Ebenso häufig überschreitet jemand einfach seine Zugangsberechtigung: Einmal eingeloggt, kann er mit ein paar einfachen Tricks auch auf Teile der Website zugreifen, auf die ein Außenstehender eigentlich keinen Zugriff haben sollte, zum Beispiel fremde Nutzerkonten oder geheime Daten. Auf Platz drei der häufigsten Angriffe auf Web-Anwendungen steht auf der Top Ten Liste des OWASP (Open Web Application Security Project) der Einbruch in die Sessions anderer Nutzer. Dazu ist oft nicht einmal Spezialwissen nötig: Im Fall der Firma Gateway reichte es bereits, die beim ersten Besuch lokal gespeicherten Cookies zu manipulieren, um an die Daten anderer Nutzer heranzukommen.
„Das Problem an sich ist, das Web-Anwendungen nicht ausreichend sicher programmiert sind“, resümiert Stefan Strobel, Geschäftsführer von Cirosec, Security-Berater und Dienstleister in Heilbronn. Dahinter steht oft ein Zeit- und Geldproblem: Firmen wollen schnell online sein und stehen unter hohem Druck, den sie an die Software-Entwickler weitergeben. Diese würden die Anwendungen wohl genauer auf Sicherheitslücken testen, bekommen aber kein Budget dafür.
Im Nachhinein ist dann nicht mehr viel zu machen. Zum ersten ist es teuer, Applikationen zu prüfen. Dafür gibt es bereits Werkzeuge und Strobels Team nutzt hier Software von Kavado, Sanctum oder dem Marktführer Spydynamics. Dennoch bleibt vieles reine Handarbeit. Manche Schlupflöcher finden auch erfahrene Experten erst nach langem Suchen – und das ist teuer. Denn die Software prüft nur, ob Eingabefelder z.B. Semikolons und Anführungszeichen zulassen, ob man damit aber wirklich einbrechen kann, müssen die Techniker selbst herausfinden.
Ist dann einmal eine Aufgabenliste für den Programmierer erstellt, heißt das noch lange nicht, dass die Web-Anwendung in der nächsten Version wirklich sicher wird. Neuer Programmcode birgt auch wieder neue Fehler, so die Erfahrung von Strobel. Spätestens wenn eine Firma mehrere Web-Anwendungen einsetzt, die alle überprüft werden müßten, lohnt es sich, ein Security-Gateway zu kaufen.
„Es ist das gleiche Problem wie mit Microsoft und den Patches von Microsoft – sie haben nie auf jedem Server fehlerfreie Software“, erklärt Strobel, „Also kaufen Sie lieber eine Box, die davor steht und trotzdem Sicherheit gewährt, das ist letztlich preisgünstiger.“
Neueste Kommentare
2 Kommentare zu Unsichere Web-Anwendungen: Einfallstor für Hacker
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
SQL-Injection ist ein uralter Hut!
Das Problem ist schon mindestens seit Beginn der Client/Server-Programmierung bekannt und gelöst. Warum also dieser Artikel?
Es scheint, hier soll ausschließlich billige Werbung gemacht werden… :-/
Die Lösung gegen SQL-Injection ist übrigens trivial: Man verdopple einfach alle Anführungszeichen in jedem Eingabestring und schon werden diese vom DBMS nicht mehr als String-Ende interpretiert, sondern eben als Anführungszeichen innerhalb eines Strings.
http://www.schwider.de/
AW: SQL-Injection ist ein uralter Hut!
SQL-Injection ist wirklich nicht der neueste Hacker-Trick. Da hast Du wohl recht.
Aber ich halte diesen Artikel trotzdem für aktuell. Denn er zeigt ein eher grundsätzlichen Problem auf, nämlich dass auch heute noch lange nicht jeder Programmierer seine Datenbank so absichert.
Im übrigen könnten solche Gateways, wie in dem Artikel beschrieben, auch verwendent werden um Tunneling zu unterbinden. Alles nur eine Frage der unterstützten Protokolle.