Sicherheit von Web-Applikationen frühzeitig testen: Hackerangriffen entgegenwirken

Web 2.0-Anwendungen sind ein bevorzugtes Ziel von Hackerangriffen, da sie nicht wie Server oder Netzwerke von außen abgeschirmt werden können. Deshalb ist es wichtig, die Sicherheitslücken bereits in der Entwicklungsphase zu schließen. Für Adobe Flash-Anwendungen gibt es nun ein kostenloses Scan-Tool, mit dem Entwickler die Sicherheit des programmierten Codes überprüfen können, bevor sie die Anwendung publizieren.

Während in den 80er und 90er Jahren neue Technologien ihren Ursprung in den Unternehmen hatten, sind heute Endanwender-Technologien die Schrittmacher für IT-Innovationen. Mitarbeiter erwarten zunehmend, am Arbeitsplatz Zugriff auf alle Anwendungen zu haben, die sie auch privat benutzen – Podcasts, Videoblogs und Wikis gehören zum Büroalltag. Dies fördert die rasante Verbreitung von modernen Internet-Technologien.

Anzeige

Auch die Unternehmen selbst setzen Web 2.0-Technologien ein. In einer weltweiten Umfrage von McKinsey unter 2.847 Führungskräften gaben 70 Prozent der Befragten an, Web 2.0-Anwendungen in der Kommunikation mit ihren Kunden zu nutzen. Über die Hälfte der Umfrageteilnehmer setzt Technologien wie Web Services oder RSS (Really Simple Syndication) an der Schnittstelle zu Partnern und Lieferanten ein. Am häufigsten, nämlich bei 75 Prozent der Befragten, dienen die modernen Tools dazu, die interne Zusammenarbeit zu verbessern. Dabei nutzen jeweils circa die Hälfte der Befragten die Tools für das Wissensmanagement beziehungsweise in der Produktentwicklung.

Bild 1

Web-Applikationen als Zielscheibe

Der wachsende Einsatz zunehmend komplexer Web 2.0-Technologien bringt jedoch Sicherheitsrisiken mit sich. Während Server und Netzwerke in Unternehmen durch Technologien wie Firewalls, Verschlüsselung und Authentifizierung abgeschirmt sind, reichen diese Maßnahmen bei Web-Applikationen nicht aus. Die Sicherheitslücken sind der Applikationsebene inhärent und können nicht von außen durch Abschirmung behoben werden. Nach Aussagen des Web Application Security Consortium aus dem Jahre 2008 führten Sicherheits-Scans von mehr als 31.000 Websites zu einem eindeutigen Ergebnis: 85 Prozent der getesteten Websites wiesen eine Sicherheitslücke auf, die es Hackern ermöglicht, sensible Daten zu lesen, abzuändern und zu übermitteln. Deshalb muss Web-Applikations-Sicherheit so früh wie möglich im Applikations-Lebenszyklus berücksichtigt und getestet werden. Viele Sicherheitslücken können in der Entwicklungs- und Qualitätssicherungsphase wesentlich effektiver vermieden werden als später im laufenden Betrieb.

Die Realität sieht jedoch anders aus: Die meisten Unternehmen führen ein Security Assessment erst durch, wenn eine Applikation kurz vor der Einführung steht – oder wenn sich im Betrieb bereits Sicherheitslücken gezeigt haben. Das Problem: Entwickler achten typischerweise primär auf die Funktionalität, Performance und einfache Bedienbarkeit von Applikationen. Sie berücksichtigen also die Anforderungen von Anwendern, aber nicht die Absichten und Methoden von Hackern. Auch Qualitätsmanager sind typischerweise keine Sicherheitsexperten. Dies hat zur Folge, dass viele Web-Applikationen mit Sicherheitsmängeln in Produktion gehen und in Produktion sind. Die Behebung einer Sicherheitslücke zu diesem späten Zeitpunkt kann schnell Kosten in Millionenhöhe verursachen.

