Abo
  • Services:
Anzeige

Webapplikationen bergen neue Risiken

Sicherheitslücken in Webapplikationen - automatische Scanner reichen nicht

Sicherheitslücken in Webapplikationen können nicht zuverlässig mit automatisierten Werkzeugen gefunden werden, so dass es weiterhin unverzichtbar ist, derartige Anwendungen von Menschen testen zu lassen. Das ist das Fazit einer Untersuchung, die Markus Schumacher auf der Konferenz Datenschutz und Datensicherheit in Berlin vorgestellt hat. Rupert Vogel, Honorarprofessor für Informationstechnologierecht an der Universität Mannheim, stellte vor, wie das Recht helfen kann, die Sicherheit von Software zu verbessern.

"Ohne über Prozesse nachzudenken, haben sie keine Chance, Webapplikationen sicher zu machen", so das Fazit von Schuhmacher, Geschäftsführer der Virtual Forge GmbH aus Mannheim. Immer mehr Unternehmensprozesse werden mit webbasierten Anwendungen kontrolliert, so Schumacher. Doch Unternehmen wiegen sich in falscher Sicherheit, wenn sie glauben, dass Firewalls oder Verschlüsselungstechnologien helfen, darin enthaltene Fehler aufzuspüren oder zu beseitigen. Denn viele Fehler entstünden auf logischer Ebene in der Architektur der Anwendungen, im Design oder Umsetzung.

Anzeige

Automatisierte Testwerkzeuge helfen nur begrenzt, so das Ergebnis des Tests mit sieben Sicherheits-Scannern, die im August 2006 auf dem aktuellen Stand der Technik waren. Diese Scanner wurden auf eine mit 85 Sicherheitslücken präparierte Webapplikation angesetzt, die auf einem so genannten "gehärteten" Webserver liefen, so dass die Tester davon ausgehen, dass sie keine Fehler des Webservers anzeigen. Dann wurde für jede Lücke protokolliert, ob der Angriffscode, den der Scanner sendet, die Lücke erfolgreich ausnutzt oder nicht.

Das Ergebnis war ernüchternd. Zwar können Scanner schnell arbeiten und auch automatisiert außerhalb der Bürozeiten eingesetzt werden, was sehr hilfreich sein kann, wenn oft umfangreiche Tests geachtet werden müssen. Viele der einfachen Testfälle seien von den Scannern gut erkannt worden. Außerdem eignen sie sich gut, um zu überprüfen, ob die von den Scannern in einem ersten Schritt gefundenen Fehler ausgebessert worden sind. Sehr schlechte Ergebnisse zeigten manche Scanner dann aber schon dabei, überhaupt Seiten zu finden, die getestet werden müssen. Das erreichen sie durch Spidering, also indem sie Links auf den Seiten zu anderen Seiten folgen. Einer der Scanner konnte keinen einzigen der Spidering-Fälle lösen. Auch die übrigen Scanner konnten maximal die Hälfte der Fälle aufdecken. Insgesamt lag die Erkennungsrate korrekt identifizierter Schwachstellen im Test im Schnitt bei 8 von 85 Fehlern, der beste Scanner fand 14, der schlechteste 4 Fehler.

Webapplikationen bergen neue Risiken 

eye home zur Startseite
innovator 14. Mär 2007

vorträge sind halt so :) so kann jeder seine voträge halten über irgendein zeugs - und...

ale 14. Mär 2007

Ok stimmt natürlich schon. Man kann ja die sinnlosesten JUnit-Tests schreiben, die zwar...



Anzeige

Stellenmarkt
  1. Teambank AG, Nürnberg
  2. Helicopter Flight Training Services GmbH, Bückeburg
  3. BSH Hausgeräte GmbH, Giengen
  4. Bosch Sicherheitssysteme GmbH, Grasbrunn bei München


Anzeige
Blu-ray-Angebote
  1. 61,99€
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (Blu-rays, 4K UHDs, Box-Sets und Steelbooks im Angebot)

Folgen Sie uns
       


  1. Festnetz und Mobilfunk

    Telekom kämpft mit Zerstörungen durch den Orkan Friederike

  2. God of War

    Papa Kratos kämpft ab April 2018

  3. Domain

    Richard Gutjahr pfändet Compact-online.de

  4. Carsharing

    Drivenow und Car2Go wollen fusionieren

  5. Autonomes Fahren

    Alstom testet automatisierten Zugbetrieb

  6. Detectron

    Facebook gibt eigene Objekterkennung frei

  7. Mavic Air

    DJI präsentiert neuen Falt-Copter

  8. Apple

    Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  9. 860 Evo und 860 Pro

    Samsungs SSDs sind flotter und sparsamer

  10. Mozilla

    Firefox Quantum wird mit Version 58 noch schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

BeA: Soldan will Anwälten das Internet ausdrucken
BeA
Soldan will Anwälten das Internet ausdrucken
  1. BeA Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein
  2. Chipkarten-Hersteller Thales übernimmt Gemalto
  3. Atos Gemalto bekommt 4,3-Milliarden-Euro-Angebot

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. NetzDG Streit mit EU über 100-Prozent-Löschquote in Deutschland
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Nope

    Crass Spektakel | 03:04

  2. Re: Ich mag Linux ja...

    Seitan-Sushi-Fan | 02:58

  3. Re: mein LG schafft teilweise 30% nicht mehr

    mieze1 | 02:56

  4. Re: "Nur"

    Carl Weathers | 02:54

  5. Re: ein sehr schönes Gerät

    Onkel Ho | 02:47


  1. 18:19

  2. 18:08

  3. 17:53

  4. 17:42

  5. 17:33

  6. 17:27

  7. 17:14

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel