CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Webapplikationer udgør store sikkerhedsproblemer

3. november 2006 kl. 00.00
Søren Ellemose Søren Ellemose

Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 3. november 2006.


Webapplikationer står over for store sikkerhedsproblemer, der kun øges i takt med deres udbredelse. Men de fleste problemer kan imødegås ved at indarbejde en organisatorisk holdning til sikkerhed.

Internetforbindelse er i dag en integreret del af langt de fleste virksomheders forretningsplan, og mængden af følsomme data på internettet er steget markant.
Derfor bør virksomheder være meget opmærksomme på, om deres internetløsninger efterlever de gængse sikkerhedsstandarder. I modsat fald skal hackerne nok finde ud af det - og så er det for sent.
Webapplikationerne har i dag en meget kompliceret funktionalitet. Samtidig mangler programmører ofte praktisk erfaring med at sikre webapplikationerne tilstrækkeligt. Dermed kan der nemt opstå sårbarheder.
Udvikling af webapplikationer, som udføres af webudviklere uden en fast forankret holdning til sikkerhed kan føre til usikre applikationer, der udgør en sikkerhedsrisiko for hele systemets netværk. Og når en dør står åben på internettet, er det desværre kun et spørgsmål om tid, før ubudne gæster banker på.

De mest almindelige sårbarheder er cross-site-scripting, indsættelse af uautoriseret SQL-kode og manipulation af parametre.
Sårbarhederne betyder, at hackere kan udlæse følsomme oplysninger fra databaser, foretage transaktioner under en falsk identitet eller skaffe sig adgang til fortrolige data, lukke websites eller manipulere transaktioner. Og i mange tilfælde helt uden at blive opdaget.
De fleste trusler mod webapplikationerne kan imidlertid fjernes ved at validere bruger-defineret input og output. Brugernes input skal altid betragtes som potentiel farlig og dermed undersøges, inden de bruges af applikationen.
Den bedste måde at sikre sig imod svagheder i en webapplikation er at begrænse den tilladte mængde af karakterer og konsekvent afvise input, der overstiger disse retningslinier.
Samtidig bør en integreret del af udviklingsprocessen være en forebyggende sikkerhedstest på webapplikationen, inden den sættes i drift. Det er både billigere og mere effektivt end at korrigere fejl, når applikationen først er sat i drift.
Virksomheder bør altså stille krav til leverandørerne af deres webapplikationer. Men sikkerhed er i høj grad også en intern udfordring, der berører både sikkerhedschefer, driftsteknikere, netværksansvarlige, it-chefer, projektledere og informationsmedarbejdere. De bør alle uddannes i sikkerhedsmæssige kompetencer og ikke blot fokusere på funktionaliteten i webapplikationerne.

Organisationerne Web Application Security Consortium (WASC) og Open Web Application Security Project (OWASP) kortlægger løbende sikkerhedsbrister i webapplikationerne, så virksomheder kan forebygge dem. I takt med udbredelsen af webapplikationerne øges hackernes opmærksomhed på at finde og udnytte sikkerhedshullerne.
Problemet er især, at man med webapplikationer netop ønsker en mere direkte og aktiv involvering af brugerne. Denne kommunikation foregår via webapplikationen og HTTP-protokollen. Disse forespørgsler går uden om de normale filtre i firewalls og sikkerhedsforanstaltninger, fordi forespørgslerne via HTTP-protokollen som udgangspunkt godkendes.
Sikkerheden er imidlertid ikke den eneste barriere for at bruge webapplikationer. Spørgsmålet om dataejerskab er for mange endnu ubesvaret. Virksomhederne bør overveje, hvordan data fra webapplikationer passer ind i den samlede Information Lifecycle Management-strategi.
Det er afgørende at vide, hvordan data lagres, at der tages forsvarlig backup, og at der er en samlet strategi for data-sikkerheden. Man efterspørger ganske enkelt ansvarlighed for data, så man ikke risikerer, at fortrolige data pludselig cirkulerer i cyberspace på grund af et datalæk hos en webapplikationsudbyder.

Hidtil har sikkerheden i web-applikationer ikke haft samme bevågenhed som netværkssikkerhed. Problemerne er imidlertid lige så store, og den manglende opmærksomhed har netop trukket hackerne væk fra det normalt velbeskyttede netværk.
I stedet retter hackerne opmærksomheden mod webapplikationer, som bliver betragtet som let bytte, og de har udviklet værktøj til at spore og udnytte sikkerhedsbristerne.
Top 10 listen over sikkerhedsbrister bør nærlæses af enhver virksomhed, og alle udviklingsprojekter bør afspejle en forøget fokus omkring sikkerheden i webapplikationerne. I modsat fald skal hackerne nok finde vej.
Den åbne dørs politik kan fungere i ledelsesmæssige sammenhænge, men i it-projekter må den være bandlyst.

