Der «Kalte Krieg» der Webapps

Noch gefährlicher als Phishing-Angriffe dieser Art sind aber die neuen Phishing-Attacken, die über den richtigen Server laufen. Für den Benutzer sind diese Angriffe nicht identifizierbar, da es sich um eine Schwachstelle der Applikation handelt. Cross-Site-Scripting- oder Forceful-Browsing-Schwachstellen können diese Art Attacke verursachen. E-Bay hat in der Vergangenheit Cross-Site-Scripting-Schwachstellen aufgewiesen, welche Phishing über den richtigen Server ermöglicht haben. Diese Schwachstellen wurden von E-Bay über lange Zeit als ungefährlich abgetan, weil nicht das ganze Ausmass dieser Angriffsmöglichkeit erkannt wurde. Attacken wie diese sind auch bei Einhaltung der publizierten Anti-Phishing-Richtlinien nicht zu verhindern, falls die Applikation verwundbar ist. In Zukunft werden Phishing-Angriffe über Cross Site Scripting und Forceful Browsing zunehmen und schwieriger zu erkennen sein.

Um Webapplikation gegenüber den immer raffinierteren Attacken auf Applikationsebene zu schützen, ist eine Reihe von Massnahmen nötig. Grundsätzlich müssen die Webapplikationen und Webserver vor ungültigen Requests geschützt werden. Durch mehrstufige Filterung und Validierung dürfen nur noch gültige Anfragen und Daten an die Applikation gelangen. Die wichtigsten Anforderungen für sichere Webapplikationen sind:

hoch entwickelte Eingabe-, Protokoll- und Request-Filter auf allen Ebenen

von der Applikation entkoppelte Authentisierung, damit geschützte Bereiche in keiner Form anonym erreicht werden können

kryptografische URL-Verschlüsselung und HTML Form Protection zur Verhinderung verschiedener Ausprägungen von Session Riding und Forceful Browsing

sicherer Session Handling-Mechanismus mit starker Authentisierung

vorgelagerte SSL-Terminierung

Webapplikationen können heute mit einer applikatorischen Attackmethode einfacher angegriffen werden als gemeinhin angenommen wird. Für effektive Schutzmassnahmen ist das Verständnis für die Denkensweise und das Vorgehen von Hackern und die Funktionsweise der Attackmethoden nötig. Denn gezielte manuelle Angriffe sind um ein Vielfaches wirkungsvoller als die verbreitete Ausnutzung von bekannten Schwachstellen. Die Schutzmassnahmen in die Applikation zu integrieren führt nicht zum Erfolg, da die Applikation in diesem Fall kontinuierlich aktualisiert werden müsste, um gegen neue und veränderte Angriffsmethoden geschützt zu sein. Es gilt durch die Kombination von vorgelagerten Sicherheitsfunktionen in einem Application Security Gateway und Massnahmen in der Applikationsentwicklung die Risiken für Angriffe tief zu halten und möglichst wenig Information über die Webapplikation und die verwendeten Technologien preiszugeben.