Verteidigung gegen gängige Arten von Webanwendungsangriffen

Angriffe auf Webanwendungen sind auf dem Vormarsch und Studien zeigen, dass sie eine der größten Ursachen für Datenschutzverletzungen sind. In einem Bericht wurde fast die Hälfte (43 %) der 3.950 Datenschutzverletzungen auf Angriffe auf Webanwendungen zurückgeführt, eine Zahl, die sich von 2019 bis 2020 verdoppelt hat. [i] Da diese Angriffe immer häufiger vorkommen, ist es für Unternehmen wichtig zu wissen, womit sie es zu tun haben, wie sie die Risiken mindern und wie sie ihre Websites davor schützen können.

Was ist eine Webanwendung?

Eine Webanwendung ist eine Software, die auf einem Webserver läuft und auf die ein Benutzer über einen Webbrowser mit aktiver Internetverbindung zugreifen kann. Dies unterscheidet sich von lokalen Softwareanwendungen, die direkt auf dem Gerät des Nutzers ausgeführt werden. Webanwendungen sind in der Regel einfach auf der Benutzerseite zu installieren und können oft an die Spezifikationen eines Unternehmens angepasst werden. Beispiele für Webanwendungen sind gehostete E-Mail- und Messaging-Systeme, Content-Management-Systeme und E-Commerce-Dienste.

Wenn ein Nutzer auf eine Webanwendung zugreift, löst er über das Internet eine Anfrage an den Webserver aus. Die Webanwendung fragt eine Inhaltsdatenbank ab und generiert dann den Inhalt entsprechend der Anfrage des Clients (des Rechners des Nutzers). Der Webanwendungsserver sendet die Ergebnisse an den Webserver zurück, der die Skripte interpretiert und ausführt und die angeforderten Inhalte auf dem Bildschirm des Benutzers anzeigt.

Warum sind Webanwendungen anfällig für Angriffe?

Webanwendungen können aus verschiedenen Gründen angegriffen werden, z. B. aufgrund von Systemfehlern, die auf unsachgemäße Kodierung, falsch konfigurierte Webserver, Fehler im Anwendungsdesign oder fehlende Formularvalidierung zurückzuführen sind. Diese Schwachstellen und Anfälligkeiten ermöglichen es Angreifern, sich Zugang zu Datenbanken zu verschaffen, die sensible Informationen enthalten können. Da Webanwendungen den Kunden jederzeit zur Verfügung stehen müssen, sind sie ein leichtes Ziel für Angreifer, die sie ausnutzen wollen.

Cloud-Container, die Anwendungssoftware mit den für ihre Ausführung erforderlichen Elementen verpacken, haben sich in letzter Zeit als besonders anfällig erwiesen, wenn sie nicht ordnungsgemäß gesichert sind oder unsichere Elemente enthalten.[ii] Die Verwendung von Open-Source-Code und die Abhängigkeit von Anwendungsprogrammierschnittstellen (APIs) haben die Sicherheitsprobleme ebenfalls verschärft.[iii]

Häufige Arten von Webanwendungsangriffen

Webanwendungen können über eine Vielzahl von Vektoren angegriffen werden. Zu den gängigen Arten von Webangriffen gehören Cross-Site-Scripting, SQL-Injection, Path Traversal, Local File Inclusion und Distributed Denial of Service (DDoS)-Angriffe.

