pts20070912012 Technologie/Digitalisierung, Medien/Kommunikation

Cross-Site-Scripting führt Liste der gefährlichsten Sicherheitsrisiken an

Acunetix rät zu regelmäßigen Website-Audits für schnelle Identifizierung von Schwachstellen


London (pts012/12.09.2007/10:00) Noch bis vor Kurzem waren Pufferüberläufe die beliebteste Schwachstelle zum Hacken von Websites. Laut der von der US-Regierung geförderten Forschungseinrichtung MITRE Corporation gehen Hacker jedoch zunehmend vom Website-Vandalismus zum weitaus lukrativeren Geschäft des Datendiebstahls über. Cross-Site-Scripting und SQL-Injection zählen mittlerweile zu den beliebtesten Angriffsmethoden. Viele Websites weisen Schwachstellen für diese Attacken auf und geben dadurch wertvolle Daten wie Kreditkarteninformationen preis. Mit Hilfe regelmäßiger Schwachstellen-Scans durch Analyse-Tools wie Acunetix Web Vulnerability Scanner (http://www.acunetix.de/cross-site-scripting/scanner.htm) lassen sich Web-Sicherheitslücken jedoch rechtzeitig erkennen und beheben, bevor ein Schaden entsteht.

Bei der Identifizierung aktueller Sicherheitslücken (Common Vulnerabilities and Exposures, CVE) durch MITRE wurde festgestellt, dass unter den 4375 Sicherheitsproblemen, die in den ersten drei Quartalen 2006 erfasst werden konnten, Schwachstellen im Web-Bereich die obersten drei Plätze einnehmen: 21,5 Prozent der CVEs waren XSS-Sicherheitslücken (Cross-Site-Scripting), 14 Prozent der Lücken entfielen auf SQL-Injection und 9,5 Prozent auf PHP-basierte "Includes"-Gefahren. Pufferüberläufe belegten mit 7,9 Prozent lediglich Rang vier.

Der Anstieg bei XSS-Angriffen belegt, dass Hacker sich zunehmend auf Schwachstellen in Programmiersprachen für Web-Anwendungen konzentrieren, unter anderem Java, .NET und PHP. Pufferüberläufe hingegen nutzen Lücken in ausführbaren Dateien aus, die beispielsweise in C geschrieben wurden.

Sicherheitsbewertungen von Websites
Website-Angriffe werden immer beliebter, da sich beispielsweise XSS-Schwachstellen einfach ausnutzen lassen und eine große Anzahl an Web-Anwendungen frei zugänglich ist. Websites mit Einkaufswagen, Formularen, Login-Seiten und dynamischen Inhalten sind ein beliebtes Ziel für Attacken. Online-Applikationen erfordern einen ungehinderten, direkten Zugriff auf Backend-Datenbanken - sind Web-Anwendungen jedoch nicht sorgfältig genug programmiert, bieten sie Angreifern Schlupflöcher, durch die persönliche Daten wie Kreditkartenangaben, Sozialversicherungsnummern und sogar Krankenakten entwendet werden können.

Über Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner führt automatisch Sicherheits-Audits von Websites durch und überprüft, ob diese beispielsweise Anfälligkeiten für Hacks per Cross-Site-Scripting und SQL-Injection aufweisen. Dank des integrierten JavaScript Analyzer bietet der Website-Scanner zudem Schutz vor eingebetteter JavaScript-Malware und sichert AJAX-Anwendungen aller Art. Acunetix WVS kontrolliert die Zuverlässigkeit von Passwörtern auf Authentifizierungsseiten und führt selbsttätig Sicherheitsüberprüfungen von Einkaufswagen, Formularen, dynamischen Inhalten und anderen Web-Applikationen durch. Ist der Scan beendet, wird anhand eines umfassenden Berichts erläutert, in welchen Bereichen Schwachstellen gefunden wurden.

Kostenfreies Web-Audit von Acunetix zum Festellen des Gefährdungsgrads einer Unternehmens-Website
Unternehmen, die die Sicherheit Ihrer Website überprüfen lassen möchten, können ein kostenfreies Angebot von Acunetix wahrnehmen und sich unter http://www.acunetix.de/cross-site-scripting/scanner.htm für ein Web-Audit ihrer Site registrieren lassen. Teilnehmer erhalten nach dem Scan einen zusammenfassenden Bericht zu allen gefundenen Sicherheitslücken, die geschlossen werden sollten, um Hackern keinen Zugang zu vertraulichen Daten zu ermöglichen. Die Erstellung der Berichte erfolgt innerhalb von fünf Arbeitstagen.

Über Acunetix
Acunetix hat sich zum Ziel gesetzt, Gefahren durch unzureichend gesicherte Web-Applikationen aufzuzeigen. Das Hauptprodukt des Unternehmens, Acunetix Web Vulnerability Scanner, spürt Sicherheitsschwachstellen von Websites auf und wurde in mehrjähriger Entwicklungsarbeit von einem Team erfahrener Profis im Bereich Sicherheitssoftware konzipiert. Acunetix befindet sich in privater Hand und ist weltweit mit Niederlassungen in Europa (Malta), Seattle (USA), und London (GB) vertreten. Weitere Informationen zu Acunetix stehen bereit unter http://www.acunetix.de und http://www.acunetix.com.

Alle in diesem Dokument genannten Produkte und Firmennamen können Marken ihrer jeweiligen Inhaber sein.

Weitere Informationen:
Acunetix Ltd
Tel: (+44) 0845 6126712
Fax: (+44) 0845 6126716
E-Mail: tamara@acunetix.com
URL: http://www.acunetix.de

(Ende)
Aussender: Acunetix Ltd
Ansprechpartner: Mrs. Tamara Borg
Tel.: (+44) 0845 6126712
E-Mail: tamara@acunetix.com
|