Klassische Netzwerk-Firewalls bieten keinen Schutz bei Angriffen auf der Anwendungsebene. Wer seine Webanwendungen auf Sicherheitslücken überprüfen will, sollte sogenannte Applikationsscanner einsetzen, rät das IT-Profimagazin iX [2] in der aktuellen Ausgabe 8/08. Zwar ersetzen diese Hilfsmittel nicht die abschließende manuelle Überprüfung, einfache Schwachstellen finden sie jedoch äußerst effizient.
Die Nutzung von Webanwendungen ist heutzutage für Unternehmen wie Privatpersonen eine Selbstverständlichkeit – was ihre Attraktivität für Hacker enorm erhöht. Der Diebstahl von Kreditkarten- und anderen vertraulichen Informationen zum Beispiel über Cross-Site Scripting, einer Manipulation des Browsers, ist ein rentables Geschäft. Da die Angriffe auf der Anwendungsebene, also innerhalb zugelassener Protokolle, stattfinden, können klassische Netzwerk-Firewalls die Webanwendungen nicht schützen.
Dieser Gefahr, auch als „Port-80-Problem“ bekannt, kann man mit sogenannten Webapplikations-Firewalls (WAF) begegnen. Sie analysieren auf der Anwendungsebene sowohl die eingehenden Anfragepakete an den Webserverdienst, als auch dessen ausgehende Antworten.
Auf die Art sollen sie sicherstellen, dass keine bösartigen Anfragen an den Dienst gelangen und er keine vertraulichen Daten zurückliefert. Im Unterschied zu „normalen“ Schwachstellenscannern suchen die Applikationsscannern nach individuellen Lücken einzelner Webanwendungen. Sie setzen eine Ebene höher an und durchforsten nicht das Betriebssystem und die Dienste, sondern die statischen und dynamischen Inhalte.
Allerdings können diese Hilfsmittel nicht die manuelle Überprüfung durch einen Sicherheitsexperten ersetzen.
Vor allem wenn es um komplexe Schwachstellen geht, sind den automatisierten Werkzeugen Grenzen gesetzt.
Auch Logikfehler, die meist aufgrund fehlender Plausibilitätsprüfung entstehen, können nicht aufgedeckt werden.
Auf welches Produkt letztendlich die Wahl fällt, hängt in der Praxis oftmals nicht alleine vom reinen Scan-Ergebnis ab, sondern auch davon, wie sich der Scanner in bestehende Umgebungen und organisatorische Prozesse einbinden lässt.
Bild: Heise Medien