Angriffspunkte für Hacker
Durch einen falsch konfigurierten Webserver haben Angreifer oft schon leichtes Spiel. Hier sind nicht nur einfach zu knackende oder zu erratende Passwörter ein Problem. Falsch gesetzte Zugriffsrechte, ein freizügiger Zugang externer Anwendungen auf die eigenen Daten oder leicht einsehbare Verzeichnisse und Dateien mit Login-Daten im Klartext – meist sind es solche einfachen Schusselfehler, die einem Hacker den Weg auf das System bereiten. Auch Denial-of-Service-Attacken (DoS) werden durch laxe Sicherheitseinstellungen am Server begünstigt. Administratoren sollten deshalb zuerst die Grundkonfiguration ihres Webservers überprüfen und diesen selbst auch auf dem neuesten Stand halten, bevor sie sich mit der installierten Software im Detail beschäftigen.
Eine häufige Methode, sich Zugang zu einem Webserver zu verschaffen, ist das Ausnutzen von Schwachstellen in Webanwendungen. Mit den richtigen Tricks können versierte Angreifer von unscheinbaren Fehlern in Programmen Gebrauch machen, was dazu führt, dass der Hacker durch die Maschen schlüpft: Der unerwünschte Besucher erhält beispielsweise Zugriff auf Daten oder kann in die Verwaltungsoberfläche der Software eindringen und Software und Server übernehmen.
XSS, SQL Injection und Co.
Eine oft genutzte Angriffsform ist das Cross-Site-Scripting (XSS). Mit eingeschleustem Code wandeln Angreifer ungenügend abgesicherte Webanwendungen für ihre eigenen Zwecke um. Sie können über eine so manipulierte Website Phishing-Attacken einleiten oder Schadcode im Browser des Anwenders ausführen lassen. Oft liegt diesen Angriffen eine mangelhafte Validierung von Eingaben in interaktiven Bereichen einer Website zugrunde. Werden beispielsweise Weblog-Kommentare oder Foren-Postings ungeprüft und samt Code-Eingaben übernommen, hat ein Hacker leichtes Spiel.
Ebenso bekannt ist die Technik der SQL Injection, bei der wiederum über eine Sicherheitslücke in einer Webanwendung, die eine Datenbankanbindung nutzt, manipulierter Code in die Datenbank eingeschmuggelt wird. Mit präparierten SQL-Befehlen kann sich der Angreifer an den Daten zu schaffen machen oder gleich die gesamten Daten kapern.
In diesem Ratgeber können Sie sich ausführlich über XSS und SQL Injection informieren.
Manipulierte Informationen oder gestohlene Kundendaten ärgern nicht nur den Webadmin, sondern können auch ein übles Nachspiel für das Unternehmen haben: Datenschutzverletzungen, Umsatzeinbußen durch Ausfall der Website und Imageschäden sind nicht über Nacht ausgebügelt. Besser, Sie wissen über Sicherheitslücken in Ihren Anwendungen bescheid, bevor es ein anderer tut. Topaktuelle Sicherheitlücken meldet beispielsweise die National Vulnerability Database des NIST und die Open Source Vulnerability Database (OSVDB).