19.12.2007, 08:23 Uhr
Auch Web-Anwendungen haben ihre Sicherheits-Tücken
Entwickler von Web-Anwendungen sollen Sicherheitsaspekte bereits in der Design-Phase berücksichtigen.
Das Internet stellt eine grosse Herausforderung für die IT-Sicherheit dar. Laut Forrester-Analyst Khalid Kark wird das Thema Sicherheit bei Web-Anwendungen aber erst dann diskutiert, wenn eine Webseite bereits steht. Aufgrund dieser Nachlässigkeit sei die Mehrheit der Homepages anfällig für Hacker-Attacken. Zum Zeitpunkt der Entstehung einer Applikation werde das Thema Sicherheit einfach nicht berücksichtigt.
Auch IT-Berater Joel Snyder kritisiert, dass Entwickler den Bereich Web Application Security völlig ignorieren. Der grösste Fehler hierbei sei, dass auf anwendungsinterne Schutzwälle verzichtet werde. Damit könnten aber Daten, die zwischen einzelnen Programmteilen hin- und herwandern isoliert und bewertet werden, so Snyder.
Das ,,Open Web Application Security Project" (Owasp) will dieses Problem lösen. Die jährlich erscheinende Liste ,,The Ten Most Critical Web Application Security Vulnerabilites" soll Entwickler auf die zehn grössten Sicherheitsrisikos aufmerksam machen.
Top-Ten der Schwachstellen in Web-Anwendungen
Laut Owasp ist Cross Site Scripting (XSS) 2007 eine der gängigsten und gefährlichsten Schwachstellen in Web-Anwendungen. XSS entsteht, wenn eine Applikation Anwenderdaten unverschlüsselt an einen Web-Browser schickt. Auch Injection Fehler wie beispielsweise SQL-Injection listet das Projekt in ihren Top-Ten auf. Desweiteren umfasst die Liste für 2007 das Ausführen bösartiger Dateien. Dabei bringen Hacker Schadcode aus der Ferne zur Ausführung, installieren Rootkits oder kompromittieren ein ganzes System.
Auch eine unsichere Direct-Object-Referenz sei gefährlich. Angreifer manipulieren diese, um unautorisiert auf andere Objekte zugreifen zu können. Bei Cross Site Request Forgery (CSRF) übernimmt der Hacker die Kontrolle über den Browser seines Opfers, sobald sich dieser bei einer Webseite eingeloggt hat und sendet dann bösartige Anfragen an die Web-Applikation.
Ebenfalls ein gefundenes Fressen für Hacker sind gemäss Owasp von Anwendungen erzeugte Fehlermeldungen, die sensible Daten preisgeben. Auch Fehler bei der Authentisierung und beim Session-Management können gefährlich werden. So können Angreifer Nutzerkonten und administrative Accounts kapern.
Die Verschlüsselung zum Schutz vertraulicher Daten ist ein Kernbestandteil der meisten Web-Anwendungen. Dennoch werden diese Informationen meist uncodiert abgelegt, so Owasp. Ist eine Verschlüsselung vorhanden, so weist diese oft erhebliche Designschwächen auf. Web-Applikationen verschlüsseln den Netzverkehr oft nicht, so dass vertrauliche Kommunikation ungeschützt ist.
Als letzten Punkt bemängelt Owasp, dass manche Webseiten lediglich für eine kleine Anwendergruppe zugänglich sein sollten. Doch häufig verfügen diese Sites über keine echte Zugangskontrolle, so dass versierte Hacker die URLs ausfindig machen können.
