In der vorliegenden Arbeit werden zu Beginn die zehn größten Risiken für Webanwendungen anhand von „OWASP Top 10 - 2010“ vorgestellt. Im nächsten Schritt wird die Realisierung von sicheren Webanwendungen auf Grundlage eines Ebenenmodells besprochen, sie basiert auf dem Maßnahmenkatalog, der im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt wurde.
Im letzten Teil dieser Ausarbeitung werden die Kennzeichen einer sicheren Netzwerk-Infrastruktur u.a. im Unternehmen behandelt.
Inhaltsverzeichnis
1. Einleitung
2. Top-10-Risiken für Webanwendungen
2.1 Platz 1: Injection
2.2 Platz 2: Cross-Site Scripting
2.3 Platz 3: Broken Authentication and Session Management
2.4 Platz 4: Insecure Direct Object References
2.5 Platz 5: Cross-Site Request Forgery
2.6 Platz 6: Security Misconfiguration
2.7 Platz 7: Insecure Cryptographic Storage
2.8 Platz 8: Failure to Restrict URL Access
2.9 Platz 9: Insufficient Transport Layer Protection
2.10 Platz 10: Unvalidated Redirects and Forwards
3. Ebenenmodell zur Sicherheitskonzeption
Ebene 0: Netzwerk und Host
Ebene 1: System
Ebene 2: Technologie
Ebene 3: Implementierung
Ebene 4: Logik
Ebene 5: Semantik
4. Sichere Netzwerk-Infrastruktur
Konzept 1: Einsatz von Router/Firewall. Mailserver im Intranet
Konzept 2: Einsatz von Router/Firewall. Mailserver in der DMZ.
Konzept 3: Einsatz von zwei Routern/Firewalls. Mailserver in der DMZ.
5. Fazit
Zielsetzung & Themen
Die vorliegende Arbeit zielt darauf ab, Beteiligte am Software-Entwicklungsprozess für Sicherheitsrisiken bei Webanwendungen zu sensibilisieren und Lösungsansätze für eine robuste IT-Infrastruktur aufzuzeigen.
- Analyse der Top-10-Risiken für Webanwendungen gemäß OWASP
- Einführung eines Ebenenmodells zur strukturierten Sicherheitskonzeption
- Bewertung der Sicherheit von Webanwendungen und IT-Systemen
- Vorstellung von Konzepten zur Absicherung der Netzwerk-Infrastruktur
Auszug aus dem Buch
2.1 Platz 1: Injection
Um Injection (injection flaw) handelt es sich, wenn von einem Angreifer manipulierte Benutzereingaben ungeprüft bzw. ungefiltert an ein Hintergrundsystem weitergegeben werden[4]. Ein Angreifer kann dadurch einen unautorisierten Zugriff auf Inhalte von Hintergrundsystemen bekommen [4]. Es gibt mehrere Arten der Injection-Attaken: SQL-Injection (möglicher Zugriff auf Datenbank), LDAP-Injection (Zugriff auf LDAP-Verzeichnis des Servers), OS Command Injection (Einschleusen von Shell-Befehlen) und XPATH-Injection (unerlaubter Zugriff auf XML-Dateien)[4].
Am häufigsten tritt SQL-Injection auf. Durch SQL-Befehle kann ein Angreifer Daten des Systems verändern, löschen oder neue anlegen[4]. Dabei wird SQL-Code z.B. innerhalb eines Parameters an die Webapplikation übermittelt und ausgeführt. Ein einfaches Beispiel von SQL-Injection:
SQL-Anfrage innerhalb der Anwendung[3]:
String query = "SELECT * FROM accounts WHERE custID='"+ request.getParameter("id")+"'";
Ein Angreifer verändert die URL und schickt folgende Anweisung an den Server[3]:
http://example.com/app/accountView?id=' or '1'='1
Damit bekommt er als Ergebnis alle Einträge der Tabelle accounts.
Zusammenfassung der Kapitel
1. Einleitung: Die Einleitung beleuchtet die zunehmende Bedrohung durch Cyber-Kriminalität für Unternehmen und Behörden und unterstreicht die Notwendigkeit einer verbesserten IT-Sicherheit.
