Schwachstellen von Web-Services

Die ersten Netzwerkangriffe nutzten Schwachstellen aus, die mit dem Einsatz der TCP/IP Internetprotokollfamilie zusammenhingen. Durch die die kontinuierliche Behebung dieser Schwachstellen richten sich die Attacken immer mehr auf Anwendungsbereiche, vor allem das Web, weil ein Großteil der Unternehmen ihre Firewall- Systeme für Web-Traffic öffnen.

Das HTTP (oder HTTPS) Protokoll ermöglicht die Übertragung von Websites durch Such- und Antwortmechanismen. In erster Linie dazu benutzt, um Websites mit Informationsmaterial (statische Websites) zu übertragen, ist das Web rapide zu einer interaktiven Unterstützung geworden, durch die online-Services ermöglicht werden. Der Begriff d'« web application » bezeichnet daher jede Anwendung, deren Interface über das Web zugänglich ist, mit Hilfe eines einfachen Browsers. Das HTTP- Protokoll, auf dem inzwischen eine beträchtliche Anzahl von Technologien basiert (SOAP, Javascript, XML RPC, etc.), spielt heutzutage eine entscheidende strategische Rolle bei der Sicherheit von Computersystemen..

Als Web-Server immer besser geschützt wurden, wurden Angriffe immer stärker darauf gerichtet, Sicherheitslücken in Web-Anwendungen auszunutzen.

Daher ist die Sicherheit von Web-Services ein Element, das bereits bei Konzeption und Entwicklung beachtet werden muss.

Arten von Schwachstellen

Schwachstellen von Web-Anwendungen können folgendermaßen eingeteilt werden :

• Schwachstellen des Web-Servers. Dieser Fall wird zunehmend seltener, da die wichtigsten Web-Server Entwickler im Laufe der Jahre ihre Sicherheitsvorkehrungen verstärkt haben ;
• Manipulation der URL, diese besteht darin, URL-Parameter manuell zu verändern, um das erwartete Verhalten des Servers zu ändern ;
• Ausnutzen von Schwachstellen in Session-Identifiers und Authentifizierungsmechanismen ;
• Injektion von HTML Code und Cross-Site Scripting ;
• SQL Code-Injection

Die notwendige Verifikation von Eingabedaten

Das HTTP Protokoll ist dafür vorgesehen, Anfragen zu bearbeite, das heißt, Eingabedaten zu empfangen und Ausgabedaten zurückzusenden. Die Daten können auf verschiedene Weise übertragen werden :

• Über dieURL der Website
• In den HTTP-Headern
• Im Körper einer Anfrage (POST Anfrage)
• Über einen Cookie

Das wichtigste Prinzip, an das man sich bei jedem Entwicklungsprozess immer halten sollte, ist es, vom Client gesendeten Daten niemals zu vetrauen.

Daher liegt der Grund für Schwachstellen von Web-Services meist in der Fahrlässigkeit der Entwickler, die das Format der von Usern eingegebenen Daten nicht überprüfen.

Auswirkungen von Web-Angriffen

Angriffe, die gegen Web-Anwendungen gerichtet sind, sind immer schädlich, da sie dem Unternehmen ein schlechtes Image verleihen. Die Folgen eines geglückten Angriffs können folgendermaßen aussehen :

• Verunstaltung der Website ;
• Informationsraub ;
• Datenmodifikationen, vor allem die Modifikation persönlicher Userdaten ;
• Eindringen in den Webserver.