cirosec – Applikations-Sicherheit

Web-Applikationen und E-Business-Anwendungen bringen die klassische IT-Sicherheit an ihre Grenzen, denn Angriffe auf Webserver erfolgen über das HTTP-Protokoll. Firewalls, Content-Security oder IDS-Systeme sind dabei zwar ein wichtiger Grundschutz, sie können die modernen Angriffe auf der Anwendungsebene jedoch weder erkennen noch verhindern.

Angriffsmethoden wie SQL Injection, Cross Site Scripting, Manipulation von Parametern oder Sessions sind allgegenwärtig und machen ein Umdenken in der Sicherheitstechnik sowie neue Lösungsansätze nötig.

Datenbanken zählen mit ihren Daten zu den wichtigsten Ressourcen der Unternehmens-IT. Durch die immer weiter verbreitete direkte Anbindung an Web-Applikationen und die zunehmende Kopplung von Applikationen über Unternehmensgrenzen hinweg erhält deren Sicherheit eine steigende Relevanz.

Moderne Maßnahmen für Sicherheit auf der Anwendungsebene müssen alle Komponenten vom Webserver über die Applikation bis hin zur Datenbank einbeziehen, um ein angemessenes Gesamtsicherheitsniveau zu erreichen.

Die eingebauten Sicherheitsmechanismen von Datenbanken zielen hauptsächlich auf die Zugriffskontrolle ab, d.h. es gibt umfangreiche Berechtigungs- und Rollenkonzepte, deren Granularität teilweise bis auf die Ebene einzelner Tabellen und Spalten hinabreicht. Insbesondere in Szenarien, in denen Datenbanken direkt an Web-Applikationen angebunden werden, die über das Internet oder von Partnernetzen aus erreichbar sind, stellen diese Mechanismen aber keinen ausreichenden Schutz mehr dar.

Für cirosec ist die Sicherheit auf Anwendungsebene kein Randthema, sondern seit vielen Jahren der zentrale Schwerpunkt. Daher arbeiten wir mit allen führenden Herstellern von Sicherheitsprodukten für Web-Applikationen und Datenbanken zusammen und bieten somit kompetente und gleichzeitig herstellerneutrale Beratung und Konzeption sowie umfassende Sicherheitsüberprüfungen.

Schulungen zu diesem Thema

Sicherheitsüberprüfungen von Web-Applikationen und Datenbanken