Cross-Site Scripting ist größtes Sicherheitsrisiko

EnterpriseSicherheit

Noch bis vor Kurzem waren Buffer-Overflows die beliebteste Schwachstelle zum Hacken von Websites. Laut MITRE gehen Hacker jedoch zunehmend vom Website-Vandalismus zum weitaus lukrativeren Geschäft des Datendiebstahls über.

Cross-Site Scripting (XSS) und SQL-Injection zählen mittlerweile zu den beliebtesten Angriffsmethoden. Viele Websites weisen Schwachstellen für diese Attacken auf und geben dadurch wertvolle Daten wie Kreditkarteninformationen preis.

Die Identifizierung aktueller Sicherheitslücken durch die von der US-Regierung geförderten Forschungseinrichtung MITRE ergab, dass unter den in den ersten drei Quartalen 2006 erfassten 4375 Sicherheitsproblemen Schwachstellen im Web-Bereich die obersten drei Plätze einnehmen: 21,5 Prozent der CVEs(Common Vulnerabilities and Exposures) waren XSS-Sicherheitslücken, 14 Prozent der Lücken entfielen auf SQL-Injection und 9,5 Prozent auf PHP-basierte “Includes”-Gefahren. Pufferüberläufe belegten mit 7,9 Prozent lediglich Rang vier.

Der Anstieg bei XSS-Angriffen belegt, dass Hacker sich zunehmend auf Schwachstellen in Programmiersprachen für Web-Anwendungen konzentrieren, unter anderem Java, .NET und PHP. Pufferüberläufe hingegen nutzen Lücken in ausführbaren Dateien aus, die beispielsweise in C geschrieben wurden.

Auch Website-Angriffe werden immer beliebter, da sich beispielsweise XSS-Schwachstellen einfach ausnutzen lassen und eine große Anzahl an Web-Anwendungen frei zugänglich ist. Websites mit Einkaufswagen, Formularen, Login-Seiten und dynamischen Inhalten sind ein beliebtes Ziel für Attacken. Online-Applikationen erfordern einen ungehinderten, direkten Zugriff auf Backend-Datenbanken – sind Web-Anwendungen jedoch nicht sorgfältig genug programmiert, bieten sie Angreifern Schlupflöcher, durch die persönliche Daten wie Kreditkartenangaben, Sozialversicherungsnummern und sogar Krankenakten entwendet werden können.