Categories: SoftwareUnternehmen

Unternehmen vernachlässigen Sicherheitslücken in Ajax

Herkömmliche Web-Anwendungen bieten nur wenig Oberfläche und Schnittstellen für Angriffe. Über Ajax weiten sich die Angriffsmöglichkeiten jedoch dramatisch aus. So können Angreifer teilweise sogar auf den Code von Anwendungen zugreifen und diesen verändern, warnt ein Sicherheitsexperte.

“Wir sehen lächerlich viele Verwundbarkeiten auf Web-Level”, kommentierte Billy Hoffman, ein amerikanischer Sicherheitsforscher, bei einer Präsentation auf der RSA Conference in San Francisco. Er fürchtet, dass die Zahl von Angriffen und Verwundbarkeiten bei Anwendungen in Zukunft noch steigen werden, und dass sich neben Cross Site Scripting und SQL-Löchern ganz neue Angriffszenarien entwickeln werden.

Ajax würde dem Hacker zudem Informationen liefern, wie eine Anwendung aufgebaut ist und wie eine Anwendung funktioniert. Auch Techniken, die diese Baupläne verschleiern, lassen sich einfach umgehen, warnt Hoffman. Schließlich müsse sich der Hacker nur anschauen, wie der Code auf dem Client mit dem auf dem Server interagiert. “Es lässt sich einfach nicht alles schützen, was zum Client geht”, ergänzt Hoffman.

Besonders gefährlich sei beispielsweise der XML Aufruf für HTTP, über den JavaScript automatisch für den Anwender HTTP abfragt. Der Server könne jedoch nicht zwischen einem manuellen Aufruf und einer Ajax-Abfrage unterscheiden. So sei es möglich, Cookies mit vertraulichen Nutzerdaten abzufangen. Auch Schädlinge, die sich selbst verbreiten, wie etwa der Myspace-Virus oder Yamanner-Wurm hätten Schwachstellen in Ajax ausgenutzt.

Silicon-Redaktion

Recent Posts

Erfolgsstrategie Hyperscaler: Wie Unternehmen ihre Chancen in der Cloud maximierenErfolgsstrategie Hyperscaler: Wie Unternehmen ihre Chancen in der Cloud maximieren

Erfolgsstrategie Hyperscaler: Wie Unternehmen ihre Chancen in der Cloud maximieren

Hyperscaler ermöglichen ISVs eine schnellere Markteinführung ihrer Produkte, wobei damit die verbundenen Herausforderungen steigen, sagt…

1 Tag ago
Galeria will Einkaufserlebnis in der Filiale und Online steigernGaleria will Einkaufserlebnis in der Filiale und Online steigern

Galeria will Einkaufserlebnis in der Filiale und Online steigern

Warenhauskette setzt auf die KI-gesteuerten Fähigkeiten zur Bedarfsplanung und Nachversorgung von Blue Yonder.

2 Tagen ago
Cyber Gangsta’s Paradise: Musikvideo macht auf den Cyber Resilience Act aufmerksamCyber Gangsta’s Paradise: Musikvideo macht auf den Cyber Resilience Act aufmerksam

Cyber Gangsta’s Paradise: Musikvideo macht auf den Cyber Resilience Act aufmerksam

Technische Hochschule Augsburg (THA) will Hersteller auf die neue EU-Verordnung hinweisen, die Cybersicherheit für vernetzte…

2 Tagen ago
IT-Chaos sicher reduzierenIT-Chaos sicher reduzieren

IT-Chaos sicher reduzieren

Mit der steigenden Anzahl von Endpunkten, wächst die Komplexität, die mit dem Unternehmensnetzwerken verbundenen Geräte…

2 Tagen ago
Sandboxing: Von der Prävention zur forensischen AnalyseSandboxing: Von der Prävention zur forensischen Analyse

Sandboxing: Von der Prävention zur forensischen Analyse

Die Kombination aus Blockieren und fundierter Analyse bietet eine resiliente Sicherheitsarchitektur, sagt Andrea Napoli von…

5 Tagen ago
Telemedizinische Beratung für PflegekräfteTelemedizinische Beratung für Pflegekräfte

Telemedizinische Beratung für Pflegekräfte

Projekt: Per Tablet ärztliche Expertise hinzuzuziehen, wenn sich der Gesundheitszustand von Pflegepersonen plötzlich verschlechtert.

5 Tagen ago