Zur Klassifizierung von gefährlichen oder verbotenen Aktionen wird häufig in einer vorgeschalteten Lernphase ein Application-Security-Scanner eingesetzt. Dieser analysiert, häufig im Dialog mit einem Nutzer, die Anwendung und erzeugt daraus Profile für zulässige Aktionen.
Alternativ werden durch eine Art Crawler oder auch Application-Security-Scanner die Webseiten der Webapplikation angesteuert und enthaltene Formularfelder überprüft. Die Applikation läuft in diesem Fall in einer Art passivem Modus, das heißt erlaubte und nicht erlaubte Eingaben werden in einer Logdatei festgehalten. Der Administrator kann dann nachträglich sehen, welche Aktionen im Betrieb geblockt würden und diese selektiv freischalten, indem er Sonderregeln einrichtet.
Zu den bekanntesten WAF-Vertretern gehören der USP Secure Entry Server und die ModSecurity für Apache-Webserver. Sie sollten sich jedoch im klaren darüber sein, dass auch eine WAF keine absolute Sicherheit gewährleistet.
Fazit
Ein effizientes und optimiertes Sicherheitskonzept erfordert eine stetige Anpassung an neue Gegebenheiten und Sicherheitslücken. Während Sie die hier aufgeführten Schwachstellen schließen, erblicken sicher bereits neue Gefahrenquellen das Licht der Welt, welche Sie in die Planung und Realisierung eines Sicherheitskonzepts mit einbeziehen sollten.
Eines ist sicher: Eine absolut sichere Webanwendung gibt es nicht, aber durch eine vorausschauende Anwendungsentwicklung kann die Anpassung auf Gefahrenquellen deutlich erleichtert werden.
Matthias Kannengiesser ist Dipl.-Informatiker und Projektmanager im IT-Bereich. Er berät seit mehreren Jahren namenhafte Unternehmen und ist unter anderem als Dozent, Fachbuchautor und freier Mitarbeiter für Adobe Systems Incorporated tätig. Seit Jahren hält er Seminare, Workshops und Vorträge zu den Themen PHP und Datenbank-Development ab. Außerdem verfasst er als freier Fachjournalist Artikel in diversen Magazinen.
