Video: Secure-Summit: IT-Sicherheit und Wirtschaftsspionage 2025
Webbasierte Systeme enthalten viele Komponenten, darunter Anwendungscode, Datenbankverwaltungssysteme, Betriebssysteme, Middleware und die Webserver-Software selbst. Diese Komponenten können einzeln und gemeinsam Sicherheitsdesign- oder Implementierungsdefekte aufweisen. Einige der vorhandenen Defekte umfassen diese:
- Versagen, Injektionsangriffe zu blockieren. Angriffe wie JavaScript-Injection und SQL-Injection können es einem Angreifer ermöglichen, eine Webanwendung zu einer Fehlfunktion zu veranlassen und vertrauliche intern gespeicherte Daten freizugeben.
- Defekte Authentifizierung. Es gibt viele, viele Arten, in denen eine Website Authentifizierung implementieren kann - sie sind zu zahlreich, um sie hier aufzulisten. Authentifizierung ist wichtig, um richtig zu sein; viele Websites tun dies nicht.
- Defekte Sitzungsverwaltung. Webserver erstellen logische "Sitzungen", um einzelne Benutzer zu verfolgen. Die Sitzungsverwaltungsmechanismen vieler Websites sind anfällig für Missbrauch, insbesondere dadurch, dass ein Angreifer die Sitzung eines anderen Benutzers übernehmen kann.
- Fehler beim Blockieren von Cross-Site-Scripting-Angriffen. Websites, die Eingabedaten nicht prüfen und bereinigen können. Infolgedessen können Angreifer manchmal Angriffe erstellen, bei denen schädlicher Inhalt an den Benutzer gesendet wird.
- Fehler beim Blockieren von Cross-Site-Anforderungsfälschungsangriffen. Websites, die keine ordnungsgemäße Sitzungs- und Sitzungskontextverwaltung verwenden, können anfällig für Angriffe sein, bei denen Benutzer dazu verleitet werden, Befehle an Websites zu senden, die ihnen Schaden zufügen könnten.
Ein Beispiel dafür ist, dass ein Angreifer einen Benutzer dazu verleitet, auf einen Link zu klicken, der den Benutzer tatsächlich zu einer URL wie dieser führt:
// bank. com / transferieren? tohackeraccount: Betrag = 99999. 99. - Fehler beim Schutz direkter Objektreferenzen. Websites können manchmal dazu verleitet werden, auf Daten zuzugreifen und sie an einen Benutzer zu senden, der nicht berechtigt ist, sie anzuzeigen oder zu ändern.
Diese Sicherheitslücken können auf drei Arten gemildert werden:
- Entwicklerschulung zu Techniken der sichereren Softwareentwicklung
- Einbeziehung der Sicherheit in den Entwicklungslebenszyklus
- Einsatz dynamischer und statischer Anwendungen Scanwerkzeuge
