Als Betreiber einer Webseite/Webanwendung sollte man sich bewusst sein, dass ein System im Internet ständigen Bedrohungen ausgesetzt ist. Statische Webseiten bieten dabei weniger Bedrohungspotential als dynamische Webanwendungen mit Kundendaten, sodass die Auswirkungen von unkritisch bis unternehmensbedrohlich reichen können:

• Manipulation/Abschaltung der Webseite
• unbewusste Verbreitung von Schadcode (Würmern, Viren) bei den Besuchern
• Übernahme des Servers in ein Botnet
• Webserver als Einfallstor in das Unternehmensnetzwerk
• Entwendung von Kundendaten (siehe Datenpanne/Datenleak)

Wenn man seiner Verantwortung für seine Webseite/Webanwendung nachgehen und sein System absichern möchte, dann stellt sich die Frage – wie? Einen guten Einstieg bieten die folgenden Links:

• Wikipedia: Sicherheit von Webanwendungen
• Open Web Application Security Project (OWASP): Top Ten
• Bundesamt für Sicherheit in der Informationstechnik (BSI): Baustein Webanwendungen

Wer auch mal aktiv in die Rolle eines Angreifers schlüpfen möchte, der kann sein gewonnenes Wissen als Hacker anhand des Webshops OWASP-Saftladen ausprobieren.

Der OWASP-Saftladen erscheint wie ein moderner Webshop auf Basis von AngularJS als Frontend, das per REST-API mit einem NodeJS-Backend kommuniziert. Der Webshop enthält jedoch allerhand sicherheitsrelevante Schwachstellen. Diese kann man mit Wissen um die OWASP-TopTen, ein wenig Geschicklichkeit und den passenden Werkzeugen (z.B. Browser-DevTools, Postman, Burp-Proxy, OWASP ZAP) ausnutzen.

Der Shop enthält eine Vielzahl von Herausforderungen und erkennt von sich aus, wenn eine Herausforderung gelöst wurde. Schummeln, durch Analyse des Quellcodes oder gar der zugehörigen Unit-Tests, ist natürlich nicht erlaubt! Die Regeln und nützliche Tipps werden in dem E-Book Pwning OWASP Juice Shop erläutert.

Es gibt übrigens noch allerhand weitere unsichere Webanwendungen für Security-Schulungen (z.B. SecurityShepherd, WebGoat, Damn Vulnerable Web Application) mit denen man sogenannte Penetrationstests üben kann.

Wer per SQL-Injection die gesamten Kundendaten des Webshops (Nutzung von SQL-Union) heruntergeladen hat oder per persistentes Cross Site Scripting (XSS) alle zukünftigen Webseiten-Nutzer an das Browser Exploitation Framework (BeEF) gekoppelt hat, der wird das Potential einer Webanwendungen auch nach Security-Merkmalen bewerten.

Ob die eigene Email-Adresse mit zugehörigem Passwort schon mal in einer Datenpanne involviert war, kann man auf der Webeseite ';--have i been pwned? prüfen. Ein kleiner Auszug von geleakten Zugangsdaten (z.B. Email, Passwort, Name, Geburtsdatum) bekannter Webdienste:

• Dropbox: ca. 65 Millionen Zugangsdaten (2012)
• Adobe: ca. 150 Millionen Zugangsdaten (2013)
• MySpace: ca. 350 Millionen Zugangsdaten (2008)