Was ist Web Application Security?

Web Application Security ist für jedes Unternehmen wichtig. Erfahren Sie mehr über häufige Sicherheitslücken in Webanwendungen und wie diese bekämpft werden können.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erfahren Sie mehr über die wichtigsten Konzepte der Web Application Security
  • Welche Sicherheitslücken treten häufig in Web-Apps auf?
  • Was sind die gängigen Methoden, um Bedrohungen zu bekämpfen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist Web Application Security?

Web Application Security

Sicherheit von Webanwendungen heißt, Websites, Anwendungen und APIs vor Angriffen zu schützen. Es ist ein breit gefächertes Fachgebiet, sein oberstes Ziel: Webanwendungen müssen reibungslos funktionieren und das Unternehmen vor Cyber-Vandalismus, Datendiebstahl, unethischem Wettbewerb und anderen negativen Folgen geschützt werden.

Da das Internet global ist, sind Webanwendungen und APIs Angriffen von vielen Standorten aus ausgesetzt, und zwar in verschiedenen Größenordnungen und mit unterschiedlicher Komplexität. Daher umfasst das Thema Sicherheit von Webanwendungen eine Vielzahl von Strategien und deckt viele Teile der Software-Lieferkette ab.

Was sind die häufigsten Sicherheitsrisiken bei Webanwendungen?

Webanwendungen können einer Reihe von Angriffsarten ausgesetzt sein, abhängig von den Zielen des Angreifers, der Art der Arbeit des anvisierten Unternehmens und den besonderen Sicherheitslücken in der Anwendung. Zu den üblichen Angriffsarten gehören:

  • Zero-Day-Sicherheitslücke: Das sind Sicherheitslücken, die den Herstellern einer Anwendung nicht bekannt sind und für die es daher keine Lösung gibt. Inzwischen beobachten wir jedes Jahr mehr als 20.000. Die Angreifer versuchen, diese Sicherheitslücken schnell auszunutzen, und anschließend, die von den Sicherheitsanbietern eingerichteten Schutzmechanismen zu umgehen.
  • Cross-Site Scripting (XSS): XSS ermöglicht es Angreifern, Scripts auf Seite des Clients in eine Webseite zu injizieren, um direkten Zugriff zu wichtigen Daten zu erhalten, sich als Benutzer auszugeben oder Ihre Benutzer dazu zu verleiten, wichtige Informationen preiszugeben.
  • SQL-Injection (SQi):SQi ist eine Methode, mit der ein Angreifer Sicherheitslücken bei der Ausführung von Suchabfragen durch eine Datenbank ausnutzt. Angreifer verwenden SQi, um Zugriff auf nicht autorisierte Informationen zu erhalten, Benutzerberechtigungen zu ändern oder neue zu erstellen oder sensible Daten auf andere Weise zu manipulieren oder zu zerstören.
  • Denial-of-Service-Angriffe (DoS) und Distributed-Denial-of-Service-Angriffe (DDoS): Angreifer können einen Zielserver oder seine umgebende Infrastruktur durch eine Vielzahl von Vektoren mit verschiedenen Arten von Angriffs-Traffic überlasten. Wenn ein Server eingehende Anfragen nicht mehr effektiv verarbeiten kann, wird er langsam und verweigert schließlich auch eingehende Anfragen legitimer Benutzer.
  • Speicherbeschädigung (Memory Corruption): Speicherbeschädigung tritt auf, wenn ein Speicherort unbeabsichtigt geändert wird, was zu unerwartetem Verhalten in der Software führen kann. Angreifer versuchen, Speicherbeschädigungen durch Exploits wie Code-Injektionen oder Pufferüberlaufangriffe auszuspionieren und auszunutzen.
  • Pufferüberlauf: Der Pufferüberlauf ist eine Anomalie, die auftritt, wenn eine Software Daten in einen definierten Speicherbereich schreibt, der als Puffer bezeichnet wird. Wenn die Pufferkapazität überschritten wird, werden auch benachbarte Speicherstellen mit Daten überschrieben. Angreifer können dieses Verhalten ausnutzen, um Schadcode in den Speicher zu injizieren, was zu möglichen Sicherheitslücken auf dem Zielcomputer führt.
  • Cross-Site-Request-Forgery (CSRF): Bei der Cross-Site-Request-Forgery wird ein Opfer dazu verleitet, eine Anfrage zu stellen, die seine Authentifizierung oder Autorisierung verwendet. Indem sich ein Angreifer die Kontoberechtigungen eines Benutzers verschafft, kann er sich als Benutzer ausgeben und seine eigene Anfrage senden. Sobald das Konto eines Benutzers kompromittiert wurde, kann der Angreifer wichtige Informationen exfiltrieren, zerstören oder ändern. Dieser Angriff zielt häufig auf hoch privilegierte Konten wie Konten von Administratoren oder Führungskräften ab.
  • Credential Stuffing: Angreifer können Bots verwenden, um in kurzer Zeit eine große Anzahl gestohlener Kombinationen von Benutzernamen und Passwörtern in das Anmeldeportal einer Webanwendung einzugeben. Wenn der Angreifer auf diese Weise Zugriff auf das Konto eines echten Nutzers erhält, kann er die Daten des Nutzers stehlen oder im Namen des Nutzers betrügerische Einkäufe tätigen.
  • Page Scraping: Angreifer können mit Hilfe von Bots auch Inhalte von Webseiten in großem Umfang stehlen. Sie können diese Inhalte nutzen, um sich einen Preisvorteil gegenüber einem Konkurrenten zu verschaffen, den Eigentümer der Seite zu böswilligen Zwecken zu imitieren oder aus anderen Gründen.
  • API-Missbrauch: APIs, oder Application Programming Interfaces, sind Software, über die zwei Anwendungen miteinander kommunizieren können. Wie jede Art von Software enthalten sie Sicherheitslücken, mit denen Angreifer Schadcode in eine der Anwendungen einschleusen oder sensible Daten abfangen können, während sie von einer Anwendung zur anderen übertragen werden. Diese Art von Angriffen wird mit zunehmender API-Nutzung immer häufiger. Die OWASP API Top Ten-Liste fasst die wichtigsten API-Sicherheitsrisiken zusammen, mit denen Unternehmen heute konfrontiert sind.
  • Schatten-APIs: Entwicklungsteams bemühen sich schnell darum, Geschäftsziele zu erreichen, und erstellen und veröffentlichen häufig APIs, ohne die Sicherheitsteams zu informieren. Diese unbekannten APIs können sensible Daten des Unternehmens preisgeben und im „Schatten“ operieren, da die Sicherheitsteams, die für den Schutz der APIs zuständig sind, nichts von ihrer Existenz wissen.
  • Missbrauch von Drittanbieter-Code: Viele moderne Webanwendungen verwenden eine Vielzahl von Tools von Drittanbietern – zum Beispiel eine E-Commerce-Website, die ein Tool zur Zahlungsabwicklung von Drittanbietern verwendet. Wenn Angreifer eine Sicherheitslücke in einem dieser Tools finden, können sie das Tool kompromittieren und die von ihm verarbeiteten Daten stehlen, es am Funktionieren hindern oder es dazu verwenden, Schadcode an anderer Stelle in der Anwendung einzuschleusen. Magecart-Angriffe, bei denen Kreditkartendaten von Auftragsverarbeitern abgegriffen werden, sind ein Beispiel für diesen Angriffstyp. Diese Angriffe werden auch als Browser Supply Chain-Angriffe bezeichnet.
  • Fehlkonfigurationen der Angriffsfläche: Die Angriffsfläche eines Unternehmens ist der gesamte IT-Fußabdruck, der für Cyberangriffe anfällig sein könnte: Server, Geräte, SaaS und Cloud-Ressourcen, die über das Internet zugänglich sind. Wenn bestimmte Elemente übersehen werden oder falsch konfiguriert sind, kann diese Angriffsfläche anfällig für Angriffe bleiben.

Was sind wichtige Strategien für die Sicherheit von Webanwendungen?

Wie bereits erwähnt, ist die Sicherheit von Webanwendungen eine umfassende Disziplin, die sich kontinuierlich weiterentwickelt. Daher ändern sich die Best Practices in diesem Bereich mit dem Auftauchen neuer Angriffe und Sicherheitslücken. Die moderne Bedrohungslandschaft im Internet ist jedoch so aktiv, dass kein Unternehmen mehr ohne bestimmte Sicherheitsservices auskommen kann, die auf die spezifischen Bedürfnisse seines Unternehmens zugeschnitten sind:

