An der Technischen Universität Wien wurde ein System entwickelt, mit dem Sicherheitslücken in Webapplikationen automatisch aufgespürt werden können. Entwickelt wurde Secubat Framework von Stefan Kals im Rahmen eines Forschungsprojektes. Die ersten Probeläufe zeigten, dass vier bis sieben Prozent der Webapplikationen unsicher sind.
"Bisher waren Attacken auf derartige Sicherheitslücken nicht wirklich bekannt oder sie mussten manuell mit entsprechend großem Aufwand gesucht werden", meint Engin Kirda von der Distributed Systems Group an der TU Wien, einer der Betreuer der Arbeit. "Wir haben die derzeit gängigsten Arten von Hacker-Angriffen simuliert, wie zum Beispiel SQL Injection oder Cross-Site Scripting Attacks. Das sind jene Angriffsmethoden, bei denen über Formulare ein Code eingeschleust wird, der Datenbankabfragen durchführt oder Webseiten verändert. Diese Wege können beispielsweise für Phishing ausgenutzt werden. ", erklärt Kals.
Das Ergebnis war für den Entwickler überraschend. "Die Sicherheitschecks lieferten eine lange Liste von betroffenen Anwendungen, mit dabei auch bekannte E-Commerce und E-Government-Sites", so Kals. Durchschnittlich jede zwanzigste vom Programm attackierte Webapplikation wurde als potenziell anfällig markiert. "Das war ein sehr hoher Anteil", kommentierte Kals das Ergebnis, der seinen Auftrag auch gleich verstand: "Selbstverständlich wurden die Betreiber der betroffenen Seiten sofort über die Sicherheitslücken informiert."
Die Erfahrungen mit Secubat zeigen, mit welch geringem Aufwand Hacker ihre kriminellen Ziele verfolgen können, so die Forscher. Derart leicht auszunutzende Sicherheitslücken kommen ihnen dabei entgegen. Mit Hilfe von automatisierten Tools wie Secubat ist es für Hersteller von Webapplikationen in Zukunft möglich, den Hackern einen Schritt voraus zu sein und bestehende Lücken zu schließen, bevor diese ausgenutzt werden können.
