Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

2020 Ampel

Zum Jahresauftakt stellt Contrast Security die momentan relevantesten Anwendungsschwachstellen sowie Angriffstypen vor. Als Basis für diese Übersicht dienen die monatlichen AppSec Intelligence Reports von Contrast Security, eine Analyse der hauseigenen Contrast Labs über reale Anwendungsangriffe und Schwachstellendaten in den vergangenen Monaten.

 Entwickler, Product Owner, AppSec- und Security-Engineers können diese Informationen nutzen, um die Sicherheitsbedrohungen von Anwendungen besser zu verstehen, Sicherheitskontrollen anzupassen und den gesamten Sicherheitsstatus im Unternehmen zu verbessern.

Vor dem Hintergrund der steigenden Gefahr wird Implementierung einer ganzheitlichen Security-Strategie von der Code-Entwicklung bis hin zum Applikationsbetrieb besonders wichtig und unabdingbar im Kontext der digitalen Transformation.

Anwendungssicherheit muss Teil der digitalen Transformation werden

„Anwendungssicherheit muss 2020 auf den Schirm der Entscheider und ein fester Bestandteil auf der Checkliste zur digitalen Transformation werden. Mitunter wird die Gefahr von Cyberangriffen in Hinsicht auf einen Reputationsschaden massiv unterschätzt. Unternehmen brauchen einen Paradigmenwechsel und müssen schon während der Entwicklung neuer Software-Anwendungen das Thema Sicherheit adressieren und einbetten. Das Bewusstsein für Anwendungssicherheit schon während des Entwicklungsstadiums gehört 2020 in jede Chefetage”, fordert Daniel Wolf, Regional Director DACH bei Contrast Security.

Die fünf wichtigsten Angriffstypen und Schwachstellen auf einen Blick

1. Cross-Site-Scripting (XSS) nutzt Sicherheitslücken in Webanwendungen aus. Ein XSS-Angriff zielt auf diejenigen Skripte ab, die hinter einer Webseite laufen und auf der Clientseite, im Webbrowser des Users, ausgeführt werden. Mit dem Einfügen eines bösartigen clientseitigen Skripts in eine ansonsten vertrauenswürdige Website trickst XSS eine Anwendung aus und bringt sie zur Einbettung eines angreifenden Codes in einem sonst sicheren Umfeld.

Laut den aktuellsten Berichten von Contrast Security erfolgten im November 2019 erfolgreiche XSS-Angriffe auf anfälligen Code sechsmal häufiger als andere Angriffsarten. Mit Cross-Site-Scripting können Angreifer problemlos auf Cookies, Session-Tokens sowie andere sensible Informationen, die im Browser gespeichert werden, zugreifen. 

2. Bei einem Path-Traversal-Angriff (auch als Directory-Traversal-Angriff bekannt) wird eine betroffene Anwendung benutzt, um einen unbefugten Zugriff auf den Dateisystemordner auf dem Server zu erhalten, der in der Hierarchie über dem Web-Root-Ordner liegt. Bei Erfolg kann ein solcher Angriff eine Webanwendung dazu verleiten, die Dateiinhalte, einschließlich Passwörter für Backend-Systeme, Anwendungscode und -daten sowie sensible Betriebssystemdaten, außerhalb des Basisverzeichnisses der Anwendung oder des Webservers zu lesen und aufzudecken.

3. Eines der gravierendsten Probleme der Anwendungssicherheit, die SQL-Injection, ist eine häufig eingesetzte Hacking-Technik, die eine Sicherheitslücke in SQL-Abfragen ausnutzt. Diese Schwachstelle tritt dann auf, wenn Entwickler nicht vertrauenswürdige Daten in eine Datenbankabfrage einfügen. Mit einem SQL-Injection-Angriff können Angreifer Anwendungsdaten stehlen, Datenbanken beschädigen, Identitäten fälschen, Transaktionen manipulieren, vertrauliche Informationen offenlegen und sogar zum Administrator des Datenbankservers werden.

4. Cross-Site-Request-Forgery (CSRF) zwingt einen Endnutzer dazu, unerwünschte Aktionen auf der Webanwendung auszuführen, bei der er sich gerade authentifiziert hat. Die CSRF-Angriffe zielen speziell auf zustandsverändernde Anfragen und nicht auf Datendiebstahl ab, da der Angreifer keine Antwort auf die gefälschte Anfrage sehen kann. Mit etwas Unterstützung von Social Engineering, wie das Versenden eines Links per E-Mail oder in einem Chat, kann ein Angreifer den User einer Webanwendung dazu bringen, Aktionen seiner Wahl auszuführen. Zielt ein CSFR-Angriff auf einen menschlichen User, führt dieser betrügerische Anfragen wie Geldüberweisungen, Änderung der E-Mail-Adresse und weitere aus. Im Falle eines nichtmenschlichen Users – ein gutes Beispiel stellt ein Verwaltungskonto dar – kann CSRF die gesamte Webanwendung gefährden.

5. Arbitrary Server Side Forwards sind Schwachstellen, die es einer Webanwendung ermöglichen, eine geänderte Eingabe zu akzeptieren, die dazu führen könnte, dass die Webanwendung die Anfrage an eine nicht vertrauenswürdige URL weiterleitet.

Zudem hat Contrast Labs basierend auf der für November durchgeführten Analyse die drei Schwachstellen, die das höchste Risiko für Unternehmen darstellen, ausgewiesen. Die Liste wurde erstellt, indem die Wahrscheinlichkeit einer Schwachstelle und eines Angriffs mit der Wahrscheinlichkeit eines erfolgreichen Exploits und einem Auswirkungsfaktor kombiniert wurde. Demnach müssen Unternehmen ihre Anwendungen insbesondere gegen Cross-Site-Scripting (XSS), SQL-Injection sowie Expression Language Injection wappnen. Im November verzeichnete Contrast Angriffe aus 121 Ländern. Die meisten Angriffe erfolgten aus den Vereinigten Staaten, Indien, Kanada, den Niederlanden und China.

www.contrastsecurity.com
 

Anzeige

GRID LIST
Hacker

Trickreiche Cyber-Angriffe fokussieren mehr auf KMUs

„Kleine und mittelständische Unternehmen tun gut daran, das Risiko von Cyber-Angriffen…
Tb W190 H80 Crop Int 18a7f2e3a514753b9748ffff7b3b3747

Der Quantencomputer gefährdet schon heute die Datensicherheit

Die nächste IT-Ära lässt noch lange auf sich warten. Wann der Quantencomputer kommerziell…
Tb W190 H80 Crop Int Dad59e0147e6775ec7d5e340684fdd27

Mit Plan zur IT-Sicherheit

Unternehmen sehen sich immer größeren Gefahren der Cyberkriminalität gegenüber.…
5g Cyber Security

Cybersicherheit soll das Potenzial von 5G nicht einschränken

Da immer mehr „Dinge“ digitalisiert werden, gilt es immer größere Datenmengen zu bewegen…
Mythos

Die 5 hartnäckigsten Cybersecurity-Mythen

Auch im Zeitalter der Digitalisierung ranken sich noch zahlreiche Mythen rund um das…
Star Wars Lego

IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht

IT-Sicherheitsexperten in Unternehmen befinden sich im ewigen Wettlauf mit der dunklen…