Webanwendungen sind meist löchrig wie ein Schweizer Käse. Relativ bekannte und simple Attacken wie Cross-Site-Scripting oder SQL-Injection bringen so manchen Shop oder manches Portal in Bedrängnis. Kein Wunder also, dass sich bei rund 80 Prozent der getesteten Internetseiten binnen 30 Minuten mindestens ein Schlupfloch finden lässt.

Die wachsende Anzahl an Cracking-Tools mit automatisierten Angriffsmöglichkeiten bietet sogar für unerfahrene Script-Kiddies die Möglichkeit, kleine Schwächen in Webanwendungen auszunutzen.

Als gängige Angriffsmuster gelten etwa URL-Manipulationen, Command- beziehungsweise SQL-Injection sowie Cross-Site-Scripting. Herkömmliche Firewall-Technologien bieten gegen die Datenausspähung und -manipulation, Identitätsdiebstahl oder Denial-of-Service-Attacken keinen ausreichenden Schutz. Problematisch ist vor allem, dass es reicht, wenn der Brand an einer einzigen Schwachstelle ausbricht.

Ungültige Eingaben gelten als eine der größten Schwachstellen. Trotzdem bauen die meisten Firmen zunächst eine Anwendung und fragen oft erst hinterher nach der Sicherheit. Entwickler sollten beim Programmieren zwar auf korrekte Ein- und Ausgabeprüfung achten sowie die Zugriffsberechtigungen spezifizieren oder einschränken, doch lassen sich hochgesteckte Vorgaben in der Praxis selten durchgängig realisieren. Regelmäßige Prüfung der Programmiertechnik sowie Designchecks sind bisher nur selten Usus.

Auch mangelt es an bedarfsgerechten, vom Hersteller unabhängigen sowie umfassenden Security-Schulungen zum Thema Web-Applikationssicherheit, die zudem Theorie und Praxis sinnvoll verzahnen. Nur wenige Anbieter wenden sich bisher mit gezielten Angeboten an die Entwickler. Das Terrain gilt als ausgesprochen sensibel. Oft führen kurzfristig beauftragte Teams aufgrund kritischer Vorgänge quasi „posthum“ und ad hoc Penetrationstests auf Webapplikationen im Beisein des Kunden durch, die in der Regel das eine oder andere „Aha-Erlebnis“ für die Verantwortlichen nach sich ziehen.

Page: 1 2 3 4 5 6

ZDNet.de Redaktion

Recent Posts

Cactus: Ransomware-Neuling mit ausgefeilten TTPs

Cactus hat seit März dieses Jahres schon Daten von einigen weltweit bekannten Unternehmen infizieren können.

3 Tagen ago

Ransomware im Jahr 2024: G Data sagt steigende Lösegelder voraus

Zudem wird wohl künstliche Intelligenz die Bedrohungslage verschärfen. Cyberkriminelle werden außerdem ihre Schadprogramme besser gegen…

3 Tagen ago

Apple schließt Zero-Day-Lücken in iOS, iPadOS und macOS

Sie werden bereits aktiv von Cyberkriminellen ausgenutzt. Die Attacken richten sich offenbar ausschließlich gegen iPhones.…

3 Tagen ago

Microsoft testet neue Energiesparfunktion für Windows 11

Sie optimiert den Energieverbrauch auch von mit dem Stromnetz verbundenen Geräten. Die neue Vorabversion enthält…

3 Tagen ago

So halten Stromnetze die Energiewende besser aus

Drei Jahre lang ging das multinationale Forschungsprojekt Progressus der Frage nach, wie unsere Stromnetze resilienter…

3 Tagen ago

Solita in der TOP 10 der beliebtesten Arbeitgeber

Der finnische Datenmanagement-Spezialist weiß, worauf junge Fachkräfte Wert legen und klettert im YPAI-Ranking von Academic…

4 Tagen ago