Was ist Web Application Security?

Web Application Security ist für jedes Unternehmen wichtig. Erfahren Sie mehr über häufige Sicherheitslücken in Webanwendungen und wie diese bekämpft werden können.

Share facebook icon linkedin icon twitter icon email icon

Web Application Security

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erfahren Sie mehr über die wichtigsten Konzepte der Web Application Security
  • Welche Sicherheitslücken treten häufig in Web-Apps auf?
  • Was sind die gängigen Methoden, um Bedrohungen zu bekämpfen

Was ist Web Application Security?

Web Application Security

Web Application Security spielt in jedem webbasierten Business eine zentrale Rolle. Die globale Beschaffenheit des Internets sorgt dafür, dass Ihre Website von verschiedenen Standorten aus angegriffen werden kann, wobei Ausmaß und Komplexität variieren können. Web Application Security beschäftigt sich speziell mit der Sicherheit Ihrer Websites, Webanwendungen und Webdiensten wie APIs.

Was sind häufige Sicherheitslücken in Web-Apps?

Angriffe auf Web-Apps reichen von gezielter Datenbankmanipulation bis hin zu großen Netzwerkstörungen. Schauen wir uns einige der gängigen Angriffsmethoden oder „Vektoren“ an.

  • Cross site scripting (XSS) – XSS ermöglicht es Angreifern, Scripts auf Seite des Clients in eine Webseite zu injizieren, um direkten Zugriff zu wichtigen Daten zu erhalten, sich als Benutzer auszugeben oder Ihre Benutzer dazu zu verleiten, wichtige Informationen preiszugeben.
  • SQL-Injection (SQi) – SQi ist eine Methode, mit der ein Angreifer Sicherheitslücken bei der Ausführung von Suchanfragen durch eine Datenbank ausnutzt. Angreifer verwenden SQi, um Zugriff auf nicht autorisierte Informationen zu erhalten, Benutzerberechtigungen zu ändern oder neue zu erstellen oder sensible Daten auf andere Weise zu manipulieren oder zu zerstören.
  • Denial-of-Service (DoS) und DDoS-Angriffe (Distributed Denial-of-Service) – Durch eine Vielzahl von Vektoren können Angreifer einen Zielserver oder seine umgebende Infrastruktur mit verschiedenen Angriffsarten überlasten. Wenn ein Server eingehende Anfragen nicht mehr effektiv verarbeiten kann, wird er langsam und verweigert schließlich auch eingehende Anfragen legitimer Benutzer.
  • Memory Corruption (Speicherbeschädigung) – Memory Corruption tritt auf, wenn ein Speicherort unbeabsichtigt geändert wird, was zu unerwartetem Verhalten in der Software führen kann. Angreifer werden versuchen, Speicherbeschädigungen durch Exploits wie Code-Injektionen oder Pufferüberlaufangriffe auszuspionieren und auszunutzen.
  • Pufferüberlauf – Der Pufferüberlauf ist eine Anomalie, die auftritt, wenn eine Software Daten in einen definierten Speicherbereich schreibt, der als Puffer bezeichnet wird. Wenn diese Pufferkapazität überläuft, werden auch benachbarte Speicherstellen mit Daten überschrieben. Angreifer können dieses Verhalten ausnutzen, um Schadcode in den Speicher zu injizieren, was zu möglichen Sicherheitslücken auf dem Zielcomputer führt.
  • Cross-site request forgery (CSRF) – Bei der Cross-Site Request Forgery wird ein Opfer dazu verleitet, eine Anfrage zu stellen, die seine Authentifizierung oder Autorisierung verwendet. Indem sich ein Angreifer die Kontoberechtigungen eines Benutzers verschafft, kann er sich als Benutzer ausgeben und seine eigene Anfrage senden. Sobald das Konto eines Benutzers kompromittiert wurde, kann der Angreifer wichtige Informationen exfiltrieren, zerstören oder ändern. Dieser Angriff zielt häufig auf hoch privilegierte Konten wie Konten von Administratoren oder Führungskräften ab.
  • Datenschutzverletzung – Anders als bei spezifischen Angriffsvektoren ist eine Datenschutzverletzung ein allgemeiner Begriff. Er beschreibt die Freigabe sensibler oder vertraulicher Informationen und kann durch böswillige Handlungen, aber auch aus Versehen auftreten. Datenschutzverletzungen betreffen einen großen Bereich, angefangen bei einer Handvoll sehr wertvoller Datensätze bis hin zu Millionen von exponierten Benutzerkonten.

Mit welchen Best Practices können Sicherheitslücken bekämpft werden?

Wer seine Webanwendungen schützen will, muss vor allem: seine Verschlüsselung auf dem neusten Stand halten, eine ordnungsgemäße Authentifizierung anfordern, Schwachstellen kontinuierlich patchen und für eine gute Hygiene bei der Softwareentwicklung sorgen. Fakt ist aber, dass clevere Angreifer auch in einer relativ robusten Sicherheitsumgebung Schwachstellen finden können. Daher ist eine ganzheitliche Sicherheitsstrategie zu empfehlen.

Web Application Security kann verbessert werden, wenn man sich vor DDoS-, Application-Layer- und DNS-Angriffen schützt:

WAF – Schutz gegen Angriffe auf dem Application Layer

Eine Web Application Firewall oder WAF schützt eine Webanwendung vor böswilligem HTTP-Traffic. Durch die Platzierung einer Filterbarriere zwischen dem Zielserver und dem Angreifer kann die WAF vor Angriffen wie Cross-Site-Forgery, Cross-Site-Scripting und SQL-Injection schützen.Erfahren Sie mehr über die WAF von Cloudflare.

DDOS How A WAF Works

DDoS-Abwehr

Um Webanwendungen zu stören, greifen Angreifer oft auf Distributed Denial-of-Service- bzw. DDoS-Angriffe zurück. Cloudflare bekämpft DDoS-Angriffe durch eine Vielzahl von Strategien. Beispielsweise halten wir volumetrischen Angriffs-Traffic an unseren Netzwerkrändern auf und verwenden unser Anycast Netzwerk, um legitime Anfragen ohne Serviceverlust ordnungsgemäß weiterzuleiten. Erfahren Sie, wie Cloudflare Ihnen helfen kann, ihre Website vor DDoS-Angriffen zu schützen.

DNS Amplification DDoS attack animation

DNS-Sicherheit – DNSSEC-Schutz

Das Domain Name System oder DNS ist das Telefonbuch des Internets und repräsentiert die Art und Weise, wie ein Internet-Tool z. B. ein Webbrowser den richtigen Server sucht. Schlechte Akteure werden versuchen, diesen DNS-Anfrageprozess durch DNS-Cache-Poisoning, Man-in-the-Middle-Angriffe und andere Methoden zur Beeinträchtigung des DNS-Lookup-Zyklus zu hijacken. Wenn DNS das Telefonbuch des Internets ist, dann ist DNSSEC eine Anrufer-ID, die sich nicht manipulieren lässt. Erfahren Sie, wie Sie einen DNS-Lookup mit Cloudflare schützen können.