Mit Hilfe des an der Technischen Universität Wien neu entwickelten
Systems "SecuBat" lassen sich Sicherheitslücken von Webapplikationen
automatisch aufspüren. Die Einladung zur Präsentation auf der renommierten
internationalen WWW Konferenz in Edinburgh zeigt die hohe Relevanz dieses
Themas.
Wien (TU) - Gibt es Sicherheitslücken in meiner Webapplikation? Mit dieser
Frage sehen sich die Betreiber von Internet-Seiten mit dynamischen
Webanwendungen regelmäßig konfrontiert. Diese Frage betrifft Seiten mit
einfacher Verwaltung von Benutzerdaten ebenso wie Anwendungen im Bereich
von E-Commerce oder E-Government. Das Aufspüren von Sicherheitslücken auf
solchen Seiten musste bisher weitgehend manuell und mit entsprechend hohem
Aufwand durchgeführt werden. Im Rahmen eines Forschungsprojekts an der
Technischen Universität Wien wurde nun mit dem "SecuBat Framework" eine
automatisierte und somit äußerst Ressourcen schonende Lösung entwickelt,
die mögliche Lücken auf Webseiten schon im Vorfeld aufspüren kann. Das
Ergebnis hat internationale Aufmerksamkeit erzielt und auch bereits
Betreibern heimischer Websites wertvolle Hinweise geliefert.
Vier bis sieben Prozent der getesteten Webapplikationen sind unsicher
Über 20.000 Webadressen wurden in ersten Probeläufen innerhalb weniger
Stunden geprüft. Zwischen vier und sieben Prozent der "attackierten"
Webapplikationen wurden dabei als potenziell anfällig markiert, je nach
verwendetem Ansatz. "Das war ein überraschend hoher Anteil" meint Stefan
Kals, Entwickler des "SecuBat Framework".
"Wir haben die derzeit gängigsten Arten von Hacker-Angriffen simuliert, wie
zum Beispiel SQL Injection oder Cross-Site Scripting Attacks (XSS). Das
sind jene Angriffsmethoden, bei denen über Formulare ein Code eingeschleust
wird, der Datenbankabfragen durchführt oder Webseiten verändert. Effekte,
die zum Beispiel für Phishing ausgenutzt werden können. Die
Sicherheitschecks lieferten eine lange Liste von betroffenen Anwendungen,
die auch vor bekannten E-Commerce und E-Government-Sites nicht halt
machten. Selbstverständlich wurden die Betreiber der betroffenen Seiten
sofort über die Sicherheitslücken informiert.", resümiert Stefan Kals.
Einladung nach Edinburgh
Die Ergebnisse des Forschungsprojekts werden im Mai auf der 15.
Internationalen World Wide Web Konferenz in Edinburgh präsentiert. "Diese
Veranstaltung ist die wichtigste Adresse für wissenschaftliche Resultate im
Bereich von Webtechnologien. Google und Microsoft stellen hier regelmäßig
ihre neuesten Suchalgorithmen vor" freuen sich Engin Kirda und Christopher
Kruegel, Securityforscher an der Fakultät für Informatik.
Fazit: Höheres Sicherheitsbewusstsein bei Webapplikationen nötig
Die Erfahrungen mit "SecuBat" zeigen, mit wie geringem Aufwand ein Hacker
heutzutage an lohnende Ziele mit leicht auszunützenden Sicherheitslücken
kommen kann. Mit Hilfe von automatisierten Tools sollte es den Herstellern
von Webapplikationen aber in Zukunft möglich sein, Hackern einen Schritt
voraus zu sein und bestehende Lücken zu schließen, bevor diese ausgenutzt
werden können.
Rückfragehinweis:
Dipl.-Ing. Dr. Engin Kirda
Technische Universität Wien
Institut für Informationssysteme
T: 01-58801-18413
E: ek@infosys.tuwien.ac.at
Criteria of this press release:
Information technology
transregional, national
Research projects, Research results
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).