Inhaltsverzeichnis:
Video: Handwerkskunst! Wie man ein echt gutes Brot backt | SWR Fernsehen 2024
Um Ihre Webanwendungen sicher zu halten, müssen Sie Ihre Ethik-Hacking-Bemühungen und Ihre Webentwickler und -anbieter ständig wachsam halten. Halten Sie sich mit den neuesten Hacks, Test-Tools und -Techniken auf dem Laufenden und informieren Sie Ihre Entwickler und Anbieter darüber, dass Sicherheit für Ihr Unternehmen höchste Priorität haben muss.
Sie können direkte praktische Erfahrungstests und das Hacken von Webanwendungen mithilfe der folgenden Ressourcen durchführen:
-
OWASP webGoat Projekt
-
Foundstone's Hacme Tools
Sicherheit durch Obscurity üben
Die folgenden Formen von Sicherheit durch Obscurity - mit trivialen Methoden etwas aus der Sicht verbergen - kann dazu beitragen, automatisierte Angriffe von Würmern oder Skripten zu verhindern, die hartcodiert sind, um bestimmte Skripttypen oder standardmäßige HTTP-Ports anzugreifen:
-
Um Webanwendungen und zugehörige Datenbanken zu schützen, verwenden Sie unterschiedliche Maschinen, um jeden Webserver, jede Anwendung und jeden Datenbankserver auszuführen…
Die Betriebssysteme dieser einzelnen Maschinen sollten auf Sicherheitslücken getestet und auf der Grundlage von Best Practices gehärtet werden.
-
Verwenden Sie integrierte Sicherheitsfunktionen für Webserver, um Zugriffssteuerelemente und Prozessisolierungen zu behandeln, z. B. die Anwendungsisolierungsfunktion in IIS. Diese Vorgehensweise hilft sicherzustellen, dass, wenn eine Webanwendung angegriffen wird, nicht notwendigerweise andere Anwendungen, die auf demselben Server ausgeführt werden, einem Risiko ausgesetzt sind.
-
Verwenden Sie ein Tool, um die Identität Ihres Webservers zu verbergen - im Wesentlichen um Ihren Server zu anonymisieren. Ein Beispiel dafür ist die ServerMask von Port 80 Software.
-
Wenn Sie Bedenken haben, dass plattformspezifische Angriffe gegen Ihre Webanwendung ausgeführt werden, können Sie den Angreifer dazu verleiten, den Webserver oder das Betriebssystem für etwas völlig anderes zu halten. Hier einige Beispiele:
-
Wenn Sie einen Microsoft IIS-Server und -anwendungen ausführen, können Sie alle Ihre ASP-Skripts in a umbenennen. CGI-Erweiterung.
-
Wenn Sie einen Linux-Webserver ausführen, verwenden Sie ein Programm wie IP-Personality, um den Betriebssystem-Fingerabdruck zu ändern, damit das System aussieht, als würde es etwas anderes ausführen.
-
-
Ändern Sie Ihre Webanwendung so, dass sie auf einem nicht standardmäßigen Port ausgeführt wird. Wechseln Sie vom Standard-HTTP-Port 80 oder HTTPS-Port 443 zu einer hohen Portnummer, z. B. 8877, und setzen Sie den Server nach Möglichkeit auf einen nicht privilegierten Benutzer - also auf etwas anderes als System, Administrator, Root usw. auf.
Nie jemals verlassen sich auf die Dunkelheit allein; es ist nicht narrensicher. Ein engagierter Angreifer könnte feststellen, dass das System nicht das ist, was es vorgibt zu sein.Aber selbst mit den Neinsagern kann es besser sein als nichts.
Firewalls einrichten
Verwenden Sie zum Schutz Ihrer Websysteme möglicherweise zusätzliche Steuerelemente, einschließlich der folgenden:
-
Eine netzwerkbasierte Firewall oder IPS, die Angriffe auf Webanwendungen erkennen und blockieren kann. Dazu gehören kommerzielle Firewalls und IPSs der nächsten Generation, die von Unternehmen wie SonicWall, Check Point und Sourcefire erhältlich sind.
-
Eine hostbasierte Webanwendung IPS wie SecureIIS oder ServerDefender.
Diese Programme können Webanwendungen und bestimmte Datenbankangriffe in Echtzeit erkennen und sie abschneiden, bevor sie Schaden anrichten können.
Quellcode analysieren
Bei der Softwareentwicklung beginnen Sicherheitslücken und sollte enden, aber selten. Wenn Sie sich bis zu diesem Punkt sicher in Ihren ethischen Hacking-Bemühungen fühlen, können Sie tiefer nach Sicherheitslücken in Ihrem Quellcode suchen - Dinge, die von traditionellen Scannern und Hacking-Techniken nie entdeckt werden könnten, aber das sind trotzdem Probleme. Keine Angst!
Es ist eigentlich viel einfacher, als es sich anhört. Nein, Sie müssen den Code nicht Zeile für Zeile durchgehen, um zu sehen, was passiert. Sie benötigen nicht einmal Entwicklungserfahrung (obwohl es hilft).
Dazu können Sie ein statisches Quellcode-Analyse-Tool verwenden, wie es beispielsweise von Veracode und Checkmarx angeboten wird. Die CxSuite (genauer: CxDeveloper) von Checkmarx ist ein eigenständiges Tool, das preisgünstig und sehr umfassend in Tests von Webanwendungen und mobilen Apps ist.
Mit CxDeveloper laden Sie einfach den Enterprise Client, melden sich bei der Anwendung an (Standard-Anmeldeinformationen sind admin @ cx / admin), führen den Create Scan Wizard aus, um ihn auf den Quellcode zu verweisen und wählen Ihre Scan-Richtlinie aus. Klicken Sie auf Ausführen, und schon können Sie loslegen.
Wenn der Scan abgeschlossen ist, können Sie die Ergebnisse und empfohlenen Lösungen überprüfen.
CxDeveloper ist so ziemlich alles, was Sie brauchen, um Schwachstellen in Ihrem C # -, Java - und mobilen Quellcode in einem einzigen Paket zu analysieren und zu melden. Checkmarx bietet ebenso wie Veracode einen Cloud-basierten Quellcode-Analysedienst. Wenn Sie alle Hürden überwinden können, die mit dem Hochladen Ihres Quellcodes an Dritte verbunden sind, können diese eine effizientere und meist freihändige Option für die Quellcode-Analyse bieten.
Die Quellcode-Analyse deckt oft andere Fehler auf als herkömmliche Web Security-Tests. Wenn Sie die umfassendste Teststufe wünschen, beides. Die zusätzliche Überprüfungsstufe, die die Quellanalyse bietet, wird bei mobilen Apps immer wichtiger. Diese Apps sind oft voller Sicherheitslücken, von denen viele neuere Softwareentwickler in der Schule nichts mitbekommen haben.
Wenn Sie Ihren Entwicklern und Qualitätssicherungsanalysten zeigen können, dass Sicherheit mit ihnen beginnt, können Sie wirklich einen Unterschied in der gesamten Informationssicherheit Ihrer Organisation machen.
