Web Application Security vernachlässigt

Gefahr durch SQL-Injection und Cross Site Scripting bleibt aktuell

03.02.2009 | Redakteur: Stephan Augsten

Einsame Spitze: Die SQL-Injektion ist seit etwa zehn Jahren die gängigste Angriffsform im Internet.
Einsame Spitze: Die SQL-Injektion ist seit etwa zehn Jahren die gängigste Angriffsform im Internet.

Unsichere Webanwendungen sind die Achillesferse der IT-Sicherheit in Unternehmen, heißt es im jährlichen X-Force Trend and Risk Report von IBM. Demnach haben die Angriffe auf seriöse Firmen-Webseiten im vergangenen Jahr deutlich zugenommen. Damit setzen die Organisationen und Firmen ihre Kunden unwissentlich dem Risiko von Cyber-Kriminalität und Datendiebstahl aus.

Cyber-Kriminelle machen sich die Schwachstellen in Internet-basierten Applikationen zunehmend zunutze. Gegen Ende 2008 war die Zahl der Angriffe auf Webanwendungen etwa 30 Mal höher als in den Sommermonaten, bilanziert IBM in seinem X-Force Trend and Risk Report.

Zweck dieser Attacken ist nach wie vor, Internet-Nutzer auf Web-Exploit-Toolkits und bösartige Webseiten umzuleiten. Kris Lamb, Senior Operations Manager der X-Force Untersuchungs- und Entwicklungsabteilung, zeigt sich ob dieser nachhaltigen Wirkung einer der ältesten Angriffsformen erschüttert: „Es ist niederschmetternd, dass SQL-Injektionen nahezu zehn Jahre nach ihrem ersten Auftreten immer noch so weit verbreitet sind.“

Für das X-Force-Projekt katalogisiert, analysiert und erforscht IBM seit 1997 gemeldete Schwachstellen und zugehörige Patches. Mittlerweile umfasst die X-Force-Datenbank knapp 40.000 bekannte Sicherheitslücken.

Fehlende Patches für alte und neue Schwachstellen

Obwohl etliche IT-Experten seit längerem auf Web-basierte Gefahren wie Cross Site Scripting (XSS) und SQL-Injektionen hinweisen, waren laut dem X-Force-Report fast drei Viertel der in 2008 ausgerollten Web-Applikationen ungepatcht. Besonders alarmierend ist dies vor dem Hintergrund, dass sich über die Hälfte der im vergangenen Jahr geschlossenen Schwachstellen in Web-basierten Programmen fanden.

Zu diesen neuen Sicherheitslücken gesellen sich außerdem Schwachstellen der vergangenen Jahre, die noch nicht gepatcht wurden: 46 Prozent bzw. 44 Prozent der in 2006 und 2007 bekannt gewordenen Schwachstellen waren bis Dezember vergangenen Jahres verwundbar. Es bedarf also noch nicht einmal einer Zero-Day-Attacke, um Webanwendungen zu kompromittieren.

Verlinkung auf bösartige Dateien und Webseiten

Browser- und ActiveX-basierte Attacken sind derweil immer noch an der Tagesordnung. Jedoch ist der zweite große Trend, den die IBM X-Force ausgemacht hat, die Verlinkung auf schädliche Multimedia-Dateien (z.B. Flash Movies) und Dokumente (z.B. PDFs).

Allein im vierten Quartal 2008 hat das IBM X-Force Team eine 50-prozentige Zunahme von URLs festgestellt, hinter denen sich manipulative und bösartige Dateien befinden. Auch Spammer versuchen, über bekannte Webseiten ihre Reichweite zu erhöhen. Die Zahl der auf Blogs und Nachrichten-Seiten gehosteten Spam-Nachrichten sei in der zweiten Jahreshälfte 2008 um mehr als 50 Prozent gestiegen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2019196 / Mobile- und Web-Apps)