M 4.396 Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Entwickler, Administrator

Eine Webanwendung wird gewöhnlich von Menschen genutzt und erfordert somit keine automatisierte Nutzung ( z. B. durch Skripte). Brute-Force-Angriffe (z. B. Erraten von Zugangsdaten) und Enumeration-Angriffe (z. B. automatisiertes Ermitteln von gültigen Login-Namen) beruhen hingegen auf der automatisierten Steuerung einer Webanwendung (Automation). Bei diesen Angriffen wird zumeist versucht, vertrauliche Daten durch wiederholende, leicht variierende Abfragen (z. B. geänderte Benutzernamen) zu sammeln.

Zur Verhinderung von Automation und der Abwehr damit einhergehender Angriffe muss die Webanwendung automatisierte von manuellen Zugriffen unterscheiden können. Automatisierte Angriffe zeichnen sich durch eine hohe Zahl an Zugriffsversuchen innerhalb einer kurzen Zeitspanne aus, die das übliche Maß deutlich übersteigt.

Daher kann eine Toleranzschwelle für wiederholt abgerufene Ressourcen derartige Angriffe erschweren (Teergrube). Werden Grenzwerte gegen automatisierte Anfragen festgelegt, ist darauf zu achten, dass legitime Benutzer in der Funktionalität und der Bedienung der Webanwendung möglichst wenig eingeschränkt werden. Falls Grenzwerte für elementare Funktionen der Webanwendung zu eng bemessen sind, können Angreifer dies auf Webanwendungs-Ebene für Denial-of-Service-Angriffe missbrauchen. Werden beispielsweise Benutzerkonten nach einer festgelegten Anzahl an erfolglosen Anmeldeversuchen für ein gewisses Zeitintervall gesperrt, können gezielte Falscheingaben zu einer längerfristigen Sperrung vieler Benutzerkonten führen. Demzufolge können sich legitime Benutzer in diesem Zeitraum nicht mehr an der Webanwendung anmelden.

Darüber hinaus ist die Effizienz automatisierter Angriffe in der Regel stark abhängig vom Detailgrad der Informationen in den Rückantworten der Webanwendung (siehe M 4.400 Restriktive Herausgabe sicherheitsrelevanter Informationen bei Webanwendungen ).

Folgende Beispiele geben Hinweise auf mögliche Schutzmechanismen:

Prüffragen: