Viele Firmen setzten Web Services “wie in einem Rausch” ein und vernachlässigten dabei die Sicherheitsrisiken, sagte Alex Stamos, Mitgründer der US-Sicherheitsfirma Information Security Partners während der Konferenz ‘CanSecWest/core06’ (Vancouver, 3. bis 7. April).
Die derzeit gebräuchlichen Web Services Tools machten es den Anwendern zudem leicht, die Risiken zu ignorieren. Web Services könnten mit einer Vielzahl von Software interagieren – dieser Vorteil könne sich jedoch zum Nachteil wenden, wenn die Sicherheit vernachlässigt werde.
Stamos zeigte, wie Web-Services-Techniken wie Ajax (Asynchronous JavaScript and XML) von Hackern missbraucht werden können. Unter anderem demonstrierte er, wie Schadsoftware in das Webformular eines Unternehmens injiziert werden kann. Web-Services-Anfragen könnten zudem genutzt werden, um Überlastungsangriffe (Denial of Service) durchzuführen.
Viele Entwickler verstehen nicht, wie Web Services funktionieren, sagte Stamos. Das werde von den Herstellern der Web Services Tools unterstützt. Diese priesen ihre Software als “magisch” an und verschleierten so die Komplexität der Web Services. Ergebnis sei, dass sich Unternehmen plötzlich mit Sicherheitsrisiken konfrontiert sähen, die sie nicht antizipiert hätten.
Die Hersteller der Web Services Tools könnten die Hackerangriffe jedoch erschweren, wenn sie ihre Produkte mit Input-Filtern ausrüsten, meinte Stamos. Zudem sollten Sicherheitsexperten dem Thema mehr Aufmerksamkeit widmen. Bislang seien Web Services das “Stiefkind der Sicherheitsindustrie”.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…