Herkömmliche Web-Anwendungen bieten nur wenig Oberfläche und Schnittstellen für Angriffe. Über Ajax weiten sich die Angriffsmöglichkeiten jedoch dramatisch aus. So können Angreifer teilweise sogar auf den Code von Anwendungen zugreifen und diesen verändern, warnt ein Sicherheitsexperte.
“Wir sehen lächerlich viele Verwundbarkeiten auf Web-Level”, kommentierte Billy Hoffman, ein amerikanischer Sicherheitsforscher, bei einer Präsentation auf der RSA Conference in San Francisco. Er fürchtet, dass die Zahl von Angriffen und Verwundbarkeiten bei Anwendungen in Zukunft noch steigen werden, und dass sich neben Cross Site Scripting und SQL-Löchern ganz neue Angriffszenarien entwickeln werden.
Ajax würde dem Hacker zudem Informationen liefern, wie eine Anwendung aufgebaut ist und wie eine Anwendung funktioniert. Auch Techniken, die diese Baupläne verschleiern, lassen sich einfach umgehen, warnt Hoffman. Schließlich müsse sich der Hacker nur anschauen, wie der Code auf dem Client mit dem auf dem Server interagiert. “Es lässt sich einfach nicht alles schützen, was zum Client geht”, ergänzt Hoffman.
Besonders gefährlich sei beispielsweise der XML Aufruf für HTTP, über den JavaScript automatisch für den Anwender HTTP abfragt. Der Server könne jedoch nicht zwischen einem manuellen Aufruf und einer Ajax-Abfrage unterscheiden. So sei es möglich, Cookies mit vertraulichen Nutzerdaten abzufangen. Auch Schädlinge, die sich selbst verbreiten, wie etwa der Myspace-Virus oder Yamanner-Wurm hätten Schwachstellen in Ajax ausgenutzt.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.