13.09.2007 | Autor / Redakteur: Peter Hempel / Peter Schmitz
Noch bis vor Kurzem waren Pufferüberläufe die beliebteste Schwachstelle zum Hacken von Websites. Laut der von der US-Regierung geförderten Forschungseinrichtung MITRE Corporation gehen Hacker jedoch zunehmend vom Website-Vandalismus zu weitaus lukrativeren Cross-Site-Scriptings und SQL-Injections über.
Viele Websites weisen Schwachstellen für Cross-Site-Scripting und SQL-Injections auf und geben dadurch wertvolle Daten wie Kreditkarteninformationen preis. Mit Hilfe regelmäßiger Schwachstellen-Scans durch Analyse-Tools lassen sich Web-Sicherheitslücken jedoch rechtzeitig erkennen und beheben, bevor ein Schaden entsteht.
Bei der Identifizierung aktueller Sicherheitslücken (Common Vulnerabilities and Exposures, CVE) durch MITRE wurde festgestellt, dass unter den 4375 Sicherheitsproblemen, die in letzter Zeit erfasst werden konnten, Schwachstellen im Web-Bereich die obersten drei Plätze einnehmen: 21,5 Prozent der CVEs waren XSS-Sicherheitslücken (Cross-Site-Scripting), 14 Prozent der Lücken entfielen auf SQL-Injection und rund ein zehntel auf PHP-basierte „Includes“-Gefahren. Pufferüberläufe belegten mit 7,9 Prozent lediglich Rang vier.
Der Anstieg bei XSS-Angriffen belegt, dass Hacker sich zunehmend auf Schwachstellen in Programmiersprachen für Web-Anwendungen konzentrieren, unter anderem Java, .NET und PHP. Pufferüberläufe hingegen nutzen Lücken in ausführbaren Dateien aus, die beispielsweise in C geschrieben wurden.
Ein Mitarbeiter des Security-Unternehmens Dreamlab berichtet darüber hinaus von einem neuen Angriffstyp. Sven Vetsch präsentierte einen Machbarkeitsbeweis der von ihm „Cross Site Image Overlaying“ (XSIO) genannten Technik. Sie ermöglicht einem Angreifer, Website Defacements vorzunehmen, Phishing-Attacken auf einer Site zu arrangieren oder Fehlinformationen zu verbreiten. Im Gegensatz zum XSS ist dafür kein Scriptcode notwendig, allerdings sind nur Bereiche von Webseiten damit angreifbar, in denen der User Bilder und Links einbinden kann.
Website-Angriffe werden immer beliebter, da sich beispielsweise XSS-Schwachstellen einfach ausnutzen lassen und eine große Anzahl an Web-Anwendungen frei zugänglich ist. Websites mit Einkaufswagen, Formularen, Login-Seiten und dynamischen Inhalten sind ein beliebtes Ziel für Attacken. Online-Applikationen erfordern einen ungehinderten, direkten Zugriff auf Backend-Datenbanken – sind Web-Anwendungen jedoch nicht sorgfältig genug programmiert, bieten sie Angreifern Schlupflöcher, durch die persönliche Daten wie Kreditkartenangaben, Sozialversicherungsnummern und sogar Krankenakten entwendet werden können.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007608)
