Websites sind offen für Cross-Site Scripting und SQL Injection
Zu viele der weltweit verfügbaren Websites sind gefährdet durch Cross-Site Scripting und SQL Injection. Das liegt vor allem an schlecht geschriebener Software und mangelhaft aufgesetzten Plattformen. Dies ergab eine detaillierte Analyse mit automatisierter Erprobung verschiedener Angriffs-Szenarien und Methodiken mit White Box und Black Box.
Die Forscher raten zu detaillierter Analyse der verwendeten Systeme. Automatisierte Scans können zwar einige Gefahren aufzeigen. Die meisten Lücken wurden jedoch durch Black Box und White Box gefunden. Speziell die sehr großen Gefahren, die das Herzstück eines Unternehmens treffen können, sind ihnen zufolge mit einer automatisierten Suche nur schwer zu entdecken. Beziehungsweise erst, wenn die Angreifer schon über alle Berge sind. Mit detaillierter Analyse steigt die Wahrscheinlichkeit, vorhandene Gefahren aufzuspüren um den Faktor 12,5.
Wie Raul Siles, Forscher am SANS Internet Storm Center, dazu in seinem Blog schrieb, überraschten ihn diese Fakten. “Bei einem Blick auf die Daten bin ich überrascht, dass nur 7 Prozent der Websites durch automatische Methoden kompromittiert werden können”, schrieb er. “Basierend auf all den Vorfällen, die wir in Verbindung mit automatisierten Werkzeugen sehen konnten – etwa die so oft erwähnten automatisierten SQL Injections – hätte ich gesagt, dass dies eine größere Zahl sei.”
Die manuelle Analyse und Erprobung durch Black Box und White Box, die ergab dass nahezu alle Websites gefährdet sind, deckt sich aber mit seiner Erfahrung aus dem Penetration Testing in den Labors des SANS. Für ihn ist damit klar: “Obwohl die automatisierten Werkzeuge sich in den vergangenen Jahren erheblich verbessert haben, ist doch noch ein erkleckliches Maß an manueller und detaillierter Testarbeit notwendig.” Das Monitoring, Auditing und die Verbesserung der Websites ist ihm zufolge etwas, was den Betreibern niemand abnehmen kann. Im Interesse der Sicherheit des ganzen Internets.