Seiten

Posts mit dem Label WAS werden angezeigt. Alle Posts anzeigen
Posts mit dem Label WAS werden angezeigt. Alle Posts anzeigen

Mittwoch, 30. Juli 2014

Applikationssicherheit Die größten Schwachstellen in Web-Anwendungen

Technischer Fortschritt, Unmögliches möglich machen und immer mehr Komfort für Internet-User, sowie erweiterte Marketing-Strategien für Unternehmen, lassen immer mehr Web-Anwendungen ins Leben rufen. Doch werden Web-Anwendungen oftmals von Schwachstellen begleitet. Nur wer weiß, wo die Schwachstellen versteckt sind, kann agieren und sich zurücklehnen.



Projekte, die Schwachstellen aufdecken


Zu den Schwachstellen von Web-Anwendungen äußerte sich nun das Community Projekt "Open Web Applikation Security Projekt", kurz OWASP. Sie überprüfen im Rahmen von Teilprojekten regelmäßig Web-Anwendungen auf Schwachstellen. Damit sollen Entwickler, Web-Designer und Unternehmer die Möglichkeit gegeben werden, auf diese agieren und ausräumen zu können.
Das neuste Projekt stellt die aktuellen Schwachstellen in Web-Anwendungen vor, die nicht ignoriert werden sollten, wenn Sicherheitslücken geschlossen werden möchten.

Cross Site Scripting (XSS) - Injection Flaws - Malicious File Execution


Cross Site Scripting (XSS) führt die Liste der Sicherheitslücken in Web-Anwendungen an und bezieht sich auf fast alle Web-Anwendungen. Hier fehlt die Überprüfung von Zeichencodierungen, die für Sicherheit bei der Datenrücksendung an den Browser sorgen sollten. Dies erleichtert einen Angriff unter anderem ein Javascript-Code im Browser auszuführen, um so auf alle Website-Daten zugreifen zu können.
Ob Webscript Injection, OS Command Injection oder SQL-Injection, auch hier führen Injection-Fehler zu Sicherheitsrisiken. Insbesondere SQL-Injection stellt ein weitverbreitetes Risiko dar, da sich hier der Angreifer unter bestimmten Voraussetzungen mit der Übermittlung eines gültigen SQL-Code Zugang auf die Datenbank verschaffen, Systemkommandos ausführen und Daten einsehen, manipulieren oder sogar löschen kann.
Mit dem Malicious File Execution können eingehende Daten, die ein erhöhtes Sicherheitsrisiko bedeuten,  ohne Gültigkeits-prüfungen auf dem Web-Server gespeichert werden, indem sich schädliche Dateien darunter befinden, Codes auf dem Server integriert werden, die dann zur Ausführung verschiedenster Befehle genutzt werden können.

Insecure Direct Object Reference - Cross Site Request Forgery (CSRF) - Information Leakage and Improper Error Handling


Das Risiko bei Insecure Direct Object Reference besteht in einer Manipulationsmöglichkeit, indem auf Dateien und Informationen auf dem Webserver zugegriffen werden kann. Bei dem Cross Site Request Forgery (CSRF) kann der User einer Web-Anwendung zum Opfer werden, wenn er sich beispielsweise nicht ordnungsgemäß abgemeldet hat. Durch das Surfen auf einer präparierten Website schafft er die Möglichkeit, schädlichen Codes zu begegnen, die sich direkt in die geöffnete Web-Applikation setzen, um so unbefugt Funktionen zu aktivieren, wie beispielsweise Banküberweisungen. Hierbei handelt es sich um eine Schwachstelle, die rapide an Interessenten gewinnt. Über Information Leakage and Improper Error Handling können Informationen über Web-Anwendungen unautorisiert eingesehen und als Sicherheitslücken zum Vorteil von Angreifern genutzt werden.

Sicherheitsrisiken in der Kommunikation


Broken Authentication und Session-Management, Insecure Cryptographic Storage und Insecure Communications gehören zu den Schwachstellen von Web-Anwendungen, wenn es zum Beispiel um die sichere Datenübertragung durch Verschlüsselung geht. Zugangsdaten wie Passwörter oder Kreditkartennummern können durch die Sicherheitslücken schnell ausspioniert und Sitzungen übernommen werden. Auch das Fehlen von kryptografischen oder unsicheren Funktionen sorgen für ein Sicherheitsrisiko.

Schwachstellen jetzt überprüfen und Web-Anwendungen sichern


Damit sich Entwickler, Web-Designer, Programmierer und auch der User von Web-Anwendungen auf der sicheren Seite befinden und sich ohne Sorgen im Internet bewegen können, sollte schon beim Entwickeln von Web-Anwendungen auf Sicherheitslücken geachtet und dementsprechend gehandelt werden. Das Projekt "Top Ten" von OWASP bietet Warnungen, die man ernst nehmen sollte.

