Webattacken simulieren
Was kann man nun tun gegen Angriffe auf Webseiten, das Ausnutzen von Schlupflöchern in Webanwendungen und Datenklau? Das hängt zunächst einmal davon ab, ob es sich um eine Anwendung handelt, auf deren Code Sie Zugriff haben. Das wäre bei Eigenentwicklungen und Open Source der Fall. Hier können Sie mit einem Scanner den Quellcode prüfen und die Probleme direkt an der Basis beheben. Steht diese Option nicht zur Wahl, ist es möglich, einen Security-Scanner direkt auf die installierten Programme loszulassen, um zu sehen, ob ein simulierter Angriff Erfolg hat. Der gebräuchlichste Weg ist es dann, die Webanwendungen mit Web Application Firewalls (WAF) gegen Angriffe zu verbarrikadieren.
Security-Scanner finden Lücken
Security-Scanner gibt es fürs Netzwerk und ebenso auch für Webanwendungen. Ein solcher Web Application Security Scanner wird auf einem Client im Web auf die zu untersuchende Website losgelassen und durchsucht alle erreichbaren Seiten, Elemente und Anwendungen. Dabei verhält sich der Scanner im Grunde wie ein Internet-User, denn er "klickt" alle Links an, füllt Formularfelder aus, untersucht die Seitenstruktur und Skripte und lernt so die Website kennen. Allerdings versucht der Scanner dann mit den gewonnenen Erkenntnissen über die Funktionsweise der Webanwendungen in das System einzudringen.
Der Scanner sammelt bei seinem Einbruchsversuch Daten über Funktion, Aufbau und Schwachstellen der gefundenen Elemente und protokolliert die eigenen Angriffsmuster. Das Ergebnis ist eine umfassende Sicherheitsanalyse des eigenen Webservers, die dem Administrator das nötige Wissen zum gezielten Schließen von Lücken und Vorbeugen ähnlicher, realer Hacker-Angriffe vermittelt.
Sicherheitsscanner für Webanwendungen gibt es auf Open-Source-Basis und von kommerziellen Software-Anbietern. IBM bietet zum Beispiel Rational AppScan für verschiedene Unternehmensgrößen an. Die Software deckt die üblichen Skriptsprachen und Angriffsmethoden ab und führt automatisierte Tests aus. Art of Defence bietet mit Hyperscan einen Web Application Scanner. Hier sind sogar Compliance-Checks der Website inklusive. Einer der freien Vertreter ist Metasploit, ein umfassendes Security-Framework mit zahlreichen Tools zum Abklopfen von Webanwendungen, SQL-Datenbankservern und Webservern unter Windows, Linux und Unix auf Schwachstellen.