Sicherheitsrisiken durch unzureichendes Logging und Monitoring

Auf einem Auge blind

In den OWASP Top 10 2017, die die zehn häufigsten Sicherheitsrisiken für Webanwendungen aufführen, gibt es einen neuen zehnten Platz: "Insufficient Logging & Monitoring". Dieser fällt etwas aus dem üblichen Muster der Top-10-Einträge, die sich sonst um direkt ausnutzbare Schwachstellen drehen. Eine unzureichende Protokollierung und Überwachung lässt sich zwar nicht generell für Angriffe ausnutzen, senkt das Sicherheitsniveau dennoch beachtlich.
Kleine Unternehmen haben ähnliche Anforderungen an die IT wie Konzerne, jedoch weniger Budget und Personal. Wie sie trotzdem eine zuverlässige und ... (mehr)

Ob eine Anwendung oder ein Server etwas protokolliert oder nicht, ist für einen Angreifer zunächst völlig uninteressant, ebenso ob jemand die protokollierten Daten auswertet oder nicht. Es gibt keine Angriffstechnik, die über eine fehlende Protokollierung das Kompromittieren des Servers erlaubt. Und auch keine Möglichkeit, eine unterlassene Überwachung der Protokolle für Angriffe auf die Benutzer zu nutzen. Das Einzige, was es bisher gab, waren direkte Angriffe über Logfiles: Erlaubt eine XSS-Schwachstelle das Einschleusen von JavaScript-Schadcode in die Logfiles und der Administrator wertet die Logfiles mit einem Tool aus, das JavaScript ausführt, ist darüber ein Angriff möglich, zum Beispiel, um die Webanwendung im Namen des Administrators zu manipulieren oder durch eine Drive-by-Infektion dessen Rechner mit Schadcode zu infizieren.

Nichts wissen ist eine Schwäche

Und trotzdem hat es das "Insufficient Logging & Monitoring" in die Top 10 der OWASP 2017 [1] geschafft – wenn auch nur auf Platz 10. Während ein tatsächlicher Angriff wie die Cross-Site Request Forgery, mit der

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023