Web Application Security

Webseiten und Webanwendungen optimal vor Hackerangriffen schützen

, München, Trustwave | Autor: Anja Eichelsdörfer

Webseiten und Webanwendungen optimal vor Hackerangriffen schützen

Website-Sicherheit

100 Prozent aller Web-Anwendungen haben mindestens eine Sicherheitslücke. Zu diesem Ergebnis kommen die IT-Security Forensiker des Sicherheitsunternehmens Trustwave im jährlich erscheinenden Security Report Trustwave Global Security Report 2018 .

Das Team der Trustwave SpiderLabs, das aus qualifizierten IT-Sicherheitsforschern und ethischen Hackern besteht, hat dafür im Jahr 2017 Tausende von Web-Applikationen getestet. Das Ergebnis: Im Durchschnitt weist jede Webanwendung 11 Sicherheitslücken auf. Trustwave erklärt in diesem Beitrag, welche Angriffsarten bei Cyberkriminellen am beliebtesten sind und wie Unternehmen ihre Webseiten optimal gegen Angriffe absichern.

Angriffe auf Web-Applikationen erhalten zwar bei Weitem nicht die Aufmerksamkeit, die zum Beispiel Ransomware-Attacken bekommen. Nichtsdestotrotz handelt es sich bei dieser Art von Cyberattacken um die gängigste Methode, um E-Commerce-Webseiten bzw. jedes Unternehmen, das eine Internetpräsenz besitzt, zu kompromittieren.

Zu den am häufigsten gemeldeten Sicherheits- und Datenschutzverletzungen der letzten Jahre gehören erfolgreiche Angriffe auf Web-Apps. Der Grund, warum diese Cyberattacken erfolgreich waren, war häufig auf menschliche Fehler oder Fahrlässigkeit zurückzuführen. Bei allen Webseiten, die das Team der Trustwave SpiderLabs im Jahr 2017 getestet hat, war mindestens eine Sicherheitslücke zu finden. Den traurigen Rekord hält eine Webanwendung, bei der die Forscher unglaubliche 154 Sicherheitslücken aufspüren konnten.

Beliebt bei Hackern sind auch Content-Management-Systeme (CMS). Das Ausnutzen einer Schwachstelle in einem CMS ist für Cyberkriminelle besonders lukrativ, da sich durch das Abgreifen von Anmeldeinformationen ein kompromittiertes CMS auch nach der Schließung der Sicherheitslücke im Regelfall noch ausbeuten lässt.

Ein Rückblick auf die letzten zehn Jahre zeigt, dass gezielte Angriffe auf die IT-Sicherheit deutlich zugenommen haben und die Angreifer dabei immer professioneller vorgehen. Viele Sicherheitsverletzungen beweisen, dass Cyberkriminelle immer geplanter zu Werke gehen. Trotzdem haben sich die grundlegenden Angriffstechniken nicht geändert.

Webanwendungen hacken – Die 5 beliebtesten Angriffsmethoden

1. Cross-Site-Scripting (XSS)

Cross-Site-Scripting (XSS) ist die am weitesten verbreitete Angriffstechnik, mit der sich Hacker Zugriff auf Webabwendungen verschaffen. 40% aller Angriffsversuche gehen auf Cross-Site-Scripting zurück. Üblicherweise wird beim XSS über eine bekannte Sicherheitslücke ein beliebiger oder auch bösartiger Code auf der Webseite eingeschleust. Sobald ein Besucher die kompromittierte Webseite lädt, führt sein Browser den Code aus und infiziert das Opfer. Das Ziel von Cross-Site-Scripting ist meist, Daten des Nutzers auszuspähen und so beispielsweise sein Nutzerkonto zu übernehmen. Die meisten XSS-Angriffe sind nicht besonders ausgeklügelt, da sie oft von sogenannten Script-Kiddies ausgeführt werden. Diese unerfahrenen Angreifer verwenden meist Skripte und Tools, die andere geschrieben haben.

2. SQL-Injektion (SQLi)

SQL-Injection ist für 24 Prozent aller kompromittierten Webanwendungen verantwortlich. Damit liegt diese Angriffstechnik auf Platz 2. Die häufigste Form von SQLi tritt auf, wenn ein Angreifer bösartigen SQL-Code in ein Feld auf der Webseite eingibt und dieser Code ohne Überprüfung an die SQL-Datenbank gesendet wird. In diesem Fall gelingt es Angreifern, sich Zugriff auf die Datenbank zu verschaffen. Eine erfolgreiche SQLi-Attacke kann vertrauliche Daten löschen, ändern oder dem Angreifer anzeigen.

3. Path Traversal/Directory Traversal

Path Traversal oder auch Directory Traversal wurde in rund 7 Prozent der untersuchten Fälle als Angriffstechnik verwendet. In diesem Fall versuchen Cyberkriminelle, auf nicht autorisierte Dateien oder Verzeichnisse außerhalb des Stammverzeichnisses zuzugreifen. Mit Eingaben wie "../" gelangen Angreifer zur Wurzel der Verzeichnisstruktur und damit zu einem Ort, der für Außenstehende nicht erreichbar sein sollte. Erfolgreiches Path Traversal kann Angreifern ermöglichen, auf Seiten- oder Benutzeranmeldeinformationen, Konfigurationsdateien, Datenbanken oder andere Webanwendungen, die sich auf derselben physischen Maschine befinden, zuzugreifen. Um Dateien oder Anmeldeinformationen zu stehlen, werden Path-Traversal-Angriffe oft mit Local-File-Inclusion-Angriffen kombiniert.

4. Local File Inclusion (LFI)

In 4 Prozent aller Fälle nutzen Cyberkriminelle Local File Inclusion (LFI) für ihre Angriffe aus. In diesem Fall wird eine Datei, die beispielsweise über Path Traversal oder einen ähnlichen Mechanismus auf den Server eingeschleust wurde, ausgeführt und kann dann unter anderem wichtige Daten auf dem Zielserver stehlen.

5. Distributed Denial of Service (DDoS)

Auf Platz 5 – mit 3% – der häufigsten Angriffstechniken landen DDoS-Attacken. Bei Denial-of-Service-Angriffen müssen Cyberkriminelle zahlreiche Computer befehligen, in der Regel sind dies kompromittierte Computer in einem Botnet. Der entsprechende Webserver wird dann solange mit Anfragen bombardiert, bis er aufgrund von Überlastung nicht mehr erreichbar und damit die Webseite down ist. Während DDos Angreifern zwar keinen unangemessenen Zugriff auf Daten ermöglicht, wurde diese Angriffstechnik im Jahr 2017 vor allem dazu genutzt, um automatisierte Abwehrsysteme von einer Reaktion auf eine Bedrohung abzuhalten.

Angriffe auf Webanwendungen erfolgreichen abwehren – so geht’s:

Unabdingbar für den Schutz von Webanwendungen ist natürlich die sofortige Installation verfügbarer Patches, um Sicherheitslücken schnellstmöglich zu schließen. Daneben rät Trustwave Unternehmen, folgende drei Punkte zu beherzigen:

Schwachstellen-Scanning und Sicherheitstests

Die Fähigkeit von Webanwendungen externe Nutzer mit Daten und Diensten zu verbinden, macht sie zu einem lukrativen Angriffsziel für Cyberkriminelle. Das kontinuierliche Scannen und Testen von Datenbanken, Netzwerken und Anwendungen kann Unternehmen zeigen, wo die Schwachstellen liegen, wie gefährlich diese sind und wie diese minimiert werden können. Wichtig ist es mit der Überprüfung nicht erst dann zu starten, wenn die Webanwendung schon in Betrieb genommen wurde, sondern mit Sicherheitstests bereits während der Design- und Entwicklungsphase zu starten.

Einsatz von Web Application Firewalls (WAFs)

Web Application Firewalls stellen eine wichtige Verteidigungslinie gegen externe Angriffe dar. Im Gegensatz zu herkömmlichen Firewalls, die den Datenverkehr hauptsächlich anhand von Ports und Protokollen organisieren, regelt eine WAF den Zugriff auf Webanwendungen mit Hilfe von Regeln, die verdächtige Aktivitäten wie SQLi, XSS und das Ausnutzen von Schwachstellen erkennen und blockieren. WAFs werden ständig mit neuen Regeln aktualisiert, um die neuesten Angriffstechniken erkennen zu können. WAFs arbeiten auf der Anwendungsebene, der höchsten Ebene des OSI-Modells (Referenzmodell für Netzwerkprotokolle) und haben Zugriff auf die Protokolle aller Netzwerkebenen. Dadurch sind Web Application Firewalls in der Lage, Webanwendungen vor einer Vielzahl an Angriffen zu schützen.

Secure Development Training (SDT) – Sicherheitsschulungen für Entwickler

In Schulungen bekommen Entwickler, Tester und Projektmanager wichtige Informationen zu den neuesten Komponenten der sicheren Software-Entwicklung. Dies erhöht das Sicherheitsbewusstsein und befähigt Mitarbeiter, sichere Anwendungen zu entwerfen und bereitzustellen.

Weiterführende Informationen:

Trustwave Security Scanning & Testing
Trustwave Web Application Firewall