Jetzt professionell beraten lassen - und ESF-Fördermittel nutzen


Während des yourIT-Sicherheitsaudits "Webapplikationen" versetzen wir uns auch in die Lage eines Angreifers und prüfen Ihre ins Internet exponierten Systeme auf Schwachstellen. Dabei setzen wir auf modernste und automatisierte Schwachstellen-Scanner mit ausführlichen genormten Berichten statt manueller Suche mit subjektiv beeinflussten Ergebnissen. Ihr Vorteil: Das Sicherheitsaudit ist jederzeit wiederholbar und sie können dadurch Ihren kontinuierlichen Verbesserungsprozess (KVP) aufzeigen. Und es bleibt einfach viel mehr Zeit für die Beratung übrig - schließlich führt nur das zu einer tatsächlichen Optimierung.

yourIT - Beratungspaket Sicherheitsaudit "Webapplikationen" - sponsored by ESF

Geringe Kosten durch staatliche Förderung


Wir bieten Ihnen die Durchführung der Phasen A Bedarfsanalyse + B Konzeptentwicklung zum Festpreis von 990 EUR netto an. Darin enthalten sind die oben erwähnten Leistungen für bis zu 2 externe IP-Adressen. Jede weitere externe IP-Adressen kostet zusätzlich nur 350 EUR.

Abzüglich 50% ESF-Fördermittel bleibt ein Eigenanteil von nur 495 EUR.

Weitere Infos zu unseren ESF-geförderten Beratungspaketen haben wir Ihnen hier zusammengestellt:
www.mitgroup.eu.


Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele

Mittwoch, 16. April 2014

“Heartbleed Bug” - prüfen Sie, ob Ihre Hosts gefährdet sind

Das letzte Woche veröffentlichte Update von OpenSSL hat schlechte Botschaft für alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen: Durch einen Programmierfehler kann jeder böswillige Kommunikationspartner sensible Daten auslesen, wie z. B. den Speicher der Gegenstelle. Angreifer können also Schlüssel, Passwörter und geheime Daten klauen.


Der Fehler wurde in der "Heartbeat-Funktion" gefunden, daher sprechen die Entdecker auch vom Heartbleed Bug.

yourIT hilft Ihnen beim Umgang mit Heartbleed und anderen Schwachstellen


Betroffen sind alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen, wie z.B.:
  • Web-Server
  • E-Mail Server
  • VPN Server
  • Server für andere Dienste.

Diese Sofortmaßnahmen sollten Sie jetzt durchführen:


Fahren Sie jetzt schnellstmöglich Updates auf Ihre Systeme. Allo ordentlichen Hersteller sollten mittlerweile entsprechende Updates bereitgestellt haben.

Spielen Sie das Update ein und erneuern Sie die verwendeten Zertifikate und privaten Schlüssel in diesem Zuge.

Da Sie nicht kontrollieren können, ob bereits ein Zugriff auf Ihre Daten erfolgt ist, ändern Sie bitte alle Passworte ab. Wenn Sie schon dabei sind, erstellen Sie komplexe sichere Passworte und

Prüfen Sie genau, ob Ihre Hosts diese und weitere Schwachstellen aufweisen oder nicht:



Ob Ihre IT-Systeme und Webapplikationen aktuell von kritischen Schwachstellen wie Heartbleed betroffen sind, können wir erst nach eingehender Untersuchung der bei Ihnen verwendeten Technologien mit Sicherheit sagen.

Um solche Unsicherheit zukünftig zu vermeiden, können wir über einen Servicevertrag mit Technologieüberwachung solche Risiken proaktiv identifizieren und angemessen reagieren - bevor es zu Schäden kommt.

Dadurch bieten wir unseren Kunden ein Stück mehr Sicherheit zum monatlichen Festpreis.

Sprechen Sie uns gerne darauf an.

Gehen Sie diesem Hinweis unbedingt nach. Wenn Sie sich unsicher sind melden Sie sich gerne bei uns: heartbleed@yourIT.de oder Telefon +49 7433 30098-0.

Erprobte Hilfestellungen von den yourIT-securITy-Experten:


Sie möchten einmal Ihr gesamtes Netzwerk nach Schwachstellen durchscannen lassen? Das bieten wir Ihnen gerne zum Festpreis: http://www.mitgroup.eu/unsere-beratungspakete/2-sicherheitsaudit-it-infrastruktur

Sie wollen wissen, wie sicher Ihre Web-Applikationen sind (z.B. Ihr Webshop)? Auch das bieten wir Ihnen zum Festpreis: http://www.mitgroup.eu/unsere-beratungspakete/13-sicherheitsaudit-webapplikationen

Übrigens: Für Mittelständler werden diese yourIT-Beratungsleistungen gefördert mit Mitteln aus dem Europäischen Sozialfonds ESF.

