Categories: Software

Zehn häufige Sicherheitslücken bei Web-basierten Anwendungen

Normalerweise sind Entwickler nicht verantwortlich für falsch eingestellte Berechtigungen – es sei denn, sie haben die Anwendung so erstellt, dass sie sich auf solche Berechtigungen verlässt. Falls eine Anwendung zum Beispiel verlangt, dass ein bestimmtes Verzeichnis für jedermann mit Schreibrechten versehen ist (oder noch schlimmer mit vollen Zugriffsrechten zum Lesen, Schreiben und Ausführen), ist die Anwendung ein ausgezeichnetes Versteck (oder gar Auslösepunkt) für bösartigen Code.

Viele Anwendungen verfügen über Verzeichnisse zum Speichern von temporären Berichten. Man kann versuchen, etwas in den Ordnern auf dem Webserver herumzustöbern, indem man die URL ändert, um ein Gefühl dafür zu bekommen, welche Berechtigungen bestehen. Falls die Anwendung die Möglichkeit zur Freitextsuche bietet (üblicherweise gibt es für das Speichern von Ergebnissen Ordner mit Schreibrechten für alle), kann man versuchen, dorthin eine ausführbare Datei zu posten und diese dann vom Browser aus aufrufen, um zu sehen, ob sie ausgeführt wird.

Falls die Anwendung eine Upload-Möglichkeit bietet, sollte man auf Ausführrechte prüfen. Nur in den seltensten Fällen sollte irgendjemand Ausführungs-Rechte für Webordner haben. Auch sollte kein Benutzer in der Lage sein, ausführbare Dateien auf dem Server laufen zu lassen. Falls man per Shell außerhalb der Anwendung Zugriff auf den Server erlangen kann (was häufig der Fall ist), ist fast jeder dort befindliche Prozess im Besitz eines privilegierten Benutzerkontos wie „oracle“, „root“ oder „system“ und hat dieselben Rechte wie der Besitzer. Potenzielle Probleme entstehen, falls die Anwendung den Upload von Daten erlaubt oder nicht den Zugriff auf einmal hochgeladene Daten einschränkt. Ein weiterer häufiger Fehler besteht darin, dass für Upload-Verzeichnisse nur schwache Zugangsberechtigungen verlangt werden.

Sicherheitslücken vermeiden

Diese Liste ist zwar nicht vollständig, aber sie enthält die häufigsten Fehler, die man bei Entwicklern beobachten kann, wenn sie Web-basierte Anwendungen erstellen. Es gibt eine Reihe hervorragender Informationsquellen für Entwickler und Tester, die mehr über die gängigsten Sicherheitslücken erfahren wollen. Hier sei allen Entwicklern besonders der OWASP-Report für 2004 empfohlen. Außerdem sollte man die SANS-Top-20-Liste lesen. Auch wenn sie sich nicht speziell auf Web-Anwendungen bezieht, bekommen Entwickler einen Eindruck davon, worauf sie gefasst sein sollten. Mit diesem Know-how ausgestattet sollte man die meisten der gängigen Fallstricke vermeiden können.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

OpenAI veröffentlicht KI-Video-Tool Sora

Es erstellt kurze Videoclips aus Textaufforderungen. Sora steht ab sofort Abonnenten von ChatGPT Plus und…

1 Woche ago

KI-Modell „Made in Germany“

Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.

1 Woche ago

Studie: Mitarbeiterverhalten verursacht IT-Sicherheitsrisiken

Zur Arbeitserleichterung umgehen Mitarbeiter unter anderem Cybersicherheitsrichtlinien. Dazu gehört wie Wiederverwendung von Kennwörtern für geschäftliche…

1 Woche ago

Lichtgeschwindigkeit für generative KI

Optiktechnologie könnte elektrische Verbindungen in Rechenzentren ersetzen und so Geschwindigkeit und Energieeffizienz für KI erheblich…

1 Woche ago

Meta kündigt neues Rechenzentrum für 10 Milliarden Dollar an

Es entsteht im US-Bundesstaat Louisiana. Meta sichert damit den Rechenbedarf für seine KI-Dienste.

1 Woche ago

Autonomes Fahren: Deutsche sehen eher Risiken

Weniger Lärm und ein besserer Verkehrsfluss sind die einzigen Vorteile, der die Mehrheit der Bevölkerung…

1 Woche ago