Ebenso häufig überschreitet jemand einfach seine Zugangsberechtigung: Einmal eingeloggt, kann er mit ein paar einfachen Tricks auch auf Teile der Website zugreifen, auf die ein Außenstehender eigentlich keinen Zugriff haben sollte, zum Beispiel fremde Nutzerkonten oder geheime Daten. Auf Platz drei der häufigsten Angriffe auf Web-Anwendungen steht auf der Top Ten Liste des OWASP (Open Web Application Security Project) der Einbruch in die Sessions anderer Nutzer. Dazu ist oft nicht einmal Spezialwissen nötig: Im Fall der Firma Gateway reichte es bereits, die beim ersten Besuch lokal gespeicherten Cookies zu manipulieren, um an die Daten anderer Nutzer heranzukommen.
„Das Problem an sich ist, das Web-Anwendungen nicht ausreichend sicher programmiert sind“, resümiert Stefan Strobel, Geschäftsführer von Cirosec, Security-Berater und Dienstleister in Heilbronn. Dahinter steht oft ein Zeit- und Geldproblem: Firmen wollen schnell online sein und stehen unter hohem Druck, den sie an die Software-Entwickler weitergeben. Diese würden die Anwendungen wohl genauer auf Sicherheitslücken testen, bekommen aber kein Budget dafür.
Im Nachhinein ist dann nicht mehr viel zu machen. Zum ersten ist es teuer, Applikationen zu prüfen. Dafür gibt es bereits Werkzeuge und Strobels Team nutzt hier Software von Kavado, Sanctum oder dem Marktführer Spydynamics. Dennoch bleibt vieles reine Handarbeit. Manche Schlupflöcher finden auch erfahrene Experten erst nach langem Suchen – und das ist teuer. Denn die Software prüft nur, ob Eingabefelder z.B. Semikolons und Anführungszeichen zulassen, ob man damit aber wirklich einbrechen kann, müssen die Techniker selbst herausfinden.
Ist dann einmal eine Aufgabenliste für den Programmierer erstellt, heißt das noch lange nicht, dass die Web-Anwendung in der nächsten Version wirklich sicher wird. Neuer Programmcode birgt auch wieder neue Fehler, so die Erfahrung von Strobel. Spätestens wenn eine Firma mehrere Web-Anwendungen einsetzt, die alle überprüft werden müßten, lohnt es sich, ein Security-Gateway zu kaufen.
„Es ist das gleiche Problem wie mit Microsoft und den Patches von Microsoft – sie haben nie auf jedem Server fehlerfreie Software“, erklärt Strobel, „Also kaufen Sie lieber eine Box, die davor steht und trotzdem Sicherheit gewährt, das ist letztlich preisgünstiger.“
Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…
Schädliche Apps können unter Umständen einen Systemabsturz auslösen. Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung.
Sein Anteil an allen Infektionen steigt in Deutschland auf 18,5 Prozent. Das Botnet Androxgh0st integriert…
Betroffen sind Chrome 131 und früher für Windows, macOS und Linux. Angreifer können unter Umständen…
Marktforscher Lündendonk erwartet für das Jahr 2025 ein durchschnittliches Umsatzwachstum von 14,9 Prozent.
Alarmierender Anstieg von Open-Source-Malware / Seit 2019 haben Sonatype-Analysen mehr als 778.500 bösartige Pakete aufgedeckt