Cross Site Scripting vollautomatisch erkennen

Das Internet der zweiten Generation ist durch Skripte und iFrames schnell und interaktiv geworden. Diese scriptbasierten Technologien sind jedoch anfällig für Cross-Site-Scripting und Hacker-Angriffe.
 

Ein typisches Beispiel

Ein neuer Benutzer meldet sich in einem Internetforum an. In das Formularfeld "Vorname" trägt er statt eines Namens den verschleierten Programmcode einer schädlichen Software ein. Der Angreifer schreibt jetzt einen Beitrag in das Forum - und dort, wo eigentlich anderen Lesern sein Vorname angezeigt werden sollte, wird jetzt stattdessen bei jedem Aufruf der Seite das Schadprogramm ausgeführt. Dieses Ausführen von Skripten (Programmen) Dritter in einer Webseite ist ein einfaches Beispiel für Cross Site Scripting (XSS).
 

Cross Site Scripting und SQL Injection - Spitzenreiter aller Negativ-Charts

Jedes Jahr aufs Neue werden die Top-Listen der gefährlichsten Sicherheitslücken und der am weitesten verbreiteten Programmierfehler von diesen beiden Angriffsvarianten angeführt (siehe CWE/SANS und OWASP). Beide Varianten beruhen auf dem Programmierfehler, Benutzereingaben vor ihrer Verarbeitung oder Speicherung nicht ausreichend zu prüfen. Und gerade auf diesen Fehler hin lässt sich eine Webanwendung sehr gut mit automatisierten Werkzeugen untersuchen - letztlich kommt es darauf an, möglichst viele Varianten bösartiger Eingaben auszuprobieren.
 

Verschärfender Faktor Web 2.0

Wikipedia definiert Cross Site Scripting grundsätzlich als "das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden." Viele Anwendungen im Web 2.0 beruhen gerade darauf, wie im Wikipedia-Zitat beschrieben Informationen aus vielen Quellen zu beziehen und in neuem Kontext darzustellen. So unterschiedliche Inhalte wie Profilbilder, Formulare, Kommentare und Bewertungen, Wetterdaten, Nachrichten und Werbung werden von anderen Anbietern bezogen, um sie zu einer scheinbar homogenen Seite, einem neuen Produkt, zusammenzufügen. Die Vertrauenswürdigkeit aller Anbieter richtig einzuschätzen, den Überblick über die schier unendliche Flut an Funktionalität und Interaktion zu behalten und alle eingehenden Daten gründlich zu filtern, wird in Zukunft eine noch größere Herausforderung selbst für die besten Programmierer darstellen.  
 

Vulnerability Scans finden schnell die typischen Anwendungsfehler

Um alle Fehler einer Anwendung zu finden, bedarf es eines ausführlichen Code-Reviews. Selbst ausgewiesene Spezialisten sind oft mehrere Tage bis einige Wochen beschäftigt, die Lücken und Tücken der betreffenden Webanwendung detailliert zu analysieren - damit verbunden ist die Notwendigkeit, den Quellcode der Anwendung Dritten offen zu legen. Dabei sind es meist die kleinen, einfachen und offensichtlichen Fehler, die zum Ausnutzen von Schwachstellen durch böswillige User einladen.
 

Vulnerability Scans für Webanwendungen zum Festpreis

CORONIC empfiehlt daher, mehrere weitestgehend automatische Testdurchläufe mit professionellen Werkzeugen zum Aufspüren von Sicherheitslücken in Webanwendungen durchzuführen. Erfahrungsgemäß decken unsere Spezialisten so bereits die meisten direkt ausnutzbaren Schwachstellen mit minimalen Zeitaufwand von 1 bis 2 Tagen auf. So ist der erste große Schritt in Richtung Anwendungssicherheit bereits mit einem sehr kleinem Budget gemacht.  

Haben wir Ihr Interesse geweckt?

Dann nehmen Sie doch bitte direkt mit Herrn Frank Bock Kontakt auf, er hilft Ihnen gerne weiter.