2. Top-10-Risiken für Webanwendungen: Dieses Kapitel detailliert die zehn kritischsten Sicherheitsrisiken für Webanwendungen nach dem OWASP-Standard und erläutert potenzielle Angriffsvektoren.
3. Ebenenmodell zur Sicherheitskonzeption: Hier wird ein hierarchisches Klassifizierungsschema vorgestellt, das hilft, Sicherheitsaspekte systematisch den verschiedenen Ebenen eines IT-Systems zuzuordnen.
4. Sichere Netzwerk-Infrastruktur: Dieses Kapitel untersucht verschiedene Architekturkonzepte, wie Firewalls und DMZ-Strukturen, um Netzwerke gegen Angriffe von außen zu härten.
5. Fazit: Das Fazit fasst die Relevanz der behandelten Risiken zusammen und betont die Wichtigkeit eines strukturierten Sicherheitsansatzes über den gesamten Entwicklungsprozess hinweg.
Schlüsselwörter
Webserver Security, OWASP Top 10, Injection, Cross-Site Scripting, Session Management, IT-Infrastruktur, Firewall, DMZ, Netzwerksicherheit, Cyber-Kriminalität, Sicherheitskonzeption, Webanwendungen, Authentifizierung, Datensicherheit, Prävention
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit behandelt die Sicherheit von Webanwendungen und zeigt auf, wie Unternehmen ihre IT-Infrastruktur gegen moderne Cyber-Angriffe absichern können.
Was sind die zentralen Themenfelder?
Die Schwerpunkte liegen auf der Identifikation bekannter Sicherheitsrisiken (OWASP Top 10) sowie der Implementierung technischer und organisatorischer Schutzkonzepte.
Was ist das primäre Ziel der Arbeit?
Ziel ist es, Entwickler und IT-Verantwortliche für Sicherheitsrisiken bei Webanwendungen zu sensibilisieren und praxisnahe Lösungsmodelle für eine sicherere Architektur vorzustellen.
Welche wissenschaftliche Methode wird verwendet?
Die Ausarbeitung basiert auf einer Literaturanalyse aktueller Sicherheitsberichte und Standards, kombiniert mit der Vorstellung konzeptioneller Architekturmodelle zur IT-Absicherung.
Was wird im Hauptteil behandelt?
Der Hauptteil umfasst eine detaillierte Analyse der zehn häufigsten Sicherheitsrisiken für Webanwendungen sowie die Vorstellung eines Ebenenmodells und verschiedener Netzwerk-Sicherheitskonzepte.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wesentliche Begriffe sind Webserver Security, OWASP, Injection, Cross-Site Scripting, Firewall, DMZ, IT-Infrastruktur und Sicherheitskonzeption.
Wie unterscheiden sich die drei Konzepte zur Netzwerkabsicherung?
Die Konzepte steigern die Sicherheit durch die Platzierung von Firewalls: Konzept 1 ist die einfachste Lösung (Intranet), Konzept 2 nutzt eine DMZ zur Trennung, und Konzept 3 bietet die höchste Sicherheit durch eine zweistufige Firewall-Architektur.
Warum ist das "Single Point of Failure"-Problem für Router relevant?
Wenn ein einzelner Router als einziger Schutzwall fungiert und kompromittiert wird, liegt das gesamte dahinterliegende Netzwerk offen, weshalb zweistufige Architekturen empfohlen werden.
Welche Bedeutung hat das Ebenenmodell?
Es fungiert als Klassifizierungsschema, um Sicherheitsaspekte systematisch von der Systemebene bis zur semantischen Ebene zu betrachten und Lücken in der Sicherheitsstrategie zu schließen.
Was sind "Unvalidated Redirects and Forwards"?
Hierbei handelt es sich um eine Schwachstelle, bei der Angreifer mittels manipulierter Parameter Benutzer auf schädliche, externe Webseiten weiterleiten können.
- Quote paper
- Pavel Ermolin (Author), 2011, Webserver Security, Munich, GRIN Verlag, https://www.hausarbeiten.de/document/196919
