Einfallstor für Hacker

7 Fehler bei der Absicherung von Web-Apps

29.09.2009
Von Cyrill Osterwalder

3. HTTPS-Verschlüsselung genügt

Web-Audits erfolgen meist aus der Perspektive eines Angreifers, der durch eine Firewall vom Web-Server getrennt ist. Über einige Anwendungen ist jedoch ein unberechtigter Durchgriff bis zur Datenbank möglich.
Web-Audits erfolgen meist aus der Perspektive eines Angreifers, der durch eine Firewall vom Web-Server getrennt ist. Über einige Anwendungen ist jedoch ein unberechtigter Durchgriff bis zur Datenbank möglich.

Das SSL-Netzwerkprotokoll gewährleistet den sicheren Datenverkehr zwischen dem Anwender beziehungsweise Web-Browser und dem Server, nicht jedoch die Absicherung des Servers selbst. Die Wahrung von Vertraulichkeit und Integrität übertragener Daten im öffentlichen, nicht-vertrauenswürdigen Internet ist enorm wichtig. Auch Hacker nutzen diesen Schutz und so gelangen ihre Angriffe über diesen Weg auch "sicher" und verschlüsselt bis zum Firmen-Web-Server. Um diese Attacken früh genug zu erkennen, müssen SSL-verschlüsselte Verbindungen spätestens an den Unternehmensgrenzen enden. Eine an diesem Punkt eingesetzte WAF kann den einströmenden Datenverkehr filtern, so dass den Web-Server nur autorisierte Benutzeranfragen erreichen. Sollte der Backend-Server explizit SSL-Anfragen erwarten, lassen sich die Daten von der WAF zum Server auch wieder SSL-verschlüsseln.

Zur Startseite