Faktaboks:
Top 10 Sikkerhedsproblemer
Unvalidated Input
Manglende validering af brugernes input kan bruges af hackere til at angribe backendsystemet via webapplikationen. Den bedste måde at sikre sig på er at begrænse den tilladte mængde af karakterer og afvise input, der overstiger disse retningslinjer.

Broken Access Control
Adgangskontrollen for brugere skal håndhæves strengt. I modsat fald kan hackere bruge fejl i brugerrettighederne til at tilgå andre brugerprofiler, filer eller foretage uautoriserede funktioner. w

Broken Authentication and Session Management
Et problem kan opstå, når rettigheder og information om brugernes sessioner ikke håndteres korrekt. Dermed kan hackere misbruge password, nøglefiler eller oplysninger i cookies og dermed antage andre brugeres identitet.

Cross Site Scripting
Cross Site Scripting er udførelsen af clientside-scripts specificeret af hackeren, der kan opnå administrative rettigheder på webserveren. Med cross-site-scripting kan webapplikationer bruges til at angribe slutbrugerens browser, give forkert information eller aflæse information hos brugeren. Udviklerne skal derfor sikre, at information kontrolleres, inden det vises i brugerens browser og ikke blot ukritisk udføres.

Buffer Overflow
Ved bufferoverflow kan en webapplikation få en webserver til at gå ned, fordi input ikke valideres korrekt. Dermed kan hackere i nogle tilfælde overtage kontrollen over serveren. Bufferoverflows sker, når en bruger angiver input, som er større end det input, webapplikationen forventer.

Injection Flaws
SQL-Injection er en teknik, hvor en hacker erstatter parametre i blandt andet applikationens URL med SQL-kommandoer, der bruges til at kommunikere med den bagvedliggende database. Derved kan databaseserveren udføre de kommandoer, som hackeren beder om. Ved at udnytte en SQL-Injections sårbarhed kan en hacker få oplysninger om databasen tabel- og feltnavne. En sådan oplysning kan misbruges til at ændre, indsætte og slette databasens indhold.

Improper Error Handling
Når fejl opstår, skal de håndteres korrekt. Dette er desværre ikke altid tilfældet, og nogle hackere kan fremprovokere fejl som webapplikationen ikke kan håndtere. Derved kan en hacker få kontrol over serveren.

Insecure Storage
Webapplikationer bruger ofte kryptering af data, men det kan være problematisk at programmere det korrekt.

Application Denial of Service
En variant af angrebene er at optage så store ressourcer på webapplikationen, at andre brugere ikke kan logge på. Dette kan skabe en Denial of Service (DoS) tilstand, som forhindrer legitime brugere i at bruge webapplikationen.

Insecure Configuration Management
Hvis ikke man sikrer serverens konfiguration fra starten er selve webapplikationen heller ikke sikker.

Kilde: Open Web Application Security Project (www.owasp.org)

OriginalModTime: 02-11-2006 15:28:48




Navnenyt fra it-danmarkVis alle »
Thomas Christian Hansen
Thomas Christian Hansen
Mathias Gewecke Riis Sørensen
Mathias Gewecke Riis Sørensen
Mathias Rotheisen
Mathias Rotheisen
Rasmus Vulpius Gregersen
Rasmus Vulpius Gregersen

Stina Wahlsten
Stina Wahlsten
Jesper Hendriksen
Jesper Hendriksen
Maria Nørholm Dam
Maria Nørholm Dam
Patrick Blach
Patrick Blach


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Itm8 | IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Parathed – Hvad gør din virksomhed, når I bliver ramt?

Cyberkriminalitet vokser som bekendt eksplosivt i takt med digitaliseringen i disse år og det kan være voldsomt dyrt at blive hacket. Potentielt kan det lægge jeres forretning helt ned, så I ikke kan rejse jer igen. Har jeres virksomhed styr på cybersikkerheden i en tid, der kalder på oprustning? Bliv inspireret til, hvad du som virksomhed kan gøre for at sikre virksomheden og medarbejdere, så I kan gå sikkert ind i fremtiden.

21. maj 2024 | Læs mere

Computerworld Summit 2024

Vi kigger ind i scenariet for fremtiden it-afdeling og hvordan virksomheden bedst muligt udnytter både nye og etablerede teknologier til at understøtte vækst og dermed sikre overlevelse i en konkurrencepræget verden.

