 Online - Werbung
|
|
|
Who's Online
|
|
Zur Zeit sind 491 Gäste und 0 Mitglied(er) online.
Sie sind ein anonymer Besucher. Sie können sich hier anmelden und dann viele kostenlose Features dieser Seite nutzen!
|
|
Haupt - Menü
|
|
|
Kostenlose Online Games
|
|
|
Terminkalender
|
|
|
Seiten - Infos
|
|
|
Online Web Tipps
|
|
|
SEO Challenge RankensteinSEO
|
|
|  |
|
|
|
|
|
|
|
Software-Infos-24/7.de - Infos, News & Tipps rund um Software !
7 klassische Denkfehler beim Thema Web Application Security
Geschrieben am Dienstag, dem 23. August 2016 von Software-Infos-24/7.de
|
|
PR-Gateway: Obwohl inzwischen weitgehend bekannt ist, dass Webapplikationen ein beliebtes Einfallstor für Hacker sind, halten sich selbst unter erfahrenen Administratoren hartnäckig einige Fehleinschätzungen. Airlock gibt Tipps, in welchen Bereichen ein Umdenken zu Gunsten der Sicherheit dringend nötig ist.
Annahme 1: Über unsere Webanwendungen erhält man keinen Zugang zu unseren Systemen.
Gerade Webapplikationen bieten Hackern vielfältige Ansatzpunkte zum Datendiebstahl und gehören daher heute zu ihren bevorzugten Angriffszielen. Das ist kein Wunder, da diese Anwendungen per Definition eine elektronische Schnittstelle zu Daten und Transaktionen darstellen. Eines der größten Missverständnisse hierbei ist, dass bei einem erfolgreichen Angriff nur die Daten der Webapplikation selber in Gefahr sind. Allerdings sind alle an die Anwendung angeschlossenen Systeme und Schnittstellen potenziell ebenfalls betroffen. Wirksamen Schutz gegen unerlaubte Datenzugriffe bieten Web Application Firewalls (WAFs) zwischen Anwender und Webanwendung, die nur gültige URLs zulassen und somit Backend-Systeme vor illegalem Zugriff schützen.
Annahme 2: Die Sicherheit von Webanwendungen muss schon bei der Entwicklung sichergestellt werden.
Natürlich lassen Applikationsentwickler Sicherheitsaspekte in die Entwicklung einfließen. Im späteren Einsatz ist die Anwendung ein Bestandteil einer komplexeren IT-Landschaft, auf die der Entwickler keinen Einfluss mehr hat. Hinzu kommt, dass Entwickler auch nur die Risiken berücksichtigen können, die zum Zeitpunkt der Entwicklung bekannt sind.
Annahme 3: Wir verschlüsseln den gesamten Datenverkehr mit SSL (HTTPS) und das reicht.
Das SSL-Netzwerkprotokoll gewährleistet den sicheren Datenverkehr zwischen dem Anwender beziehungsweise Webbrowser und dem Server, nicht die Absicherung des Servers selbst. Auch Hacker nutzen diesen Schutz. So gelangen ihre Angriffe über diesen Weg "sicher" und verschlüsselt bis zum Firmen-Webserver. Um diese Attacken früh genug zu erkennen, müssen SSL-verschlüsselte Verbindungen spätestens an den Unternehmensgrenzen enden - leistungsfähige WAFs verschaffen an diesem Punkt die nötige Kontrolle.
Annahme 4: Unsere Systeme sind immer aktuell gepatcht und wir lassen regelmäßig einen automatischen Scanner laufen, da ist alles auf Grün.
Automatische Scanner liefern einen Überblick über Schwachstellen in einer Unternehmens-IT - die meisten Angriffe auf Webapplikationen erkennen sie jedoch nicht. Trotz eines positiven Scan-Ergebnisses können Hacker unbemerkt in die Webapplikation eingedrungen sein. Um gezielten Datendiebstahl aufzudecken, empfiehlt es sich daher, einen professionellen Penetrationstest durchzuführen.
Annahme 5: Unsere Webapplikationen sind sicher, bei uns ist noch nie etwas passiert.
