SSilver - Fotolia
Websites und Webanwendungen: Schwachstellen finden und beseitigen
Bei der Sicherheitsstrategie kommt die Web Security oft etwas zu kurz. Dabei bieten sich Angreifern gerade da vielfältige Möglichkeiten für Attacken.
Sicherheitsverantwortliche handeln in Sachen Websicherheit meist eher defensiv statt proaktiv. Dieser Eindruck entsteht zumindest angesichts der zahlreichen großen Sicherheitsvorfälle, denen oft Schwachstellen im Webbereich zugrunde liegen.
Die Verantwortlichen für Websicherheit in Unternehmen jeglicher Größe weisen häufig darauf hin, dass sie ihre Websites und Webanwendungen in regelmäßigen Abständen in Sachen Sicherheit scannen. Bei einigen sind darüber hinaus laut eigenem Bekunden die Webanwendungen fester Bestandteil ihrer regelmäßigen Penetrationstests. Der Sicherheit ist damit augenscheinlich genüge getan. Andere Sicherheitsteams sehen diesen Teil der Security nicht in ihrer Verantwortung, da Websites und Anwendungen ja in der Cloud gehostet würden.
Nun kann man die beiden ersten Ansätze durchaus nachvollziehen, der dritte ist aber unverzeihlich. Unternehmen müssen ihre Sicherheitsmaßnahmen insbesondere auf die Websicherheit konzentrieren, unabhängig davon, wo ihre Weblösungen gehostet werden.
Diese eklatante Lücke in vielen Sicherheitsstrategien lässt sich aber durchaus schließen. So stehen beispielsweise mit den OWASP Top 10 und dem OWASP WebGoat Project sehr gute Online-Quellen in Sachen Websicherheit zur Verfügung.
OWASP Top 10
Wer sich mit Websicherheit beschäftigt, für den ist das Open Web Application Security Project oder eben kurz OWASP eine Empfehlung wert. Sowohl die Liste der Top-10-Schwachstellen (OWASP Top 10) als auch die anderen Informationen auf dem OWASP-Webangebot können beim Vorhaben die Websicherheit zu verbessern, Hilfestellung leisten. Die aktuelle Top-10-Liste der häufigsten Sicherheitsrisiken für Webanwendungen stammt aus dem Jahr 2013, die 2017er-Version befindet sich gerade im Status des Release Candidate und soll wohl im Sommer 2017 final sein. Von der OWASP Top 10 aus 2013 steht auch eine deutschsprachige Version zum Download (PDF) parat. Diese beinhaltet auch detaillierte Erläuterungen zu den Schwachstellen.
Sich prinzipiell mit der Websicherheit zu beschäftigen ist nur der erste Schritt. Es gilt darüber hinaus zu untersuchen, in welcher Form die eigenen Systeme gefährdet sind. Schwachstellen, die man nicht kennt, kann man auch nicht beheben. Zumindest für kritische Anwendungen sollte das Testen auf Schwachstellen von Webanwendungen daher als gesonderte Aufgabe eingestuft werden. Idealerweise werden da einzelne Applikationen auch als einzelne Projekte betrachtet.
Bei allgemeinen Netzwerk-Schwachstellen- und Penetrationstests werden wichtige Bestandteile von Webanwendungen nicht berücksichtigt. Angesichts der Angriffsfläche, die Webapplikationen bieten, sollte entsprechend Zeit und Aufwand für das Testen der Sicherheit investiert werden. Und das Testen sollte sowohl mit Berücksichtigung der Nutzer-Authentifizierung als auch ohne erfolgen. Halten Sie nicht nur nach den offensichtlichen Schwachstellen Ausschau, sondern auch nach den verborgenen Problemen im Code.
Nachfolgend haben wir einige der häufigsten Sicherheitsprobleme in Sachen Websicherheit zusammengestellt. Und diese betreffen sowohl selbst gehostete Lösungen als auch Cloud-basierte Anwendungen. Neben Websites und Content-Management-Systemen gehören dazu natürlich auch die Webschnittstellen der Netzwerkinfrastruktur und natürlich die ebenso zugänglichen Konfigurationsoberflächen von IoT-Geräten.
Klassische Schwachstellen der Websicherheit
Hier sind ein paar gängige Probleme in Sachen Web Security und deren mögliche Risiken zusammengefasst:
- Cross-Site-Scripting, Clients kann beispielsweise Schadcode untergeschoben werden, zudem können von Clients aus Angriffe auf die Anwendung ausgehen;
- SQL Injection, Angreifer können auf Ressourcen zugreifen oder Daten verändern;
- Schwache oder Standard-Passwörter sowie unzureichende Passwort-Richtlinien, diese erleichtern es Angreifern, in die Systeme einzudringen;
- Schlecht ausgeführte Passwort-Reset-Funktionen, die es Angreifern erlauben, diese zu manipulieren oder zu missbrauchen;
- Ungenügendes Session-Management, bei dem etwa Cookies nach der Erstanmeldung und dem Abmelden nicht geändert werden, hier wird häufig eine Angriffsfläche für Man-in-the-middle-Attacken geboten;
- Fehlerhaft konfigurierte interne wie externe Proxies, die es Angreifern erlauben, das Netzwerk für den Webzugriff zu nutzen oder interne Sicherheitsmechanismen zu umgehen;
- Fehler bei der Eingabe-Validierung, dies kann Angreifern beispielsweise eine HTTP-Umleitung oder eine Frame Injection ermöglichen;
- Mangelnder oder fehlerhafter Einsatz von CAPTCHAs bei Webformularen, hierüber kann die Gefahr von E-Mail-DoS-Attacken entstehen.
Auch wenn es nicht direkt die Websicherheit betrifft, wenn das Betriebssystem und die Anwendungen auf dem entsprechenden System nicht ebenfalls alle aktuellen Sicherheits-Updates erhalten haben, beeinträchtigt dies die Gesamtsicherheit selbstredend.
Wie in vielen anderen Sicherheitsbereichen auch, geht es bei der Web Security nicht darum, jede Lücke in jedem System zu finden. Konzentrieren Sie sich auf die wirklich wichtigen Schwachstellen in den Anwendungen und Systemen. Auch hier gilt mehr oder minder eine Art 80/20-Regel, gemäß derer 20 Prozent der Fehler für 80 Prozent der Probleme sorgen.
Weblösungen im Netzwerk aufspüren
Sobald Sie diese Basis unter Kontrolle haben, kann ein eingehender Blick hinsichtlich Weblösungen im Netzwerk nicht schaden. Mit einem Tool wie Nmap können Sie einen Port-Scan durchführen, um Websites und Anwendungen zu finden die auf den Ports 80, 443 und 8080 kommunizieren. Wahrscheinlich stoßen Sie dabei auf eine ganze Reihe von Systemen, denen Sie sich gar nicht bewusst waren.
Und auch diese müssen auf Schwachstellen abgeklopft werden. Üblicherweise trifft man dort auf nur augenscheinlich harmlose Lösungen wie Multifunktionsgeräte oder Kopierer. Aber gerade deren Web Interfaces sollten besonders gut gesichert sein, diese Geräte transportieren nicht nur häufig sensible Informationen, sondern haben oft auch weitreichende Zugriffsmöglichkeiten. Wenn keinerlei Ergebnisse zu verzeichnen sind, muss man unter Umständen zu anderen Werkzeugen wie speziellen Schwachstellenscannern für Weblösungen greifen.
Gerade in Bezug auf Websicherheit muss das Thema Security von der Entwicklung über die Qualitätssicherung bis hin zum Testen und dem laufenden Betrieb fest implementiert sein. Websicherheit muss eine Kernkomponente der gesamten Sicherheitsstrategie sein. Wenn dies sichergestellt ist, verringert sich die Angriffsfläche für externe Attacken und Malware deutlich.
Betrachten Sie die Websicherheit gesondert und werfen Sie entsprechende Scans nicht einfach mit allgemeinen Untersuchungen zusammen in einen Topf. Sie werden nicht nur mehr Schwachstellen entdecken, darüber hinaus werden Sie einiges über ihr eigenes Netzwerk und die entsprechenden Risiken erfahren.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!