Bild 2 

Adobe Flash

Zu den Web 2.0-Technologien mit der größten Verbreitung gehört die Adobe Flash-Plattform. Mittlerweile ist der Adobe Flash Player weltweit auf 98 Prozent aller PCs mit Internetzugang installiert. Die Adobe Flash-Plattform wird laut Adobe zunehmend in großen Medienunternehmen und für geschäftskritische Anwendungen genutzt. Über eine Million professionelle Designer und Entwickler nutzen die Flash-Plattform in ihrer täglichen Arbeit – dazu kommen noch unzählige Betreiber von privaten Websites. Da jedoch nicht alle Entwickler die Sicherheitsrichtlinien zur Entwicklung von Flash-Anwendungen beachten, können Hacker Sicherheitslücken nutzen. Mit einem neuen kostenlosen Scan-Tool von HP können Flash-Entwickler ihre Web-Applikationen vor solchen Angriffen schützen.

Sicherheitslücken identifizieren und vermeiden

Mit dem Scan-Tool HP SWFScan können Flash-Entwickler prüfen, ob sie sicheren Code programmiert haben, noch bevor sie die Anwendung publizieren. Das Werkzeug dekompiliert Flash-Applikationen und nutzt die statische Code-Analyse, um Sicherheitslücken in der Anwendung aufzuspüren und zu analysieren. Auf diese Weise lassen sich Sicherheitslücken identifizieren, die mit herkömmlichen dynamischen Methoden nicht aufzudecken sind. Die statische Code-Analyse ist ein Software-Testverfahren, bei dem der Quelltext einer Reihe formaler Prüfungen unterzogen wird. So lassen sich bestimmte Arten von Fehlern entdecken, noch bevor die entsprechende Software ausgeführt wird.

Das Windows-basierte Werkzeug unterstützt alle Flash-Versionen. Es ist das erste Tool, das mit den neuesten Flash-Entwicklungen Schritt hält und sowohl ActionScript-2- als auch ActionScript-3-Bytecode dekompilieren kann. Der Code wird nach über 60 Sicherheitslücken durchsucht, die sich Hacker zunutze machen – dazu gehören ungeschützte vertrauliche Daten, Cross-Site Scripting, Cross-Domain Privilege Escalation und nicht validierte Anwendereingaben. Flash-Entwickler schaffen oft unbeabsichtigt eine Sicherheitslücke, indem sie Zugangsinformationen wie Passwörter, Verschlüsselungscode oder Datenbankinformationen direkt in ihre Anwendungen einbetten. Gleichzeitig wird bei der Code-Analyse die Konformität mit aktuellen Sicherheitsrichtlinien von Adobe geprüft.

Das Security-Tool bietet darüber hinaus weitere Funktionen, die Entwickler dabei unterstützen, Methoden zur Beseitigung der identifizierten Sicherheitslücken zu finden. Der Teil des Quellcodes, der den Sicherheitsfehler enthält, wird hervorgehoben, um den Kontext darzustellen. Für jede gefundene Verletzung erhält der Anwender einen Lösungsvorschlag auf Basis von Adobes Empfehlungen. Außerdem generiert HP SWFScan zu jeder Lücke einen Bericht, der die Ursache der Verletzung erklärt und eine Anleitung zu deren Behebung liefert.

Bild 3

Sicherheitslücken zuvorkommen

HP hat fast 4.000 Flash-Anwendungen analysiert – 35 Prozent davon verletzen die Adobe-Sicherheitsrichtlinien. Damit können Hacker Sicherheitsmaßnahmen umgehen und Zugang zu sensiblen Daten bekommen. Diese Lücken können Entwickler mit HP SWFScan ermitteln Sicherheitsproblem werden. Der HP Web Security Research Group, die SWFScan entwickelt hat, gehören viele renommierte Sicherheitsexperten an. Das Team analysiert Bedrohungen für die Sicherheit von Web-Anwendungen und entwickelt neue Technologien für IT-Experten zur Behebung von Sicherheitslücken. Die Ergebnisse werden in HP Application Security Center integriert, eine Software-Suite, mit der Unternehmen Sicherheitslücken von Web-Anwendungen über den kompletten Applikations-Lebenszyklus identifizieren, beseitigen und verhindern können (siehe Kasten).

Uwe Flagmeyer

Diesen Artikel finden Sie auch in der Ausgabe 5/6-2009 der it security.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.