Baustein Webanwendungen. Stephan Klein, Jan Seebens

Transkript

1 Baustein Webanwendungen Stephan Klein, Jan Seebens

2 Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische Maßnahmen Zusammenfassung 2

3 Bedrohungslage für Webanwendungen Schlagzeilen des Heise Security-Tickers: Hacktivisten knacken Datenbank von Sony Pictures ( ) Deutlicher Anstieg der SQL-Injection-Angriffe ( ) Reuters-Blog schon wieder gehackt ( ) Zunehmende Verlagerung von Diensten in das Internet in Form von Webanwendungen Zunehmende Verarbeitung vertraulicher Daten über Webanwendungen (z. B. Kreditkartendaten) Motivation für Angreifer Schwachstellen in Webanwendungen auszunutzen Quelle: Heise, Wikipedia, Wordpress 3

4 Bedrohungslage für Webanwendungen Geringes Schadensausmaß Hohes Schadensausmaß Beispiel: Web-Defacement Z. B. Rufschädigung, Falschmeldungen Hohe Erkennungsrate und schnelle Reaktion möglich Beispiel: Datendiebstahl Schwerwiegende Auswirkungen aufgrund des Verlusts vertraulicher, unternehmenskritischer Daten Z. B. Kreditkartendaten Bleibt ggf. unbemerkt über Jahre Quelle: 4

5 Baustein Webanwendungen Zunehmendes Angebot an Diensten im Internet über Webanwendungen Vertrauliche Daten werden von Diensten im Internet verarbeitet Das Schadensausmaß kann schwerwiegend sein (z. B. Datenverlust) Baustein Webanwendungen 5

6 Baustein Webanwendungen Definition und Abgrenzung Definition Webanwendung Webanwendungen stellen Funktionen und dynamische Inhalte [ ] zur Verfügung. Abgrenzung zu Webserver (Baustein) Auslieferung statischer Inhalte (z. B. HTML-Seiten und Bilder) Kann eine Komponente in einer mehrschichtigen Architektur einer Webanwendung sein (z. B. Applikationsserver, Webserver, DB) Abgrenzung zu Webservice (zukünftiger Baustein) Ergebnisse werden nicht für den Browser, sondern in anders strukturierter Form für Programme/Maschinen aufbereitet Zusätzliche, spezifische Schwachstellen (z. B. serverseitiger Parser) 6

7 Baustein Webanwendungen Vorgehensweise Das Vorgehen bei der Erstellung des Bausteins 7

8 Baustein Webanwendungen Goldene Regeln 1) Goldene Regeln Zusammenfassung der zentralen Punkte (11 Regeln) Beispiel: Alle Sicherheitsmechanismen (z. B. Authentisierung und Zugriffskontrolle) sind serverseitig zu implementieren und können nicht durch clientseitige Mechanismen ersetzt werden. 8

9 Baustein Webanwendungen Gefährdungen 2) Spezifische Gefährdungen Es bestehen bereits Initiativen Web Application Security Consortium (WASC) Open Web Application Security Project (OWASP) Abgleich der ermittelten Gefährdungen mit z. B. folgenden Dokumenten WASC Threat Classification v2 OWASP Top Ten 2010 OWASP Testing Guide v3 OWASP Application Security Verification Standard 2009 OWASP A Guide to Building Secure Web Applications and Web Services 2.0 Veröffentlichungen des BSI zum Thema Web-Anwendung (z. B. Isi Web-Server) 9

10 Baustein Webanwendungen Gefährdungen 2) Spezifische Gefährdungen G 2.WA01 Mangelhafte Auswahl oder Konzeption von Webanwendungen G 2.WA02 Mängel bei der Entwicklung und der Erweiterung von Webanwendungen G 2.WA03 Unzureichender Schutz personenbezogener Daten bei Webanwendungen G 4.WA04 Unzureichende Validierung von Ein- und Ausgabedaten bei Webanwendungen G 4.WA05 Fehlende oder mangelhafte Fehlerbehandlung durch Webanwendungen G 4.WA06 Unzureichende Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen bei Webanwendungen G 4.WA07 Offenlegung von Informationen bei Webanwendungen G 5.WA08 Unberechtigter Zugriff auf oder Manipulation von Daten bei Webanwendungen G 5.WA09 Missbrauch einer Webanwendung durch automatisierte Nutzung G 5.WA10 Fehler in der Webanwendungslogik G 5.WA11 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Webanwendungen G 5.WA12 Unzureichendes Session-Management von Webanwendungen G 5.WA13 Cross-Site Scripting (XSS) G 5.WA14 Cross-Site Request Forgery (CSRF, XSRF) G 5.WA15 Umgehung der Autorisierung bei Webanwendungen G 5.WA16 Einbindung von fremden Daten und Schadcode bei Webanwendungen G 5.WA17 Injection-Angriffe G 5.WA18 Clickjacking 10

