Quellcode-Analyse und Web-Bollwerke
Web Application Scanner eignen sich für einen umfassenden Sicherheitscheck der fertigen Webanwendungen, optimalerweise bevor diese auf einem Live-System implementiert und von außen zugänglich gemacht werden. Mit einem Source-Code-Scanner wie beispielsweise Hypersource können Programmierer dagegen schon ab einem frühen Entwicklungsstadium ihrer Webanwendungen die Sicherheit ihres Quellcodes kontrollieren und sofort nachrüsten. Auch Coverity hat spezialisierte Code-Analyse-Tools für bestimmte Programmiersprachen zur Wahl.
Schutzmantel für Webanwendungen
Wie es der Name verrät, schützt eine Web Application Firewall (WAF) Webanwendungen und erledigt damit im übertragenen Sinne das, was eine Firewall für das Netzwerk leistet. Sie wird den Webanwendungen vorgeschaltet und prüft alle Anfragen an den Webserver und dessen Antworten. Bei verdächtigen Anfragen blockiert die WAF die Kommunikation. Damit bietet eine Web Application Firewall einen guten Schutz gegen SQL Injection, Cookie Poisoning, XSS, Attacken durch Pufferüberläufe und weitere Angriffsformen. Wenn ein Webserver durch eine Web Application Firewall geschützt wird, werden also auch bestehende Sicherheitslücken in Webanwendungen entschärft.
Ein bekannter Vertreter aus der Open-Source-Gemeinschaft ist ModSecurity, das als Apache-Erweiterung arbeitet. Kommerzielle WAFs gibt es zum Beispiel von Art of Defence, F5 und Citrix.
Sicherheit auch für Altsysteme
Eine Web Application Firewall dürfte das Mittel der Wahl für die meisten Webserver sein, denn eine große Zahl an bekannten und sogar neuartigen Angriffsmethoden wird abgefangen. Sie ist auch als Sicherheitsmaßnahme für ältere Systeme zu empfehlen, die nicht mehr weiterentwickelt und mit Sicherheitsupdates versorgt werden. Ebenso bietet sich die WAF zum Schutz von Fremdsoftware an und verringert so die Abhängigkeit von Patches des Herstellers. Allerdings sollte vor der Inbetriebnahme ein Testlauf angesetzt werden, um die korrekte Konfiguration für einen reibungslosen Betrieb herausfinden. Denn wie bei der Netzwerk-Firewall gilt auch hier: Ist die Firewall zu scharf eingestellt, lässt sie eventuell auch korrekte Anfragen nicht mehr passieren und stört die Auslieferung der Webanwendungen.
Auf Web Application Security spezialisierte Beratungsunternehmen wie Securenet helfen Unternehmen, die richtige Technologie und Implementierungsstrategie für den Schutz ihrer Webserver und Applikationen zu finden. (PC Welt/rw)