Laut Gartner sind drei von vier Webanwendungen angreifbar, wobei drei Viertel aller Angriffe sogar direkt auf Webapplikationen zielen. Dabei hinterlassen Hackerzugriffe auf Webanwendungen oft keine Spuren und werden nicht entdeckt, weil die Daten nicht verschwinden oder verändert werden - alle Anwendungen funktionieren normal weiter und es werden auch keine Systemzugriffe verzeichnet. Um auch gegen diese Angriffe gewappnet zu sein, ist ein dynamischer Schutz nötig, der sich an der konkreten Applikation orientiert und nicht an Tausenden (reaktiver, häufig sogar veralteter) Signaturen.
Annahme 6: Bei uns gab es Angriffe, aber es sind keine Daten gestohlen worden.
Das Problem ist, dass elektronischer Datendiebstahl meist nicht von normalen Anwendungszugriffen zu unterscheiden ist. Somit kann das Unternehmen nicht wissen, ob und wie lange schon jemand Daten über eine Schwachstelle elektronisch kopiert hat - diese Art des Angriffs hinterlässt schließlich keinerlei Spuren. Am wirksamsten ist daher der proaktive Schutz der Systeme mit Security-Lösungen mit mehreren Sicherheitsstufen. Der wichtigste Filter ist die Authentisierungsabfrage an den Benutzer, die den Anwendungen vorgelagert ist. Sie stellt sicher, dass nur Befugte Zugang erhalten und überhaupt mit dem Applikationsserver interagieren dürfen.
Annahme 7: Wir nutzen bereits einen Reverse-Proxy-Server und setzen die besten und teuersten Firewalls ein, sogar zwei verschiedene hintereinander.
Netzwerk-Firewalls prüfen möglichst in Echtzeit den Datenverkehr zum Webserver beziehungsweise die Signaturen und Protokolle der Nutzeranfragen an den Server. Die Firewall erkennt hauptsächlich einfache Angriffe mit vordefinierten Signaturen. Um die meist getarnten Hackerangriffe zu identifizieren, müsste eine Firewall mindestens zusätzlich auf den verschlüsselten Datenverkehr zugreifen können. Dies ist meist nicht der Fall.
Die 1984 gegründete Ergon Informatik AG ist führend in der Herstellung von individuellen Softwarelösungen und Softwareprodukten. Die Basis für den Erfolg: 240 hoch qualifizierte IT-Spezialisten, die dank herausragendem Know-how neue Technologietrends antizipieren und mit innovativen Lösungen Wettbewerbsvorteile sicherstellen. Ergon realisiert hauptsächlich Großprojekte im B2B-Bereich.
Die Airlock Suite kombiniert die Themen Filterung und Authentisierung in einer abgestimmten Gesamtlösung, die in punkto Usability und Services Maßstäbe setzt. Das Security-Produkt Airlock ist seit dem Jahr 2002 am Markt und heute bei über 350 Kunden weltweit im Einsatz. Weitere Informationen unter www.airlock.com
Ergon Informatik AG (PR-Agentur)
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
+49 (0) 89 211 871 36
https://www.airlock.com/de/home/
Pressekontakt:
Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
sk@schwartzpr.de
+49 (0) 89 211 871 36
http://www.schwartzpr.de
(Weitere interessante Software News & Software Infos & Software Tipps gibt es hier.)
Zitiert aus der Veröffentlichung des Autors >> PR-Gateway << auf http://www.freie-pressemitteilungen.de. Haftungsausschluss: Freie-PresseMitteilungen.de / dieses News-Portal distanzieren sich von dem Inhalt der News / Pressemitteilung und machen sich den Inhalt nicht zu eigen!
Obwohl inzwischen weitgehend bekannt ist, dass Webapplikationen ein beliebtes Einfallstor für Hacker sind, halten sich selbst unter erfahrenen Administratoren hartnäckig einige Fehleinschätzungen. Airlock gibt Tipps, in welchen Bereichen ein Umdenken zu Gunsten der Sicherheit dringend nötig ist.
Annahme 1: Über unsere Webanwendungen erhält man keinen Zugang zu unseren Systemen.
Gerade Webapplikationen bieten Hackern vielfältige Ansatzpunkte zum Datendiebstahl und gehören daher heute zu ihren bevorzugten Angriffszielen. Das ist kein Wunder, da diese Anwendungen per Definition eine elektronische Schnittstelle zu Daten und Transaktionen darstellen. Eines der größten Missverständnisse hierbei ist, dass bei einem erfolgreichen Angriff nur die Daten der Webapplikation selber in Gefahr sind. Allerdings sind alle an die Anwendung angeschlossenen Systeme und Schnittstellen potenziell ebenfalls betroffen. Wirksamen Schutz gegen unerlaubte Datenzugriffe bieten Web Application Firewalls (WAFs) zwischen Anwender und Webanwendung, die nur gültige URLs zulassen und somit Backend-Systeme vor illegalem Zugriff schützen.
Annahme 2: Die Sicherheit von Webanwendungen muss schon bei der Entwicklung sichergestellt werden.
Natürlich lassen Applikationsentwickler Sicherheitsaspekte in die Entwicklung einfließen. Im späteren Einsatz ist die Anwendung ein Bestandteil einer komplexeren IT-Landschaft, auf die der Entwickler keinen Einfluss mehr hat. Hinzu kommt, dass Entwickler auch nur die Risiken berücksichtigen können, die zum Zeitpunkt der Entwicklung bekannt sind.
Annahme 3: Wir verschlüsseln den gesamten Datenverkehr mit SSL (HTTPS) und das reicht.
Das SSL-Netzwerkprotokoll gewährleistet den sicheren Datenverkehr zwischen dem Anwender beziehungsweise Webbrowser und dem Server, nicht die Absicherung des Servers selbst. Auch Hacker nutzen diesen Schutz. So gelangen ihre Angriffe über diesen Weg "sicher" und verschlüsselt bis zum Firmen-Webserver. Um diese Attacken früh genug zu erkennen, müssen SSL-verschlüsselte Verbindungen spätestens an den Unternehmensgrenzen enden - leistungsfähige WAFs verschaffen an diesem Punkt die nötige Kontrolle.
Annahme 4: Unsere Systeme sind immer aktuell gepatcht und wir lassen regelmäßig einen automatischen Scanner laufen, da ist alles auf Grün.
Automatische Scanner liefern einen Überblick über Schwachstellen in einer Unternehmens-IT - die meisten Angriffe auf Webapplikationen erkennen sie jedoch nicht. Trotz eines positiven Scan-Ergebnisses können Hacker unbemerkt in die Webapplikation eingedrungen sein. Um gezielten Datendiebstahl aufzudecken, empfiehlt es sich daher, einen professionellen Penetrationstest durchzuführen.
Annahme 5: Unsere Webapplikationen sind sicher, bei uns ist noch nie etwas passiert.
Laut Gartner sind drei von vier Webanwendungen angreifbar, wobei drei Viertel aller Angriffe sogar direkt auf Webapplikationen zielen. Dabei hinterlassen Hackerzugriffe auf Webanwendungen oft keine Spuren und werden nicht entdeckt, weil die Daten nicht verschwinden oder verändert werden - alle Anwendungen funktionieren normal weiter und es werden auch keine Systemzugriffe verzeichnet. Um auch gegen diese Angriffe gewappnet zu sein, ist ein dynamischer Schutz nötig, der sich an der konkreten Applikation orientiert und nicht an Tausenden (reaktiver, häufig sogar veralteter) Signaturen.
Annahme 6: Bei uns gab es Angriffe, aber es sind keine Daten gestohlen worden.
Das Problem ist, dass elektronischer Datendiebstahl meist nicht von normalen Anwendungszugriffen zu unterscheiden ist. Somit kann das Unternehmen nicht wissen, ob und wie lange schon jemand Daten über eine Schwachstelle elektronisch kopiert hat - diese Art des Angriffs hinterlässt schließlich keinerlei Spuren. Am wirksamsten ist daher der proaktive Schutz der Systeme mit Security-Lösungen mit mehreren Sicherheitsstufen. Der wichtigste Filter ist die Authentisierungsabfrage an den Benutzer, die den Anwendungen vorgelagert ist. Sie stellt sicher, dass nur Befugte Zugang erhalten und überhaupt mit dem Applikationsserver interagieren dürfen.
Annahme 7: Wir nutzen bereits einen Reverse-Proxy-Server und setzen die besten und teuersten Firewalls ein, sogar zwei verschiedene hintereinander.
Netzwerk-Firewalls prüfen möglichst in Echtzeit den Datenverkehr zum Webserver beziehungsweise die Signaturen und Protokolle der Nutzeranfragen an den Server. Die Firewall erkennt hauptsächlich einfache Angriffe mit vordefinierten Signaturen. Um die meist getarnten Hackerangriffe zu identifizieren, müsste eine Firewall mindestens zusätzlich auf den verschlüsselten Datenverkehr zugreifen können. Dies ist meist nicht der Fall.
Die 1984 gegründete Ergon Informatik AG ist führend in der Herstellung von individuellen Softwarelösungen und Softwareprodukten. Die Basis für den Erfolg: 240 hoch qualifizierte IT-Spezialisten, die dank herausragendem Know-how neue Technologietrends antizipieren und mit innovativen Lösungen Wettbewerbsvorteile sicherstellen. Ergon realisiert hauptsächlich Großprojekte im B2B-Bereich.
Die Airlock Suite kombiniert die Themen Filterung und Authentisierung in einer abgestimmten Gesamtlösung, die in punkto Usability und Services Maßstäbe setzt. Das Security-Produkt Airlock ist seit dem Jahr 2002 am Markt und heute bei über 350 Kunden weltweit im Einsatz. Weitere Informationen unter www.airlock.com
Ergon Informatik AG (PR-Agentur)
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
+49 (0) 89 211 871 36
https://www.airlock.com/de/home/
Pressekontakt:
Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
sk@schwartzpr.de
+49 (0) 89 211 871 36
http://www.schwartzpr.de
(Weitere interessante Software News & Software Infos & Software Tipps gibt es hier.)
Zitiert aus der Veröffentlichung des Autors >> PR-Gateway << auf http://www.freie-pressemitteilungen.de. Haftungsausschluss: Freie-PresseMitteilungen.de / dieses News-Portal distanzieren sich von dem Inhalt der News / Pressemitteilung und machen sich den Inhalt nicht zu eigen!
|
|
Für die Inhalte dieser Veröffentlichung ist nicht Software-Infos-247.de als News-Portal sondern ausschließlich der Autor (PR-Gateway) verantwortlich (siehe AGB). Haftungsausschluss: Software-Infos-247.de distanziert sich von dem Inhalt dieser Veröffentlichung (News / Pressemitteilung inklusive etwaiger Bilder) und macht sich diesen demzufolge auch nicht zu Eigen! |
| "7 klassische Denkfehler beim Thema Web Application Security" | Anmelden oder Einloggen | 0 Kommentare |
|
| | Für den Inhalt der Kommentare sind die Verfasser verantwortlich. |
|
|
|
Keine anonymen Kommentare möglich, bitte zuerst anmelden |
|
| Diese Web-Videos bei Software-Infos-247.de könnten Sie auch interessieren: |
Windows 7 auf Windows 10 kostenlos upgraden (Anleit ...
 | Forum erstellen: Webspace & Installation von mybb ( ...
 | Software Testing im Fokus – Konzepte für Unit Tests ...
 |
|
|
| Diese Fotos bei Software-Infos-247.de könnten Sie auch interessieren: |
Software-Infos-at-Digital-Science-Match-B ...
 | Software-Infos-at-Digital-Science-Match-B ...
 | Software-Infos-at-Digital-Science-Match-B ...
 | | |
|
| Diese News bei Software-Infos-247.de könnten Sie auch interessieren: |
 Schluss mit herumliegenden Kleinteilen dank VarioColors PRO! (PR-Gateway, 29.04.2018)
Neue modulare Aufbewahrungsboxen sorgen für Ordnung
Erstmals präsentiert VarioColors die praktische PRO Kleinteile Aufbewahrungsbox mit einzeln herausnehmbaren kleinen Boxen.
