Pavel Ignatov - Fotolia

Webserver und Webanwendungen richtig schützen

Zur Absicherung von Webapplikationen werden oft unzureichende Maßnahmen eingesetzt. Statt nur Penetrationstests durchzuführen, sollte ein komplettes Security-Assessment erfolgen.

Wie steht es um Ihre Websicherheit? Sind Sie auch überzeugt, dass dank wiederholter Schwachstellen- und Penetrationstests alle Ihre kritischen Geschäftssysteme sicher vor Gefahren und Angriffen sind? Wenn Sie nicht bereits die richtigen Maßnahmen ins Auge gefasst haben, sind Ihre Web-Security-Prozesse aber möglicherweise weit weniger sicher, als Sie bislang dachten.

Erfahrungsgemäß erfolgen nämlich viele Sicherheitsmaßnahmen in Sachen Web direkt auf dem Application Layer. Das muss nicht schlecht sein, wenn man bedenkt, wie groß die Gefahr durch Cross-Site Scripting, SQL Injection und andere gefährliche Schwachstellen in Applikationen wirklich ist. Sie sollten jedoch auch einen gründlichen Blick auf den sich darunter befindlichen Server werfen.

Schwachstellen in Webservern

Eine fehlerhafte Konfiguration auf dem Serverlevel, beispielsweise ein fehlendes Update von Apache Struts, kann bereits genügen, um selbst große Konzerne in die Knie zu zwingen. Dazu kommen Exploits aus der Ferne und DoS-Angriffe (Denial of Service), die sich gegen die Ebene unter der Anwendungsschicht (Application Layer) und damit gegen den Webserver selbst richten.

Zu den häufigeren Schwachstellen gehören:

  • Fehlende Patches für Webserver wie den Internet Information Server und Apache und für Betriebssysteme wie Windows und Linux.
  • Offene Ports, über die unverschlüsselte Logins möglich sind. Dazu kommen unzureichend geschützte Proxies und verwundbare Dienste wie FTP (File Transfer Protocol) und SNMP (Simple Network Management Protocol).
  • Fehlerhafte Konfigurationen, die einen nicht autorisierten Zugriff auf Verzeichnisse und Dateien ermöglichen.
  • Angriffe auf den DNS-Cache (Domain Name System) und den Datenverkehr in einem Netzwerk.
  • Die interne IP-Adresse des Webservers lässt sich durch Angreifer herausfinden, weil sie entweder hart codiert oder weil die Header des Webservers falsch konfiguriert wurden.
  • Fehlender Schutz vor Angriffen per Cross Frame Scripting.

Es geht jedoch nicht nur um spezielle Schwachstellen in Webservern. Lücken können auch durch mangelnde Sicherheitsmaßnahmen im Netzwerk entstehen, wenn zum Beispiel kein IPS (Intrusion Prevention System) eingesetzt wird. Dazu kommen immer wieder fehlende Maßnahmen wie Application Firewall Blocking und Event Monitoring, Logging sowie dadurch ausgelöste Alarme. Sie bieten mehr Sicherheit, werden aber nicht in allen Netzen eingesetzt.

Schutz von Webumgebungen

Es fällt immer wieder auf, dass sich Überprüfungen der Websicherheit komplett auf Penetrationstests konzentrieren. Diese sind durchaus in der Lage, ihre Ziele zu erfüllen, aber danach helfen sie nicht weiter, wenn es um andere Sicherheitsfragen geht. Dieses Vorgehen ist deswegen mehr als kurzsichtig und in der Regel auch der Grund, warum selbst Organisationen, die ein aufwändiges Testprogramm verfolgen, Opfer von Cyberangriffen werden.

Statt einem reinen Penetrationstest ist ein umfangreiches Security Assessment empfehlenswert, das das komplette System unter die Lupe nimmt und bei dem es nicht nur darum geht, zu beweisen, dass ein bestimmter Exploit nicht funktioniert. Es sind all die anderen Exploits, die bei diesen Tests übersehen werden, die für Probleme sorgen können.

Wichtig ist zudem, nicht nur die Produktivumgebung zu testen, sondern auch die Entwicklungssysteme. Auf der anderen Seite stellt sich die Frage, wie sehr die Entwicklungssysteme der Realität im Web entsprechen, wenn Tests der Produktivsysteme nicht möglich sind?

Unterm Strich ist es also nötig, jegliche Bereiche in Betracht zu ziehen und so alle vorhandenen Sicherheitslücken zu schließen. Und zwar nicht nur bei externen, sondern auch bei internen Systemen.

Fazit

Wenn es um Websicherheit geht, reichen weder Anwendung-Scans noch manuelle Analysen oder Penetrationstests aus. Es ist natürlich unbestreitbar, dass auch herkömmliche Schwachstellenscanner Lücken im Netzwerk entdecken. Es geht aber ebenso darum, zusätzlich auch die Sicherheitslücken und Bedrohungen auf dem Serverlevel zu finden.

In den meisten Fällen werden aus diesen Gründen zwei oder gar drei unterschiedliche Scanner benötigt, um alle wesentlichen Probleme aufzuspüren. Ein einziger Scan mit nur einem Tool reicht einfach nicht aus, um alle Schwachstellen auf einem Webserver zu finden. Um echte Sicherheit im Web zu erreichen, gilt es alle Bereiche einzubeziehen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So erlauben Schwachstellen auf Webseiten Datendiebstahl

Schwachstellen auf Websites finden und beheben

Die Sicherheit von Webanwendungen verbessern

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close