Anzeige

Sicherheitsschwachstelle

Hackerone, die Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker –, hat seinen Report zu den zehn häufigsten Schwachstellen des letzten Jahres veröffentlicht. Das Unternehmen hat anhand der eigenen Daten eine Analyse zu den zehn häufigsten und mit den höchsten Prämien ausbezahlten Schwachstellen erstellt.

Aus mehr als 200.000 Sicherheitslücken, welche zwischen Mai 2019 und April 2020 über die Plattform gemeldet wurden, gewann Hackerone genaue Einblicke und Details zu verschiedenen Schwachstellentypen. Zu den Top 10 gehören unter anderem Cross-Site Scripting, Improper Access Control und Information Disclosure.

„In diesem Jahr waren Organisationen weltweit gezwungen, mit ihren Produktangeboten und Dienstleistungen digital zu arbeiten“, sagte Miju Han, Senior Director of Product Management bei Hackerone. „Darüber hinaus war es für die Unternehmen unausweichlich, sich um neue Einnahmequellen zu bemühen und digitale Angebote für Kunden zu schaffen, deren Lebensstil sich dramatisch verändert hatte. Millionen von Arbeitnehmern begannen aus der Ferne zu arbeiten. Mit diesem beschleunigten Tempo der digitalen Transformation mussten die CISOs schnell neue Bedürfnisse erfüllen und gleichzeitig die Sicherheit der bestehenden Systeme gewährleisten. Angesichts dieser Hürden haben die Sicherheitsverantwortlichen eine neue Wertschätzung für die Arbeit ethisch motivierter Hacker zur Verbesserung der IT-Sicherheit als flexible, skalierbare und kosteneffektive Lösung gewonnen. Damit konnten sie ihre eigenen Ressourcen aufstocken und einen Pay-for-Results-Ansatz anbieten, der bei knappen Budgets besser zu rechtfertigen ist.“

Die Top 10 der schwerwiegendsten und am höchsten prämierten Schwachstellentypen des Jahres 2020 in der Übersicht (absteigende Reihenfolge):

  1. Cross-Site Scripting (XSS)
  2. Improper Access Control
  3. Information Disclosure
  4. Server-seitige Antragsfälschung (SSRF)
  5. Unsichere direkte Objektreferenz (IDOR)
  6. Privilege-Eskalation
  7. SQL-Injection
  8. Improper Authentication 
  9. Code-Injection
  10. Cross-Site Request Forgery (CSRF)

Die wichtigsten Schwachstellen im Jahresvergleich 2020 und 2019:

  1. Sicherheitslücken beim Cross-Site-Scripting stellen nach wie vor eine große Bedrohung für Webanwendungen dar, da Angreifer die XSS-Angriffe nutzen, um die Kontrolle über das Benutzerkonto zu erlangen und anschließend persönliche Daten wie Passwörter, Bankdaten Kreditkarteninformationen, personenbezogene Daten, Sozialversicherungsnummern zu missbrauchen. Die durch XSS betroffenen Sicherheitslücken waren zwei Jahre in Folge die häufigst genannten und kosteten die Organisationen insgesamt 4,2 Millionen US-Dollar an Prämien. Dies entspricht einem Anstieg von 26 Prozent gegenüber dem Vorjahr. Insgesamt macht diese Art von Schwachstelle 18 Prozent aller gemeldeten Schwachstellen aus, die durchschnittliche Prämie dafür beträgt nur rund 500 US-Dollar. Grundsätzlich wird für eine kritische Schwachstelle durchschnittlich 3.650 US-Dollar gezahlt, entsprechend können Organisationen diese XSS-Angriffe als häufige und potenziell gefährliche Sicherheitslücken im Vergleich kostengünstig beheben lassen bevor sie größeren finanziellen Schaden verursachen.
     
  2. Improper Access Control (2019: Platz 9) und Information Disclosure (nach wie vor an dritter Stelle) sind weit verbreitet. Die Awards für Improper Access Control stiegen von Jahr zu Jahr um 134Prozent auf knapp über 4 Millionen US-Dollar. Information Disclosure reihte sich knapp dahinter ein und stieg im Jahresvergleich um 63Prozent. Das Design von Access Control Angriffen ist mit automatisierten Tools nur schwer zu identifizieren und aufgrund des hohen Fehlerpotenzials ist eine manuelle Untersuchung empfehlenswert.
     
  3. SSRF-Schwachstellen zeigen das Risiko von Cloud-Migrationen. Diese Lücken werden genutzt, um auf interne Systeme hinter Firewalls zuzugreifen. Früher waren SSRF-Fehler eher harmlos und belegten in einem früheren Ranking den siebten Platz, da sie lediglich internes Netzwerkscannen und den Zugriff auf interne Verwaltungspanels erlaubten. Aber im Zeitalter der raschen digitalen Transformation hat das Aufkommen der Cloud-Architektur und ungeschützter Metadaten-Endpoints diese Schwachstellen immer kritischer werden lassen.
     
  4. SQL-Injection nimmt von Jahr zu Jahr ab. Von OWASP (Open Web Application Security Project) und anderen Organisation wurde SQL-Injection als eine der gefährlichsten Bedrohungen für die Sicherheit von Webanwendungen angesehen. Gründe dafür ist die Speicherung sensibler Daten, darunter Geschäftsinformationen, geistiges Eigentum und kritische Kundendaten auf Datenbankserver und deren Anfälligkeit. In den vergangenen Jahren war die SQL-Injection eine der häufigsten Arten von Schwachstellen, ist allerdings auch vom fünften auf den siebten Platz in diesem Jahr gesunken.

Der vollständige Report sollte hier zu finden sein.

Methodik
Diese Ausgabe der Hackerone Top 10 „Most Impactful and Rewarded Vulnerability Types“ basiert auf Hackerone's eigenen Daten zur Untersuchung von Sicherheitsschwachstellen, die zwischen Mai 2019 und April 2020 mit Hilfe der Hackerone-Plattform behoben wurden. Die hier aufgeführten Schwachstellen wurden von der Hacker-Community durch die Offenlegung von Sicherheitslücken und öffentliche und private Bug-Bounty Programme gemeldet. Alle Schwachstellenklassifizierungen wurden von Hackerone-Kunden vorgenommen oder bestätigt, einschließlich Art, Auswirkung und Schweregrad der Schwachstellen.

www.hackerone.com


Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.