Anzeige

Sicherheitsschwachstelle

Hackerone, die Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker –, hat seinen Report zu den zehn häufigsten Schwachstellen des letzten Jahres veröffentlicht. Das Unternehmen hat anhand der eigenen Daten eine Analyse zu den zehn häufigsten und mit den höchsten Prämien ausbezahlten Schwachstellen erstellt.

Aus mehr als 200.000 Sicherheitslücken, welche zwischen Mai 2019 und April 2020 über die Plattform gemeldet wurden, gewann Hackerone genaue Einblicke und Details zu verschiedenen Schwachstellentypen. Zu den Top 10 gehören unter anderem Cross-Site Scripting, Improper Access Control und Information Disclosure.

„In diesem Jahr waren Organisationen weltweit gezwungen, mit ihren Produktangeboten und Dienstleistungen digital zu arbeiten“, sagte Miju Han, Senior Director of Product Management bei Hackerone. „Darüber hinaus war es für die Unternehmen unausweichlich, sich um neue Einnahmequellen zu bemühen und digitale Angebote für Kunden zu schaffen, deren Lebensstil sich dramatisch verändert hatte. Millionen von Arbeitnehmern begannen aus der Ferne zu arbeiten. Mit diesem beschleunigten Tempo der digitalen Transformation mussten die CISOs schnell neue Bedürfnisse erfüllen und gleichzeitig die Sicherheit der bestehenden Systeme gewährleisten. Angesichts dieser Hürden haben die Sicherheitsverantwortlichen eine neue Wertschätzung für die Arbeit ethisch motivierter Hacker zur Verbesserung der IT-Sicherheit als flexible, skalierbare und kosteneffektive Lösung gewonnen. Damit konnten sie ihre eigenen Ressourcen aufstocken und einen Pay-for-Results-Ansatz anbieten, der bei knappen Budgets besser zu rechtfertigen ist.“

Die Top 10 der schwerwiegendsten und am höchsten prämierten Schwachstellentypen des Jahres 2020 in der Übersicht (absteigende Reihenfolge):

  1. Cross-Site Scripting (XSS)
  2. Improper Access Control
  3. Information Disclosure
  4. Server-seitige Antragsfälschung (SSRF)
  5. Unsichere direkte Objektreferenz (IDOR)
  6. Privilege-Eskalation
  7. SQL-Injection
  8. Improper Authentication 
  9. Code-Injection
  10. Cross-Site Request Forgery (CSRF)

Die wichtigsten Schwachstellen im Jahresvergleich 2020 und 2019:

  1. Sicherheitslücken beim Cross-Site-Scripting stellen nach wie vor eine große Bedrohung für Webanwendungen dar, da Angreifer die XSS-Angriffe nutzen, um die Kontrolle über das Benutzerkonto zu erlangen und anschließend persönliche Daten wie Passwörter, Bankdaten Kreditkarteninformationen, personenbezogene Daten, Sozialversicherungsnummern zu missbrauchen. Die durch XSS betroffenen Sicherheitslücken waren zwei Jahre in Folge die häufigst genannten und kosteten die Organisationen insgesamt 4,2 Millionen US-Dollar an Prämien. Dies entspricht einem Anstieg von 26 Prozent gegenüber dem Vorjahr. Insgesamt macht diese Art von Schwachstelle 18 Prozent aller gemeldeten Schwachstellen aus, die durchschnittliche Prämie dafür beträgt nur rund 500 US-Dollar. Grundsätzlich wird für eine kritische Schwachstelle durchschnittlich 3.650 US-Dollar gezahlt, entsprechend können Organisationen diese XSS-Angriffe als häufige und potenziell gefährliche Sicherheitslücken im Vergleich kostengünstig beheben lassen bevor sie größeren finanziellen Schaden verursachen.
     
  2. Improper Access Control (2019: Platz 9) und Information Disclosure (nach wie vor an dritter Stelle) sind weit verbreitet. Die Awards für Improper Access Control stiegen von Jahr zu Jahr um 134Prozent auf knapp über 4 Millionen US-Dollar. Information Disclosure reihte sich knapp dahinter ein und stieg im Jahresvergleich um 63Prozent. Das Design von Access Control Angriffen ist mit automatisierten Tools nur schwer zu identifizieren und aufgrund des hohen Fehlerpotenzials ist eine manuelle Untersuchung empfehlenswert.
     
  3. SSRF-Schwachstellen zeigen das Risiko von Cloud-Migrationen. Diese Lücken werden genutzt, um auf interne Systeme hinter Firewalls zuzugreifen. Früher waren SSRF-Fehler eher harmlos und belegten in einem früheren Ranking den siebten Platz, da sie lediglich internes Netzwerkscannen und den Zugriff auf interne Verwaltungspanels erlaubten. Aber im Zeitalter der raschen digitalen Transformation hat das Aufkommen der Cloud-Architektur und ungeschützter Metadaten-Endpoints diese Schwachstellen immer kritischer werden lassen.
     
  4. SQL-Injection nimmt von Jahr zu Jahr ab. Von OWASP (Open Web Application Security Project) und anderen Organisation wurde SQL-Injection als eine der gefährlichsten Bedrohungen für die Sicherheit von Webanwendungen angesehen. Gründe dafür ist die Speicherung sensibler Daten, darunter Geschäftsinformationen, geistiges Eigentum und kritische Kundendaten auf Datenbankserver und deren Anfälligkeit. In den vergangenen Jahren war die SQL-Injection eine der häufigsten Arten von Schwachstellen, ist allerdings auch vom fünften auf den siebten Platz in diesem Jahr gesunken.

Der vollständige Report sollte hier zu finden sein.

Methodik
Diese Ausgabe der Hackerone Top 10 „Most Impactful and Rewarded Vulnerability Types“ basiert auf Hackerone's eigenen Daten zur Untersuchung von Sicherheitsschwachstellen, die zwischen Mai 2019 und April 2020 mit Hilfe der Hackerone-Plattform behoben wurden. Die hier aufgeführten Schwachstellen wurden von der Hacker-Community durch die Offenlegung von Sicherheitslücken und öffentliche und private Bug-Bounty Programme gemeldet. Alle Schwachstellenklassifizierungen wurden von Hackerone-Kunden vorgenommen oder bestätigt, einschließlich Art, Auswirkung und Schweregrad der Schwachstellen.

www.hackerone.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cyberattack

Schadprogramm IceRat hat es auf Nutzerpasswörter und illegales Coin-Mining abgesehen

Die Schadsoftware IceRat spioniert die Zugangsdaten von Nutzern für verschiedene Online-Dienste aus und kann bei einer Infektion ungewollt die Stromrechnung von Anwendern in die Höhe treiben - durch verdecktes illegales Coin-Mining.
Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!