Angriffe auf Web-Server

November 2016

Schwachstellen von Web-Services

Die ersten Netzwerkangriffe nutzten Schwachstellen aus, die mit dem Einsatz der TCP/IP Internetprotokollfamilie zusammenhingen. Durch die die kontinuierliche Behebung dieser Schwachstellen richten sich die Attacken immer mehr auf Anwendungsbereiche, vor allem das Web, weil ein Großteil der Unternehmen ihre Firewall- Systeme für Web-Traffic öffnen.

Das HTTP (oder HTTPS) Protokoll ermöglicht die Übertragung von Websites durch Such- und Antwortmechanismen. In erster Linie dazu benutzt, um Websites mit Informationsmaterial (statische Websites) zu übertragen, ist das Web rapide zu einer interaktiven Unterstützung geworden, durch die online-Services ermöglicht werden. Der Begriff d'« web application » bezeichnet daher jede Anwendung, deren Interface über das Web zugänglich ist, mit Hilfe eines einfachen Browsers. Das HTTP- Protokoll, auf dem inzwischen eine beträchtliche Anzahl von Technologien basiert (SOAP, Javascript, XML RPC, etc.), spielt heutzutage eine entscheidende strategische Rolle bei der Sicherheit von Computersystemen..

Als Web-Server immer besser geschützt wurden, wurden Angriffe immer stärker darauf gerichtet, Sicherheitslücken in Web-Anwendungen auszunutzen.

Daher ist die Sicherheit von Web-Services ein Element, das bereits bei Konzeption und Entwicklung beachtet werden muss.

Arten von Schwachstellen

Vulnérabilités des applications web

Schwachstellen von Web-Anwendungen können folgendermaßen eingeteilt werden :

  • Schwachstellen des Web-Servers. Dieser Fall wird zunehmend seltener, da die wichtigsten Web-Server Entwickler im Laufe der Jahre ihre Sicherheitsvorkehrungen verstärkt haben ;
  • Manipulation der URL, diese besteht darin, URL-Parameter manuell zu verändern, um das erwartete Verhalten des Servers zu ändern ;
  • Ausnutzen von Schwachstellen in Session-Identifiers und Authentifizierungsmechanismen ;
  • Injektion von HTML Code und Cross-Site Scripting ;
  • SQL Code-Injection

Die notwendige Verifikation von Eingabedaten

Das HTTP Protokoll ist dafür vorgesehen, Anfragen zu bearbeite, das heißt, Eingabedaten zu empfangen und Ausgabedaten zurückzusenden. Die Daten können auf verschiedene Weise übertragen werden :

  • Über die URL der Website
  • In den HTTP-Headern
  • Im Körper einer Anfrage (POST Anfrage)
  • Über einen Cookie

Das wichtigste Prinzip, an das man sich bei jedem Entwicklungsprozess immer halten sollte, ist es, vom Client gesendeten Daten niemals zu vetrauen.

Daher liegt der Grund für Schwachstellen von Web-Services meist in der Fahrlässigkeit der Entwickler, die das Format der von Usern eingegebenen Daten nicht überprüfen.

Auswirkungen von Web-Angriffen

Angriffe, die gegen Web-Anwendungen gerichtet sind, sind immer schädlich, da sie dem Unternehmen ein schlechtes Image verleihen. Die Folgen eines geglückten Angriffs können folgendermaßen aussehen :

  • Verunstaltung der Website ;
  • Informationsraub ;
  • Datenmodifikationen, vor allem die Modifikation persönlicher Userdaten ;
  • Eindringen in den Webserver.

Lesen Sie auch :


Web server attacks
Web server attacks
Ataques al servidor Web
Ataques al servidor Web
Attaques de serveurs web
Attaques de serveurs web
Attacchi di server web
Attacchi di server web
Ataque de servidores web
Ataque de servidores web
Das Dokument mit dem Titel « Angriffe auf Web-Server » aus CCM (de.ccm.net) wird zur Verfügung gestellt unter den Bedingungen der Creative Commons Lizenz. Sie dürfen das Dokument verwenden, verändern sowie Vervielfältigungen dieser Seite erstellen, unter den Bedingungen, die in der vorgenannten Lizenz erwähnt sind und unter der gleichzeitigen Bedingung, dass Sie im Rahmen Ihrer Verwendung, Veränderung oder Vervielfältigung nach außen hin klar und deutlich auf den Urheber (= de.ccm.net) des Dokuments hinweisen.