Unsichere Web-Anwendungen: Einfallstor für Hacker

Application Security Gateways heißen die neuen Sicherheitsmechanismen, manche nennen sie auch Web Application Firewalls oder Web Application Security. Ihnen allen ist eines gemeinsam: Im Gegensatz zur Firwall, die auf Netzwerkebene in die Pakete hineinschaut, prüfen sie die Protokolle der Applikationen. Angefangen hat damit Check Point bereits voriges Jahr, als die Firewall-1 ihre neue „Application Intelligence Technology“ bekam. Damals arbeiteten Hacker vor allem mit dem Speicherüberlauf – „Buffer Overflow“. Mittlerweile gibt es jedoch von verschiedenen Organisationen Top Ten-Listen der häufigsten Angriffe auf Webapplikationen im Internet – und mit der zunehmenden Bedrohung drängt eine Reihe weiterer Firmen auf den Markt, die sich auf das Thema spezialisiert haben. Darunter auch die Firma Imperva, gegründet vom Check Point Gründer Shlomo Kramer. Obwohl Kramer derzeit viel Wirbel in Europa macht, ist das Rennen um die Marktführerschaft noch nicht entschieden: „Das sind alles Startups“, meint Carsten Casper, Research Analyst bei der META Group, „und in Deutschland hört man momentan am häufigsten die Namen Kavado und Sanctum.“

Web Application Security: Ableger von Proxy und IDS

Kavado und Sanctum bieten ihre Plattform als Reverse-Proxy an, der sich zwischen den Nutzer und die Web-Applikation setzt. Der Proxy prüft die Eingaben zuerst und reicht sie danach an die Applikation weiter. Sowohl die Software von Kavado als auch von Sanctum hat einen Lernmodus. Damit weiß der Proxy für jedes Feld exakt, was der Nutzer hier eingeben darf: Welche Werte sind erlaubt, wie lang darf eine Kundennummer sein oder welche URLs darf er auf der Seite ansurfen. Damit wird auch verhindert, dass vergessene Demo-Applikationen, die noch auf dem Server schlummern, in falsche Hände geraten. Die Software von Sanctum lernt all dies im laufenden Betrieb. Sie verfolgt jede einzelne Benutzer-Session: Geht ein Nutzer auf die Homepage eines Reiseveranstalters, dann weiß Sanctum sofort, worauf er als nächstes Klicken könnte, weil die Seite komplett über das Gateway geschickt und dort analysiert wird. Der Proxy ist also jederzeit darüber informiert, welche erlaubten Links der Nutzer auf der Seite findet. Versucht der Nutzer nun, einen unerlaubten Link anzusurfen, wird er blockiert. Da es sich um einen Proxy handelt, generiert er eine Seite mit der Mitteilung, dass hier wohl ein Fehler aufgetreten sei.

Kavado hingegen lernt im Vorfeld: Während der Qualitätssicherung wird alles angeklickt, was der Nutzer möglicherweise tun darf. Die Software muss alles lernen, bevor sie online geht. Die so entwickelte Policy wird dann festgeschrieben und ändert sich im laufenden Betrieb nicht mehr. Falls sich Änderungen auf der Seite ergeben, muss Kavado also stets neu trainiert werden.

Durch diesen Hauptunterschied sind die beiden Firmen für unterschiedliche Szenarien interessant: Wer eine hochverfügbare, performante Lösung braucht, greift eher auf Kavado zurück, denn durch die feste Policy kann die Software unter Last schneller arbeiten. Zudem können zwei Server ihre Sessions untereinander austauschen und so ein hot-stand-by realisieren.

Sanctum hingegen ist schneller zu installieren und flexibler, wenn die Applikation noch viel entwickelt wird. Da sie aber jederzeit den Status jedes Nutzers weiß, müßte eine hochverfügbare Lösung diese Stati ständig austauschen, was die Software derzeit noch nicht kann. Problematisch wird es ebenfalls, wenn Seiten ihre Links aus Java-Scripten generieren: Der Anwender bekommt einen Link, den er nicht anklicken kann, weil Sanctum ihn nicht im HTML-Text gesehen hat und daher für verboten hält.