22.07.2008 | Autor / Redakteur: Michael Cobb / Stephan Augsten
Zwar sichern viele Firmen ihre Netzwerke immer stärker ab, Webanwendungen bleiben aber weiterhin verwundbar. Zu den häufigsten Attacken gehören Pufferüberläufe, SQL-Injektionen und Denial-of-Service-Attacken. Weniger bekannt, aber nicht weniger gefährlich sind E-Mail-Injektionen. Potenzielle Angreifer verwenden ferner eine Methode namens Fingerprinting, um sich Informationen über das Ziel zu verschaffen. Administratoren müssen sich also gegen zahlreiche mögliche Angriffe wappnen.
Auch wenn sich die Angriffstaktiken unterscheiden, können die Ergebnisse gleichermaßen katastrophal sein: Diebstahl vertraulicher Daten, Gefährdung des ganzen Systems bis hin zum Zusammenbruch des Geschäftsbetriebs. Unternehmen sollten sich dieser Bedrohungen bewusst sein und müssen Abwehrstrategien entwickeln, um für den Ernstfall gerüstet zu sein.
Online-Kriminelle lernen schnell, die traditionellen Sicherheitsmaßnahmen zu umgehen, indem sie sich Schwachpunkte in Anwendungen zu Nutze machen. Angreifer attackieren auf höherer Ebene des Netzwerkprotokollstacks und kommunizieren auf Ebene 7 direkt mit den Prozessen einer Applikation. Dabei werden Daten übertragen, die als legitime Anfragen oder Kommandos erscheinen sollen – also etwa Skripts, URLs (Uniform Resource Locator) und Formulareingaben. Auf diese Weise können Hacker an zahlreiche wertvolle Daten gelangen, ohne in die Server einbrechen zu müssen.
Die Statistiken sind beunruhigend: Gartner schätzt, dass 75 Prozent der Attacken gegen Websites auf Anwendungsebene erfolgen. Die meisten Sicherheitslücken, die Symantec in den vergangenen Monaten dokumentierte, befanden sich in Webapplikationen. Und bei der Mehrzahl der 20 schlimmsten Sicherheitslücken in der US-CERT-Datenbank handelt es sich ebenfalls um Bugs in Internet-Anwendungen.
Viele Sicherheitslücken in webbasierenden Anwendungen sind zwar produktspezifisch, aber noch mehr Probleme entstehen bei der unsachgemäßen Einrichtung und Verwendung einer Anwendung. Das Open Web Application Security Project (OWASP) nennt folgende Problemfelder bei Webanwendungen:
Fast alle dieser Probleme entstehen bei der Programmierung oder Implementierung von Webappliaktionen. Lediglich DoS-Attacken setzen tiefer an, nämlich auf der Ebene der Internetprotokolle.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004585)
