Eines der größten Probleme ist, dass viele IT-Sicherheitsfachleute die neuen Web-Anwendungen nicht vollständig verstehen. Der Großteil der Sicherheitsprofis hat einen fachlichen Hintergrund im Netzwerkbereich und in der Netzwerksicherheit. Das Scannen der Umgebung nach bekannten Schwachstellen beherrscht hier die Denkweise.

Bei den Programmierern mangelt es dafür an sicherheitsrelevantem Wissen. Ein Beispiel: Ein Web-Entwickler mit zehnjähriger Programmiererfahrung wusste nicht, wie eine HTTP-Anforderung aussah. Er hatte noch nie einen Einblick in den Netzwerkverkehr, da die Entwicklungs-Tools dies nicht erfordern. Die Möglichkeit, dass die Daten nicht von seiner mobilen App kommen, sondern gefälschte Daten von einem Angreifer sein könnten, war ihm völlig unbekannt.

Web-Anwendungen sind vor allem kundenspezifische Anwendungen, für die es keine Schwachstellen-Checks gibt. Web-App-Scanner müssen daher mehr Heuristik aufwenden, um die Anwendung erst kennenzulernen und zu verstehen, um überhaupt Schwachstellen identifizieren zu können. Bei älteren Web-Anwendungen war dies noch relativ leicht zu bewerkstelligen, da es sich um statische Webseiten handelte. Das Internet hat sich jedoch in den letzten fünf Jahren enorm verändert, hin zu einer viel interaktiveren Benutzererfahrung.

Was passiert hinter der Benutzeroberfläche?

Die Herausforderung besteht darin, dass heute viel mehr hinter den Kulissen passiert. Es gibt nicht mehr nur eine Seite für eine Anfrage. Eine Webseite wird geladen und je nachdem, was der Benutzer macht, startet diese Webseite weitere Anfragen an einen Server, um mehr Daten zu bekommen und aktualisiert sich selbst.

Das Problem ist, dass die Sicherheit von Web-Anwendungen nicht immer die nötige Aufmerksamkeit erfährt, weil Sicherheitsexperten die verwendeten Programmiermodelle nicht verstehen. Dieses Problem wird noch verschärft durch die Tatsache, dass heute neben Web-Anwendungen zunehmend Web-Services oder Restful APIs (Application Programming Interfaces) zum Einsatz kommen.

Unternehmen nutzen die APIs für geschäftliche Zwecke, um beispielsweise Kunden zu ermöglichen, Aufträge zu vergeben. Viele dieser APIs wurden jedoch immer noch nicht auf ihre Sicherheit hin getestet. Es besteht zudem eine wachsende Kluft zwischen dem, was Sicherheitsfachleute ohne Programmierer-Background verstehen und bewältigen können, und dem, was Entwickler über Sicherheitsrisiken wissen.

Nachhilfe in Sachen Sicherheit: Web-Datenverkehr beobachten!

Das Open-Source-Projekt Hackazon soll das Sicherheitsbewusstsein schärfen. Die kostenfrei nutzbare Test-Website basiert auf den gleichen Technologien wie aktuelle Rich-Client- und mobile Anwendungen – und ist ebenso verwundbar. Hackazon verwendet verschiedene Restful-API-Modelle, wie etwa Google Web Toolkit. Nutzer haben so die Möglichkeit, auf einer modernen Web-Anwendung Hacking-Experimente durchzuführen und die Schwachstellen zu finden.

Das Tool besitzt auch einen mobilen Client, so dass Benutzer einen Man-in-the-Middle-Angriff nachstellen können. Dabei lässt sich der Web-Datenverkehr zwischen der mobilen App und ihrem Server beobachten. Wird ein Angriff gestartet, können die mobilen Back-Ends getestet werden.

Mittels Hackazon verstehen Entwickler besser, dass bei der Nutzung moderner Frameworks alle Datentransfers für sie unsichtbar bleiben. Durch die Erkennung von Schwachstellen können sie bei der Programmierung gezielt Sicherheitsmaßnahmen einfließen lassen, um Web-Anwendungen sicherer zu machen.

* Dan Kuykendall ist Senior Director, Application Security Products, bei Rapid7.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44094623 / Mobile- und Web-Apps)