Unternehmen vernachlässigen Sicherheitslücken in Ajax

Herkömmliche Web-Anwendungen bieten nur wenig Oberfläche und Schnittstellen für Angriffe. Über Ajax weiten sich die Angriffsmöglichkeiten jedoch dramatisch aus. So können Angreifer teilweise sogar auf den Code von Anwendungen zugreifen und diesen verändern, warnt ein Sicherheitsexperte.

“Wir sehen lächerlich viele Verwundbarkeiten auf Web-Level”, kommentierte Billy Hoffman, ein amerikanischer Sicherheitsforscher, bei einer Präsentation auf der RSA Conference in San Francisco. Er fürchtet, dass die Zahl von Angriffen und Verwundbarkeiten bei Anwendungen in Zukunft noch steigen werden, und dass sich neben Cross Site Scripting und SQL-Löchern ganz neue Angriffszenarien entwickeln werden.

Ajax würde dem Hacker zudem Informationen liefern, wie eine Anwendung aufgebaut ist und wie eine Anwendung funktioniert. Auch Techniken, die diese Baupläne verschleiern, lassen sich einfach umgehen, warnt Hoffman. Schließlich müsse sich der Hacker nur anschauen, wie der Code auf dem Client mit dem auf dem Server interagiert. “Es lässt sich einfach nicht alles schützen, was zum Client geht”, ergänzt Hoffman.

Besonders gefährlich sei beispielsweise der XML Aufruf für HTTP, über den JavaScript automatisch für den Anwender HTTP abfragt. Der Server könne jedoch nicht zwischen einem manuellen Aufruf und einer Ajax-Abfrage unterscheiden. So sei es möglich, Cookies mit vertraulichen Nutzerdaten abzufangen. Auch Schädlinge, die sich selbst verbreiten, wie etwa der Myspace-Virus oder Yamanner-Wurm hätten Schwachstellen in Ajax ausgenutzt.