SSilver - Fotolia

Die Sicherheit von Webanwendungen erhöhen

Um die Nutzung von Webanwendungen sicherer zu machen, ist eine Kombination aus Sicherheitstests und Web Application Firewalls ein hilfreicher Ansatz.

In gleichem Maße, wie in den vergangenen Jahren die Nutzung von Webanwendungen zugenommen hat, haben auch die Sicherheitsprobleme mit der Bereitstellung entsprechender Applikationen zugenommen. Im Folgenden geht es um das Testen von Webanwendungen sowie Web Application Firewalls.

Beides lässt sich kombinieren und ergänzend nutzen, um die Schwachstellen bei Webanwendungen in den Griff zu bekommen und die Sicherheit zu erhöhen.

Die Angriffsmöglichkeiten auf Anwendungsebene sind bei Web-Applikationen viefältig und reichen vom Browser bis hin zum SSL/TSL-Protokoll. Unternehmen sind kaum dazu in der Lage, jedem Zero-Day-Exploit entsprechend zu begegnen. Stattdessen sollten sich Entwickler und Anbieter von Web-Apps darauf konzentrieren, Anwender soweit wie möglich vor unnötigen Risiken zu schützen.

Sicherheitstests für Webanwendungen

Schwachstellen bei Webanwendungen lassen sich am besten über das Testen der Sicherheit entdecken und bereinigen. Als Teil des Secure Software Development Lifecycle ( Sicherer Lebenszyklus für Softwareentwicklung, SSDLC) können Sicherheitsprobleme zu unterschiedlichen Zeitpunkten der Entwicklung entdeckt werden.

Die statische Analyse des Quellcodes hat meist eine Reihe an Fehlalarmen zur Folge, bietet dafür aber zu einem frühen Zeitpunkt eine recht umfassenden Überblick. Das dynamische Testen ist sehr zeitaufwendig, liefert dafür konkretere Ergebnisse, die aber nicht immer umfassend sind. Wie so oft, vereinigt eine Kombination aus beidem die Vorteile der Methoden und erhöht so die Sicherheit der Anwendungen.

In der Realität ist das Testen in der gewünschten Tiefe jedoch nicht immer möglich, sei es aus Zeitgründen, lizenzrechtlichen Problemen oder mangels der Zugriffsmöglichkeit auf den Quellcode. Nicht zuletzt aus diesem Grund sind Web Application Firewalls (WAFs) eine gute Möglichkeit, Sicherheitsprobleme in Webanwendungen zu minimieren.

Web Application Firewalls

Um die Angriffsfläche der Webanwendungen zu verringern, kann eine vorgeschaltete Web Application Firewall zum Einsatz kommen. Ganz ohne Nebenwirkungen ist dieser Ansatz allerdings nicht. Da die WAF praktisch zwischen dem Anwender und der Anwendung zum Einsatz kommt, kann dies durchaus Auswirkungen auf die Performance haben. Zudem erfordert die Bereitstellung von WAFs Zeit und Fachkenntnisse. Ein Allheilmittel ist eine Web Application Firewall also auch keinesfalls.

Offensichtliche Angriffe wie SQL Injection oder Cross Site Scripting wird eine WAF souverän abfangen. Will man funktionelle Schwachstellen oder das Umgehen der Logik entsprechend absichern, ist meist ein Anpassen der Regeln der Firewall notwendig. Dies sollte man in jedem Fall berücksichtigen, denn genau diese Probleme können genauso schwerwiegende Folgen haben wie eine ganz „normale“ Sicherheitslücke.

Die gute Nachricht ist: Prinzipiell sind Web Application Firewalls schnell zu installieren und können die Sicherheit der Webanwendungen deutlich erhöhen. Insbesondere dann, wenn nicht die Zeit oder die Möglichkeiten für eingangs erwähnte Testszenarien zur Verfügung stehen.

Testen und WAFs kombinieren

Ein wohlfeiler Ansatz ist es, die Sicherheit bereits während der Entwicklung zu testen und nachdem die Webanwendung implementiert ist, eine WAF zum Einsatz zu bringen.

Viele Unternehmen haben bereits Ablaufpläne, um das Thema Sicherheit von Anfang an in das Design der Anwendung sowie in den Quellcode und in das Testen der Anwendungen einfließen zu lassen – Stichwort  Secure Software Development Lifecycle/Sicherer Lebenszyklus für Softwareentwicklung (SSDL). Und doch werden zwangläufig Sicherheitslücken entdeckt werden, wenn die Anwendung erst einmal im produktiven Einsatz ist.

Und nicht alle Schwachstellen werden sich auf Anhieb schließen lassen. Hier kann eine Web Application Firewall ihre Stärken ausspielen und den Unternehmen Zeit verschaffen, indem Angriffe auf diese Schwachstelle abgewehrt werden können, bis eine richtige Lösung vorliegt. Während in der WAF entsprechende Regeln hinterlegt werden, können Unternehmen in der Zwischenzeit den entsprechenden Patch einspielen oder das nächste Release der Anwendung an den Start bringen. Diese Vorgehensweise ist insbesondere dann hilfreich, wenn das Schließen der Sicherheitslücke aufwendig ist.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close