:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Spannende Zahlen aus 2017 Schwachstellen in Webanwendungen
Sicherheitslücken in Webanwendungen nehmen immer weiter zu, neben bekannten Kategorien wie Cross-Site Scripting gibt es auch neue Bedrohungen wie „unsichere Deserialisierung“. Mit dem Erfolg des Internet der Dinge (IoT) wachsen die Risiken weiter und beeinflussen die Sicherheitslandschaft dauerhaft. WordPress und PHP bleiben „dominierend“ im Hinblick auf veröffentlichte Sicherheitslücken in Content-Management-Systemen beziehungsweise serverseitigen Technologien.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Die Zunahme von Schwachstellen in Webanwendungen lässt sich nach Ansicht der Sicherheitsforscher von Imperva mit Zahlen belegen. Die Autoren bewerten außerdem die wichtigsten Entwicklungen in diesem Bereich. Bild 1 in der Bildergalerie zeigt die Anzahl der Sicherheitslücken nach Monaten im Verlauf der letzten beiden Jahre. Wie hier deutlich zu erkennen ist, hat sich die Anzahl der neuen Sicherheitslücken 2017 (14.082) im Vergleich zu 2016 (6.615) wesentlich erhöht (um 212 Prozent).
Den Daten der Autoren zufolge gibt es für mehr als 50 Prozent der Schwachstellen in Webanwendungen einen öffentlichen Exploit, den Hacker nutzen können. Zudem ist für mehr als ein Drittel (36 Prozent) der Schwachstellen in Webanwendungen keine Lösung verfügbar, wie etwa ein Software-Upgrade, Workaround oder Software-Patch. Wie gewöhnlich sind Cross-Site-Scripting-Schwachstellen (siehe Bild Nr. 2 in der Bildergalerie) die zahlenmäßig größte Kategorie (8 Prozent). Ihre Zahl hat sich seit 2016 sogar verdoppelt.
:quality(80)/images.vogel.de/vogelonline/bdb/1388400/1388477/original.jpg "Zahl der Schwachstellen in Webanwendungen in 2016-2017.")
:quality(80)/images.vogel.de/vogelonline/bdb/1388400/1388478/original.jpg "Zahl und Art der OWASP Top 10-Sicherheitslücken 2014-2017.")
:quality(80)/images.vogel.de/vogelonline/bdb/1388400/1388479/original.jpg "IOT-Sicherheitslücken 2014-2017.")
:quality(80)/images.vogel.de/vogelonline/bdb/1388400/1388480/original.jpg "Anzahl der Sicherheitslücken nach CMS-Plattform 2016-2017.")
Die OWASP Top 10
Die OWASP hat ihre lang erwartete „Top 10“-Liste veröffentlicht, in der zwei neue Risiken aufgeführt sind:
Unsichere Deserialisierung
Serialisierung ist die Umwandlung von Datenstrukturen oder Objektzuständen in ein Format, das gespeichert werden kann (zum Beispiel in einer Datei oder einem Zwischenspeicher), übertragbar ist (zum Beispiel über eine Netzwerkverbindung) und später wieder zurückübersetzt werden kann (Deserialisierung). Serialisierung wird in RPC, HTTP, Datenbanken etc. weithin verwendet. Anwendungen und APIs können anfällig sein, wenn sie eingeschleuste bösartige oder manipulierte Objekte deserialisieren, ohne sie richtig zu säubern. Aus diesem Grund ist es besonders interessant, sich die Sicherheitslücken im Licht dieser Veränderungen anzusehen.
Die Zahl der Deserialisierungs-Schwachstellen hat sich 2016-2017 (siehe Bild Nr. 2 in der Bildergalerie) im Vergleich zu früheren Jahren erheblich erhöht, was ihnen vermutlich den Platz in der neuen OWASP Top 10 eingetragen hat. Heute kommunizieren immer mehr Anwendungen und Frameworks über Standard-APIs. Einige dieser APIs empfangen serialisierte Objekte und deserialisieren sie dann, was erklären kann, warum die Anzahl von Schwachstellen aufgrund unsicherer Deserialisierung wächst.
Unzureichende Protokollierung und Überwachung
Angreifer setzen auf mangelnde Überwachung und verzögerte Reaktionen, um ihre Ziele zu erreichen, ohne entdeckt zu werden. Unzureichende Protokollierung und Überwachung liegt unter anderem vor, wenn überprüffähige Ereignisse – wie Logins, fehlgeschlagene Logins und Überweisungen mit einer hohen Transaktionssumme nicht protokolliert werden. Ein weiteres Beispiel ist der Fall, dass Protokolle von Applikationen und APIs nicht in Hinblick auf verdächtige Aktivitäten überwacht werden. Oft sind Applikation außerdem nicht fähig, aktive Attacken zu entdecken oder einen Alarm in Echtzeit auszulösen. Sobald die Ereignisanzeige oder Warnereignisse für andere User, bzw. Angreifer sichtbar sind, führt dies zu einer erhöhten Angreifbarkeit für Informationsverlust.
Die Rebellion der (IoT-)Maschinen
IoT-Geräte senden und empfangen Informationen und sind deshalb für gewöhnlich durchgehend mit dem Internet verbunden. In vielen Fällen versäumen es die Hersteller intelligenter Geräte jedoch, sie richtig abzusichern, oder bauen sogar „Hintertüren“ ein, um sich verdeckte Zugriffe zu verschaffen.
104 IoT-bezogene Sicherheitslücken wurden im letzten Jahr beobachtet (siehe Bild Nr. 3 in der Bildergalerie) – eine enorme Steigerung im Vergleich zu früheren Jahren. Dieses Wachstum kann damit zusammenhängen, dass IoT-Geräte in unserem modernen Leben immer populärer werden und Fortschritte in der IoT-Technologie solche Geräte kostengünstiger und für mehr Menschen erschwinglich machen. Eine der häufigsten Arten von Schwachstellen in IoT-Geräten (35 Prozent) besteht darin, dass sich Angreifer Standard- oder leicht zu erratende Anmeldedaten zunutze machen können, um sich Zugang zu Geräten zu verschaffen und sie zu übernehmen. Sobald der Angreifer das Gerät unter Kontrolle hat, kann er es verwenden, um Angriffe aller Art zu starten. In 2017 machte sich die bekannte Malware Mirai eine solche Sicherheitslücke (standardmäßige Zugangsdaten) zunutze, um sich in Netzwerken zu verbreiten. Sobald die Malware Zugriff auf ein Gerät erhält, verwandelt sie es in einen ferngesteuerten Bot, der im Rahmen großer DDoS-Angriffe eingesetzt werden kann.
Content-Management-Systeme
Bei der Analyse von Frameworks für Content-Management-Systeme (CMS) lag der Fokus auf den vier führenden Plattformen, die zusammen einen Marktanteil von 60 Prozent besitzen – WordPress, Joomla, Drupal und Magento.
WordPress
Wie vermutet, entfällt der Löwenanteil aller CMS-bezogenen Sicherheitslücken erneut auf WordPress. Seit 2016 hat die Zahl der Schwachstellen in WordPress (418) sogar um ca. 400 Prozent zugenommen (siehe Bild Nr. 4 in der Bildergalerie). Weitere Analysen der WordPress-Schwachstellen ergaben, dass sie zu 75 Prozent auf Plug-ins von Drittanbietern zurückzuführen waren (siehe Bild Nr. 5 in der Bildergalerie).
Die steigende Anzahl der Anfälligkeiten lässt sich durch das Wachstum von WordPress (siehe Bild Nr. 6 in der Bildergalerie) sowie durch die Tatsache erklären, dass Programmcode von Drittanbieter-Plug-ins für seine Sicherheitsmängel berüchtigt ist.
Serverseitige Technologien
PHP ist nach wie vor die am weitesten verbreitete serverseitige Sprache, weshalb auch zu erwarten ist, dass sie mit der größten Zahl von Sicherheitslücken in Zusammenhang steht. 2017 wurden 44 Schwachstellen in PHP bekanntgegeben – das sind wesentlich weniger (-143 Prozent) als im Jahr 2016 (107) (siehe Bild Nr. 7 in der Bildergalerie). Ende 2015 war nach nahezu eineinhalb Jahren ohne Updates die neue Hauptversion PHP 7.0 herausgekommen, was die Zunahme der Schwachstellen im Jahr 2016 erklären mag. Im folgenden Jahr (Dezember 2016) wurde dann die Nebenversion PHP 7.1 veröffentlicht, die kleinere Veränderungen enthielt. Dies kann der Grund dafür sein, warum in den letzten Monaten weniger Schwachstellen verzeichnet wurden.
Fazit
Webanwendungen sind noch immer voller Schwachstellen und es ist nur eine Frage der Zeit bis Cyberkriminelle sich diese zu Nutze machen, um sich Zugriff auf IT-Systeme und Netzwerke zu verschaffen, die mit den Anwendungen interagieren. Unternehmen sollten dieses mögliche Einfallstor auf dem Schirm behalten und moderne Sicherheitslösungen implementieren, um Angriffe über ausgenutzte Lücken abzublocken.
Über die Autoren: Nadav Avital ist Technical Application Security Research im Imperva Defense Center. Natan Elul ist Security Research Engineer bei Imperva.
(ID:45270908)
:quality(80)/p7i.vogel.de/wcms/5e/a2/5ea28a6d6bb69ad3e1dd5a46c51fddd3/0108517763.jpeg "Synopsys hat den „Software Vulnerability Snapshot: The 10 Most Common Web Application Vulnerabilities“ veröffentlicht. (Bild: Synopsys)")
:quality(80)/p7i.vogel.de/wcms/73/d4/73d4c617717f1c31c30ffe3c5f502f6d/0105490493.jpeg "Hacker zielen zunehmend auf APIs als Zugang zur zugrunde liegenden Infrastruktur ab, um sensible Daten zu entwenden. (Bild: © – kentoh – stock.adobe.com)")