Abo
  • Services:

Webapplikationen bergen neue Risiken

Sicherheitslücken in Webapplikationen - automatische Scanner reichen nicht

Sicherheitslücken in Webapplikationen können nicht zuverlässig mit automatisierten Werkzeugen gefunden werden, so dass es weiterhin unverzichtbar ist, derartige Anwendungen von Menschen testen zu lassen. Das ist das Fazit einer Untersuchung, die Markus Schumacher auf der Konferenz Datenschutz und Datensicherheit in Berlin vorgestellt hat. Rupert Vogel, Honorarprofessor für Informationstechnologierecht an der Universität Mannheim, stellte vor, wie das Recht helfen kann, die Sicherheit von Software zu verbessern.

Artikel veröffentlicht am ,

"Ohne über Prozesse nachzudenken, haben sie keine Chance, Webapplikationen sicher zu machen", so das Fazit von Schuhmacher, Geschäftsführer der Virtual Forge GmbH aus Mannheim. Immer mehr Unternehmensprozesse werden mit webbasierten Anwendungen kontrolliert, so Schumacher. Doch Unternehmen wiegen sich in falscher Sicherheit, wenn sie glauben, dass Firewalls oder Verschlüsselungstechnologien helfen, darin enthaltene Fehler aufzuspüren oder zu beseitigen. Denn viele Fehler entstünden auf logischer Ebene in der Architektur der Anwendungen, im Design oder Umsetzung.

Inhalt:
  1. Webapplikationen bergen neue Risiken
  2. Webapplikationen bergen neue Risiken
  3. Webapplikationen bergen neue Risiken

Automatisierte Testwerkzeuge helfen nur begrenzt, so das Ergebnis des Tests mit sieben Sicherheits-Scannern, die im August 2006 auf dem aktuellen Stand der Technik waren. Diese Scanner wurden auf eine mit 85 Sicherheitslücken präparierte Webapplikation angesetzt, die auf einem so genannten "gehärteten" Webserver liefen, so dass die Tester davon ausgehen, dass sie keine Fehler des Webservers anzeigen. Dann wurde für jede Lücke protokolliert, ob der Angriffscode, den der Scanner sendet, die Lücke erfolgreich ausnutzt oder nicht.

Das Ergebnis war ernüchternd. Zwar können Scanner schnell arbeiten und auch automatisiert außerhalb der Bürozeiten eingesetzt werden, was sehr hilfreich sein kann, wenn oft umfangreiche Tests geachtet werden müssen. Viele der einfachen Testfälle seien von den Scannern gut erkannt worden. Außerdem eignen sie sich gut, um zu überprüfen, ob die von den Scannern in einem ersten Schritt gefundenen Fehler ausgebessert worden sind. Sehr schlechte Ergebnisse zeigten manche Scanner dann aber schon dabei, überhaupt Seiten zu finden, die getestet werden müssen. Das erreichen sie durch Spidering, also indem sie Links auf den Seiten zu anderen Seiten folgen. Einer der Scanner konnte keinen einzigen der Spidering-Fälle lösen. Auch die übrigen Scanner konnten maximal die Hälfte der Fälle aufdecken. Insgesamt lag die Erkennungsrate korrekt identifizierter Schwachstellen im Test im Schnitt bei 8 von 85 Fehlern, der beste Scanner fand 14, der schlechteste 4 Fehler.

Webapplikationen bergen neue Risiken 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. 119,90€
  2. (reduzierte Überstände, Restposten & Co.)

innovator 14. Mär 2007

vorträge sind halt so :) so kann jeder seine voträge halten über irgendein zeugs - und...

ale 14. Mär 2007

Ok stimmt natürlich schon. Man kann ja die sinnlosesten JUnit-Tests schreiben, die zwar...


Folgen Sie uns
       


Touch-Projektoren von Bosch angesehen (CES 2019)

Die Projektoren von Bosch erlauben es, das projizierte Bild als Touch-Oberfläche zu verwenden. Das ergibt einige interessante Anwendungsmöglichkeiten.

Touch-Projektoren von Bosch angesehen (CES 2019) Video aufrufen
Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

    •  /