11 Baustein Webanwendungen Gefährdungen 2) Spezifische Gefährdungen Übernahme bereits bestehender Gefährdungen aus den BSI IT- Grundschutzkatalogen (z. B. SQL-Injection) Zum Teil verschiedene Namenskonventionen der Initiativen (z. B. Detaillierungsgrad) Konsolidierung von Gefährdungen Gefährdungen WASC Threat Classification v2 OWASP Top Ten 2010 G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen WASC-04 Insufficient Transport Layer Protection A9 - Insufficient Transport Layer Protection G5.WA06 Cross-Site-Scripting WASC-08 Cross-Site Scripting A2 - Cross Site Scripting (XSS) (XSS) G5.WA10 Injection-Angriffe WASC-23 XML Injection WASC-29 LDAP Injection WASC-30 Mail Command Injection WASC-31 OS Commanding WASC-39 Xpath Injection WASC-46 Xquery Injection WASC-31 OS Commanding A1 - Injection 11

12 Baustein Webanwendungen Maßnahmen 3) Spezifische Maßnahmen Abgleich der ermittelten Maßnahmen mit beispielsweise folgenden Dokumenten WASC Threat Classification v2 OWASP Top Ten 2010 OWASP Testing Guide v3 OWASP Application Security Verification Standard 2009 OWASP A Guide to Building Secure Web Applications and Web Services 2.0 ENISA A Security Analysis of Next Generation Web Standards (HTML 5) Veröffentlichungen des BSI zum Thema Webanwendungen (z. B. Isi Web-Server, Sicherheit von Web-Anwendungen) Prüfung auf Abdeckung der Gefährdungen durch Maßnahmen 12

13 Baustein Webanwendungen Maßnahmen 3) Spezifische Maßnahmen M 2.WA02 (B) Dokumentation der Architektur von Webanwendungen M 4.WA20 (A) Sicherer Entwurf der Logik von Webanwendungen M 5.WA21 (A) Sichere Anbindung von Hintergrundsystemen an Webanwendungen M 5.WA23 (A) Systemarchitektur einer Webanwendung M 2.WA24 (W) Web-Tracking M 4.WA04 (A) Authentisierung bei Webanwendungen M 4.WA05 (A) Umfassende Ein- und Ausgabevalidierung bei Webanwendungen M 4.WA06 (A) Session-Management bei Webanwendungen M 4.WA07 (A) Fehlerbehandlung durch Webanwendungen M 4.WA08 (B) Schutz vor automatisierter Nutzung bei Webanwendungen M 4.WA11 (A) Sichere Konfiguration von Webanwendungen M 4.WA13 (A) Kontrolliertes Einbinden von Daten und Inhalten bei Webanwendungen M 4.WA15 (A) Schutz vertraulicher Daten bei Webanwendungen M 4.WA16 (A) Zugriffskontrolle bei Webanwendungen M 4.WA19 (B) Verhinderung von Cross-Site Request Forgery (CSRF, XSRF) M 4.WA25 (C) Verhinderung von Clickjacking M 4.WA09 (C) Protokollierung sicherheitsrelevanter Ereignisse von Webanwendungen M 4.WA14 (A) Restriktive Herausgabe sicherheitsrelevanter Informationen bei Webanwendungen M 4.WA22 (B) Verhinderung der Blockade von Ressourcen (DoS) bei Webanwendungen M (A) Schutz gegen SQL-Injection 13

