Webanwendungen leiden unter XSS- und SQL-Bugs
Cross Site Scripting (XSS) und SQL-Injection sind die gefährlichsten Schwachstellen auf schlecht gesicherte Webanwendungen, resümiert der aktuelle Sicherheitsbericht von White Hat.
Sieben von zehn Webseiten aus den Bereichen E-Commerce, Finanz, Gesundheitswesen und Hightech sind anfällig für XSS-Attacken. XSS betrifft dynamische Webseiten wie Blogs oder Foren, die auf Input von Usern angewiesen sind. Ein Angreifer kann damit bösartigen Code auf die Seite schleusen und ihn wie legitimen Code erscheinen lassen. SQL-Injection kommt zwar nicht so oft vor, ist aber um so gefährlicher, wenn es gelingt. Denn dem Angreifer wird damit der rote Teppich direkt zu einer Datenbank im Backend ausgelegt.
Der ‘Web Application Security Risk Report’ greift auf Daten zurück, die zwischen Januar und Juni dieses Jahres durch Snapshots von real exisitierenden Seiten ermittelt wurden. Das unterscheidet den Bericht nach Angaben von White Hat CTO Jeremiah Grossman von dem CVE-Bericht (Common Vulnerability and Exposures). Dieser beschäftige sich mit den Schwachstellen selbst und liste die Namen und die Methoden auf. Der White-Hat-Report orientiere sich dagegen an live Websites und deren Lücken, heißt es in einem Pressebericht.
Bei acht von zehn getesteteten Webseiten haben die Forscher Sicherheitslöcher entdeckt. Jede Webseite sei anders und daher auch anders anfällig. Am wahrscheinlichsten sei neben dem XSS, das in 71 Prozent der Webseiten gefunden wurde, die Anfälligkeit des Information Leakage Systems, das unter anderem Versionsnummern von Software vorhält, außerdem Content Spoofing und unvollständige Authentifizierung.
Die gefürchteten Buffer Overflows, die im CVE-Bericht auf Rang vier gelistet werden, tauchen bei White Hat garnicht erst auf. Denn die Applikation, die auf einem Webserver laufe, sei entgegen der verbreiteten Meinung nicht anfällig für solche Attacken, so Grossman.