Studie: Fast jede Webanwendung angreifbar

Viele Webseiten weisen Sicherheitslücken auf, die sich von Angriffsprogrammen automatisch ausnutzen lassen, das will das Web Application Security Consortium (WASC) in seinem Web Application Security Statistics Project 2007 herausgefunden haben. Zu den Teilnehmern des Projekts zählten unter anderem Unternehmen wie BT und Hewlett Packard, die beispielsweise mit den Tools WebInspect (ehemals SPI), MaxPatrol und Hailstorm die Sicherheit von Webanwendungen überprüften und die Ergebnisse für die Statistik zur Verfügung stellten.

Immerhin sieben Prozent der 32.717 analysierten Sites sollen sich mit automatischen Scannern kompromittieren lassen. Ergänzt man die Analyse durch manuelle Penetrationsstests, so soll laut WASC die Wahrscheinlichkeit, eine kritische Lücke zu finden, auf circa 97 Prozent ansteigen. Unter den häufigsten Fehler in Webanwendungen finden sich Cross-Site-Scripting (XSS) mit 41 Prozent, SQL-Injection mit 9 Prozent, die ungewollte Preisgabe von Informationen mit 32 Prozent sowie der unautorisierte Zugriff auf Ressourcen durch Kenntnis des Ortes mit 8 Prozent. Allerdings lässt der Report offen, welche dieser Lücken nun zu den kritischen zählen. Zwar dürfte man etwa klassische XSS-Lücken relativ schnell finden, eine Website dürfte darüber aber kaum kompromittierbar sein.

Mit Rückblick auf die vergangenen groß angelegten und relativ erfolgreichen SQL-Injection-Angriffe auf Webserver erscheint der Anteil von 9 Prozent überraschend gering. Allerdings handelte es sich dabei oft um Massenhacks eines Hosters, bei dem sich durch das Eindringen in eine Datenbank gleich mehrere Auftritte manipulieren ließen.

Leider bleibt Cross Site Request Forgery im Bericht außen vor: Laut WASC sei dieses Problem automatisch schwer zu erkennen. Zudem würde sie nach Meinung von Experten in jeder Webanwendung zu finden sein.

Siehe dazu auch:

• Web Application Security Statistics Project 2007, Report des Web Application Security Consortium

(dab)