Erste Schritte in der Anwendungssicherheit: Scott Treacy

Die Sicherung von Web-Applikationen kann eine ziemlich einschüchternde Aufgabe sein. Selbst wenn Sie schon Erfahrung im Bereich Netzwerksicherheit haben, müssen Sie eine Reihe neuer Fähigkeiten erlernen — und eine neue Sprache.

Zum Glück gibt es ein umfangreiches — und zudem kostenloses — Repertoire an Online-Ressourcen, das Individuen und Unternehmen bei den ersten Schritten unterstützt.

Beim Open Web Application Security Project (OWASP) handelt es sich um eine gemeinnützige Stiftung, die sich für mehr Sicherheit von Software einsetzt, von der Designphase bis zur Bereitstellung. Die Stiftung stellt nicht nur Ressourcen für allgemeine Softwaresicherheit zur Verfügung, sondern auch eine Vielzahl an ausgezeichneten Materialien für den Schutz von Web-Applikationen.

Die Website owasp.org bietet klare Beschreibungen der wichtigsten Techniken, mit denen Anwendungen angegriffen werden, sowie Erklärungen zu den wesentlichen Arten von Schwachstellen. Für jede Schwachstellen- und Angriffsart gibt es verständliche und detaillierte Artikel, die einen Überblick über Risikofaktoren, Beispiele, Test- und Schutzmöglichkeiten und Links zu weiterführenden Ressourcen geben. Neben der hervorragenden Erklärung von Fachbegriffen werden auch genügend Informationen bereitgestellt, um erste Sicherheitsmaßnahmen gegen die gängigsten Angriffe ergreifen zu können.

Ein separater Abschnitt ist der Kontrolle gewidmet: den verschiedenen Kategorien von Sicherheitsmaßnahmen, die Ihnen zum Schutz Ihres Unternehmens zur Verfügung stehen.

Diese Sicherheitsrisiken von Web-Applikationen sollten Sie kennen

Die bekannteste Ressource von OWASP ist jedoch der Bericht „Top 10 Web Application Security Risks“.

Die Liste liefert eine sehr gute Übersicht über die aktuellen Bedrohungen für die Anwendungssicherheit. Sie listet zwar nicht jede einzelne Bedrohung auf, stellt jedoch eine solide Grundlage für jede Verteidigungsstrategie dar. Sie kann auch als grobe Ausgangsbasis für Projektausschreibungen dienen, um sicherzugehen, dass Ihr Dienstleister die richtigen Maßnahmen ergreift.

Bei der Liste handelt es sich allerdings um mehr als nur eine Auflistung der 10 häufigsten Bedrohungen und Angriffsarten. Acht der Punkte auf der Liste sind die am häufigsten gemeldeten und identifizierten Anwendungsschwachstellen. Die anderen beiden Plätze gehen hingegen an Probleme, die von der Community als zukünftige Probleme betrachtet werden und noch nicht in historischen Daten erfasst wurden. Es wird somit nicht nur gezeigt, was aktuell passiert, sondern auch, was in Zukunft noch auf uns zukommen könnte.

Wenn Sie die Top-10-Risiken von OWASP erst einmal verstanden und gezielte Abwehrmaßnahmen ergriffen haben, sind Sie mit den richtigen Grundlagen ausgestattet, um Ihre Web-Applikationen zu verteidigen. Natürlich kann Barracuda Ihrem Unternehmen dabei helfen, auf dieser Grundlage aufzubauen, und Ihre Verteidigung mit unseren Web Application Firewalls (WAFs) und unserem WAF-as-a-Service massiv verstärken.

Den ersten Platz auf der Liste nehmen derzeit Injektionsschwachstellen ein, eine verbreitete Angriffsart, die veralteten Code ausnutzt und es Angreifern so ermöglicht, nicht verifizierte Datenfelder zu nutzen, um Befehle in Ihre Datenbanken zu schleusen.

An zweiter Stelle stehen Probleme mit der Authentifizierung, die es Angreifern ermöglichen, Passwörter oder Sitzungstoken zu kompromittieren, wodurch sie entweder die Identität eines Benutzers kompromittieren oder eine echte Benutzersitzung ausnutzen können, die nach der Verwendung nicht geschlossen wurde.

Praktische Hilfen und Tools zur Sicherung und Prüfung von Web- und Mobile-Apps

OWASP bietet außerdem Tutorials, Anleitungen und schrittweise Ratgeber zur Sicherung und Prüfung von mobilen Anwendungen und Web-Applikationen. Die Stiftung stellt mehrere Open-Source-Tools wie eine Reihe generischer Angriffserkennungsregeln zur Verfügung, die in Verbindung mit Open-Source-Firewalls verwendet werden können, die für eine grundlegende Sicherheit von Web-Applikationen sorgen. Darüber hinaus gibt es Tools, mit denen Sie die einzelnen Komponenten Ihrer bestehenden Anwendungen auf Schwachstellen oder veralteten Code untersuchen können, um bekannte Schwachstellen in Ihrer Software zu identifizieren.

Die Top-10-Liste von OWASP wird demnächst aktualisiert. Die Organisation hat gerade Fragebögen an die Mitglieder verschickt, um Vorschläge für die beiden zu vergebenen Plätze auf der Liste zu sammeln. Eine der wichtigsten Eigenschaften der Sicherheit von Web-Applikationen ist nämlich die sich viel schneller verändernde Bedrohungslandschaft im Vergleich zur Netzwerk- und Hardwaresicherheit.

Dank der Top-10-Liste von OWASP bleiben Sie über aktuelle Bedrohungen auf dem Laufenden, aber die Sicherheit von Web-Applikationen ändert sich wirklich täglich.

Wie Barracuda Sie unterstützen kann

Sie können sich selbstverständlich auch bewusst dafür entscheiden, die Sorgen über aktuelle Entwicklungen anderen zu überlassen. Barracuda bietet einen ergänzenden Vulnerability Manager, der Ihre Website auf Hunderte von Schwachstellen überprüfen kann, einschließlich der Schwachstellen in den Top 10 der OWASP. Den daraus resultierenden Bericht können Sie mit der Web Application Firewall von Barracuda und WAF-as-a-Service verknüpfen. Offene Schwachstellen werden daraufhin automatisch über den Vulnerability Remediation Service behoben.