Der Vortrag richtet sich an Entwickler von Webapplikationen, Sicherheitsbeauftragte und Administratoren von Webservern. Es werden aktuelle Angriffe auf Webapplikationen live demonstriert. Anschließend werden Werkzeuge vorgestellt, die beim Aufspüren von Schwachstellen in den Webapplikationen helfen, und ein Check eigener Anwendungen angeboten.
Der Source Code Analyzer deckt schon in der Anwendungsentwicklung potenzielle Schwachstellen im Code mit Hilfe der so genannten statischen Quellcode-Analyse (Static Source Code Analysis) auf. hypersource arbeitet auf der Grundlage eines Dataflow-Verfahrens, das die Abhängigkeiten zwischen Variablen verfolgt. Dadurch gelangt der Entwickler Schritt für Schritt zum ursprünglichen Fehler, der oft tief im Code versteckt ist und verschiedene Folgefehler verursachen kann. Wird hypersource im regulären Entwicklungsprozess eingesetzt, hilft es, Programmierfehler in Web-Applikationen frühzeitig und damit kostengünstig zu beheben.
Eine weitere Möglichkeit, Schwachstellen zu finden und aufzuzeigen, bietet der Web Application Vulnerability Scan Server. hyperscan penetriert die Anwendung mit verschiedenen Methoden und einer eigenen Datenbank, die Signaturen für bekannte Frameworks, Portale und Anwendungen enthält. Dieser Prozess ist vollständig automatisiert und kann in jeder beliebigen Phase des Applikationslebenszyklus eingeplant werden. hyperscan fügt sich in jeden bestehenden Entwicklungs-, Abnahme- und Auditing-Prozess ein. Auch zur Überprüfung von Outsourcing-Leistungen kommt hyperscan zum Einsatz und spart Zeit bei der Abnahme fremd entwickelter Software-Projekte.
hyperguard Web Application Attack Detection protokolliert Details von eingehenden Requests und erkennt dabei mögliche Angriffe auf die Anwendung. Das integrierte Reportingtool fasst erkannte Angriffe zusammen und liefert eine Auswertung über die Angriffe auf die beobachteten Webapplikationen. Da dies auch in Echtzeit möglich ist, kann der Security-Verantwortliche zu jeder Zeit aktuell stattfindende Angriffe beobachten und gegebenenfalls rechtzeitig Gegenmaßnahmen treffen.
Zusätzlich zum Detection Mode hat der Administrator die Möglichkeit, sich von hyperguard Regeln gegen die real aufgetretenen Angriffe vorschlagen zu lassen. Sie treten erst nach einer Bestätigung durch einen Berechtigten in Kraft. Dieses abgestufte Schutzsystem bietet sich besonders an, wenn sicherheitskritische Schwachstellen in einer Anwendung erkannt sind, diese Anwendung jedoch online bleiben soll, bis die Schwachstelle behoben wird. Denkbar ist der Einsatz zudem bei einem Fremdsystem, dessen Code nicht eigenständig verändert werden kann, oder bei alten Webapplikationen, die unzureichend dokumentiert sind oder aus Performance-Gründen nicht mehr verändert werden sollten.
Web-Anwendungsentwickler können am CeBIT-Stand von art of defence kostenlos den Quellcode einer Webapplikation auf potenzielle Sicherheitsschwachstellen testen lassen. Sie bringen dazu den Code ihrer Anwendung auf einem USB-Stick mit auf den Stand am iX-Forum oder in Halle 11/B04. Die Auswertung bekommen sie als pdf-Datei auf einem gratis USB-Stick.
(05.03.2009 - 12:00-12:30 Uhr)