Technischer Fortschritt, Unmögliches möglich machen und immer mehr Komfort für Internet-User, sowie erweiterte Marketing-Strategien für Unternehmen, lassen immer mehr Web-Anwendungen ins Leben rufen. Doch werden Web-Anwendungen oftmals von Schwachstellen begleitet. Nur wer weiß, wo die Schwachstellen versteckt sind, kann agieren und sich zurücklehnen.
Projekte, die Schwachstellen aufdecken
Zu den Schwachstellen von Web-Anwendungen äußerte sich nun das Community Projekt "Open Web Applikation Security Projekt", kurz OWASP. Sie überprüfen im Rahmen von Teilprojekten regelmäßig Web-Anwendungen auf Schwachstellen. Damit sollen Entwickler, Web-Designer und Unternehmer die Möglichkeit gegeben werden, auf diese agieren und ausräumen zu können.
Das neuste Projekt stellt die aktuellen Schwachstellen in Web-Anwendungen vor, die nicht ignoriert werden sollten, wenn Sicherheitslücken geschlossen werden möchten.
Cross Site Scripting (XSS) - Injection Flaws - Malicious File Execution
Cross Site Scripting (XSS) führt die Liste der Sicherheitslücken in Web-Anwendungen an und bezieht sich auf fast alle Web-Anwendungen. Hier fehlt die Überprüfung von Zeichencodierungen, die für Sicherheit bei der Datenrücksendung an den Browser sorgen sollten. Dies erleichtert einen Angriff unter anderem ein Javascript-Code im Browser auszuführen, um so auf alle Website-Daten zugreifen zu können.
Ob Webscript Injection, OS Command Injection oder SQL-Injection, auch hier führen Injection-Fehler zu Sicherheitsrisiken. Insbesondere SQL-Injection stellt ein weitverbreitetes Risiko dar, da sich hier der Angreifer unter bestimmten Voraussetzungen mit der Übermittlung eines gültigen SQL-Code Zugang auf die Datenbank verschaffen, Systemkommandos ausführen und Daten einsehen, manipulieren oder sogar löschen kann.
Mit dem Malicious File Execution können eingehende Daten, die ein erhöhtes Sicherheitsrisiko bedeuten, ohne Gültigkeits-prüfungen auf dem Web-Server gespeichert werden, indem sich schädliche Dateien darunter befinden, Codes auf dem Server integriert werden, die dann zur Ausführung verschiedenster Befehle genutzt werden können.
Insecure Direct Object Reference - Cross Site Request Forgery (CSRF) - Information Leakage and Improper Error Handling
Das Risiko bei Insecure Direct Object Reference besteht in einer Manipulationsmöglichkeit, indem auf Dateien und Informationen auf dem Webserver zugegriffen werden kann. Bei dem Cross Site Request Forgery (CSRF) kann der User einer Web-Anwendung zum Opfer werden, wenn er sich beispielsweise nicht ordnungsgemäß abgemeldet hat. Durch das Surfen auf einer präparierten Website schafft er die Möglichkeit, schädlichen Codes zu begegnen, die sich direkt in die geöffnete Web-Applikation setzen, um so unbefugt Funktionen zu aktivieren, wie beispielsweise Banküberweisungen. Hierbei handelt es sich um eine Schwachstelle, die rapide an Interessenten gewinnt. Über Information Leakage and Improper Error Handling können Informationen über Web-Anwendungen unautorisiert eingesehen und als Sicherheitslücken zum Vorteil von Angreifern genutzt werden.
Sicherheitsrisiken in der Kommunikation
Broken Authentication und Session-Management, Insecure Cryptographic Storage und Insecure Communications gehören zu den Schwachstellen von Web-Anwendungen, wenn es zum Beispiel um die sichere Datenübertragung durch Verschlüsselung geht. Zugangsdaten wie Passwörter oder Kreditkartennummern können durch die Sicherheitslücken schnell ausspioniert und Sitzungen übernommen werden. Auch das Fehlen von kryptografischen oder unsicheren Funktionen sorgen für ein Sicherheitsrisiko.
Schwachstellen jetzt überprüfen und Web-Anwendungen sichern
Damit sich Entwickler, Web-Designer, Programmierer und auch der User von Web-Anwendungen auf der sicheren Seite befinden und sich ohne Sorgen im Internet bewegen können, sollte schon beim Entwickeln von Web-Anwendungen auf Sicherheitslücken geachtet und dementsprechend gehandelt werden. Das Projekt "Top Ten" von OWASP bietet Warnungen, die man ernst nehmen sollte.
Jetzt professionell beraten lassen - und ESF-Fördermittel nutzen
Während des yourIT-Sicherheitsaudits "Webapplikationen" versetzen wir uns auch in die Lage eines Angreifers und prüfen Ihre ins Internet exponierten Systeme auf Schwachstellen. Dabei setzen wir auf modernste und automatisierte Schwachstellen-Scanner mit ausführlichen genormten Berichten statt manueller Suche mit subjektiv beeinflussten Ergebnissen. Ihr Vorteil: Das Sicherheitsaudit ist jederzeit wiederholbar und sie können dadurch Ihren kontinuierlichen Verbesserungsprozess (KVP) aufzeigen. Und es bleibt einfach viel mehr Zeit für die Beratung übrig - schließlich führt nur das zu einer tatsächlichen Optimierung.
Geringe Kosten durch staatliche Förderung
Wir bieten Ihnen die Durchführung der Phasen A Bedarfsanalyse + B Konzeptentwicklung zum Festpreis von 990 EUR netto an. Darin enthalten sind die oben erwähnten Leistungen für bis zu 2 externe IP-Adressen. Jede weitere externe IP-Adressen kostet zusätzlich nur 350 EUR.
Abzüglich 50% ESF-Fördermittel bleibt ein Eigenanteil von nur 495 EUR.
Weitere Infos zu unseren ESF-geförderten Beratungspaketen haben wir Ihnen hier zusammengestellt:
www.mitgroup.eu.
Ich freue mich auf Ihre Projektanfragen.
Ihr
Ralf Ströbele
