M 4.405 Verhinderung der Blockade von Ressourcen (DoS) bei Webanwendungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Entwickler, Administrator

Webanwendungen bieten den Benutzern häufig ressourcenintensive Funktionen an, die z. B. komplexe Datenbankabfragen auslösen. Werden diese rechenintensiven Operationen bewusst gehäuft aufgerufen oder die Webanwendung mit Anfragen überflutet, kann hierdurch der Betrieb der Webanwendung bis zur Unerreichbarkeit eingeschränkt werden. Dieses Vorgehen wird als Denial-of-Service-Angriff (DoS) bezeichnet.

DoS-Angriffe beruhen in den meisten Fällen ebenso wie Brute-Force- und Enumeration-Angriffe auf Automation (siehe Maßnahme M 4.396 Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen ). Daher sollten zur Vorbeugung gegen DoS-Angriffe ähnliche Schutzmechanismen umgesetzt werden. Dazu zählen beispielsweise folgende Maßnahmen:

Zusätzlich geben die folgenden Beispiele Hinweise auf spezifische Schutzmaßnahmen, um Denial-of-Service-Angriffe auf Webanwendungs-Ebene zu erschweren:

Zusätzlich geben die folgenden Beispiele Hinweise auf spezifische Schutzmaßnahmen, um Denial-of-Service-Angriffe auf Webanwendungs-Ebene zu erschweren:

Prüffragen: