Suchen

70 Prozent aller Webseiten verwundbar Cross-Site-Scripting dominiert Hitliste der Website-Schwachstellen

| Redakteur: Stephan Augsten

Die Anfälligkeit für Cross-Site-Scripting-Attacken steht in der Hitliste der Website-Schwachstellen nach wie vor an erster Stelle. Dies hat der jüngste Report des Vulnerability-Assessment-Anbieters Whitehat Security enthüllt. Knapp zwei Drittel aller untersuchten Internetauftritte beinhalten demnach entsprechende Verifikationsfehler.

Firmen zum Thema

Über zwei Drittel aller Firmen-Webseiten beinhalten dem Schwachstellen-Experten Whitehat zufolge kritische Fehler.
Über zwei Drittel aller Firmen-Webseiten beinhalten dem Schwachstellen-Experten Whitehat zufolge kritische Fehler.
( Archiv: Vogel Business Media )

Mindestens eine kritische Sicherheitslücke hat der Schwachstellen-Experte Whitehat auf 70 Prozent aller von ihm gescannten Websites ausgemacht. Gleichzeitig würden 63 Prozent der Homepages Fehler beinhalten, die erhöhte Aufmerksamkeit erfordern.

Cross-Site-Scripting (XSS) führt dabei die Rangliste potentieller Risiken mit 65 Prozent an, gefolgt von Informationslecks (47 Prozent) und Content Spoofing (30 Prozent). Gleichzeitig ließen sich Whitehat zufolge über die Hälfte aller Firmenwebsites – oder zumindest Teilfunktionalitäten – über logische Schwachstellen von Hackern übernehmen.

In der Top-Ten-Liste der Website-Sicherheitslücken finden sich darüber hinaus beispielsweise unzureichende Authentifizierung und unangemessene Authorisierung, SQL Injection oder auch die Manipulation von Daten über Webanwendungen (Cross-Site Request Forgery).

Für seinen Website Security Statistics Report hat Whitehat von Januar 2006 bis März 2009 über 1.000 Internetseiten mit seinem Web-basierten Schwachstellen-Scanner Sentinel untersucht. Laut dem Gründer und Chief Technology Officer von Whitehat, Jeremiah Grossman, handelte es sich dabei um „echte Live-Webseiten“.

Soziale Netzwerke am verwundbarsten

Anfälligste Internet-Auftritte sind dem Bericht zufolge Social-Networking-Webseiten, die mit einer Wahrscheinlichkeit von 82 Prozent einen wichtigen, kritischen oder gar hochkritischen Fehler beinhalten. Mit einem Abstand von sechs Prozentpunkten folgen sogenannte Education Websites, dicht gefolgt von IT-Homepages (75 Prozent).

Von 17.000 identifizierten Schwachstellen konnten die betroffenen Unternehmen zumindest 10.000 schließen. Durchschnittlich dauert es laut Whitehat 58 Tage, bis Unternehmen eine XSS-Schwachstelle ausmerzen. Demgegenüber stehen 71 Tage zur Beseitigung von Content-Spoofing-Lücken und gar 85 Tage für das Stopfen von Datenlecks. Die längste Korrekturdauer benötigt mit 125 Tagen aber immer noch die unzureichende Authentifizierung, die ein Zehntel aller gescannten Websites betrifft.

Grossman zufolge ist das Sicherheitsniveau solcher Websites am höchsten, die regelmäßig mittels Schwachstellen-Scan-Tools überprüft werden: „Auf einer wöchentlichen Datenbasis lässt sich genau feststellen, was ordnungsgemäß funktioniert.“ Der effektivste und schnellste Weg zur Beseitung von Sicherheitslücken sei derweil das virtuelle Patching über eine Web Application Firewall.

(ID:2022092)