heise.de: Sicherheitsangriffe über Business Logic Flaws

heise.de zitiert den Security-Spezialisten Jeremiah Grossman, der Business Logic Flaws in Web-Anwendungen als den Angriffspunkt der Zukunft sieht.

Diese Angriffe lehnen sich an die Technik des "Forceful Browsing" an, sind aber deutlich ausgefeilter. So können z.B. bei Kenntnis der entsprechenden Abläufe bestimmte Prozessschritte umgangen werden, oder unzureichende Absicherungen leicht ausgehebelt werden.

Angriffe dieser Art stellen eine ganz neue Herausforderung an die Entwicklung von Software. Die ursächlichen Fehler geschehen NICHT in der Entwicklung (wie bei Cross-Site-Scripting oder SQL-Injection), auch NICHT im Operating (wie bei offenen Ports und fehlenden Patches). Die Ursache liegt grösstenteils auf Seiten der beauftragenden Fachabteilungen, die ihre Anforderungen an umzusetzende Prozess-Abläufe auch unter dem Gesichtspunkt der Sicherheit betrachten muss.

Nett zu lesen ist auch das Dokument "Seven Business Logic Flaws That Put Your Website At Risk" von Jeremiah Grossman