Cherries - stock.adobe.com

Sicherheitsrisiko: Angriffe auf Webanwendungen in der Cloud

Angriffe auf Webanwendungen stellen eine erhebliche Bedrohung in Cloud-Umgebungen dar, so aktuelle Untersuchungen. Was sind die Risiken und was können Unternehmen dagegen tun?

Alert Logic hat auf Basis seiner gesammelten Kundendaten Analysen durchgeführt und einen entsprechenden Bericht veröffentlicht. Ein Ergebnis dieser Untersuchung: Die Mehrheit der Cloud-Angriffe richtet sich gegen Webanwendungen.

Angriffe auf Webanwendungen können jedes Unternehmen betreffen, dass eine Webseite betreibt. Unabhängig davon, ob es sich um ein relativ statisches Angebot handelt, oder Login- beziehungsweise E-Commerce-Anwendungen darauf laufen. Die Angriffe konzentrieren sich auf die OWASP Top 10 – also die Top-10-Schwachstellen in Sachen Websicherheit. Angreifer machen sich das Leben nicht komplizierter als nötig, wenig verwunderlich, dass SQL Injection und Cross Site Scripting zu den effektivsten Angriffsmethoden gehören.

Angriffe auf Webanwendungen können sowohl für das Unternehmen selbst als auch für dessen Kunden Folgen haben. So kann es Hackern gelingen, Informationen aus der Datenbank hinter der Anwendung abzuziehen. Das können dann auch personenbezogene Daten der Kunden sein, möglicherweise auch Zugangsdaten, die dann für andere Angriffe missbraucht werden. Je nach Angriff kann es den Cyberkriminellen auch gelingen, Malware auf die Rechner der Nutzer einzuschleusen.

Angreifern, denen es gelingt, die Kontrolle über das Content Management Systems (CMS) des Unternehmens zu übernehmen oder per Cross Site Scripting erfolgreich sind, können die Webseite des Unternehmens nach eigenen Vorstellungen manipulieren. So können Hacker vorgeben, was Endkunden sehen, wenn diese die Webseite ansurfen. Dabei ist es dann auch ein Leichtes, den Besuchern der Webseite entsprechende Downloads unterzuschieben.

IaaS-Plattformen (Infrastructure as a Service), wie sie beispielsweise von Amazon Web Services oder Microsoft Azure angeboten werden, zeichnen sich durch hohe Sicherheitsstandards rund um die von den Unternehmen zur Verfügung gestellten Plattformen aus. Derlei Lösungen funktionieren jedoch nach dem Prinzip der geteilten Verantwortung. Für die Hardware und Plattform übernimmt der Anbieter die Verantwortung. Für alles, was auf dieser Hardware läuft – einschließlich der Webanwendungen – trägt der Kunde die Verantwortung.

Wenn der Kunde nun auf dieser Plattform eine veraltete Version eines CMS betreibt, das eine bereits veröffentlichte Schwachstelle aufweist, kann ein Angreifer diese relativ einfach ausnutzen. Betreibt der Kunde eine individuelle Webanwendung auf er Plattform, die nicht ausreichend auf Schwachstellen getestet wurde, kann ein Angreifer ebenfalls die anfällige Applikation attackieren.

Automatisierte Angriffe

Oftmals sind diese Angriffe auf Webanwendungen vollständig automatisiert. Unter Umständen sind sie nicht einmal speziell gegen die anfällige Anwendung gerichtet. Automatisierte Tools scannen das Internet nach bestimmten Mustern und Signaturen, um dann den passenden Exploit anzuwenden. Unternehmen müssen daher gewährleisten, dass ihre in der Cloud gehosteten Anwendungen entsprechend sicher sind. Auch wenn die Applikationen auf einer sehr sicheren IaaS-Plattform gehostet wird, ändert dies nichts an direkten Attacken auf die Webanwendung.

Neben den automatisierten Angriffen registrierte Alert Logic in einigen Fällen, dass Webanwendungen mit speziell geschriebenen Methoden attackiert wurden. Diese Angriffe gingen weit über die Möglichkeiten der automatisierten Tools hinaus. So sei es ein Trend Standardmethoden wie SQL Injection und Cross Site Scripting zu übernehmen, und so anzupassen, dass sie auch bei ausklügelten Abwehrmechanismen funktionieren.

Wichtig ist: Das Hosting von Webanwendungen in der Cloud erhöht oder beeinträchtigt die Sicherheit auf Anwendungsebene nicht. Die neueste Version zu verwenden, inklusive von Plug-ins und Frameworks sowie regelmäßige Penetrationstests sind in der Cloud ebenso ratsam wie in jeder anderen Umgebung auch.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook

Nächste Schritte

Schwachstellen bei Websites und Webanwendungen finden

Die Sicherheit von Webanwendungen verbessern

Das sollten Unternehmen über Cross Site Scripting wissen

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close