aus einer Meldung der Computerwoche:
IT-Security - Die meisten großen Internet-Seiten haben Schwachstellen
Bekannte und oft besuchte Websites sind besonders anfällig für Attacken - in der Regel betrifft es acht von zehn Angeboten. Zu diesem Ergebnis kommt eine gestern vorgelegte Untersuchung des Sicherheitsdienstleiters WhiteHat Security. Das Unternehmen prüft regelmäßig Hunderte von beliebten und stark besuchten Websites.
Die gefundenen Angriffsmöglichkeiten sind die üblichen Verdächtigen:
Cross-Site-Scripting: zwei Drittel aller Sites
Abruf von Programmcode: ein Drittel aller Sites
Content-Spoofing: ein Viertel aller Sites
Aus meiner Erfahrung heraus weiss ich wie aufwendig es sein kann, Lücken in der Software nachträglich zu finden und zu beseitigen. Die Ursachen liegen tief bei Entwicklung von Web-Anwendungen verborgen, viele Entwickler kennen sich mit dem Thema "Web Application Security" kaum aus, und kennen die Angriffsmethoden nicht. Die Implementierung einer sicheren Web-Anwendung muss ganz früh in der Konzeptionsphase der Software beginnen. Der Lösungs-Ansatz zur Vermeidung vieler dieser Lücken nutzt normalerweise zentrale Klassen, z.B. Filterklassen, die alle Ein- und Ausgaben prüfen.
Die Berücksichtigung in der SW-Entwicklung ist einfach ... wenn man es von Anfang an richtig macht. Falls so etwas nicht direkt von Anfang an vorgesehen ist, kann man z.B. eine Umstellung der Parameter-bearbeitung auf einen zentralen Filter nur mit sehr viel Aufwand nachziehen. Das nachträgliche "Hineinprüfen" von Security kann nicht funktionieren, und findet immer nur die nächstbeste Schwachstelle.
1 Kommentar:
XSS nur 2/3? Es ist bestimmt noch mehr :-)
Kommentar veröffentlichen