Die 8 größten Schwachstellen im Web
Kommentare

Egal, ob kleine Firma oder großer Weltkonzern: Vor Hacker-Angriffen und Datenklau ist niemand per se gefeit.

Zwar pumpen gerade die großen Player Unmengen an Geld ab, wenn es darum geht, sich vor eben diesen Worst-Case-Szenarien zu schützen, eine Befragung von Symantec hat aber jetzt ergeben, dass ein Viertel der befragten IT-Experten gar nicht erst zu sagen vermochte, ob ihre Website sicher ist. 2 Prozent gaben an, sich darüber im Klaren zu sein, dass ihre Seite nicht gegen Angriffe von außen gewappnet sei.

Der Großteil meinte jedoch, dass die eigene Seite keinerlei Schwachstellen für Hacker biete. Symantec kam indes zu anderen Ergebnissen: Über 25 Prozent aller Websites weisen kritische Schwachstellen auf. Auch kleine Firmen oder Freiberufler sollten sich nicht in Sicherheit wähnen, denn jeder fünfte Angriff trifft Unternehmen unter 250 Angestellten.

Einen Anhaltspunkt, um die eigene Website-Sicherheit zu prüfen, gibt das Ranking der 8 größten Schwachstellen bei Websites.

  1. URI Attacks

URIs können unter Umständen Informationen beinhalten, die eigentlich unsichtbar bleiben sollten, z.B. Passwörter oder Parameter, die Hacker für sich ausnutzen können.

  1. SQL Injection

Über URIs oder Form Fields können Hacker in Form einer SQL Injection die Kontrolle über eine Datenbank übernehmen, sie manipulieren oder gar löschen.

  1. XXS

In JavaScript hat jedes Script auf einer Seite die gleichen Permissions – egal von welchem Server es kommt. Cross-Site-Scripting (XSS) ermöglicht es Hackern, ihr eigenes JavaScript auf einer fremden Website einzuschleusen, indem sie es entweder ans Ende eines URI anhängen oder in Form eines Parameters in einem Form Field einschleusen. Einmal injiziert können Hacker Cookies lesen, Passworteingaben fordern, Viren verteilen etc. Auf XSSED.org kann man einsehen, wieviele Webseiten für XXS anfällig sind.

  1. RFI

Remote File Inclusion, auch Code Injection genannt, erlaubt es Angreifern, Code von einem fremden Server auf dem attackierten Server laufen zu lassen. Im Gegensatz zu XSS kann mit RFI sogar die volle Kontrolle über einen Server übernommen werden.

  1. Cross-Site Request Forgery

CSRF nutzt eine Schwachstelle in Webseiten aus, die GET Requests erlauben, ohne überhaupt zu wissen, ob diese von einem Besucher getriggert wurden. Wenn ein Script einen Eintrag in die Datenbank macht, ohne zu belegen, dass die Daten vom eigenen Server kommen, können zum Beispiel Grafiken, Kommentare oder XSS-Daten injiziert werden.

  1. Path Traversal

Wenn man es Seitenbesuchern erlaubt, Directories auf dem Server zu umgehen, lässt man sie Folder auflisten, die sensible Daten wie Log Files enthalten können. Diese View ermöglicht es Angreifern etwa, Spam-Mails zu versenden.

  1. Phishing

Phishing ist eine weitverbreitete Masche, um Usern ihre Zugangsdaten abzuluchsen. Dazu wird meist nach prominentem Vorbild eine falsche Website aufgesetzt und die User üblicherweise in einer ebenso überzeugend immitierten E-Mail dazu aufgefordert, aus irgendeinem Grund ihre Account-Daten zu bestätigen.

  1. Clickjacking

Beim Clickjacking wird XSS in Kombination mit Inline Frames genutzt, so dass User Dinge via Klick auslösen, ohne es zu merken. Theoretisch kann der Angreifer jegliche Aktionen ausnutzen, die via Klicks vom User angestoßen werden können.

Das A und O ist es, erst einmal überhaupt die verbreiteten Schwachstellen zu kennen und zu wissen, wie sie grundsätzlich funktionieren. Wenn Sie das nächste Mal Forms oder URIs erstellen, werden Sie vielleicht schon etwas wachsamer sein. In Fällen wie dem Clickjacking wird es jedoch schlichtweg komplexer, denn selbst das Verbot von Inline Frames kann den Vorgang nicht zwangsläufig verhindern.

Das Open Web Application Security Project (www.owasp.org), eine gemeinnützige Vereinigung, die u.a. Guidelines und Whitepapers zur Web-Sicherheit herausbringt, veröffentlicht übrigens alle drei Jahre eine Top-Ten-Liste der „Most Critical Web Security Risks“ und bietet Beispiele für Gegenmaßnahmen an. Zu mehr Sicherheit verhilft mitunter auch eine Code-Analyse, die sich mit entsprechenden Tools ohne großen Aufwand durchführen lässt.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -