Webapplikationen – Die größten Risiken und wie sie vermieden werden können

Webapplikationen bringen erhebliche Vereinfachungen in den geschäftlichen und privaten Alltag. Dabei spielen die funktionalen Anforderungen einer Anwendung in den meisten Fällen eine vorrangige Rolle. Die Sicherheit wird häufig vernachlässigt. Dadurch wird es Kriminellen leicht gemacht Angriffe zu initiieren und sensible Daten zu stehlen.Webbasierte Anwendungen, wie Online-Banking, Online-Shopping und soziale Netzwerke werden von immer mehr Menschen genutzt. Das „Netz“ ist ein fester Bestandteil des alltäglichen Lebens geworden, um Berufliches oder Privates zu organisieren. Und die Angriffe auf webbasierte Anwendungen haben Hochkonjunktur. Die Ergebnisse des IBM X-Force Annual Report 2008 zeigen, dass 55 Prozent aller Schwachstellen in Software oder Softwarekomponenten sich auf Webapplikation auswirken. Dabei lassen sich die meisten Angriffe in der Praxis in die Kategorien „Command-Execution“ und „Client-Side-Attacks“ unterteilen.

Command-Execution

Unter Command-Execution ist die Ausführung von Befehlen auf dem Web,- oder Applikationsserver oder den nachgelagerten Backendsystemen zu verstehen. In den meisten Fällen werden dabei SQL-Injection-Schwachstellen ausgenutzt. Diese ermöglichen es einem Angreifer, beliebige SQL-Abfragen in der jeweiligen Datenbank durchzuführen. In der Regel können die SQL-Injection-Schwachstellen darauf zurückgeführt werden, dass viele Webapplikation dynamische SQL-Abfragen durch die Eingabedaten des Benutzers generieren, ohne dabei die eingegebenen Parameter entsprechend zu überprüfen. Erfolgreiche SQL-Injection-Angriffe können weitreichende Folgen haben:

– Auslesen der gesamten Datenbankinhalte, die unter Umständen sensible Informationen enthalten können,

– vollständige Manipulation der Web-, Applikations,- und Backendserver sowie evtl. der gesamten Datenbestände,

– Einschleusen und Speichern von Schadsoftware, wie Viren und Trojaner, die bei einem Aufruf der Webapplikation den PC des Users infizieren können.

Client-Side-Attacks

Bei den Client-Side-Attacks wird die Webapplikation als Medium genutzt, um an sensible Daten des Users zu gelangen. Der eigentliche Angriff erfolgt dann auf dessen PC. Ein prominentes Beispiel solcher Angriffe ist das so genante Cross-Site-Scripting (XSS). Dabei wird ein eingeschleuster Script-Code im Browser des Users ausgeführt. Ein Link einer scheinbar vertrauenswürdigen Anwendung verleitet den unwissenden User zu einem Klick mit negativen Folgen. Mit dem Anklicken des Links wird eine vertrauenswürdige Webapplikation aufgerufen und gleichzeitig der Script Code des Angreifers an die Webapplikation versteckt gesendet. Falls die Webapplikation keine entsprechende Validierung der Rückgabedaten durchführt, gelangt der Script Code des Angreifers ungefiltert an den Web-Browser des Users, wo er dann im Kontext der Webapplikation ausgeführt wird.

XSS ist grundsätzlich immer dann möglich, wenn Benutzereingaben von der Webapplikation, wie beispielsweise einer Suchfunktion, verarbeitet werden. Am häufigsten werden diese Angriffe eingesetzt, um die Login-Daten eines Users oder andere Authentifizierungsmerkmale auszuspähen. In diesem Fall kann der Angreifer beispielsweise auf der Rechnung derjenigen, deren Daten ausgespäht wurden, einkaufen oder einen Zugang zum Online-Banking und somit zu Bankdaten und Transaktionsfunktionen erhalten.

Die beschriebenen Angriffsverfahren werden in der Praxis meist kombiniert angewandt und weisen verschiedene Variationen auf. Darüber hinaus ist es ein Trugschluss zu glauben, dass sich solche Angriffe nur auf die vermeidlich „dubiosen“ Webseiten beschränken. Sie können jede Webapplikation betreffen, die entsprechende Schwachstellen aufweist.

Es liegt in der Verantwortung der Unternehmen, die Webapplikationen anbieten, geeignete Maß;nahmen zum Schutz der User durchzuführen. Dabei geht es nicht nur um die Unternehmenssicherheit, sondern vielmehr um den Schutz derjenigen, die dem Unternehmen Vertrauen entgegenbringen und ihre Daten preisgeben. Meist sind Unternehmen gut beraten, die IT-Sicherheitsmaß;nahmen auf der Anwendungsebene zu verstärken, damit Schwachstellen erkannt und somit Angriffe verhindert bzw. ausgeschlossen werden können.

Um gegen Angriffe auf Webapplikationsebene gewappnet zu sein, sollten folgende Aspekte berücksichtigt werden:

– Bereits beim Designen und in der Entwicklung von Webapplikationen muss IT-Sicherheit ein integraler Bestandteil sein.

– Regelmäß;ige Überprüfung der Sicherheit durch toolgestützte Tests (Applikationscans und Penetrationtests) müssen durchgeführt werden.

– Web-Applikation-Firewalls (WAF) sollten sinnvoll eingesetzt werden.

– CERT-Dienste müssen genutzt werden und eine Reaktion auf die neusten Schwachstellen muss schnell erfolgen.

– Das Sicherheitsbewusstsein (Security Awareness) im Unternehmen und bei den Usern von Webapplikation muss gesteigert werden.

Dass Softwaresicherheit immer wichtiger wird verdeutlichen auch Initiativen wie das Zertifizierungsprogramm der (ISC)2 Certified Software Security Lifecycle Professional (CSSLP). Es reicht nicht mehr aus, lediglich die Funktionalität von Applikationen zu garantieren. .Denn die Anforderungen an die Sicherheit von Software – ganz besonders für Webanwendungen – nehmen zu.

Heute sind Webapplikationen aus unserem Alltag nicht mehr wegzudenken, da einige fast unverzichtbar geworden sind. Gleichzeitig nehmen bösartige Angriffe mittels „SQL-Injection“ und „Cross-Side-Scripting“ zu und richten Schaden sowohl für User als auch für Unternehmen an. Doch die meisten Bedrohungen ließ;en sich erfolgreich abwehren. Hierzu wäre es notwendig, dass Unternehmen, die Webapplikationen anbieten, ihre Verantwortung für die IT-Sicherheit auf der Anwendungsebene besser wahrnehmen und ihre Kompetenzen verstärken.

(Autor: Dr. Stefan Blum, (ISC)² zertifizierter CISSP, und Hendrik Vagts, IBM Global Business Services)