69992

So spüren Sie Fehler in Webanwendungen auf

27.10.2009 | 08:48 Uhr |

Wer Web-Anwendungen veröffentlicht oder betreut, muss diese auf Sicherheitslücken testen. Wie das geht und welche Werkzeuge wie beispielsweise Web-Applikations-Scanner dabei zum Einsatz kommen, erklärt dieser Artikel.

Ohne Web-Anwendungen geht nichts mehr: Bücher online einzukaufen, Bankgeschäfte erledigen oder das Wunschauto konfigurieren - längst sind Web-Anwendungen das Mittel der Wahl hierfür. Plattformunabhängige Browser ermöglichen es, von fast jedem Endgerät und von überall aus auf eine Web-Applikation zuzugreifen.

Doch ist nicht alles rosig im Online-Umfeld. Oft gibt es einen straffen Zeitplan, wenn es darum geht, ein neues Release einer Applikation zu veröffentlichen. Wenn es eilt, können sich Fehler einschleichen, die von böse gesinnten Anwendern ausgenutzt werden, um Informationen, Ansehen oder Geld herauszuschlagen. Aber auch gut informierten und erfahrenen Programmierern ohne Zeitdruck können Fehler unterlaufen, die eventuell ernste Folgen nach sich ziehen - im schlimmsten Fall lassen sich Befehle auf den zugrunde liegenden Systemen ausführen oder vertrauliche Daten aus der Datenbank auslesen (siehe auch " Die größten Schwachstellen in Web-Anwendungen ").

Grundsätzlich gilt: Je früher solche Sicherheitslücken in der Entwicklungsphase erkannt werden, desto leichter sind sie zu beheben. Um diese Schwachstellen rechtzeitig auszumerzen, empfehlen sich zwei Herangehensweisen. Zum einen handelt es sich dabei um die statische (Quellcode-)Analyse, die auf Basis des produzierten Codes versucht, den Datenfluss zu erkennen und Fehler in Logik und Datenverarbeitung aufzudecken. Zum anderen gibt es die dynamische Überprüfung an einer lauffähigen Applikation, mit der sich dieser Beitrag unserer Schwesterpublikation computerwoche.de schwerpunktmäßig befasst.

Die dynamische Überprüfung, das klassische "Web-Audit", umfasst aufwändige manuelle Aufgaben, lässt sich aber auch ein Stück weit automatisieren: Unterstützung leisten hier Web-Applikations-Scanner, mit deren Hilfe viele Schwachstellen in einer Anwendung effizient aufgespürt werden können. Anders als klassische Netzscanner wie beispielsweise "Nessus" oder "Retina", die auf Betriebssystem- und Dienstebene nach Schwachstellen suchen, setzen diese Spezial-Tools auf einer höheren Ebene an und interagieren - ähnlich wie ein Browser - nur über den HTTP(S)-Kanal mit der Anwendung.

0 Kommentare zu diesem Artikel
69992