Webapplikationen bergen neue Risiken

Sicherheitslücken in Webapplikationen - automatische Scanner reichen nicht

Sicherheitslücken in Webapplikationen können nicht zuverlässig mit automatisierten Werkzeugen gefunden werden, so dass es weiterhin unverzichtbar ist, derartige Anwendungen von Menschen testen zu lassen. Das ist das Fazit einer Untersuchung, die Markus Schumacher auf der Konferenz Datenschutz und Datensicherheit in Berlin vorgestellt hat. Rupert Vogel, Honorarprofessor für Informationstechnologierecht an der Universität Mannheim, stellte vor, wie das Recht helfen kann, die Sicherheit von Software zu verbessern.

Artikel veröffentlicht am ,

"Ohne über Prozesse nachzudenken, haben sie keine Chance, Webapplikationen sicher zu machen", so das Fazit von Schuhmacher, Geschäftsführer der Virtual Forge GmbH aus Mannheim. Immer mehr Unternehmensprozesse werden mit webbasierten Anwendungen kontrolliert, so Schumacher. Doch Unternehmen wiegen sich in falscher Sicherheit, wenn sie glauben, dass Firewalls oder Verschlüsselungstechnologien helfen, darin enthaltene Fehler aufzuspüren oder zu beseitigen. Denn viele Fehler entstünden auf logischer Ebene in der Architektur der Anwendungen, im Design oder Umsetzung.

Inhalt:
  1. Webapplikationen bergen neue Risiken
  2. Webapplikationen bergen neue Risiken
  3. Webapplikationen bergen neue Risiken

Automatisierte Testwerkzeuge helfen nur begrenzt, so das Ergebnis des Tests mit sieben Sicherheits-Scannern, die im August 2006 auf dem aktuellen Stand der Technik waren. Diese Scanner wurden auf eine mit 85 Sicherheitslücken präparierte Webapplikation angesetzt, die auf einem so genannten "gehärteten" Webserver liefen, so dass die Tester davon ausgehen, dass sie keine Fehler des Webservers anzeigen. Dann wurde für jede Lücke protokolliert, ob der Angriffscode, den der Scanner sendet, die Lücke erfolgreich ausnutzt oder nicht.

Das Ergebnis war ernüchternd. Zwar können Scanner schnell arbeiten und auch automatisiert außerhalb der Bürozeiten eingesetzt werden, was sehr hilfreich sein kann, wenn oft umfangreiche Tests geachtet werden müssen. Viele der einfachen Testfälle seien von den Scannern gut erkannt worden. Außerdem eignen sie sich gut, um zu überprüfen, ob die von den Scannern in einem ersten Schritt gefundenen Fehler ausgebessert worden sind. Sehr schlechte Ergebnisse zeigten manche Scanner dann aber schon dabei, überhaupt Seiten zu finden, die getestet werden müssen. Das erreichen sie durch Spidering, also indem sie Links auf den Seiten zu anderen Seiten folgen. Einer der Scanner konnte keinen einzigen der Spidering-Fälle lösen. Auch die übrigen Scanner konnten maximal die Hälfte der Fälle aufdecken. Insgesamt lag die Erkennungsrate korrekt identifizierter Schwachstellen im Test im Schnitt bei 8 von 85 Fehlern, der beste Scanner fand 14, der schlechteste 4 Fehler.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Webapplikationen bergen neue Risiken 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
Verkaufsverbot
Huawei will 50-Cent-Lizenzgebühr pro AVM-Fritzbox

Huawei hat gerichtlich ein gültiges Verkaufsverbot von Fritzboxen mit Wi-Fi 6 und Wi-Fi 7 durchgesetzt. Es geht um Huaweis Patente für den Standard.

Verkaufsverbot: Huawei will 50-Cent-Lizenzgebühr pro AVM-Fritzbox
Artikel
  1. Elektro-SUV: Porsche macht den Macan deutlich aerodynamischer
    Elektro-SUV
    Porsche macht den Macan deutlich aerodynamischer

    Der vollelektrische Porsche Macan soll "in Kürze" in die Produktion gehen. Dazu hat der Sportwagenhersteller neue Details zu dem SUV genannt.

  2. The Lost Crown im Test: Prince of Persia als super spaßiger Sidescroller
    The Lost Crown im Test
    Prince of Persia als super spaßiger Sidescroller

    Kein Prinz als Held, aber sonst königlich: Prince of Persia - The Lost Crown entpuppt sich im Test als rundherum gut gemachtes Abenteuer.
    Von Peter Steinlechner

  3. Future Racing Cable: Modulares USB-Kabel lädt 240 Watt und überträgt 40 GBit/s
    Future Racing Cable
    Modulares USB-Kabel lädt 240 Watt und überträgt 40 GBit/s

    Auf Indiegogo verspricht der Hersteller, dass kein anderes USB-Kabel mehr gebraucht wird. Schließlich sei das Future Racing Cable vielseitig.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • MindStar: Gigabyte RTX 4070 Ti 819€ • Google -47% • Steelseries -64% • Corsair -39% • Bose -36% • 3 Spiele für 49€ • Gigabyte 27" QHD 240 Hz 399€ • EA-Spiele -66% [Werbung]
    •  /