Endlich Platz für die vielen Kleinteile beim Hobby, im Büro und daheim.
In dieser hochwertigen Polypropylen-Box sind 17 kleine transparente Boxen enthalten, die einzeln herausgenommen werden können.
So lagern Sie Kleinteile sicher und können gezielt Boxen entnehmen.
Meist haben Kleinte ...
End-to-End-Verschlüsselung bei Web-Anwendungen nicht mehr als ''Schall und Rauch'' - Teil II (PR-Gateway, 23.03.2017)
Bereits im Zuge unserer im letzten Jahr begonnenen Marktrecherche zum Thema Datensicherheit bei Filesharing-Lösungen aus der Cloud zeichnete sich ab, dass viele der von Betreiberseite vollmundig angekündigten Sicherheitsfunktionen einer genaueren Prüfung nicht Stand halten. Dass dies leider nicht nur für Cloud-Speicherlösungen, sonde ...
Jeder vierte Schweizer Franken fließt in die Rechenzentrumsinfrastruktur (PR-Gateway, 15.09.2016)
Branchenstudie von MSM Research und Brocade analysiert bahnbrechende Wirkung des IoT auf Schweizer ICT-Markt
Schlieren-15. September 2016-Brocade (NASDAQ: BRCD) und die MSM Research AG veröffentlichen heute die Ergebnisse einer gemeinsam mit Swisscom und anderen führenden Unternehmen durchgeführten Studie zum aktuellen Stand des Schweizer ICT-Markts. Im Fokus der Untersuchung stand die Frage nach der disruptiven Rolle des Internet of Things (IoT) als Game Changer und zentraler Wachstumstr ...
7 klassische Denkfehler beim Thema Web Application Security (PR-Gateway, 23.08.2016)
Obwohl inzwischen weitgehend bekannt ist, dass Webapplikationen ein beliebtes Einfallstor für Hacker sind, halten sich selbst unter erfahrenen Administratoren hartnäckig einige Fehleinschätzungen. Airlock gibt Tipps, in welchen Bereichen ein Umdenken zu Gunsten der Sicherheit dringend nötig ist.
Annahme 1: Über unsere Webanwendungen erhält man keinen Zugang zu unseren Systemen.
Gerade Webapplikationen bieten Hackern vi ...
Klinikum Augsburg setzt auf optimierte Personalprozesse (Freie-PM.de, 12.09.2014)
Eine der größten Kliniken Deutschlands arbeitet künftig mit einer ATOSS Workforce Management Lösung
München, 12. September 2014 - Nach einer europaweiten Ausschreibung hat sich das Klinikum Augsburg für ATOSS Medical Solution entschieden. Der Einsatz von 5.400 Mitarbeitern aller Berufsgruppen wird künftig über die Lösung gemanagt. Ziel ist es, die Dienstplanung effizienter zu gestalten und gleichzeitig die Personalprozesse zu optimieren.
Das Klinikum Augsburg umfasst zusätzlich di ...
Avalaris stattet INAUT mit Business-VoIP Anlage Asterina aus! (Freie-PM.de, 01.07.2011)
Asterina Extended Plus im Einsatz
Avalaris hat wiedereinmal mit seiner VoIP Telefonanlage Asterina überzeugen können! -
Ein weiteres zukunftsorientiertes österreichisches Unternehmen wurde nun mit der Asterisk-basierten Telefonanlage ausgestattet.
Die INAUT Automation GMBH sorgt seit 2001 für klare Ansagen, im Bereich der Automatisierungstechnik und der Umwelttechnik.
Sie sind ein expansives Unternehmen mit Projekten in Tschechien, der Türkei, England und können nun soga ...
| Werbung bei Software-Infos-247.de: |
| 7 klassische Denkfehler beim Thema Web Application Security |
|
|
Aktuelles Amazon-Schnäppchen
|
|
|
Video Tipp @ Software-Infos-247.de
|
|
|
Online Werbung
|
|
|
Verwandte Links
|
|
|
Artikel Bewertung
|
|
durchschnittliche Punktzahl: 0
Stimmen: 0
|
|
Online Werbung
|
|
|
Möglichkeiten
|
|
|
|