23. maj 2024 | Læs mere

Den digitale trussel er konstant, kompleks og stadigt stigende - også i den offentlige sektor

I dagens Danmark har vi indrettet os sådan, at alt kommunikation mellem det offentlige og borgerne foregår på forskellige digitale platforme, hvilket gør både borgerne og de offentlige institutioner skrøbelige overfor cyberkriminalitet. Samtidig lyder det fra rapporter, at de offentliges it-systemer er støvede og fulde af teknisk gæld. Dette er en farlig cocktail for de offentlige institutioner, men en særdeles lækker drink for cyber-kriminelle.

28. maj 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
David Guldager
David Guldager
Morten Duelund
Morten Duelund
Thorbern Alexander Klingert
Thorbern Alexander Klingert
Henrik Eldrup Lindholm
Henrik Eldrup Lindholm
Mogens Nørgaard
Mogens Nørgaard
Lasse Quorning
Lasse Quorning
Thomas Madsen
Thomas Madsen
Vikram Sharma
Vikram Sharma
opinion
David Guldager
David Guldager
Guldager: Vi er på vej ind i en guldalder for hardware - her er tre gode eksempler
Læs indlæg
Artikel teaser billede

Morten Duelund

Kan vi nu også stole på it-sikkerheden i boliger og bygninger med sensorer, der indsamler data?

Artikel teaser billede

Thorbern Alexander Klingert

EU skal gå forrest i kampen for cybersikkerhed

Artikel teaser billede

Henrik Eldrup Lindholm

Udgør din printer en sikkerhedsrisiko? Her er seks gode råd til at sikre din virksomhed

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Ugens lynkursus i ledelse

Mest læste klummer og blogs
Guldager: Vi er på vej ind i en guldalder for hardware - her er tre gode eksempler
Klumme: Det har været hård år for tech-entusiaster - for både mobiler, tv-skærme og computere ligner i stigende graf hinanden. Men en ny guldalder for hardware er på vej - og David Guldager har fundet tre gode eksempler på fed ny teknologi.
Af: David Guldager
Udgør din printer en sikkerhedsrisiko? Her er seks gode råd til at sikre din virksomhed
Klumme: Printeren - kontorets uundværlige værktøj - ligger stadig nederst i hierakiet, når vi tænker cyber sikkerhed. Men den er lige så online som alt andet. Her er seks råd til, hvordan du sikrer, at printeren ikke bliver hackernes port til virksomhedens netværk.
Af: Henrik Eldrup Lindholm
Kan vi nu også stole på it-sikkerheden i boliger og bygninger med sensorer, der indsamler data?
Klumme: Boliger og bygninger udstyres i stigende grad med IoT (Internet of Things). Små sensorer indsamler data om alt lige fra dit el-, vand- og varmeforbrug, mulige fugtskader, alarmer og meget mere. Men kan vi stole på sikkerheden i de løsninger, som gør bygningerne smartere?
Af: Morten Duelund
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Ugens lynkursus i ledelse
opinion Lasse Quorning
Kom godt fra start: Tre gode råd til at optimere din ESG-rapportering
Læs indlæg

Premium
Teaser billede
En banebrydende ny Windows-version er lige om hjørnet: Derfor går vi særligt spændende måneder i møde
Læs mere »
Han er den højest placerede dansker i ERP-kæmpen IFS: ”Jeg ved ikke, hvor mange gange folk har forudset, at ERP er død”
Microsoft Danmarks partnerdirektør Morten Thomsen før årets Partner Awards: Her er de tre største tendenser blandt de danske partnere
Datatilsynet vil granske 48 danske kommuner: Se hvad tilsynet går efter
Se alle »
Computerworld
Teaser billede
Nyopdaget sårbarhed rammer næsten alle VPN'er: Gør dem usikre og nærmest ubrugelige
Læs mere »
Om under en uge går det løs: Pc’en bliver aldrig den samme igen
Guide: Sådan surfer du under hackernes radarer – via en VPN-forbindelse
Opdater din browser med det samme: Stor sårbarhed rammer Chrome og en række andre browsere
Se alle »
CIO
Teaser billede
Nu begynder den største GDPR-retssag mod dansk myndighed nogensinde: Står over for million-bøde
Læs mere »
Lukker it-systemerne ned i to uger på grund af implementering: Den bedste måde at sikre, at ingen data går tabt
Hundredevis af selskaber klager over Microsofts licens-policy: Vi er låst fast og bundet
Oracle er eneste mulighed: Region Sjælland tvunget til at indgå million-aftale uden konkurrence
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Se alle »
White paper
Teaser billede
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Læs mere »
Guide: Sådan udvikler du en moderne netværksstrategi
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »