Das Internet hat die Welt vor allem durch das World Wide Web (www) revolutioniert. Derzeit gibt es mehr als 1 Milliarde Websites im Internet. Diese Zahl nimmt mit jedem Tag zu, da immer mehr Menschen auf der Welt miteinander verbunden werden und die Technologie es den Menschen erleichtert, über Websites eine Sprach- und Online-Präsenz zu haben. Websites sind die Art und Weise, wie wir einkaufen, arbeiten, unsere Steuerrechnung bezahlen und unsere Geschäfte betreiben.

Anfänglich waren Websites funktionalitätsorientiert, und Design, Benutzeroberflächen, Benutzererfahrungen und Funktionalität des Webs standen im Vordergrund.
Im Laufe der Zeit wurden Websites aufgrund der einfachen Zugänglichkeit und der geringen Implementierung von Sicherheitsfunktionen zu einem einfachen Ziel für Hacker. Häufige Bedrohungen für Websites beziehen sich auf Online-Datenschutz, -Sicherheit und -Transaktionen. Die Website-Sicherheit umfasst mehr als die Informationen, die zwischen Ihrem Server und den Besuchern Ihrer Website übertragen werden. Unternehmen müssen ihre Websites als Teil eines gesamten Ökosystems, das ständige Pflege und Aufmerksamkeit benötigt, mit größter Sorgfalt pflegen, wenn sie das Vertrauen und die Zuversicht der Menschen bewahren möchten.

Websites werden auf dem Spiel stehen, da E-Commerce in unserem täglichen Leben immer häufiger vorkommt. Von der Bestellung von Lebensmitteln bis zur Buchung von Urlaubsreisen gehen wir immer mehr online. Tatsächlich berichtet Ecommerce Europe, dass der weltweite Umsatz von Business-to-Consumer-E-Commerce 2014 um 24 Prozent auf 1.943 Milliarden US-Dollar gestiegen ist und der Wert von Business-to-Business-E-Commerce bis 2020 voraussichtlich 6,7 Billionen US-Dollar betragen wird. Die Sicherheit von Websites war noch nie so wichtig oder relevant . Die Konsequenzen eines Versäumnisses, die Sicherheit der Website zu erhöhen, gehen wahrscheinlich über die Kosten eines einzelnen Unternehmens hinaus. Dies wird nicht nur das Vertrauen der Verbraucher schädigen, sondern auch den Ruf des Unternehmens und die finanziellen Verluste werden enorm sein.

Websites sind anfällig für Angriffe, die zu Malware und Datenverletzungen führen. Websites sind der Weg zu ausgeklügelten Angriffen, da sie einen Weg in das Netzwerk eines Unternehmens darstellen, in die Datenrepositorys des Unternehmens und dazu dienen, Kunden und Partner des Unternehmens zu erreichen.

Trends für Website-Schwachstellen in den Jahren 2015-2016

Websites unterliegen den folgenden Schwachstellen und Angriffen gemäß Statistiken und Untersuchungen, die in den Jahren 2015 und 2016 durchgeführt wurden.

Willkürliche Code-Ausführung

Die willkürliche Codeausführung wird verwendet, um die Fähigkeit eines Angreifers zu beschreiben, einen Befehl nach Wahl des Angreifers auf einem Zielcomputer oder in einem Zielprozess auszuführen.

Remote-Code-Ausführung

Die Remotecodeausführung ist die Fähigkeit eines Angreifers, auf das Computergerät eines anderen Benutzers zuzugreifen und Änderungen vorzunehmen, unabhängig davon, wo sich das Gerät geografisch befindet.

SQL-Injektion

SQL Injection ist eine Code-Injection-Technik, mit der datengesteuerte Anwendungen angegriffen werden. Dabei werden schädliche SQL-Anweisungen zur Ausführung in ein Eingabefeld eingefügt (z. B. um den Datenbankinhalt an den Angreifer zu senden).

Verzeichnis Traversal

Directory Traversal ist ein HTTP-Exploit, mit dem Angreifer auf eingeschränkte Verzeichnisse zugreifen und Befehle außerhalb des Stammverzeichnisses des Webservers ausführen können. Webserver bieten zwei Hauptstufen von Sicherheitsmechanismen. Zugriffssteuerungslisten (Access Control Lists, ACLs) Stammverzeichnis.

XSS

Cross-Site Scripting (XSS) ist eine Art von Sicherheitslücke, die normalerweise in Webanwendungen auftritt. Mit XSS können Angreifer clientseitige Skripts in Webseiten einfügen, die von anderen Benutzern angezeigt werden. Eine Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung kann von Angreifern verwendet werden, um Zugriffssteuerungen wie Richtlinien mit demselben Ursprung zu umgehen.

Schwache Passwörter

Ein Passwort, das sowohl vom Menschen als auch vom Computer leicht zu erkennen ist. Menschen verwenden oft offensichtliche Passwörter wie die Namen ihrer Kinder oder ihre Hausnummer, um sie nicht zu vergessen. Je einfacher das Passwort, desto leichter zu erkennen.

Offenlegung von Quellenskripten

Quellcode, der serverseitig aufbewahrt werden soll, wird manchmal den Benutzern offengelegt. Dieser Code kann vertrauliche Informationen wie Datenbankkennwörter und geheime Schlüssel enthalten, mit denen böswillige Benutzer Angriffe auf die Anwendung formulieren können.

