Eine Web Application Firewall (WAF) bietet besten Schutz vor Angriffen auf Webauftritte über HTTP. Das gilt es bei rechtlichen Standards und dem Application Security Scanner zu beachten.

Eine Web Application Firewall (WAF) soll vor Angriffen auf Webauftritte über das Hypertext Transfer Protocol (HTTP) schützen. Es stellt damit einen Spezialfall einer Application-Level-Firewall (ALF) oder eines Application-Level-Gateways (ALG) dar. Gegenüber klassischen Firewalls und Intrusion Detection/Prevention Systemen (IPS/IDS) untersucht eine WAF die Kommunikation auf der Anwendungsebene. Dazu ist normalerweise keine Änderung an der zu schützenden Web-Anwendung nötig.

Die Schutzmauer einer WAF

Angriffe, vor denen eine WAF Schutz bietet, sind:

• „Injection“-Angriffe
  • SQL-Injection
  •  Command-Injection
  •  LDAP-Injection
  • Skript-Injection
  •  XPath-Injection
• Cross-Site Scripting (XSS)
• Hidden Field Tampering
• Parameter Tampering
• Cookie Poisoning
• Pufferüberlauf­Angriffe
• Forceful Browsing
• Unberechtigter Zugriff auf Web-Server
• Bestimmte bekannte Verwundbarkeiten von Web-Anwendungen

Rechtliche Standards müssen eingehalten werden

Heutzutage ist es üblich, dass rechtliche Standards eingehalten werden, die eine WAF beachten soll. Unten eine Aufzählung und Erläuterung, was sich hinter den gängigsten Abkürzungen verbirgt:

DSGVO – Mit der Datenschutz-Grundverordnung der Europäischen Union wurden die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht.

GDPR – Bei der General Data Protection Regulation handelt es sich um die englische Variante der DSGVO.

HIPAA – Der Health Insurance Portability and Accountability Act von 1996 ist ein Bundesgesetz der Vereinigten Staaten, das sich auf Daten des Gesundheitswesens bezieht.

PCI-DSS – Der Payment Card Industry Data Security Standard (Stichwort: Data Loss Prevention, üblicherweise abgekürzt mit PCI bzw. PCI-DSS), ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.

Application Security Scanner für zulässige Aktionen

Die WAF untersucht alle eingehenden Anfragen und die Antworten des Web-Servers. Bei verdächtigen Inhalten wird der Zugriff blockiert. Zur Klassifizierung gefährlicher oder verbotener Aktionen wird häufig in einer vorgeschalteten Lernphase ein Application Security Scanner eingesetzt. Dieser analysiert, oft im Dialog mit einem Nutzer, die Anwendung und erzeugt daraus Profile für zulässige Aktionen.

Die Applikation läuft in dem Fall in einer Art passivem Modus: Das heißt, erlaubte und nicht erlaubte Eingaben werden in einer Logdatei festgehalten. Der Administrator kann anhand der Logdatei sehen, welche Aktionen im Betrieb blockiert würden, und kann diese bei Bedarf selektiv freischalten, indem er Sonderregeln einrichtet. Die konkreten Verfahren variieren von Anbieter zu Anbieter.

Sind beispielsweise zwei Parameter für ein untersuchtes Formular definiert, kann die WAF alle Requests blockieren, die drei oder mehr Parameter enthalten.