WASC sieht Web 2.0 im Visier der Angreifer
Hauptangriffsziele der Cyberkriminellen waren im ersten Halbjahr 2009 Web-2.0-Seiten. Ihnen galten 19 Prozent der vom Web Application Security Consortium gezählten Angriffe.
- Ute Roos
Angriffe auf Web-2.0-Seiten haben im Vergleich zum vergangenen Jahr signifikant zugenommen, schreibt das Web Application Security Consortium (WASC) in seinem jüngsten Halbjahresbericht (PDF-Datei). Der seit zehn Jahren erscheinende Bericht analysiert und kommentiert die Web Hacking Incidents Database (WHID), eine Sammlung webanwendungsbezogener Sicherheitsvorfälle des WASC.
Mit 19 Prozent aller aufgezeichneten Vorfälle sind Web-2.0-Seiten das bevorzugte Ziel der Cyberkriminellen. Zum einen haben solche Plattformen große Benutzerzahlen, zum anderen lassen die Techniken der Content-Generierung durch Benutzer und das Konzept der dynamischen Webseiten zahlreiche Angriffsmöglichkeiten zu. Signifikant angestiegen sind Cross-Site-Scripting- und Cross-Site-Request-Forgery-Angriffe (XSS und CSRF, siehe auch Neuartige Angriffe überrumpeln Webanwender).
An zweiter Stelle folgen Angriffe auf kommerzielle Webseiten. Hier fallen 16 Prozent der Vorfälle auf Medienangebote und je 12 Prozent auf technische, Retail- und internetbezogene Seiten. Auch politische oder E-Government-Angebote versammeln noch 12 Prozent aller Angriffe auf sich. Schlusslichter bilden die Themenbereiche Unterhaltung (7 Prozent), Erziehung (5 Prozent) und Finanzen (5 Prozent).
Bei der Art der Angriffe liegt SQL-Injection mit 19 Prozent deutlich vorn. Die zweitgrößte Gruppe (11 Prozent) sind die unbekannten Angriffe; wegen fehlender Loggingmechanismen in den Organisationen können hier die Schwachstellen nicht identifiziert werden. Mit 11 Prozent schlagen ungenügende oder mangelnde Authentifizierungsmechanismen zu Buche, gefälschte Inhalte und Btrute-Force- oder DoS-Angriffe sind mit 10 Prozent fast ebenso häufig.
Im Gegensatz zu anderen Schwachstellendatenbanken wie CVE, OSVDB oder die SecurityFocus Vulnerabilities Database beschreibt die WHID nicht die technische Seite der Schwachstellen in Webapplikationen, sondern deren Auswirkungen. Alle in die Liste aufgenommenen Vorfälle müssen außerdem öffentlich dokumentiert sein. (ur)
