idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Medienpartner:
Wissenschaftsjahr


Teilen: 
17.03.2006 11:13

Automatischer Scanner findet unsichere Websites

Mag. Karin Peter Büro für Öffentlichkeitsarbeit
Technische Universität Wien

    Mit Hilfe des an der Technischen Universität Wien neu entwickelten
    Systems "SecuBat" lassen sich Sicherheitslücken von Webapplikationen
    automatisch aufspüren. Die Einladung zur Präsentation auf der renommierten
    internationalen WWW Konferenz in Edinburgh zeigt die hohe Relevanz dieses
    Themas.

    Wien (TU) - Gibt es Sicherheitslücken in meiner Webapplikation? Mit dieser
    Frage sehen sich die Betreiber von Internet-Seiten mit dynamischen
    Webanwendungen regelmäßig konfrontiert. Diese Frage betrifft Seiten mit
    einfacher Verwaltung von Benutzerdaten ebenso wie Anwendungen im Bereich
    von E-Commerce oder E-Government. Das Aufspüren von Sicherheitslücken auf
    solchen Seiten musste bisher weitgehend manuell und mit entsprechend hohem
    Aufwand durchgeführt werden. Im Rahmen eines Forschungsprojekts an der
    Technischen Universität Wien wurde nun mit dem "SecuBat Framework" eine
    automatisierte und somit äußerst Ressourcen schonende Lösung entwickelt,
    die mögliche Lücken auf Webseiten schon im Vorfeld aufspüren kann. Das
    Ergebnis hat internationale Aufmerksamkeit erzielt und auch bereits
    Betreibern heimischer Websites wertvolle Hinweise geliefert.

    Vier bis sieben Prozent der getesteten Webapplikationen sind unsicher
    Über 20.000 Webadressen wurden in ersten Probeläufen innerhalb weniger
    Stunden geprüft. Zwischen vier und sieben Prozent der "attackierten"
    Webapplikationen wurden dabei als potenziell anfällig markiert, je nach
    verwendetem Ansatz. "Das war ein überraschend hoher Anteil" meint Stefan
    Kals, Entwickler des "SecuBat Framework".

    "Wir haben die derzeit gängigsten Arten von Hacker-Angriffen simuliert, wie
    zum Beispiel SQL Injection oder Cross-Site Scripting Attacks (XSS). Das
    sind jene Angriffsmethoden, bei denen über Formulare ein Code eingeschleust
    wird, der Datenbankabfragen durchführt oder Webseiten verändert. Effekte,
    die zum Beispiel für Phishing ausgenutzt werden können. Die
    Sicherheitschecks lieferten eine lange Liste von betroffenen Anwendungen,
    die auch vor bekannten E-Commerce und E-Government-Sites nicht halt
    machten. Selbstverständlich wurden die Betreiber der betroffenen Seiten
    sofort über die Sicherheitslücken informiert.", resümiert Stefan Kals.

    Einladung nach Edinburgh
    Die Ergebnisse des Forschungsprojekts werden im Mai auf der 15.
    Internationalen World Wide Web Konferenz in Edinburgh präsentiert. "Diese
    Veranstaltung ist die wichtigste Adresse für wissenschaftliche Resultate im
    Bereich von Webtechnologien. Google und Microsoft stellen hier regelmäßig
    ihre neuesten Suchalgorithmen vor" freuen sich Engin Kirda und Christopher
    Kruegel, Securityforscher an der Fakultät für Informatik.

    Fazit: Höheres Sicherheitsbewusstsein bei Webapplikationen nötig
    Die Erfahrungen mit "SecuBat" zeigen, mit wie geringem Aufwand ein Hacker
    heutzutage an lohnende Ziele mit leicht auszunützenden Sicherheitslücken
    kommen kann. Mit Hilfe von automatisierten Tools sollte es den Herstellern
    von Webapplikationen aber in Zukunft möglich sein, Hackern einen Schritt
    voraus zu sein und bestehende Lücken zu schließen, bevor diese ausgenutzt
    werden können.

    Rückfragehinweis:
    Dipl.-Ing. Dr. Engin Kirda
    Technische Universität Wien
    Institut für Informationssysteme
    T: 01-58801-18413
    E: ek@infosys.tuwien.ac.at


    Merkmale dieser Pressemitteilung:
    Informationstechnik
    überregional
    Forschungsergebnisse, Forschungsprojekte
    Deutsch


    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).