© Excellent backgrounds/Shutterstock.com
Java Magazin
Sichere Webanwendungen durch Application Intrusion Detection

Die Webanwendung schlägt zurück

Zusätzlich zur Entwicklung einer sicheren Webanwendung bietet sich für besonders kritische oder exponierte Anwendungen die Integration einer Angriffserkennung und einer automatischen Reaktion auf einen erkannten Angriff an. Dabei nutzen Entwickler ihr umfangreiches Know-how der Webanwendung und erweitern diese um Fähigkeiten zur Application Intrusion Detection.

Dominik Schadow


Video: The web application strikes back

Die Sicherheit vieler Webanwendungen hat in den letzten Jahren vor allem durch ein höheres Sicherheitsbewusstsein und mehr Know-how der Entwickler spürbar zugenommen. Aber das Optimum ist längst noch nicht erreicht. Deshalb bietet sich für besonders exponierte und entsprechend wertvolle Webanwendungen die Fähigkeit zur Selbstverteidigung an. Diese Webanwendungen können in einem festgelegten Rahmen selbstständig und vollautomatisiert auf laufende Angriffe reagieren und einen als Angreifer identifizierten Benutzer z. B. ausloggen, sperren oder die Webanwendung offline nehmen. Zusammengefasst werden diese Fähigkeiten und Maßnahmen unter dem Begriff Application Intrusion Detection.

Auch wenn sich die Application Intrusion Detection noch nicht so richtig durchsetzen konnte, ist die Basis in vielen Webanwendungen bereits enthalten. Die Entwickler nutzen schlicht die ohnehin vorhandenen Daten bei Abweichungen (z. B. Exceptions oder unerwartete Zustände) zusätzlich zur Angriffserkennung und lassen einen laufenden Angriff so früh wie möglich automatisch abwehren. Ein Entwickler programmiert damit nicht mehr nur die Geschäftslogik, sondern auch die Erkennung von Abweichungen von der Norm und die Reaktionen darauf, zumindest, wenn Geschäftslogik und Application Intrusion Detection gemeinsam in einer Webanwendung deployt werden. Da kaum jemand sowohl die Webanwendung als auch die Abweichungen von der Norm besser identifizieren kann als die Entwickler, lassen sich so Bedrohungen frühzeitig und relativ eindeutig identifizieren.

Als Einstiegsbeispiel für die Integration der Application Intrusion Detection eignen sich Drop-down-Boxen in Eingabeformularen. Erreicht ein Wert, der nicht im Drop-down vorhanden ist, das Backend, erkennt das System einen Angriff und reagiert entsprechend. Einem normalen Benutzer ist eine solche Eingabe verwehrt. Also muss ein Angreifer z. B. mittels eines Intercepting Proxies den Request nach dem Abschicken manipuliert haben.

Nicht immer lassen sich Angriffe allerdings eindeutig erkennen. Enthält etwa ein Formular im Feld Vorname die Zeichen *';* kann das auf einen Angriffsversuch per SQL Injection hinweisen. Der Angreifer könnte bestimmte Eingaben durchprobieren und so die Webanwendung austesten. Aber es kann eben auch sein, dass sich ein Benutzer bei der Eingabe einfach nur vertippt hat. Gibt es allerdings vom selben Benutzer mehrere solcher Eingaben innerhalb einer definierten Zeitspanne über di...

Java Magazin
Sichere Webanwendungen durch Application Intrusion Detection

Die Webanwendung schlägt zurück

Zusätzlich zur Entwicklung einer sicheren Webanwendung bietet sich für besonders kritische oder exponierte Anwendungen die Integration einer Angriffserkennung und einer automatischen Reaktion auf einen erkannten Angriff an. Dabei nutzen Entwickler ihr umfangreiches Know-how der Webanwendung und erweitern diese um Fähigkeiten zur Application Intrusion Detection.

Dominik Schadow


Video: The web application strikes back

Die Sicherheit vieler Webanwendungen hat in den letzten Jahren vor allem durch ein höheres Sicherheitsbewusstsein und mehr Know-how der Entwickler spürbar zugenommen. Aber das Optimum ist längst noch nicht erreicht. Deshalb bietet sich für besonders exponierte und entsprechend wertvolle Webanwendungen die Fähigkeit zur Selbstverteidigung an. Diese Webanwendungen können in einem festgelegten Rahmen selbstständig und vollautomatisiert auf laufende Angriffe reagieren und einen als Angreifer identifizierten Benutzer z. B. ausloggen, sperren oder die Webanwendung offline nehmen. Zusammengefasst werden diese Fähigkeiten und Maßnahmen unter dem Begriff Application Intrusion Detection.

Auch wenn sich die Application Intrusion Detection noch nicht so richtig durchsetzen konnte, ist die Basis in vielen Webanwendungen bereits enthalten. Die Entwickler nutzen schlicht die ohnehin vorhandenen Daten bei Abweichungen (z. B. Exceptions oder unerwartete Zustände) zusätzlich zur Angriffserkennung und lassen einen laufenden Angriff so früh wie möglich automatisch abwehren. Ein Entwickler programmiert damit nicht mehr nur die Geschäftslogik, sondern auch die Erkennung von Abweichungen von der Norm und die Reaktionen darauf, zumindest, wenn Geschäftslogik und Application Intrusion Detection gemeinsam in einer Webanwendung deployt werden. Da kaum jemand sowohl die Webanwendung als auch die Abweichungen von der Norm besser identifizieren kann als die Entwickler, lassen sich so Bedrohungen frühzeitig und relativ eindeutig identifizieren.

Als Einstiegsbeispiel für die Integration der Application Intrusion Detection eignen sich Drop-down-Boxen in Eingabeformularen. Erreicht ein Wert, der nicht im Drop-down vorhanden ist, das Backend, erkennt das System einen Angriff und reagiert entsprechend. Einem normalen Benutzer ist eine solche Eingabe verwehrt. Also muss ein Angreifer z. B. mittels eines Intercepting Proxies den Request nach dem Abschicken manipuliert haben.

Nicht immer lassen sich Angriffe allerdings eindeutig erkennen. Enthält etwa ein Formular im Feld Vorname die Zeichen *';* kann das auf einen Angriffsversuch per SQL Injection hinweisen. Der Angreifer könnte bestimmte Eingaben durchprobieren und so die Webanwendung austesten. Aber es kann eben auch sein, dass sich ein Benutzer bei der Eingabe einfach nur vertippt hat. Gibt es allerdings vom selben Benutzer mehrere solcher Eingaben innerhalb einer definierten Zeitspanne über di...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang