Anzeige

2020 Ampel

Zum Jahresauftakt stellt Contrast Security die momentan relevantesten Anwendungsschwachstellen sowie Angriffstypen vor. Als Basis für diese Übersicht dienen die monatlichen AppSec Intelligence Reports von Contrast Security, eine Analyse der hauseigenen Contrast Labs über reale Anwendungsangriffe und Schwachstellendaten in den vergangenen Monaten.

 Entwickler, Product Owner, AppSec- und Security-Engineers können diese Informationen nutzen, um die Sicherheitsbedrohungen von Anwendungen besser zu verstehen, Sicherheitskontrollen anzupassen und den gesamten Sicherheitsstatus im Unternehmen zu verbessern.

Vor dem Hintergrund der steigenden Gefahr wird Implementierung einer ganzheitlichen Security-Strategie von der Code-Entwicklung bis hin zum Applikationsbetrieb besonders wichtig und unabdingbar im Kontext der digitalen Transformation.

Anwendungssicherheit muss Teil der digitalen Transformation werden

„Anwendungssicherheit muss 2020 auf den Schirm der Entscheider und ein fester Bestandteil auf der Checkliste zur digitalen Transformation werden. Mitunter wird die Gefahr von Cyberangriffen in Hinsicht auf einen Reputationsschaden massiv unterschätzt. Unternehmen brauchen einen Paradigmenwechsel und müssen schon während der Entwicklung neuer Software-Anwendungen das Thema Sicherheit adressieren und einbetten. Das Bewusstsein für Anwendungssicherheit schon während des Entwicklungsstadiums gehört 2020 in jede Chefetage”, fordert Daniel Wolf, Regional Director DACH bei Contrast Security.

Die fünf wichtigsten Angriffstypen und Schwachstellen auf einen Blick

1. Cross-Site-Scripting (XSS) nutzt Sicherheitslücken in Webanwendungen aus. Ein XSS-Angriff zielt auf diejenigen Skripte ab, die hinter einer Webseite laufen und auf der Clientseite, im Webbrowser des Users, ausgeführt werden. Mit dem Einfügen eines bösartigen clientseitigen Skripts in eine ansonsten vertrauenswürdige Website trickst XSS eine Anwendung aus und bringt sie zur Einbettung eines angreifenden Codes in einem sonst sicheren Umfeld.

Laut den aktuellsten Berichten von Contrast Security erfolgten im November 2019 erfolgreiche XSS-Angriffe auf anfälligen Code sechsmal häufiger als andere Angriffsarten. Mit Cross-Site-Scripting können Angreifer problemlos auf Cookies, Session-Tokens sowie andere sensible Informationen, die im Browser gespeichert werden, zugreifen. 

2. Bei einem Path-Traversal-Angriff (auch als Directory-Traversal-Angriff bekannt) wird eine betroffene Anwendung benutzt, um einen unbefugten Zugriff auf den Dateisystemordner auf dem Server zu erhalten, der in der Hierarchie über dem Web-Root-Ordner liegt. Bei Erfolg kann ein solcher Angriff eine Webanwendung dazu verleiten, die Dateiinhalte, einschließlich Passwörter für Backend-Systeme, Anwendungscode und -daten sowie sensible Betriebssystemdaten, außerhalb des Basisverzeichnisses der Anwendung oder des Webservers zu lesen und aufzudecken.

3. Eines der gravierendsten Probleme der Anwendungssicherheit, die SQL-Injection, ist eine häufig eingesetzte Hacking-Technik, die eine Sicherheitslücke in SQL-Abfragen ausnutzt. Diese Schwachstelle tritt dann auf, wenn Entwickler nicht vertrauenswürdige Daten in eine Datenbankabfrage einfügen. Mit einem SQL-Injection-Angriff können Angreifer Anwendungsdaten stehlen, Datenbanken beschädigen, Identitäten fälschen, Transaktionen manipulieren, vertrauliche Informationen offenlegen und sogar zum Administrator des Datenbankservers werden.

4. Cross-Site-Request-Forgery (CSRF) zwingt einen Endnutzer dazu, unerwünschte Aktionen auf der Webanwendung auszuführen, bei der er sich gerade authentifiziert hat. Die CSRF-Angriffe zielen speziell auf zustandsverändernde Anfragen und nicht auf Datendiebstahl ab, da der Angreifer keine Antwort auf die gefälschte Anfrage sehen kann. Mit etwas Unterstützung von Social Engineering, wie das Versenden eines Links per E-Mail oder in einem Chat, kann ein Angreifer den User einer Webanwendung dazu bringen, Aktionen seiner Wahl auszuführen. Zielt ein CSFR-Angriff auf einen menschlichen User, führt dieser betrügerische Anfragen wie Geldüberweisungen, Änderung der E-Mail-Adresse und weitere aus. Im Falle eines nichtmenschlichen Users – ein gutes Beispiel stellt ein Verwaltungskonto dar – kann CSRF die gesamte Webanwendung gefährden.

5. Arbitrary Server Side Forwards sind Schwachstellen, die es einer Webanwendung ermöglichen, eine geänderte Eingabe zu akzeptieren, die dazu führen könnte, dass die Webanwendung die Anfrage an eine nicht vertrauenswürdige URL weiterleitet.

Zudem hat Contrast Labs basierend auf der für November durchgeführten Analyse die drei Schwachstellen, die das höchste Risiko für Unternehmen darstellen, ausgewiesen. Die Liste wurde erstellt, indem die Wahrscheinlichkeit einer Schwachstelle und eines Angriffs mit der Wahrscheinlichkeit eines erfolgreichen Exploits und einem Auswirkungsfaktor kombiniert wurde. Demnach müssen Unternehmen ihre Anwendungen insbesondere gegen Cross-Site-Scripting (XSS), SQL-Injection sowie Expression Language Injection wappnen. Im November verzeichnete Contrast Angriffe aus 121 Ländern. Die meisten Angriffe erfolgten aus den Vereinigten Staaten, Indien, Kanada, den Niederlanden und China.

www.contrastsecurity.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!