Pop Up Magazin #3 – Vor diesen Sicherheitsangriffen auf Webanwendungen sollten sich Unternehmen 2020 schützen
Zum Jahresauftakt stellt Daniel Wolf, Regional Director DACH bei Contrast Security, führender Anbieter von Sicherheitstechnologien zum serverseitigen Schutz von Webanwendungen und APIs, die momentan relevantesten Anwendungsschwachstellen sowie Angriffstypen vor.
Das Schöne am Agenturleben ist, stets auf dem neuesten Stand zu sein. Und Sharing is Caring – also teilen wir ab jetzt täglich unser Wissen und eröffnen für zwei Wochen ein Pop Up Magazin für die Tech-Trends 2020.
###
Als Basis für diese Übersicht dienen die monatlichen AppSec Intelligence Reports von Contrast Security, eine Analyse der hauseigenen Contrast Labs über reale Anwendungsangriffe und Schwachstellendaten in den vergangenen Monaten. Entwickler, Product Owner, AppSec- und Security-Engineers können diese Informationen nutzen, um die Sicherheitsbedrohungen von Anwendungen besser zu verstehen, Sicherheitskontrollen anzupassen und den gesamten Sicherheitsstatus im Unternehmen zu verbessern. Vor dem Hintergrund der steigenden Gefahr wird Implementierung einer ganzheitlichen Security-Strategie von der Code-Entwicklung bis hin zum Applikationsbetrieb besonders wichtig und unabdingbar im Kontext der digitalen Transformation.
Anwendungssicherheit muss Teil der digitalen Transformation werden
„Anwendungssicherheit muss 2020 auf den Schirm der Entscheider und ein fester Bestandteil auf der Checkliste zur digitalen Transformation werden. Mitunter wird die Gefahr von Cyberangriffen in Hinsicht auf einen Reputationsschaden massiv unterschätzt. Unternehmen brauchen einen Paradigmenwechsel und müssen schon während der Entwicklung neuer Software-Anwendungen das Thema Sicherheit adressieren und einbetten. Das Bewusstsein für Anwendungssicherheit schon während des Entwicklungsstadiums gehört 2020 in jede Chefetage”, fordert Daniel Wolf, Regional Director DACH bei Contrast Security.
Die fünf wichtigsten Angriffstypen und Schwachstellen auf einen Blick:
Cross-Site-Scripting (XSS)
Cross-Site-Scripting (XSS) nutzt Sicherheitslücken in Webanwendungen aus. Ein XSS-Angriff zielt auf diejenigen Skripte ab, die hinter einer Webseite laufen und auf der Clientseite, im Webbrowser des Users, ausgeführt werden. Mit dem Einfügen eines bösartigen clientseitigen Skripts in eine ansonsten vertrauenswürdige Website trickst XSS eine Anwendung aus und bringt sie zur Einbettung eines angreifenden Codes in einem sonst sicheren Umfeld. Laut den aktuellsten Berichten von Contrast Security erfolgten im November 2019 erfolgreiche XSS-Angriffe auf anfälligen Code sechsmal häufiger als andere Angriffsarten. Mit Cross-Site-Scripting können Angreifer problemlos auf Cookies, Session-Tokens sowie andere sensible Informationen, die im Browser gespeichert werden, zugreifen.
Path-Traversal-Angriff
Bei einem Path-Traversal-Angriff (auch als Directory-Traversal-Angriff bekannt) wird eine betroffene Anwendung benutzt, um einen unbefugten Zugriff auf den Dateisystemordner auf dem Server zu erhalten, der in der Hierarchie über dem Web-Root-Ordner liegt. Bei Erfolg kann ein solcher Angriff eine Webanwendung dazu verleiten, die Dateiinhalte, einschließlich Passwörter für Backend-Systeme, Anwendungscode und -daten sowie sensible Betriebssystemdaten, außerhalb des Basisverzeichnisses der Anwendung oder des Webservers zu lesen und aufzudecken.
SQL-Injection
Eines der gravierendsten Probleme der Anwendungssicherheit, die SQL-Injection, ist eine häufig eingesetzte Hacking-Technik, die eine Sicherheitslücke in SQL-Abfragen ausnutzt. Diese Schwachstelle tritt dann auf, wenn Entwickler nicht vertrauenswürdige Daten in eine Datenbankabfrage einfügen. Mit einem SQL-Injection-Angriff können Angreifer Anwendungsdaten stehlen, Datenbanken beschädigen, Identitäten fälschen, Transaktionen manipulieren, vertrauliche Informationen offenlegen und sogar zum Administrator des Datenbankservers werden.
Cross-Site-Request-Forgery (CSRF)
Cross-Site-Request-Forgery (CSRF) zwingt einen Endnutzer dazu, unerwünschte Aktionen auf der Webanwendung auszuführen, bei der er sich gerade authentifiziert hat. Die CSRF-Angriffe zielen speziell auf zustandsverändernde Anfragen und nicht auf Datendiebstahl ab, da der Angreifer keine Antwort auf die gefälschte Anfrage sehen kann. Mit etwas Unterstützung von Social Engineering, wie das Versenden eines Links per E-Mail oder in einem Chat, kann ein Angreifer den User einer Webanwendung dazu bringen, Aktionen seiner Wahl auszuführen. Zielt ein CSFR-Angriff auf einen menschlichen User, führt dieser betrügerische Anfragen wie Geldüberweisungen, Änderung der E-Mail-Adresse und weitere aus. Im Falle eines nichtmenschlichen Users – ein gutes Beispiel stellt ein Verwaltungskonto dar – kann CSRF die gesamte Webanwendung gefährden.
Arbitrary Server Side Forwards
Arbitrary Server Side Forwards sind Schwachstellen, die es einer Webanwendung ermöglichen, eine geänderte Eingabe zu akzeptieren, die dazu führen könnte, dass die Webanwendung die Anfrage an eine nicht vertrauenswürdige URL weiterleitet.
Zudem hat Contrast Labs basierend auf der für November durchgeführten Analyse die drei Schwachstellen, die das höchste Risiko für Unternehmen darstellen, ausgewiesen. Die Liste wurde erstellt, indem die Wahrscheinlichkeit einer Schwachstelle und eines Angriffs mit der Wahrscheinlichkeit eines erfolgreichen Exploits und einem Auswirkungsfaktor kombiniert wurde. Demnach müssen Unternehmen ihre Anwendungen insbesondere gegen Cross-Site-Scripting (XSS), SQL-Injection sowie Expression Language Injection wappnen. Im November verzeichnete Contrast Angriffe aus 121 Ländern. Die meisten Angriffe erfolgten aus den Vereinigten Staaten, Indien, Kanada, den Niederlanden und China.
Weiteren Informationen über die möglichen Schwachstellen, Angriffe und Tools zur Anwendungssicherheit sowie die aktuellsten AppSec Intelligence Reports werden im Contrast Security Influencers Blog regelmäßig veröffentlicht.