Webanwendungen effektiv vor SQL-Injection schützen
Unternehmen setzen viele Technologien ein, um ihre Daten zu schützen. Web-Applikationen gleichen jedoch weniger einer Festung als einem Flughafen, der das Publikum hinein- und mit der Applikation interagieren lässt. Offenheit scheint Sicherheit zu widersprechen. Billy Hoffman von HP beschrieb im Gespräch mit silicon.de, wie trotzdem beides geht.
Die Sicherheitslücken liegen laut HP oft auf der Applikations-Ebene – sie sind ihr inhärent und können nicht von außen durch Abschirmung behoben werden. Das gilt für jede Firma, die Webanwendungen einsetzt. “Als wir im Jahr 2007 erfahren haben, dass HP unsere Firma SPI Dynamics kauft, haben wir viel Zeit darauf verwendet, HP zu hacken. Das ging sehr gut. Und es zeigte uns: Wenn sogar die größten Firmen der Welt diese Probleme haben – wie sieht es dann erst woanders aus”, sagte Billy Hoffman, Leiter der HP Web Security Research Group im Gespräch mit silicon.de. “Die Antwort können wir heute geben: jeder hat Probleme mit seinen Webanwendungen. Wir auch. Wir wollen die Kunden dazu bringen, sorgfältiger an Webanwendungen heranzugehen und ihnen mehr zu misstrauen – möglichst bevor etwas so Schlimmes geschieht wie die Datenlecks bei der Deutschen Telekom, zum Beispiel.”
Deshalb muss die Web-Applikations-Sicherheit so früh wie möglich im Applikations-Lebenszyklus berücksichtigt und getestet werden. Die meisten Unternehmen führen ein Security-Assessment jedoch erst durch, wenn eine Applikation kurz vor der Einführung steht oder wenn sich im Betrieb bereits Sicherheitslücken gezeigt haben.
Das Problem: Entwickler achten typischerweise primär auf die Funktionalität, Performance und einfache Bedienbarkeit von Applikationen. Sie berücksichtigen also die Anforderungen von Anwendern, aber nicht die Absichten und Methoden von Hackern. Dies hat zur Folge, dass viele Web-Applikationen mit Sicherheitsmängeln in Produktion gehen und in Produktion sind. Dies belegen Statistiken des Web Application Security Consortium, bei denen White-Box- und Black-Box-Methoden angewandt wurden, fanden in 96,85 Prozent der Web-Applikationen schwerwiegende Sicherheitslücken. Am häufigsten waren die Web-Applikationen anfällig für Cross-Site Scripting, Informations-Lecks, SQL-Injection und Predictable Resource Location.