SECURITY
07.11.2005, 19:50 Uhr
Applikationen auf den Zahn gefühlt
Wie sicher ist eine Web-Applikation, welche den Zugriff von ausserhalb auf Kundendaten ermöglicht. Computerworld-Security-Experte Simon Wepfer zeigt, was es bei einer Sicherheitsüberprüfung zu beachten gilt.
Frage:
Für unsere Aussendienstmitarbeiter haben wir eine Web-Applikation implementiert. Diese bietet Zugriff auf Kundendaten, weshalb wir eine Sicherheitsüberprüfung vornehmen wollen. Wie ist hierbei vorzugehen und wie gross ist der Aufwand?
Für unsere Aussendienstmitarbeiter haben wir eine Web-Applikation implementiert. Diese bietet Zugriff auf Kundendaten, weshalb wir eine Sicherheitsüberprüfung vornehmen wollen. Wie ist hierbei vorzugehen und wie gross ist der Aufwand?
Definition
Eine Sicherheitsüberprüfung mit Fokus Applikation wird als «Application Security Audit» bezeichnet. Im Gegensatz zu einem Penetration-Test, dem unprivilegierten Einbruchsversuch, wird die Applikation beim Application-Security-Audit mittels Benutzer- und Admin-Rechten überprüft. Zudem beinhaltet diese Form von Tests auch organisatorische Aspekte, wie Backup oder Abläufe bei der Erstellung von Benutzerkonten. Der Application-Security-Audit beginnt in etwa dort, wo der Penetration-Test aufhört.
Bei dieser Thematik tauchen immer wieder die folgenden drei Irrtümer auf:
1. «Es ist ausschliesslich die Applikation zu untersuchen.»
Eine Sicherheitsüberprüfung mit Fokus Applikation wird als «Application Security Audit» bezeichnet. Im Gegensatz zu einem Penetration-Test, dem unprivilegierten Einbruchsversuch, wird die Applikation beim Application-Security-Audit mittels Benutzer- und Admin-Rechten überprüft. Zudem beinhaltet diese Form von Tests auch organisatorische Aspekte, wie Backup oder Abläufe bei der Erstellung von Benutzerkonten. Der Application-Security-Audit beginnt in etwa dort, wo der Penetration-Test aufhört.
Bei dieser Thematik tauchen immer wieder die folgenden drei Irrtümer auf:
1. «Es ist ausschliesslich die Applikation zu untersuchen.»
Richtig ist:
Es macht durchaus Sinn, den Application-Security-Audit mit einem Penetration-Test zu kombinieren: Denn eine Applikation kann nur so sicher sein, wie das Umfeld, in dem sie betrieben wird. Weisen das Betriebssystem oder der Webserver Sicherheitslücken auf, gefährden diese auch die Sicherheit der gesamten Anwendung. Generell sollten alle Datenwege, vom Benutzer über den Client, das Netzwerk, den Server bis hin zur zentralen Datenbank oder Backup-Tape im Audit berücksichtig werden.
2. «Nur was angeklickt werden kann, kann auch ausgeführt werden.»
Es macht durchaus Sinn, den Application-Security-Audit mit einem Penetration-Test zu kombinieren: Denn eine Applikation kann nur so sicher sein, wie das Umfeld, in dem sie betrieben wird. Weisen das Betriebssystem oder der Webserver Sicherheitslücken auf, gefährden diese auch die Sicherheit der gesamten Anwendung. Generell sollten alle Datenwege, vom Benutzer über den Client, das Netzwerk, den Server bis hin zur zentralen Datenbank oder Backup-Tape im Audit berücksichtig werden.
2. «Nur was angeklickt werden kann, kann auch ausgeführt werden.»
Richtig ist:
Die Schnittstelle des Servers muss davon ausgehen, dass alle Eingaben grundsätzlich bösartig sind. Dieses Credo sollte vor allem den Entwicklern bei jeder Codezeile bewusst sein. Sämtliche sicherheitsrelevanten Entscheidungen müssen auf der Serverkomponente gefällt werden.
Die Schnittstelle des Servers muss davon ausgehen, dass alle Eingaben grundsätzlich bösartig sind. Dieses Credo sollte vor allem den Entwicklern bei jeder Codezeile bewusst sein. Sämtliche sicherheitsrelevanten Entscheidungen müssen auf der Serverkomponente gefällt werden.
