De beveiliging van webapplicaties krijgt meestal weinig aandacht. Bij webapplicaties zijn de gevolgen van een gebrekkige beveiliging snel voelbaar, omdat ze voor iedereen toegankelijk zijn. Hoe zorg je ervoor dat de beveiliging van je webapplicatie in orde is?
Iedereen die een nieuwe softwaretoepassing ontwikkelt, zal een bepaalde verwachting hebben van de functies en mogelijkheden die het gebruikers zal bieden. De beveiliging van zo’n toepassing krijgt meestal de minste aandacht. Bij webapplicaties zijn de gevolgen van een gebrekkige beveiliging snel voelbaar, omdat ze voor iedereen toegankelijk zijn. Hackers maken op grote schaal misbruik van webapplicaties om zich een weg naar bedrijfsnetwerken te banen.
Voor zowel de publieke sector als het bedrijfsleven is internet inmiddels uitgegroeid tot een onmisbaar medium dat tal van interessante en waardevolle toepassingen biedt. Gebruikers kunnen via hun computerscherm gemakkelijk informatie opvragen, diensten en producten aanschaffen en banktransacties of kantoortaken uitvoeren. Dankzij internet behoren wachttijden tot het verleden, en waar we vroeger hard moesten zoeken naar informatie, dragen zoekmachines de gewenste gegevens in luttele seconden op een dienblaadje aan. Hierdoor domineren browsers en internet de meerderheid van de dagelijkse activiteiten die we thuis en op het werk uitvoeren. Om dit alles mogelijk te maken is een diverse reeks van toepassingen vereist die min of meer publiekelijk worden aangeboden.
Steeds meer bedrijven willen webapplicaties gebruiken ter ondersteuning voor hun bedrijfsprocessen. Ontwikkelaars van webapplicaties staan daardoor onder enorme tijdsdruk, en worden voor de opgave gesteld om meer te doen met minder geld. Er zijn vaak geen richtlijnen aanwezig voor veilig programmeren of veilige release-procedures, of ze worden niet nageleefd. Dit resulteert in programmeerfouten, omdat belangrijke beveiligingsaspecten opzettelijk worden genegeerd of simpelweg over het hoofd worden gezien. Vaak worden webapplicaties in productie genomen zonder dat de ontwikkelaars de beveiliging voldoende hebben getest.
Het grootste gevaar schuilt in het gebruik van oude en vertrouwde technologieën voor de ontwikkeling van webapplicaties, zonder deze te onderwerpen aan uitgebreide beveiligingstests. In de veronderstelling dat de zakelijke firewall wel voldoende bescherming zal bieden voor eventuele kwetsbaarheden in de webapplicaties, verlenen werknemers zonder het zich te beseffen toegang tot bedrijfssystemen. Op deze manier wordt gevoelige informatie prijsgegeven en worden bedrijfsprocessen kwetsbaar gemaakt.
Webapplicaties beveiligen
Hoe kun je er voor nu voor zorgen dat de beveiliging van je webapplicatie wel in orde is? Er zijn twee manieren om de gegevens en processen van webapplicaties te beveiligen.
De eerste manier is om elke applicatie foutloos te programmeren, onder de juiste toepassingscondities en volgens van te voren gedefinieerde beveiligingsrichtlijnen. Bedrijven moeten de beveiliging van oudere webapplicaties dan naar de vereiste standaarden bijwerken. Bij deze benadering treden vaak wel complicaties op, aangezien de integratie van beveiligingsfuncties in een bestaande applicatie in een later stadium even lastig als kostbaar is.
De tweede methode naast ‘veilig programmeren' is de integrale beveiliging van webapplicaties met een speciaal beveiligingssysteem, vanaf het moment dat de applicatie in gebruik wordt genomen. Dergelijke beveiligingssystemen worden Web Application Firewalls (WAF's) genoemd en waarborgen de juiste werking van webapplicaties.
Veilig programmeren en WAF's sluiten elkaar niet uit; ze vullen elkaar zelfs aan. Als we de vergelijking met vluchtverkeer willen maken, is het ontegenzeggelijk van belang dat het vliegtuig (de webapplicatie) goed wordt onderhouden en veilig is. Maar zelfs het best onderhouden vliegtuig kan niet zonder het beveiligingspoortje op het vliegveld (de Web Application Firewall), dat, als eerste beveiligingslaag, het risico van aanvallen op kwetsbaarheden aanzienlijk beperkt.
“Maar zelfs het best onderhouden vliegtuig kan niet zonder het beveiligingspoortje op het vliegveld (de Web Application Firewall), dat, als eerste beveiligingslaag, het risico van aanvallen op kwetsbaarheden aanzienlijk beperkt”.
@ Tonny. Helemaal mee eens, maar veel webapps zijn inmiddels toegerust om firewalls te omzeilen. Zij passen dynamisch het poortnummer aan om gaten in de firewall te vinden. dit kan d.m.v. poorthopping, waarbij poorten en sessies wisselen tijdens het gebruik. Of d.m.v. het gebruik van afwijkende poortnummers, tcp-poort 80 i.p.v. tcp-poort 5050. De 3e truc is het verbergen van het verkeer in een beveilgde ssl-verbinding.
Firewallbeveiliging werkt op de netwerkarchitectuur. Tijd voor een nieuwe generatie.