Suchen

Web Application Security vernachlässigt Gefahr durch SQL-Injection und Cross Site Scripting bleibt aktuell

| Redakteur: Stephan Augsten

Unsichere Webanwendungen sind die Achillesferse der IT-Sicherheit in Unternehmen, heißt es im jährlichen X-Force Trend and Risk Report von IBM. Demnach haben die Angriffe auf seriöse Firmen-Webseiten im vergangenen Jahr deutlich zugenommen. Damit setzen die Organisationen und Firmen ihre Kunden unwissentlich dem Risiko von Cyber-Kriminalität und Datendiebstahl aus.

Firmen zum Thema

Einsame Spitze: Die SQL-Injektion ist seit etwa zehn Jahren die gängigste Angriffsform im Internet.
Einsame Spitze: Die SQL-Injektion ist seit etwa zehn Jahren die gängigste Angriffsform im Internet.
( Archiv: Vogel Business Media )

Cyber-Kriminelle machen sich die Schwachstellen in Internet-basierten Applikationen zunehmend zunutze. Gegen Ende 2008 war die Zahl der Angriffe auf Webanwendungen etwa 30 Mal höher als in den Sommermonaten, bilanziert IBM in seinem X-Force Trend and Risk Report.

Zweck dieser Attacken ist nach wie vor, Internet-Nutzer auf Web-Exploit-Toolkits und bösartige Webseiten umzuleiten. Kris Lamb, Senior Operations Manager der X-Force Untersuchungs- und Entwicklungsabteilung, zeigt sich ob dieser nachhaltigen Wirkung einer der ältesten Angriffsformen erschüttert: „Es ist niederschmetternd, dass SQL-Injektionen nahezu zehn Jahre nach ihrem ersten Auftreten immer noch so weit verbreitet sind.“

Für das X-Force-Projekt katalogisiert, analysiert und erforscht IBM seit 1997 gemeldete Schwachstellen und zugehörige Patches. Mittlerweile umfasst die X-Force-Datenbank knapp 40.000 bekannte Sicherheitslücken.

Fehlende Patches für alte und neue Schwachstellen

Obwohl etliche IT-Experten seit längerem auf Web-basierte Gefahren wie Cross Site Scripting (XSS) und SQL-Injektionen hinweisen, waren laut dem X-Force-Report fast drei Viertel der in 2008 ausgerollten Web-Applikationen ungepatcht. Besonders alarmierend ist dies vor dem Hintergrund, dass sich über die Hälfte der im vergangenen Jahr geschlossenen Schwachstellen in Web-basierten Programmen fanden.

Zu diesen neuen Sicherheitslücken gesellen sich außerdem Schwachstellen der vergangenen Jahre, die noch nicht gepatcht wurden: 46 Prozent bzw. 44 Prozent der in 2006 und 2007 bekannt gewordenen Schwachstellen waren bis Dezember vergangenen Jahres verwundbar. Es bedarf also noch nicht einmal einer Zero-Day-Attacke, um Webanwendungen zu kompromittieren.

Verlinkung auf bösartige Dateien und Webseiten

Browser- und ActiveX-basierte Attacken sind derweil immer noch an der Tagesordnung. Jedoch ist der zweite große Trend, den die IBM X-Force ausgemacht hat, die Verlinkung auf schädliche Multimedia-Dateien (z.B. Flash Movies) und Dokumente (z.B. PDFs).

Allein im vierten Quartal 2008 hat das IBM X-Force Team eine 50-prozentige Zunahme von URLs festgestellt, hinter denen sich manipulative und bösartige Dateien befinden. Auch Spammer versuchen, über bekannte Webseiten ihre Reichweite zu erhöhen. Die Zahl der auf Blogs und Nachrichten-Seiten gehosteten Spam-Nachrichten sei in der zweiten Jahreshälfte 2008 um mehr als 50 Prozent gestiegen.

(ID:2019196)