Categories: SoftwareUnternehmen

Unternehmen vernachlässigen Sicherheitslücken in Ajax

Herkömmliche Web-Anwendungen bieten nur wenig Oberfläche und Schnittstellen für Angriffe. Über Ajax weiten sich die Angriffsmöglichkeiten jedoch dramatisch aus. So können Angreifer teilweise sogar auf den Code von Anwendungen zugreifen und diesen verändern, warnt ein Sicherheitsexperte.

“Wir sehen lächerlich viele Verwundbarkeiten auf Web-Level”, kommentierte Billy Hoffman, ein amerikanischer Sicherheitsforscher, bei einer Präsentation auf der RSA Conference in San Francisco. Er fürchtet, dass die Zahl von Angriffen und Verwundbarkeiten bei Anwendungen in Zukunft noch steigen werden, und dass sich neben Cross Site Scripting und SQL-Löchern ganz neue Angriffszenarien entwickeln werden.

Ajax würde dem Hacker zudem Informationen liefern, wie eine Anwendung aufgebaut ist und wie eine Anwendung funktioniert. Auch Techniken, die diese Baupläne verschleiern, lassen sich einfach umgehen, warnt Hoffman. Schließlich müsse sich der Hacker nur anschauen, wie der Code auf dem Client mit dem auf dem Server interagiert. “Es lässt sich einfach nicht alles schützen, was zum Client geht”, ergänzt Hoffman.

Besonders gefährlich sei beispielsweise der XML Aufruf für HTTP, über den JavaScript automatisch für den Anwender HTTP abfragt. Der Server könne jedoch nicht zwischen einem manuellen Aufruf und einer Ajax-Abfrage unterscheiden. So sei es möglich, Cookies mit vertraulichen Nutzerdaten abzufangen. Auch Schädlinge, die sich selbst verbreiten, wie etwa der Myspace-Virus oder Yamanner-Wurm hätten Schwachstellen in Ajax ausgenutzt.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

39 Minuten ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

52 Minuten ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago