Anzeige

Sicherheitsschwachstelle

Hackerone, die Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker –, hat seinen Report zu den zehn häufigsten Schwachstellen des letzten Jahres veröffentlicht. Das Unternehmen hat anhand der eigenen Daten eine Analyse zu den zehn häufigsten und mit den höchsten Prämien ausbezahlten Schwachstellen erstellt.

Aus mehr als 200.000 Sicherheitslücken, welche zwischen Mai 2019 und April 2020 über die Plattform gemeldet wurden, gewann Hackerone genaue Einblicke und Details zu verschiedenen Schwachstellentypen. Zu den Top 10 gehören unter anderem Cross-Site Scripting, Improper Access Control und Information Disclosure.

„In diesem Jahr waren Organisationen weltweit gezwungen, mit ihren Produktangeboten und Dienstleistungen digital zu arbeiten“, sagte Miju Han, Senior Director of Product Management bei Hackerone. „Darüber hinaus war es für die Unternehmen unausweichlich, sich um neue Einnahmequellen zu bemühen und digitale Angebote für Kunden zu schaffen, deren Lebensstil sich dramatisch verändert hatte. Millionen von Arbeitnehmern begannen aus der Ferne zu arbeiten. Mit diesem beschleunigten Tempo der digitalen Transformation mussten die CISOs schnell neue Bedürfnisse erfüllen und gleichzeitig die Sicherheit der bestehenden Systeme gewährleisten. Angesichts dieser Hürden haben die Sicherheitsverantwortlichen eine neue Wertschätzung für die Arbeit ethisch motivierter Hacker zur Verbesserung der IT-Sicherheit als flexible, skalierbare und kosteneffektive Lösung gewonnen. Damit konnten sie ihre eigenen Ressourcen aufstocken und einen Pay-for-Results-Ansatz anbieten, der bei knappen Budgets besser zu rechtfertigen ist.“

Die Top 10 der schwerwiegendsten und am höchsten prämierten Schwachstellentypen des Jahres 2020 in der Übersicht (absteigende Reihenfolge):

  1. Cross-Site Scripting (XSS)
  2. Improper Access Control
  3. Information Disclosure
  4. Server-seitige Antragsfälschung (SSRF)
  5. Unsichere direkte Objektreferenz (IDOR)
  6. Privilege-Eskalation
  7. SQL-Injection
  8. Improper Authentication 
  9. Code-Injection
  10. Cross-Site Request Forgery (CSRF)

Die wichtigsten Schwachstellen im Jahresvergleich 2020 und 2019:

  1. Sicherheitslücken beim Cross-Site-Scripting stellen nach wie vor eine große Bedrohung für Webanwendungen dar, da Angreifer die XSS-Angriffe nutzen, um die Kontrolle über das Benutzerkonto zu erlangen und anschließend persönliche Daten wie Passwörter, Bankdaten Kreditkarteninformationen, personenbezogene Daten, Sozialversicherungsnummern zu missbrauchen. Die durch XSS betroffenen Sicherheitslücken waren zwei Jahre in Folge die häufigst genannten und kosteten die Organisationen insgesamt 4,2 Millionen US-Dollar an Prämien. Dies entspricht einem Anstieg von 26 Prozent gegenüber dem Vorjahr. Insgesamt macht diese Art von Schwachstelle 18 Prozent aller gemeldeten Schwachstellen aus, die durchschnittliche Prämie dafür beträgt nur rund 500 US-Dollar. Grundsätzlich wird für eine kritische Schwachstelle durchschnittlich 3.650 US-Dollar gezahlt, entsprechend können Organisationen diese XSS-Angriffe als häufige und potenziell gefährliche Sicherheitslücken im Vergleich kostengünstig beheben lassen bevor sie größeren finanziellen Schaden verursachen.
     
  2. Improper Access Control (2019: Platz 9) und Information Disclosure (nach wie vor an dritter Stelle) sind weit verbreitet. Die Awards für Improper Access Control stiegen von Jahr zu Jahr um 134Prozent auf knapp über 4 Millionen US-Dollar. Information Disclosure reihte sich knapp dahinter ein und stieg im Jahresvergleich um 63Prozent. Das Design von Access Control Angriffen ist mit automatisierten Tools nur schwer zu identifizieren und aufgrund des hohen Fehlerpotenzials ist eine manuelle Untersuchung empfehlenswert.
     
  3. SSRF-Schwachstellen zeigen das Risiko von Cloud-Migrationen. Diese Lücken werden genutzt, um auf interne Systeme hinter Firewalls zuzugreifen. Früher waren SSRF-Fehler eher harmlos und belegten in einem früheren Ranking den siebten Platz, da sie lediglich internes Netzwerkscannen und den Zugriff auf interne Verwaltungspanels erlaubten. Aber im Zeitalter der raschen digitalen Transformation hat das Aufkommen der Cloud-Architektur und ungeschützter Metadaten-Endpoints diese Schwachstellen immer kritischer werden lassen.
     
  4. SQL-Injection nimmt von Jahr zu Jahr ab. Von OWASP (Open Web Application Security Project) und anderen Organisation wurde SQL-Injection als eine der gefährlichsten Bedrohungen für die Sicherheit von Webanwendungen angesehen. Gründe dafür ist die Speicherung sensibler Daten, darunter Geschäftsinformationen, geistiges Eigentum und kritische Kundendaten auf Datenbankserver und deren Anfälligkeit. In den vergangenen Jahren war die SQL-Injection eine der häufigsten Arten von Schwachstellen, ist allerdings auch vom fünften auf den siebten Platz in diesem Jahr gesunken.

Der vollständige Report sollte hier zu finden sein.

Methodik
Diese Ausgabe der Hackerone Top 10 „Most Impactful and Rewarded Vulnerability Types“ basiert auf Hackerone's eigenen Daten zur Untersuchung von Sicherheitsschwachstellen, die zwischen Mai 2019 und April 2020 mit Hilfe der Hackerone-Plattform behoben wurden. Die hier aufgeführten Schwachstellen wurden von der Hacker-Community durch die Offenlegung von Sicherheitslücken und öffentliche und private Bug-Bounty Programme gemeldet. Alle Schwachstellenklassifizierungen wurden von Hackerone-Kunden vorgenommen oder bestätigt, einschließlich Art, Auswirkung und Schweregrad der Schwachstellen.

www.hackerone.com


Weitere Artikel

Hacker

Cyberangriffe: Mehr als 220 Milliarden Euro Schaden pro Jahr

Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. Damit haben kriminelle Attacken erneut für Rekordschäden gesorgt.
Spyware

Neue Windows-Spyware verbreitet sich über Anzeigen in Suchergebnissen

Sicherheitsexperten von Bitdefender haben eine neue Form von Malware entdeckt, die Windowscomputer über Werbeanzeigen in den Suchergebnissen infiziert.
Ransomware

Ransomware: Zahl der Angriffe erneut gestiegen

Nach heftigen Angriffen zu Beginn des Jahres (Stichwort: Solar Winds) zeigt sich auch im Q2 2021 kein Abschwächen in Sachen Ransomware. Im Gegenteil: Die Bedrohungslandschaft hat sich verschärft und die Gruppen neu profiliert.
Hackerangriff

Kampf gegen Cybercrime: Stärkere Regulierung von Kryptowährungen

Aufgrund der steigenden Anzahl krimineller Aktivitäten im Cyberraum – z.B. Geldwäsche, Finanzierung von Terrorismus etc. – hat die EU-Kommission jüngst eine Reihe von Gesetzesvorschlägen herausgegeben, die Transaktionen mittels Kryptowährungen wie Bitcoin…
Hackerangriff

Chinesische Angreifer attackieren Telkos mit dem Ziel umfassender Cyberspionage

Cybereason, Unternehmen beim betriebszentrierten Schutz vor Cyberangriffen, ist es gelungen, verschiedene bislang nicht anderweitig identifizierte Cyberangriffe aufzudecken, die große Telekommunikationsanbieter in ganz Südostasien infiltrieren.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.