Categories: Software

Zehn häufige Sicherheitslücken bei Web-basierten Anwendungen

Normalerweise sind Entwickler nicht verantwortlich für falsch eingestellte Berechtigungen – es sei denn, sie haben die Anwendung so erstellt, dass sie sich auf solche Berechtigungen verlässt. Falls eine Anwendung zum Beispiel verlangt, dass ein bestimmtes Verzeichnis für jedermann mit Schreibrechten versehen ist (oder noch schlimmer mit vollen Zugriffsrechten zum Lesen, Schreiben und Ausführen), ist die Anwendung ein ausgezeichnetes Versteck (oder gar Auslösepunkt) für bösartigen Code.

Viele Anwendungen verfügen über Verzeichnisse zum Speichern von temporären Berichten. Man kann versuchen, etwas in den Ordnern auf dem Webserver herumzustöbern, indem man die URL ändert, um ein Gefühl dafür zu bekommen, welche Berechtigungen bestehen. Falls die Anwendung die Möglichkeit zur Freitextsuche bietet (üblicherweise gibt es für das Speichern von Ergebnissen Ordner mit Schreibrechten für alle), kann man versuchen, dorthin eine ausführbare Datei zu posten und diese dann vom Browser aus aufrufen, um zu sehen, ob sie ausgeführt wird.

Falls die Anwendung eine Upload-Möglichkeit bietet, sollte man auf Ausführrechte prüfen. Nur in den seltensten Fällen sollte irgendjemand Ausführungs-Rechte für Webordner haben. Auch sollte kein Benutzer in der Lage sein, ausführbare Dateien auf dem Server laufen zu lassen. Falls man per Shell außerhalb der Anwendung Zugriff auf den Server erlangen kann (was häufig der Fall ist), ist fast jeder dort befindliche Prozess im Besitz eines privilegierten Benutzerkontos wie „oracle“, „root“ oder „system“ und hat dieselben Rechte wie der Besitzer. Potenzielle Probleme entstehen, falls die Anwendung den Upload von Daten erlaubt oder nicht den Zugriff auf einmal hochgeladene Daten einschränkt. Ein weiterer häufiger Fehler besteht darin, dass für Upload-Verzeichnisse nur schwache Zugangsberechtigungen verlangt werden.

Sicherheitslücken vermeiden

Diese Liste ist zwar nicht vollständig, aber sie enthält die häufigsten Fehler, die man bei Entwicklern beobachten kann, wenn sie Web-basierte Anwendungen erstellen. Es gibt eine Reihe hervorragender Informationsquellen für Entwickler und Tester, die mehr über die gängigsten Sicherheitslücken erfahren wollen. Hier sei allen Entwicklern besonders der OWASP-Report für 2004 empfohlen. Außerdem sollte man die SANS-Top-20-Liste lesen. Auch wenn sie sich nicht speziell auf Web-Anwendungen bezieht, bekommen Entwickler einen Eindruck davon, worauf sie gefasst sein sollten. Mit diesem Know-how ausgestattet sollte man die meisten der gängigen Fallstricke vermeiden können.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

EU-Datenschützer kritisieren Facebooks „Zustimmung oder Bezahlung“-Modell

Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…

1 Woche ago

Europol meldet Zerschlagung der Phishing-as-a-Service-Plattform LabHost

LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…

1 Woche ago

DE-CIX Frankfurt bricht Schallmauer von 17 Terabit Datendurchsatz pro Sekunde

Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.

1 Woche ago

Samsungs neuer LPDDR5X-DRAM erreicht 10,7 Gbit/s

Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…

1 Woche ago

Cisco warnt vor massenhaften Brute-Force-Angriffen auf VPNs

Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…

1 Woche ago

Cybersicherheit in KMUs: Es herrscht oft Aufholbedarf

Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…

1 Woche ago