Sicherheit von Webanwendungen ist ein recht weites Feld. Daher beschränkt sich dieser Artikel auf die Beschreibung und Prävention der populärsten Angriffsmöglichkeiten, die im Zusammenhang mit Webanwendungen stehen. Angriffe gegen eine Webanwendung können durch die Vermeidung von Sicherheitslücken während der Implementierung oder durch den Einsatz von vorgeschalteten Web-Application-Firewalls (WAF) in den meisten Fällen abgewehrt werden. Einige hilfreiche Tipps, wie Sie bei der Prävention vorgehen sollten, gibt der vorliegende Artikel.
Bei der Realisierung von Webanwendungen sollte das Thema Sicherheit bereits in der Entwicklungsphase ins Auge gefasst werden. Dies gilt auch beim Einsatz von vorgefertigten Webanwendungen wie Blogs, Foren oder Shopsystemen. Sich darauf zu verlassen, dass der beim Provider vorkonfigurierte Server bereits sämtliche Sicherheitslücken schließt, könnte sich als ein fataler Irrtum herausstellen. Um Ihnen einen Überblick über die populärsten Angriffsmöglichkeiten und deren Prävention zu geben, gehe ich detailliert auf das Cross-Site Scripting (XSS) und die SQL-Injection ein.
Schwachstellen und Gefahren
Bevor ich Sie mit diesen beiden Angriffsmöglichkeiten vertraut mache, erhalten Sie noch eine kompakte Übersicht weiterer Schwachstellen und Angriffsmöglichkeiten. Unter anderem sind die folgenden Sicherheitsrisiken aufzuführen:
- Denial of Service
- E-Mail-Injection
- Pufferüberlauf
- Session-Hijacking
- HTTP Response Splitting
- Remote Command Execution
- Man-In-The-Middle-Angriff
- Cross-Site Request Forgery (CSRF oder XSRF)
Denial of Service
Mit einem Denial-of-Service-Angriff (DoS) versucht der Angreifer durch eine Vielzahl von Verbindungsanfragen dem Webserver die Ressourcen für reguläre Anfragen zu entziehen. Wird der Angriff von mehreren Rechnern gleichzeitig durchgeführt, spricht man auch von einem Distributed-Denial-of-Service -Angriff (DDoS). Ein DoS ist nicht auf Webanwendungen beschränkt, sondern kann sich gegen jede Art von Server richten.
