Herkömmliche Web-Anwendungen bieten nur wenig Oberfläche und Schnittstellen für Angriffe. Über Ajax weiten sich die Angriffsmöglichkeiten jedoch dramatisch aus. So können Angreifer teilweise sogar auf den Code von Anwendungen zugreifen und diesen verändern, warnt ein Sicherheitsexperte.
“Wir sehen lächerlich viele Verwundbarkeiten auf Web-Level”, kommentierte Billy Hoffman, ein amerikanischer Sicherheitsforscher, bei einer Präsentation auf der RSA Conference in San Francisco. Er fürchtet, dass die Zahl von Angriffen und Verwundbarkeiten bei Anwendungen in Zukunft noch steigen werden, und dass sich neben Cross Site Scripting und SQL-Löchern ganz neue Angriffszenarien entwickeln werden.
Ajax würde dem Hacker zudem Informationen liefern, wie eine Anwendung aufgebaut ist und wie eine Anwendung funktioniert. Auch Techniken, die diese Baupläne verschleiern, lassen sich einfach umgehen, warnt Hoffman. Schließlich müsse sich der Hacker nur anschauen, wie der Code auf dem Client mit dem auf dem Server interagiert. “Es lässt sich einfach nicht alles schützen, was zum Client geht”, ergänzt Hoffman.
Besonders gefährlich sei beispielsweise der XML Aufruf für HTTP, über den JavaScript automatisch für den Anwender HTTP abfragt. Der Server könne jedoch nicht zwischen einem manuellen Aufruf und einer Ajax-Abfrage unterscheiden. So sei es möglich, Cookies mit vertraulichen Nutzerdaten abzufangen. Auch Schädlinge, die sich selbst verbreiten, wie etwa der Myspace-Virus oder Yamanner-Wurm hätten Schwachstellen in Ajax ausgenutzt.
Hyperscaler ermöglichen ISVs eine schnellere Markteinführung ihrer Produkte, wobei damit die verbundenen Herausforderungen steigen, sagt…
Warenhauskette setzt auf die KI-gesteuerten Fähigkeiten zur Bedarfsplanung und Nachversorgung von Blue Yonder.
Technische Hochschule Augsburg (THA) will Hersteller auf die neue EU-Verordnung hinweisen, die Cybersicherheit für vernetzte…
Mit der steigenden Anzahl von Endpunkten, wächst die Komplexität, die mit dem Unternehmensnetzwerken verbundenen Geräte…
Die Kombination aus Blockieren und fundierter Analyse bietet eine resiliente Sicherheitsarchitektur, sagt Andrea Napoli von…
Projekt: Per Tablet ärztliche Expertise hinzuzuziehen, wenn sich der Gesundheitszustand von Pflegepersonen plötzlich verschlechtert.