Wenn Web-Apps sich weigern

EnterpriseMobile

Schreckens-Hitliste der Admins und Entwickler

Wenn Web-Applikationen ganz andere Dinge tun, als ihre Urheber sich das ausgedacht haben, dann liegt das in aller Regel an nicht standardisierten Parametern. Zu diesem Ergebnis kommt das Open Web Aplication Security Project (Owasp) in seiner jüngsten Untersuchung der Web-Anwendungs-Fehler.

Außerdem führt das Open-Source-Projekt an, dass häufig die Zugangskontrolle oder das Benutzerkonto ausfällt, die Sitzung des Anwenders nicht korrekt weitergeführt wird, oder aber das Cross-Site-Scripting (CSS) versagt.

Aber auch der klassische Pufferüberlauf findet sich auf der Topten-Liste der gravierendsten Absturzursachen für Web-Applikationen. Für Kopfzerbrechen sorgen bisweilen auch die Befehlseingabe, der Umgang mit internen Fehlermeldungen und der schlampige Umgang mit kryptografischen Verfahren.

Schließlich sollten sich verantwortliche Entwickler und Administratoren auch noch ein bisschen um Fernwartung und deren Tücken sowie die Konfiguration von Web- und Applikationsservern kümmern, heißt es in der Owasp-Studie weiter. “Die Gefahren, die aus solch mangelhaften Web-Anwendungen erwachsen, halten wir für ebenso gravierend oder sogar für noch gefährlicher als die Gefährdungen durch Schwachstellen in Netzwerken”, so Jeff Williams, der Sprecher des Projekts. “Die Risiken werden nur mit weit weniger Aufmerksamkeit bedacht”, warnt er.

Die Gefährdungsszenarien seien alles andere als neu – sie fänden nur keinerlei Niederschlag in der Entwicklung von Applikationen und deren Umgebungen, so Williams weiter. Wenn ein Hacker sich die Schwachstellen einer schlechten Web-Applikation zunutze mache, könne er in aller Regel auch an sensible Unternehmensdaten gelangen, lautet die eindeutige Warnung.

Die vollständige Liste mit einer Beschreibung der identifizierten Schwachstellen ist unter http://www.owasp.org zu finden.