Heise Medien Gruppe  


Über uns   
Produkte   
Nachrichten   
Presse-Service   
Presse-Informationen
  aktuell
  c't
  iX
  Technology Review
  Telepolis
  heise online
  Telefonbücher
  Verlag Heinz Heise
  Heise Zeitschriften Verlag
  Heise Medien Gruppe
  heise-marktplatz
c't-Hörfunkservice
Bilder & Vitae
Multimedia
Presse-Abo
Ansprechpartner
  
Beruf & Karriere   
Kontakt   
Impressum   

 
  

Klassische Firewall schützt nicht die Webanwendungen

Schwachstellen in Webapplikationen finden

 Titelbild der iX-Ausgabe 8/2008

Hannover, 23. Juli 2008 - Klassische Netzwerk-Firewalls bieten keinen Schutz bei Angriffen auf der Anwendungsebene. Wer seine Webanwendungen auf Sicherheitslücken überprüfen will, sollte sogenannte Applikationsscanner einsetzen, rät das IT-Profimagazin iX in der aktuellen Ausgabe 8/08. Zwar ersetzen diese Hilfsmittel nicht die abschließende manuelle Überprüfung, einfache Schwachstellen finden sie jedoch äußerst effizient.

Die Nutzung von Webanwendungen ist heutzutage für Unternehmen wie Privatpersonen eine Selbstverständlichkeit - was ihre Attraktivität für Hacker enorm erhöht. Der Diebstahl von Kreditkarten- und anderen vertraulichen Informationen zum Beispiel über Cross-Site Scripting, einer Manipulation des Browsers, ist ein rentables Geschäft. Da die Angriffe auf der Anwendungsebene, also innerhalb zugelassener Protokolle, stattfinden, können klassische Netzwerk-Firewalls die Webanwendungen nicht schützen.

Dieser Gefahr, auch als "Port-80-Problem" bekannt, kann man mit sogenannten Webapplikations-Firewalls (WAF) begegnen. Sie analysieren auf der Anwendungsebene sowohl die eingehenden Anfragepakete an den Webserverdienst, als auch dessen ausgehende Antworten. Auf die Art sollen sie sicherstellen, dass keine bösartigen Anfragen an den Dienst gelangen und er keine vertraulichen Daten zurückliefert. Im Unterschied zu "normalen" Schwachstellenscannern suchen die Applikationsscannern nach individuellen Lücken einzelner Webanwendungen. Sie setzen eine Ebene höher an und durchforsten nicht das Betriebssystem und die Dienste, sondern die statischen und dynamischen Inhalte. Allerdings können diese Hilfsmittel nicht die manuelle Überprüfung durch einen Sicherheitsexperten ersetzen. Vor allem wenn es um komplexe Schwachstellen geht, sind den automatisierten Werkzeugen Grenzen gesetzt. Auch Logikfehler, die meist aufgrund fehlender Plausibilitätsprüfung entstehen, können nicht aufgedeckt werden.

Auf welches Produkt letztendlich die Wahl fällt, hängt in der Praxis oftmals nicht alleine vom reinen Scan-Ergebnis ab, sondern auch davon, wie sich der Scanner in bestehende Umgebungen und organisatorische Prozesse einbinden lässt.

Bildmaterial: Das Titelbild der aktuellen iX-Ausgabe 8/2008 steht zum Download bereit.

Ihre Ansprechpartnerin für Rückfragen

Sylke Wilde
Heise Medien Gruppe
Presse- und Öffentlichkeitsarbeit
Telefon: +49 [0] 511 5352-290
Telefax: +49 [0] 511 5352-563
sylke.wilde@heise-medien.de

[Version zum Drucken] 		  

Heise Logo

© 2012 Heise Medien Gruppe GmbH & Co. KG