Sicherheitsrisiko Web Services

Viele Firmen setzten Web Services “wie in einem Rausch” ein und vernachlässigten dabei die Sicherheitsrisiken, sagte Alex Stamos, Mitgründer der US-Sicherheitsfirma Information Security Partners während der Konferenz ‘CanSecWest/core06’ (Vancouver, 3. bis 7. April).

Die derzeit gebräuchlichen Web Services Tools machten es den Anwendern zudem leicht, die Risiken zu ignorieren. Web Services könnten mit einer Vielzahl von Software interagieren – dieser Vorteil könne sich jedoch zum Nachteil wenden, wenn die Sicherheit vernachlässigt werde.

Stamos zeigte, wie Web-Services-Techniken wie Ajax (Asynchronous JavaScript and XML) von Hackern missbraucht werden können. Unter anderem demonstrierte er, wie Schadsoftware in das Webformular eines Unternehmens injiziert werden kann. Web-Services-Anfragen könnten zudem genutzt werden, um Überlastungsangriffe (Denial of Service) durchzuführen.

Viele Entwickler verstehen nicht, wie Web Services funktionieren, sagte Stamos. Das werde von den Herstellern der Web Services Tools unterstützt. Diese priesen ihre Software als “magisch” an und verschleierten so die Komplexität der Web Services. Ergebnis sei, dass sich Unternehmen plötzlich mit Sicherheitsrisiken konfrontiert sähen, die sie nicht antizipiert hätten.

Die Hersteller der Web Services Tools könnten die Hackerangriffe jedoch erschweren, wenn sie ihre Produkte mit Input-Filtern ausrüsten, meinte Stamos. Zudem sollten Sicherheitsexperten dem Thema mehr Aufmerksamkeit widmen. Bislang seien Web Services das “Stiefkind der Sicherheitsindustrie”.