Grundschutz für Web-Applikationen

Links überprüfen

Die Dynamik lässt sich beispielsweise über eine Statustabelle im Hauptspeicher der WAF erzielen, die sich alle aus der zu schützenden Web-Anwendung ausgehenden Links beziehungsweise URLs "merkt" und nur die registrierten zulässt. Der Schweizer WAF-Anbieter Visonys wiederum realisiert dies in seinem als Software-Appliance konzipierten Produkt "Airlock" mittels URL-Verschlüsselung.

Dabei analysiert Airlock alle aus der Web-Applikation kommenden HTML-Dokumente auf dem Weg zum Benutzer und chiffriert die darin befindlichen Links, so dass sie nicht mehr modifizierbar sind. "Man muss also nur einen einzigen unverschlüsselten Einstiegspunkt definieren - in der Regel die Startseite. Alle weiterführenden Links, Dokumente sowie sämtliche Navigationspfade innerhalb der Web-Anwendung sind dann verschlüsselt -und zwar nicht nur auf Verbindungsebene wie bei einer SSL-Verschlüsselung, sondern die URL beziehungsweise die in der Browser-Zeile sichtbare Adresse selbst", erläutert Daniel Estermann, Geschäftsführer bei der Visonys Deutschland GmbH, das Funktionsprinzip.

Laut Thomas Schreiber, Geschäftsführer bei der auf Web-Applikationssicherheit spezialisierten Securenet GmbH, lassen sich mittels URL-Verschlüsselung gleich mehrere Übel an der Wurzel packen und eine ganze Klasse von Angriffsformen auf die Session-ID, etwa Session-Hijacking, -Fixation,- Denial-of-Service sowie -Riding, verhindern helfen. Auch könnten damit die Möglichkeiten der URL-Parameter-Manipulation, die Angreifern etwa dazu dienen können, sich höhere Zugriffsrechte zu verschaffen, deutlich eingeschränkt werden.