  • DDoS-Abwehr: Dienste zur DDoS-Abwehr stehen zwischen einem Server und dem öffentlichen Internet. Durch spezielle Filterung und extrem hohe Bandbreitenkapazitäten verhindern sie, dass der Server von böswilligem Traffic überflutet wird. Diese Dienste sind wichtig, denn viele moderne DDoS-Angriffe können so viel böswilligen Traffic erzeugen, dass er selbst die widerstandsfähigsten Server überwältigt.
  • Web Application Firewall (WAF): , Die den Traffic herausfiltern, von dem bekannt ist oder vermutet wird, dass er Anwendungsschwachstellen ausnutzt. WAFs sind wichtig, weil neue Sicherheitslücken so schnell und unbemerkt auftauchen, dass kaum ein Unternehmen sie selbst entdecken kann.
  • API-Gateways: Die dabei helfen, übersehene „Schatten-APIs“ zu identifizieren und Traffic zu blockieren, der bekanntlich oder vermutlich auf API-Sicherheitslücken abzielt. Sie helfen auch bei der Verwaltung und Überwachung des API-Traffics. (Erfahren Sie mehr über API-Sicherheit.)
  • DNSSEC: Ein Protokoll, das garantiert, dass der DNS-Traffic einer Webanwendung sicher zu den richtigen Servern geroutet wird, so dass Nutzer nicht von einem On-Path-Angreifer abgefangen werden können.
  • Verwaltung von Verschlüsselungszertifikaten: Hierbei verwaltet eine dritte Partei Schlüsselelemente des SSL/TLS-Verschlüsselungsprozesses, wie z. B. die Erzeugung privater Schlüssel, die Erneuerung von Zertifikaten und den Widerruf von Zertifikaten aufgrund von Sicherheitslücken. Dadurch entfällt das Risiko, dass diese Elemente übersehen werden und privater Traffic aufgedeckt wird.
  • Bot-Management: Unterscheidet automatisierten Traffic mit Hilfe von maschinellem Lernen und anderen speziellen Erkennungsmethoden von menschlichen Nutzern und verhindert, dass der automatisierte Traffic auf eine Webanwendung zugreift.
  • Clientseitige Sicherheit: Prüft auf neue JavaScript-Abhängigkeiten von Drittanbietern und Änderungen am Code von Drittanbietern und hilft Unternehmen, böswillige Aktivitäten früher zu erkennen.
  • Verwaltung der Angriffsfläche: Tools zur Verwaltung der Angriffsfläche sollten einen zentralen Ort bieten, an dem Sie Ihre Angriffsfläche abbilden, potenzielle Sicherheitsrisiken identifizieren und Risiken mit wenigen Klicks bekämpfen können.

Welche Best Practices für die Anwendungssicherheit sollten Unternehmen von ihren Anbietern erwarten?

Webentwickler können Anwendungen so entwerfen und erstellen, dass Angreifer keinen Zugriff auf private Daten erhalten, nicht in betrügerischer Absicht auf Nutzerkonten zugreifen und keine anderen böswilligen Aktionen durchführen können. Die OWASP Top 10 Liste fasst die häufigsten Sicherheitsrisiken für Anwendungen zusammen, die Entwickler beachten sollten. Zur Prävention dieser Risiken gibt es verschiedene Praktiken:

  • Eingabeüberprüfung fordern: Wenn Sie verhindern, dass falsch formatierte Daten die Arbeitsabläufe der Anwendung durchlaufen, können Sie verhindern, dass Schadcode über einen Injektionsangriff in die Anwendung gelangt.
  • Aktuelle Verschlüsselung verwenden: Die verschlüsselte Speicherung von Nutzerdaten und die Verwendung von HTTPS zur Verschlüsselung des ein- und ausgehenden Traffics helfen, Angreifer am Datendiebstahl zu hindern.
  • Starke Authentifizierung und Autorisierung anbieten: Der Einbau und die Durchsetzung von Kontrollen für sichere Passwörter, das Angebot von Optionen für die Multi-Faktor-Authentifizierung einschließlich Hardkeys – Optionen für die Zugriffskontrolle und andere Praktiken erschweren es Angreifern, auf betrügerische Weise auf Nutzerkonten zuzugreifen und sich lateral in Ihrer Anwendung zu bewegen.
  • Überblick über API behalten: Es gibt Tools, um übersehene „Schatten-APIs“ zu identifizieren, die eine Angriffsfläche darstellen könnten, aber API-Sicherheit wird einfacher, wenn APIs gar nicht erst übersehen werden.
  • Code-Änderungen dokumentieren: So können Sicherheits- und Entwicklerteams neu auftretende Sicherheitslücken schneller beheben.

Wie sorgt Cloudflare für die Sicherheit von Webanwendungen?

Cloudflare betreibt ein globales Netzwerk in 310 Städten, das viele der oben aufgeführten Sicherheitsdienste anbietet, darunter DDoS-Abwehr, eine Web Application Firewall, API-Schutz, DNSSEC, Managed SSL/TLS, Bot-Management, clientseitige Sicherheit, und mehr.

Diese Dienste sind so konzipiert, dass sie von jedem Rechenzentrum in unserem Netzwerk aus betrieben werden können. Sie halten also die Angriffe nahe an der Quelle an. Sie sind in unsere Website-Performance-Dienste integriert. Wenn Sie also neue Sicherheitsvorkehrungen hinzufügen, wird der Traffic nicht ausgebremst. Darüber hinaus funktionieren all diese Dienste mit allen Arten von Website-Infrastrukturen und können oft innerhalb von Minuten in Betrieb genommen werden.

Zum Ausprobieren melden Sie sich für einen Cloudflare-Plan an.