Serverseitiges Scripting

Serverseitiges Scripting ist eine Technik, die in der Webentwicklung verwendet wird und das Verwenden von Skripten auf einem Webserver umfasst, die eine Antwort erzeugen, die an die Anforderungen jedes Benutzers (Clients) an die Website angepasst ist. Die Alternative ist, dass der Webserver selbst eine statische Webseite liefert.

Überlauf

In einem Computer die Bedingung, die auftritt, wenn eine Berechnung ein Ergebnis erzeugt, dessen Größe größer ist als die, die ein gegebenes Register oder ein gegebener Speicherort speichern oder darstellen kann.

Website-Penetrationstests

Website-Sicherheitstests sind ein kompliziertes Phänomen, bei dem nicht nur Aspekte der Netzwerksicherheit bei der Bewertung eines Webs berücksichtigt werden, sondern auch webspezifische Aspekte.

Was sollte getestet werden?

Eine Organisation sollte vor dem Penetrationstest eine Risikobewertung durchführen, in der die wichtigsten Bedrohungen für das Netzwerk ermittelt werden, einschließlich der folgenden:

• Kommunikationsfehler, E-Commerce-Fehler und Verlust vertraulicher Informationen.
• Öffentliche Systeme, z. B. Websites, E-Mail-Gateways und RAS-Plattformen.
• E-Mail, DNS, Firewalls, Kennwörter, FTP, IIS und Webserver.
• Wichtige Produktionssysteme.
• Systeme, die sowohl wichtigen als auch Stammkunden gehören.

Tests sollten an allen Hardware- und Softwarekomponenten des Netzwerksicherheitssystems durchgeführt werden.

Was macht einen guten Penetrationstest aus?

Die folgenden Aktivitäten gewährleisten einen guten Penetrationstest:

• Festlegung der Parameter für den Penetrationstest, wie Ziele, Einschränkungen und Begründungen der Verfahren.
• Einstellung von hochqualifizierten und erfahrenen Fachleuten.
• Ernennung eines gesetzlichen Penetrationstesters, der die Regeln der Geheimhaltungsvereinbarung befolgt.
• Auswahl geeigneter Tests, die Kosten und Nutzen in Einklang bringen.
• Befolgung einer Methodik mit angemessener Planung und Dokumentation.
• Die Ergebnisse sorgfältig dokumentieren und für den Kunden nachvollziehbar machen. Der Penetrationstester muss verfügbar sein, um bei Bedarf Fragen zu beantworten.
• Feststellungen und Empfehlungen im Abschlussbericht deutlich machen.

Penetrationstest-Prozess

Der Prozess für die Durchführung eines Penetrationstests in einer Organisation muss festgelegt werden, bevor die Netzwerkgeräte und Systemschwachstellen getestet werden. Der Penetrationstest umfasst folgende Teilprozesse:

Bewertungsmethode für die Website-Sicherheit

Der Bewertungsprozess für die Sicherheit der Website sollte auf standardmäßige, systematische und strategische Weise erfolgen. Eine Methodik stellt sicher, dass der Prozess eine Standardmethode mit dokumentierten und wiederholbaren Ergebnissen für eine bestimmte Sicherheitslage ist. Es gibt verschiedene Methoden und Best Practices für das Testen von Websites. Die bekannteste ist jedoch OWASP (Open Web Application Security Project).

Penetrationstests werden durchgeführt, um die Sicherheitslage einer Website festzustellen. Ein Penetrationstest beinhaltet die systematische Analyse aller vorhandenen Sicherheitsmaßnahmen. Der Penetrationstester sollte folgende Aspekte prüfen, um die Sicherheit der Website zu gewährleisten:

• Netzwerkvermessung.
• Port-Scan.
• Systemidentifikation.
• Identifizierung der Dienste.
• Schwachstellenrecherche und -prüfung.
• Anwendungstests und Codeüberprüfung.
• Testen der Webanwendungs-Firewall.
• Prüfung nach OWASP.
• Prüfung der eingesetzten Sicherheitskontrollen.
• Trusted-Systems-Tests.
• Passwort knacken.
• Denial-of-Service-Tests.
• Zugriffskontrollen testen.

Empfehlung und Richtlinien für eine sichere Website

Folgendes wird empfohlen, damit eine Website sicher ist:

• Setzen Sie tiefgreifende Strategien zur Verteidigung ein.
• Überwachen Sie das System auf Netzwerkeinbrüche, Sicherheitslücken und Markenmissbrauch.
• Setzen Sie einen Mechanismus zur Erkennung von Malware ein.
• Sichern Sie Websites gegen Angriffe und Malware-Infektionen.
• Schützen Sie private Schlüssel.
• Verwenden Sie Verschlüsselung, um sensible Daten zu schützen.
• Seien Sie aggressiv beim Aktualisieren und Patchen.
• Erzwingen Sie eine wirksame Kennwortrichtlinie.
• Stellen Sie sicher, dass regelmäßige Sicherungen verfügbar sind.
• Beschränken Sie E-Mail-Anhänge.
• Stellen Sie sicher, dass Verfahren zur Infektionsbekämpfung und zur Reaktion auf Vorfälle vorhanden sind.
• Halten Sie sich an Branchenstandards und Best Practices.
• Verwenden und konfigurieren Sie SSL / TLS ordnungsgemäß.