Die Sicherheit von Webanwendungen wird immer wichtiger, je mehr Anwendungen in das Internet ausgelagert werden. Durch neuste Techniken ist es möglich für nahezu alle herkömmlichen Programme eine Webversion zu entwickeln, die über die gleichen Features verfügt, aber standortunabhängig betrieben werden kann. Da diese Anwendungen über das Internet erreichbar sind, werden sie oft Ziel von Angriffen und benötigen wirkungsvolle Schutzmechanismen.
Um eine Anwendung zu schützen gibt es Programmierrichtlinien, die verhindern sollen, dass sich Fehler einschleichen, die später von Angreifern genutzt werden können. Problematisch wird es jedoch dann, wenn die Anwendungen nicht selbst entwickelt werden, sondern von einem Drittanbieter stammen. Hier hat man oft keine Möglichkeiten diese Systeme auf Schwachstellen zu untersuchen, da es nicht möglich ist den Quelltext einzusehen. Solche Systeme können nur mit Intrusion-Detection-Systemen geschützt werden, die den Datenverkehr zwischen Webanwendung und Benutzern analysieren und Angriffsversuche erkennen. Ein Beispiel für ein Schutzsystem, was auf dieser Analysetechnik basiert, ist die Web-Application-Firewall.
Web-Application-Firewalls (WAF) überprüfen den Datenverkehr mittels statischer Regeln, die während der Konfigurationsphase ermittelt und erstellt werden. Diese Regeln bestehen beispielsweise aus regulären Ausdrücken, die Parameter nach verbotenen Zeichen durchsuchen oder überwachen, ob ein Benutzer dem logischen Aufbau der Webanwendung folgt. Versucht er auf eine Funktion zuzugreifen, die erst nach erfolgreichem Login zur Verfügung steht, verhindert das Sicherheitssystem diesen Zugriff, da der logische Ablauf nicht gegeben ist.
Leider ist der Aufwand, der für die Konfiguration und Wartung einer WAF nötig ist, sehr groß, benötigt speziell geschulte Mitarbeiter und ist deshalb nicht sehr kosteneffizient. Gesucht wird also ein System, welches ohne Wartung auskommt und selbst die erforderlichen Regeln aufstellt, mit denen der Zugriff auf die Anwendung überwacht werden kann. Diese Anforderungen erfüllt das Anomalieerkennungssystem, welches von Giovanni Vigna und Christopher Kruegel in dem Paper “A Multi-model Approach to the Detection of Web-based Attacks” beschrieben wird.
In meinem 4. Semester an habe ich mich in Zusammenarbeit mit Sebastian Schlein im Rahmen meiner Proseminararbeit an der TU-Dortmund mit diesem Thema befasst.
Link zum oben genannten Paper: A Multi-model Approach to the Detection of Web-based Attacks
Link zur Proseminararbeit: Anomalieerkennung in Webanwendungen (Schlein, Balke)
Falls Sie unsere Ausarbeitung für irgendwelche Präsentationen oder Ausarbeitungen zitieren möchten, würde ich mich über einen kurzen Kommentar oder eine Version ihres Dokumentes freuen.
