Sieben Prozent der Webapplikationen sind anfällig für Attacken

An der Technischen Universität Wien wurde ein System entwickelt, mit dem Sicherheitslücken in Webapplikationen automatisch aufgespürt werden können. Entwickelt wurde Secubat Framework von Stefan Kals im Rahmen eines Forschungsprojektes. Die ersten Probeläufe zeigten, dass vier bis sieben Prozent der Webapplikationen unsicher sind.

„Bisher waren Attacken auf derartige Sicherheitslücken nicht wirklich bekannt oder sie mussten manuell mit entsprechend großem Aufwand gesucht werden“, meint Engin Kirda von der Distributed Systems Group an der TU Wien, einer der Betreuer der Arbeit. „Wir haben die derzeit gängigsten Arten von Hacker-Angriffen simuliert, wie zum Beispiel SQL Injection oder Cross-Site Scripting Attacks. Das sind jene Angriffsmethoden, bei denen über Formulare ein Code eingeschleust wird, der Datenbankabfragen durchführt oder Webseiten verändert. Diese Wege können beispielsweise für Phishing ausgenutzt werden. „, erklärt Kals.

Das Ergebnis war für den Entwickler überraschend. „Die Sicherheitschecks lieferten eine lange Liste von betroffenen Anwendungen, mit dabei auch bekannte E-Commerce und E-Government-Sites“, so Kals. Durchschnittlich jede zwanzigste vom Programm attackierte Webapplikation wurde als potenziell anfällig markiert. „Das war ein sehr hoher Anteil“, kommentierte Kals das Ergebnis, der seinen Auftrag auch gleich verstand: „Selbstverständlich wurden die Betreiber der betroffenen Seiten sofort über die Sicherheitslücken informiert.“

Die Erfahrungen mit Secubat zeigen, mit welch geringem Aufwand Hacker ihre kriminellen Ziele verfolgen können, so die Forscher. Derart leicht auszunutzende Sicherheitslücken kommen ihnen dabei entgegen. Mit Hilfe von automatisierten Tools wie Secubat ist es für Hersteller von Webapplikationen in Zukunft möglich, den Hackern einen Schritt voraus zu sein und bestehende Lücken zu schließen, bevor diese ausgenutzt werden können.

ZDNet.de Redaktion

Recent Posts

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

9 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

23 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

23 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

2 Tagen ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

2 Tagen ago