Normalerweise sind Entwickler nicht verantwortlich für falsch eingestellte Berechtigungen – es sei denn, sie haben die Anwendung so erstellt, dass sie sich auf solche Berechtigungen verlässt. Falls eine Anwendung zum Beispiel verlangt, dass ein bestimmtes Verzeichnis für jedermann mit Schreibrechten versehen ist (oder noch schlimmer mit vollen Zugriffsrechten zum Lesen, Schreiben und Ausführen), ist die Anwendung ein ausgezeichnetes Versteck (oder gar Auslösepunkt) für bösartigen Code.
Viele Anwendungen verfügen über Verzeichnisse zum Speichern von temporären Berichten. Man kann versuchen, etwas in den Ordnern auf dem Webserver herumzustöbern, indem man die URL ändert, um ein Gefühl dafür zu bekommen, welche Berechtigungen bestehen. Falls die Anwendung die Möglichkeit zur Freitextsuche bietet (üblicherweise gibt es für das Speichern von Ergebnissen Ordner mit Schreibrechten für alle), kann man versuchen, dorthin eine ausführbare Datei zu posten und diese dann vom Browser aus aufrufen, um zu sehen, ob sie ausgeführt wird.
Falls die Anwendung eine Upload-Möglichkeit bietet, sollte man auf Ausführrechte prüfen. Nur in den seltensten Fällen sollte irgendjemand Ausführungs-Rechte für Webordner haben. Auch sollte kein Benutzer in der Lage sein, ausführbare Dateien auf dem Server laufen zu lassen. Falls man per Shell außerhalb der Anwendung Zugriff auf den Server erlangen kann (was häufig der Fall ist), ist fast jeder dort befindliche Prozess im Besitz eines privilegierten Benutzerkontos wie „oracle“, „root“ oder „system“ und hat dieselben Rechte wie der Besitzer. Potenzielle Probleme entstehen, falls die Anwendung den Upload von Daten erlaubt oder nicht den Zugriff auf einmal hochgeladene Daten einschränkt. Ein weiterer häufiger Fehler besteht darin, dass für Upload-Verzeichnisse nur schwache Zugangsberechtigungen verlangt werden.
Sicherheitslücken vermeiden
Diese Liste ist zwar nicht vollständig, aber sie enthält die häufigsten Fehler, die man bei Entwicklern beobachten kann, wenn sie Web-basierte Anwendungen erstellen. Es gibt eine Reihe hervorragender Informationsquellen für Entwickler und Tester, die mehr über die gängigsten Sicherheitslücken erfahren wollen. Hier sei allen Entwicklern besonders der OWASP-Report für 2004 empfohlen. Außerdem sollte man die SANS-Top-20-Liste lesen. Auch wenn sie sich nicht speziell auf Web-Anwendungen bezieht, bekommen Entwickler einen Eindruck davon, worauf sie gefasst sein sollten. Mit diesem Know-how ausgestattet sollte man die meisten der gängigen Fallstricke vermeiden können.
Neueste Kommentare
Noch keine Kommentare zu Zehn häufige Sicherheitslücken bei Web-basierten Anwendungen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.