Donnerstag, 26. September 2013

Webseitenüberwachung mit System: Server- und Clientmonitoring

Immer wissen, was läuft


24 Stunden am Tag muss der Shop und die Präsenz im Internet erreichbar sein: Doch wer will schon Tag und Nacht vor dem Server sitzen und aufpassen, ob alles läuft? Ausgerechnet dann, wenn niemand guckt, fällt die Homepage aus, der lukrative Shop ist nicht mehr online und der Schaden gewaltig. Hier hilft Server- und Clientmonitoring: Eine lückenlose Überwachung der Internetpräsenzen rund um die Uhr.

Für Profis müssen Profis ran


Wer einem Schaden durch den Ausfall von Online-Shop und Internetpräsenz rechtzeitig vorbeugen möchte, wendet sich an einen professionellen Anbieter für Client-Monitoring und Server-Monitoring. Zwar gibt es im Netz auch kostenlose Anbieter, doch wer für sein professionelles Angebot im Web professionelle Features benötigt, muss auch dort einen kostenpflichtigen Account erstellen. Client- und Servermonitoring funktioniert im Prinzip ganz einfach: In regelmäßigen kurzen Abständen wird die Leistung des Servers, die Erreichbarkeit der Webseite oder die Verfügbarkeit von Texten geprüft. Wenn der Anbieter des Client- und Servermonitoring einen Ausfall feststellt, dann informiert dieser sofort per Mail oder SMS, kann aber auch über Twitter oder Facebook erfolgen. Wer nur einen privaten Blog betreibt, der hat Server- und Clientmonitoring meistens nicht nötig. Aber für ein Unternehmen ist Servermonitoring und Clientmonitoring eine sichere Art, die eigene Erreichbarkeit im Netz zu sichern.

Was passiert bei Webseitenausfall


Wer einen Online-Shop betreibt, muss rund um die Uhr erreichbar sein. Denn bei einem Ausfall droht nicht nur der Einkommensausfall durch die Produkte, welche nicht bestellt werden können. Viel gravierender ist dabei der Imageverlust, weil sich der Anbieter als unzuverlässig erwies. So weicht ein potentieller Kunde nicht nur für einen einmaligen Kauf auf einen anderen Anbieter aus, sondern geht womöglich für immer verloren. Auch Unternehmen, deren Webseiten dank eines Serverausfalls nicht sicher erreichbar sind, gelten schnell als unzuverlässig: Wer noch nicht einmal seine eigene Technik im Griff hat, dem wird auch nicht zugetraut, dass er andere Probleme lösen kann. Mit einem Ausfall der Server ist die ganze Arbeit des Online-Marketings schnell für die Katz. Wer zudem Einnahmen durch Werbepartner verbucht, wird dieser schnell verlustig, wenn die Seiten nicht permanent online sind.

Lieber vorbeugen als nachsehen


Ein professionelles Servermonitoring und Clientmonitoring hilft bei der kontinuierlichen Überwachung der eigenen Webseiten. In regelmäßigen Abständen, minütlich oder stündlich, wird beispielsweise über den Port geprüft, ob die Seite oder der Text noch erreichbar ist. Bei einem Ausfall wird der Webmaster sofort informiert und kann daraufhin so schnell wie möglich den Fehler suchen und beseitigen. Dank des Servermonitoring und Clientmonitoring bleibt die Zeit so kurz wie möglich, in der die Webseite oder der Onlineshop nicht erreichbar sind.

Rundum Servercheck24


Weil ein Webmaster nicht rund um die Uhr wach vor den Bildschirmen sitzen kann, ist es sinnvoll, einem professionellen Anbieter das Servermonitoring und Clientmonitoring zu übertragen. Jeder Webmaster stellt sich hierbei sein eigenes Paket zur Kontrolle der Website zusammen und bestimmt, wie er bei einem Ausfall informiert werden soll. Dank der Mehrfachüberprüfung wird nicht nur ein Fehlalarm ausgeschlossen, sondern diese gibt bereits einen ersten Anhaltspunkt dafür, warum der Server nicht mehr online ist. So kann der Webmaster nicht nur schnell reagieren, sondern gezielt den Fehler beheben.

Fordern Sie uns! Wir beraten Sie gerne.

Ralf Ströbele
yourIT - Ihr IT-Dienstleister in Hechingen

Ralf Ströbele