Web Application Security

Früher mussten Angreifer in das interne Firmennetzwerk eindringen, um an die Unternehmensdaten zu gelangen. Heute werden viele dieser vertraulichen Daten firmenintern zusammengeführt und für E-Business- und Automations-Zwecke Webanwendungen anvertraut. Diese haben oft sogar direkten Zugriff auf die Backend-Systeme und sind durch manipulierte Abfragen und Eingaben angreifbar!

Webanwendungen aller Art, ob Webshop, Bewerber- oder Partnerportal benötigen besonderen Schutz. Angriffe wie Zero-Day-Exploits, SQL-Injections, Cross-Site-Scripting oder verteilte Denial-of-Service-(DDoS-)Angriffe auf Webanwendungen haben in den letzten Jahren stark zugenommen – von 7% im Jahr 2015 auf 40% im Jahr 2017 [1].

Image-Verlust und hohe Kosten

Für zeitgemäße Geschäftsmodelle ist das Vertrauen der Anwender in die Sicherheit der zugrundeliegenden Systeme unabdingbare Geschäftsgrundlage. Dieses Vertrauen wird seit geraumer Zeit durch eine zunehmende Zahl erfolgreicher Einbrüche, die nur teilweise veröffentlicht werden, empfindlich gestört. Dabei geht es um mittel- und langfristige finanzielle Verluste, aber vor allem um die Reputation der Unternehmen bei Ihren Kunden und auf dem Markt sowie den Vertrauensverlust.

Webanwendungen benötigen speziellen Schutz

Eine WAF (Web Application Firewall) untersucht alle eingehenden Anfragen und die Antworten des Web-Servers. Bei verdächtigen Inhalten wird der Zugriff unterbunden. Es steht mit dieser insofern ein Schutz für (Web-) Anwendungen zur Verfügung, welcher auch Schutz vor Fehlern in der Applikationslogik schützen kann.

Ein gutes, wenn auch relativ einfaches, Beispiel ist der Schutz vor einer klassischen SQL-Injektion Lücke in einer Webanwendung. Empfängt eine solche Applikation extern von den Clients Daten, greift unter Nutzung dieser Daten auf eine Datenbank zu, kontrolliert allerdings die empfangenen Datenfelder nicht ausreichend, so kann es vorkommen, dass über diese Datenfelder ein direkter Zugriff auf eine SQL-Datenbank möglich ist. Hierfür müssen von einem möglichen Angreifer nur die jeweiligen Datenfelder dementsprechend päpariert werden und dann diese an den Anwendungsserver geschickt werden (in diesem Fall typischerweise über HTTP/HTTPS). Eine WAF ermöglicht es in diesem beschriebenen Szenario, das modifizierte Datenfeld zu erkennen und eine abwehrende Aktion durchzuführen, so dass ein potentieller Angriffsvektor minimiert wird.

Bei Anwendungen, welche kein HTTP/HTTPS als Transportprotokoll verwenden, muss man allerdings genauer hinschauen, da eine WAF sehr protokollspezifisch ausgerichtet ist und es teilweise sehr kompliziert werden kann, diese für andere Protokolle/Szenarien einzusetzen. Hier bedarf es einer genaueren Beleuchtung der jeweiligen Situation durch erfahrene Techniker.

[1] Phonsa, Vikas/Arazi, Eyal: Data Breach Investigation Report (DBIR) for 2016, https://www.verizondigitalmedia.com/blog/2016/06/verizon-dbir-2016-web-application-attacks-are-the-1-source-of-data-breaches/ (Stand: 04.12.2017)

 

UNSER PARTNER

Zurück