14 Baustein Webanwendungen Maßnahmen 3) Spezifische Maßnahmen Übernahme bestehender Maßnahmen aus anderen Bausteinen Zum Teil verschiedene Namenskonventionen der Initiativen (z. B. Detailgrad) Konsolidierung von Maßnahmen Maßnahmen WASC Threat Classification v2 OWASP Top Ten 2010 M 4.WA05 Umfassende und restriktive Ein- und Ausgabevalidierung WASC-20 Improper Input Handling WASC-22 Improper Output Handling WASC-08 Cross-Site Scripting WASC-19 SQL Injection WASC-29 LDAP Injection WASC-23 XML Injection WASC-31 OS Commanding A1 - Injection A2 - Cross-Site Scripting (XSS) M 4.WA06 Session-ManagementWASC-18 Credential/Session Prediction WASC-37 Session Fixation WASC-47 Insufficient Session Expiration M 4.WA13 Kontrolliertes Einbinden von Daten und Inhalten in Web-Anwendungen WASC-12 Content Spoofing WASC-33 Path Traversal WASC-05 Remote File Inclusion WASC-38 URL Redirector Abuse A3 - Broken Authentication and Session Management A10 - Unvalidated Redirects and Forwards 14

15 Baustein Web-Anwendung Zusammenfassung Zusammenfassung 18 neue Gefährdungen G 2.WA01 Mangelhafte Auswahl oder Konzeption von Webanwendungen G 2.WA02 Mängel bei der Entwicklung und der Erweiterung von Webanwendungen G 2.WA03 Unzureichender Schutz personenbezogener Daten bei Webanwendungen G 4.WA04 Unzureichende Validierung von Ein- und Ausgabedaten bei Webanwendungen G 4.WA05 Fehlende oder mangelhafte Fehlerbehandlung durch Webanwendungen G 4.WA06 Unzureichende Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen bei Webanwendungen G 4.WA07 Offenlegung von Informationen bei Webanwendungen G 5.WA08 Unberechtigter Zugriff auf oder Manipulation von Daten bei Webanwendungen G 5.WA09 Missbrauch einer Webanwendung durch automatisierte Nutzung G 5.WA10 Fehler in der Webanwendungslogik G 5.WA11 Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Webanwendungen G 5.WA12 Unzureichendes Session-Management von Webanwendungen G 5.WA13 Cross-Site Scripting (XSS) G 5.WA14 Cross-Site Request Forgery (CSRF, XSRF) G 5.WA15 Umgehung der Autorisierung bei Webanwendungen G 5.WA16 Einbindung von fremden Daten und Schadcode bei Webanwendungen G 5.WA17 Injection-Angriffe G 5.WA18 Clickjacking 19 neue Maßnahmen M 2.WA02 (B) Dokumentation der Architektur von Webanwendungen M 4.WA20 (A) Sicherer Entwurf der Logik von Webanwendungen M 5.WA21 (A) Sichere Anbindung von Hintergrundsystemen an Webanwendungen M 5.WA23 (A) Systemarchitektur einer Webanwendung M 2.WA24 (W) Web-Tracking M 4.WA04 (A) Authentisierung bei Webanwendungen M 4.WA05 (A) Umfassende Ein- und Ausgabevalidierung bei Webanwendungen M 4.WA06 (A) Session-Management bei Webanwendungen M 4.WA07 (A) Fehlerbehandlung durch Webanwendungen M 4.WA08 (B) Schutz vor automatisierter Nutzung bei Webanwendungen M 4.WA11 (A) Sichere Konfiguration von Webanwendungen M 4.WA13 (A) Kontrolliertes Einbinden von Daten und Inhalten bei Webanwendungen M 4.WA15 (A) Schutz vertraulicher Daten bei Webanwendungen M 4.WA16 (A) Zugriffskontrolle bei Webanwendungen M 4.WA19 (B) Verhinderung von Cross-Site Request Forgery (CSRF, XSRF) M 4.WA25 (C) Verhinderung von Clickjacking M 4.WA09 (C) Protokollierung sicherheitsrelevanter Ereignisse von Webanwendungen M 4.WA14 (A) Restriktive Herausgabe sicherheitsrelevanter Informationen bei Webanwendungen M 4.WA22 (B) Verhinderung der Blockade von Ressourcen (DoS) bei Webanwendungen 15

16 Vielen Dank für Ihre Aufmerksamkeit! TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Dipl.-Inf. (FH) Stephan Klein, Dipl.-Wirt.-Inf. (FH) Jan Seebens Langemarckstr Essen Telefon: Telefax: URL: Stand 637 in Halle 12 16