Informatik

Scanner spürt unsichere Websites auf

Sicherheitslücken von Webapplikationen werden automatisch entdeckt

Gibt es Sicherheitslücken in meiner Webapplikation? Mit dieser Frage sehen sich die Betreiber von Internet-Seiten mit dynamischen Webanwendungen regelmäßig konfrontiert. Das Aufspüren von Sicherheitslücken auf solchen Seiten musste bisher weitgehend manuell und mit entsprechend hohem Aufwand durchgeführt werden. Forscher der Technischen Universität Wien haben in einem neuen Projket mit dem "SecuBat Framework" eine automatisierte und somit äußerst Ressourcen schonende Lösung entwickelt, die mögliche Lücken auf Webseiten schon im Vorfeld aufspüren kann.

{1l}

Über 20.000 Webadressen wurden in ersten Probeläufen innerhalb weniger Stunden geprüft. Zwischen vier und sieben Prozent der "attackierten" Webapplikationen wurden dabei als potenziell anfällig markiert, je nach verwendetem Ansatz. "Das war ein überraschend hoher Anteil" meint Stefan Kals, Entwickler des "SecuBat Framework".

"Wir haben die derzeit gängigsten Arten von Hacker-Angriffen simuliert, wie zum Beispiel SQL Injection oder Cross-Site Scripting Attacks (XSS). Das sind jene Angriffsmethoden, bei denen über Formulare ein Code eingeschleust wird, der Datenbankabfragen durchführt oder Webseiten verändert.

Effekte, die zum Beispiel für Phishing ausgenutzt werden können. Die Sicherheitschecks lieferten eine lange Liste von betroffenen Anwendungen, die auch vor bekannten E-Commerce und E-Government-Sites nicht halt machten. Selbstverständlich wurden die Betreiber der betroffenen Seiten sofort über die Sicherheitslücken informiert.", resümiert Stefan Kals.

Höheres Sicherheitsbewusstsein bei Webapplikationen nötig

Die Erfahrungen mit "SecuBat" zeigen, mit wie geringem Aufwand ein Hacker heutzutage an lohnende Ziele mit leicht auszunützenden Sicherheitslücken kommen kann. Mit Hilfe von automatisierten Tools sollte es den Herstellern von Webapplikationen aber in Zukunft möglich sein, Hackern einen Schritt voraus zu sein und bestehende Lücken zu schließen, bevor diese ausgenutzt werden können.

Die Ergebnisse des Forschungsprojekts werden im Mai auf der 15. Internationalen World Wide Web Konferenz in Edinburgh präsentiert. "Diese Veranstaltung ist die wichtigste Adresse für wissenschaftliche Resultate im Bereich von Webtechnologien. Google und Microsoft stellen hier regelmäßig ihre neuesten Suchalgorithmen vor" freuen sich Engin Kirda und Christopher Kruegel, Securityforscher an der Fakultät für Informatik.

(idw – Technische Universität Wien, 20.03.2006 – DLO)

Keine Meldungen mehr verpassen – mit unserem wöchentlichen Newsletter.
Teilen:

In den Schlagzeilen

News des Tages

Skelett eines ungeborenee Kindes

So entstehen die Knochen des ungeborenen Kindes

Astronomen entdecken jüngsten Transit-Planet

Mehr Blackouts durch Wind- und Sonnenstrom?

Parkinson: Wenn mehr Dopamin mehr Zittern bedeutet

Diaschauen zum Thema

keine Diaschauen verknüpft

Dossiers zum Thema

Bücher zum Thema

Der Arktis- Klima-Report - von Michael Benthack und Maren Klostermann (Übersetzer)

Die Wunder maschine - Die unendliche Geschichte der Daten- verarbeitung von Herbert Matis

Das Affenpuzzle - Und weitere bad news aus der Computerwelt von David Harel

Top-Clicks der Woche