• Cross-Site-Scripting (XSS): Bei einem XSS-Angriff injiziert ein Angreifer ein Stück bösartigen Code in eine vertrauenswürdige Website oder webbasierte Anwendung. Da der Browser des Benutzers denkt, das Skript stamme aus einer vertrauenswürdigen Quelle, führt er das Skript aus. XSS-Angriffe können dazu verwendet werden, Daten zu stehlen oder andere bösartige Handlungen auf dem Computer des Besuchers auszuführen. Obwohl diese Methode als einfach gilt, ist sie weit verbreitet und kann erheblichen Schaden anrichten.
• SQL-Injection (SQLI): SQLIs treten auf, wenn ein Angreifer die Abfragen einer Webanwendung an ihre Datenbank manipuliert. Ein SQLI kann es Angreifern ermöglichen, sensible Daten aus der Datenbank zu erhalten. Ein Angreifer könnte diese Daten ändern oder löschen oder Code einschleusen, der den Inhalt oder das Verhalten der Webanwendung verändert.
• Path traversal: Dieser Angriff, der auch als Directory Traversal bekannt ist, ermöglicht es dem Angreifer, Pfade zu Ordnern außerhalb des Web-Root-Ordners zu manipulieren, die dann für den Zugriff auf Dateien, Verzeichnisse und Befehle von Webanwendungen verwendet werden können.
• Lokale Dateieinbindung: Diese Technik verleitet die Webanwendung dazu, ihre Dateien auf dem Webserver offenzulegen oder auszuführen. Diese Angriffe erfolgen, wenn die Webanwendung einen bösartigen Angriff als "vertrauenswürdige Eingabe" behandelt. Ein Angreifer kann Pfad- oder Verzeichnis-Traversal verwenden, um etwas über die Dateien auf dem Server zu erfahren, und dann die Webanwendung auffordern, die lokale Datei auszuführen. Lokale Dateieinschlüsse können zur Offenlegung von Informationen, XSS und Remotecodeausführung führen.
• DDoS-Angriffe: Diese Angriffe erfolgen, wenn ein Angreifer einen Server mit Webanfragen bombardiert. Angreifer können ein Netzwerk kompromittierter Computer oder Bots verwenden, um diesen Angriff zu starten, der einen Server lahmlegen und verhindern kann, dass legitime Besucher Zugang zu Ihren Diensten erhalten.
• Cross-Site Request Forgery (CSRF): CSRFs treten auf, wenn ein Angreifer einen Endbenutzer dazu bringt oder zwingt, unerwünschte Aktionen in einer Anwendung auszuführen, in der er bereits authentifiziert ist. Dies kann über einen Link in einer E-Mail oder einem Chat geschehen und im Erfolgsfall beispielsweise zu einer Geldüberweisung oder einer Änderung der E-Mail-Adresse führen.
• XML external entity (XXE): Dieser Angriff beruht auf einem nicht ordnungsgemäß konfigurierten XML-Parser im Code einer Anwendung. Dieser Angriff kann zur Offenlegung vertraulicher Daten wie Passwörter, zur Dienstverweigerung, zur serverseitigen Anforderungsfälschung und zu anderen Auswirkungen auf das System führen.

Tipps zum Schutz vor Website-Angriffen

Obwohl es eine Vielzahl von Angriffen auf Webanwendungen gibt, gibt es auch Verfahren, Technologien und Methoden, um sich vor ihnen zu schützen. Verschiedene Ansätze für die Sicherheit von Webanwendungen zielen auf unterschiedliche Schwachstellen ab.

• Automatisierte Schwachstellen-Scans und Sicherheitstests helfen Unternehmen, Schwachstellen und Fehlkonfigurationen zu finden, zu analysieren und zu entschärfen - hoffentlich, bevor es zu einem tatsächlichen Angriff kommt. Diese Tests helfen Unternehmen, Sicherheitsschwachstellen zu erkennen, die behoben werden müssen.
• Web Application Firewalls sind Hardware- und Softwarelösungen, die vor Bedrohungen der Anwendungssicherheit schützen, indem sie bösartigen Datenverkehr filtern, überwachen und daran hindern, die Webanwendung zu erreichen. Diese Tools werden ständig mit neuen Regeln aktualisiert, um die neuesten Angriffs- und Ausbeutungstechniken abzufangen.
• Secure Development Testing ist eine Praxis, bei der Sicherheitsteams die Bedrohungen und Angriffe berücksichtigen, die sich auf eine Anwendung oder ein Produkt auswirken könnten, um es so sicher wie möglich zu machen. Sichere Entwicklungstests können die neuesten Sicherheitsrisiken und Angriffsvektoren in einem frühen Stadium des Produktlebenszyklus aufdecken. Sie helfen auch bei der Entwicklung wirksamer Ansätze zur Verhinderung von Website-Angriffen und zur Minimierung der Folgen von Sicherheitsverletzungen.

Die Quintessenz

Angriffe auf Webanwendungen können für Unternehmen verheerende Folgen haben. Deshalb ist es wichtig, die verschiedenen Arten von Angriffen zu kennen und zu wissen, wie man Webanwendungen am besten schützt. Mit geeigneten Entwicklungs-, Test- und Sicherheitsprozessen und -programmen können Unternehmen die Risiken mindern und ihre Webanwendungen vor Angriffen schützen.

[i] "2020 Data Breach Investigation Report," Verizon

[ii] "96 % der Containeranwendungen von Drittanbietern, die in der Cloud-Infrastruktur eingesetzt werden, enthalten bekannte Schwachstellen," ZDNet

[iii] "Der Stand der Anwendungssicherheit, 2021," Forrester