Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 3. maj 2007.
svagheder Der er stadig alt for mange svagheder
i de danske webapplikationer
I McAfees nyligt udkomne rapport om sikkerhedstrusler "The Future of Security" fremhæves applikationssikkerhed - specielt webapplikationssikkerhed - som et område, hvor virksomhederne skal fokusere deres sikkerhedsindsats.
Den vurdering er sikkerhedseksperten Ulf Munkedal fra FortConsult enig i. Hans erfaring er, at i Danmark er webapplikationerne mere sårbare end it-infrastrukturen.
Applikationerne skal styrkes
"Generelt er der ikke nok styr på webapplikationernes sikkerhed. Når vi foretager penetrationstest (sikkerhedstest, hvor man prøver at trænge igennem et system, red.), så finder vi mindst dobbelt så mange svagheder i en webapplikation som i en infrastrukturenhed som switch, router, firewall, mailserver, webserver, dns-server og så videre," siger Ulf Munkedal.
McAfee-rapporten ser på det globale trusselsbillede, og her optræder de efterhånden gamle kendinge som SQL-injection og Cross-site-scripting (XSS) stadig som sårbarheder i web-applikationerne. Det bekræfter Ulf Munkedal.
"Det er oftest Cross-site scripting og dernæst SQL-injection vi ser mest af i danske webapplikationer. Det vigtigste, man kan gøre, er at få udviklerne til at indtænke sikkerhed i udviklingen af webapplikationerne," siger Ulf Munkedal.
Oftest er det ikke de store ting, der skal til for at få rettet op på de usikre webapplikationer.
Eksempelvis er validering af input-felter vigtigt, så man har kontrol over, hvad der bliver sendt til databasen. Det hele drejer sig om at brugeren ikke må kunne manipulere med applikationen. Ifølge Ulf Munkedal er udviklerne blevet bedre til at sikre webapplikationerne, men der er stadig sårbare systemer. Og det gælder både gamle og nye webapplikationer.
Henrik Lund Kramshøj supplerer: "Danske webudviklere er blevet bedre til at tænke i sikkerhed. Desværre er der dog stadig mange dårlige systemer." Han anbefaler udviklerne at se nærmere på organisationen Open Web Application Security Projects website www.owasp.org. Den indeholder en række anbefalinger til at forbedre sikkerheden i webapplikationer.
"Sæt jer sammen med kollegerne og gå anbefalingerne igennem. Har vi løst det her problem, har vi tænkt over det her? Når man går sin applikation igennem på den måde, er man godt på vej," siger Henrik Lund Kramshøj.
Brugbare testværktøjer
Der er også hjælp at hente fra forskellige testværktøjer, der kan identificere svagheder i webapplikationerne. Eksempelvis værktøjer som Web Inspection og AppScan. For at få det fulde udbytte af værktøjerne, kræver det, at man sætter sig godt ind i værktøjernes anvendelse og rapporteringsmuligheder.
"Det er nemt for udviklerne at anvende værktøjerne, men det kan måske være lidt svært at forstå alt, hvad værktøjet siger. 80 procent af svaghederne kan fanges umiddelbart med de værktøjer, mens resten kræver fintuning," siger Ulf Munkedal.
Henrik Lund Kramshøj fremhæver også testværktøjerne, men mener det bør være en vurderingssag, om en virksomhed skal investere i værktøjerne og uddannelse af udviklerne.
"Der er mange værktøjer, der scanner webapplikationer. Det bliver dog ofte dyrt i anskaffelse og uddannelse af udviklerne. Hvis det er noget som kun skal udføres et par gange om året, er det bedre at alliere sig med en specialist frem for at anskaffe værktøjet selv," mener Henrik Lund Kramshøj.
Det er da også mest de store virksomheder, der har investeret i testværktøjerne. Værktøjerne anvendes både under udviklingen og når web-applikationen er færdigudviklet. Inden applikationen sættes i produk-tion, udsættes den for en sidste hærdningstest.
Forbered interne applikationer
Det er ikke kun webapplikationerne, der skal hærdes. Ifølge Ulf Munkedal bør virksomhederne også se nærmere på applikationer, der udelukkende anvendes internt.
"Der er en klar tendens til, at alt der ligger internt på et tidspunkt vil komme ud til nettet. Samtidig er det også vigtigt at sikre de applikationer, der kun anvendes internt. Det vil være kedeligt, hvis der slipper en orm ind, som eksempelvis river hele ERP-systemet ned," siger Ulf Munkedal.
Han understreger, at der ikke er mange orme rettet mod ERP-systemer, men orme kan ramme det underliggende operativsystem og dermed ERP-systemet.
Ifølge Ulf Munkedal er sikkerheden i ERP-systemer generelt ikke god.
"Man har slet ikke tænkt på nutidens trusselsbillede, da man udviklede ERP-systemerne. Eksempelvis kan et ERP-modul generere en fil med forskellige kommandoer. Filen læses så af et andet ERP-modul, der udfører kommandoerne. Der er imidlertid ikke noget, der forhindrer, at en person opretter en tilsvarende fil med potentielt skadelige kommandoer," siger Ulf Munkedal.
Boks: Web 2.0 svagheder
McAfees rapport "The Future of Security" nævner, at de mere komplekse AJAX-webapplikationer medfører nye sikkerhedstrusler. Eksempelvis XML Injection, der kan anvendes af en hacker til at skaffe sig adgang til data eller dele af en applika-tion, som han ikke skulle have adgang til.
Læs mere på: owasp.org/index.php/XML_Injection
Open Web Application Security Project (OWASP)
På www.owasp.org findes retningslinjer og værktøjer til test af webapplikationer.
SQL Injection
SQL Injection giver mulighed for at ændre dataforespørgsler i SQL via en applikation. Eksempelvis kan en (meget) simpel login-mekanisme i en webapplikation være på formen:
"SELECT * FROM users WHERE login = '" + username + "';"
Hvis der returneres data fra databasen, får brugeren adgang til applikationen.
Username er en variabel, som indeholder brugerens indtastning. Hvis brugeren indtaster: ' or 1=1 i feltet for brugernavn, vil det endelige SQL-statement blive
SELECT * FROM users WHERE login = ' ‘ or 1=1 ;
Da 1 = 1 vil brugeren blive logget på.
Læs mere mere om SQL Injection på: http://tinyurl.com/2ucf4d
Cross-site scripting (XSS)
Ved Cross-Site Scripting smugler en angriber ondsindet kode ind på et website.
Et forholdsvist uskyldigt XSS-angreb blev foretaget af Myspace-brugeren Samy i 2005. Besøgende på Samys Myspace-profil blev ved hjælp af XSS-koden automatisk tilføjet som venner til Samy. Samtidig blev XSS-koden overført til de besøgendes Myspace-profil. Så når atter andre brugere så de besøgendes Myspace-profil, blev de også tilføjet som Samys venner - og XSS-koden spredte sig yderligere.
I løbet af meget kort tid fik Samy tæt på en million venner.
Læs mere om Cross-Site Scripting på: owasp.org/index.php/Cross_Site_Scripting
OriginalModTime: 03-05-2007 14:26:09
