:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/44/75/4475df87014c1375344e8b82ed6e22dc/0110161453.jpeg "Licht im Tunnel: Shift-Left und Shift-Right schaffen in der Softwareentwicklung einen Schulterschluss von Sicherheit und Agilität. (Bild: <a href=https://unsplash.com/@alexandermils>Alexander Mils</a>)")
:quality(80)/p7i.vogel.de/wcms/04/68/04689667589ad630b19fe77b9a7babc7/0109404868.jpeg "Mit Effekten von Motion-UI kann jedes Unternehmen seine Produktbereitstellungsquoten schnell verbessern. (Bild: <a href=https://github.com/foundation/motion-ui>Foundation CSS auf GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/e7/0fe7f900a0b01f30902f3c7209857b5e/0110554825.jpeg "Jörg Noack, Consol: „DevOps ist nichts, was Unternehmen allgemein und Entwickler-Teams speziell ‚on the run‘ umsetzen können.“ (Bild: Consol)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/92/74/9274f298d0379fd1f70425c82054160b/0110295392.jpeg "In der echten Welt sind Container solide Storage-Einheiten. In der IT benötigen Container zusätzlichen Storage, da sie selbst nur flüchtige Software-Einheiten darstellen. (Bild: Achim Banck - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b1280f3563f48b0d3f49ec4c0f5c116c/0109915179.jpeg "Pure Storage sorgt mit dem Observability and Monitoring Service für optimierte Transparenz in IT-Umgebungen. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/0e/b1/0eb1313d50d0dc55701f9bc382fca95a/0110565371.jpeg "Der neue Copilot für die Kommandozeile hilft, Befehle und Loops zu erstellen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Spannende Zahlen aus 2017 Schwachstellen in Webanwendungen
Sicherheitslücken in Webanwendungen nehmen immer weiter zu, neben bekannten Kategorien wie Cross-Site Scripting gibt es auch neue Bedrohungen wie „unsichere Deserialisierung“. Mit dem Erfolg des Internet der Dinge (IoT) wachsen die Risiken weiter und beeinflussen die Sicherheitslandschaft dauerhaft. WordPress und PHP bleiben „dominierend“ im Hinblick auf veröffentlichte Sicherheitslücken in Content-Management-Systemen beziehungsweise serverseitigen Technologien.
Anbieter zum Thema
Die Zunahme von Schwachstellen in Webanwendungen lässt sich nach Ansicht der Sicherheitsforscher von Imperva mit Zahlen belegen. Die Autoren bewerten außerdem die wichtigsten Entwicklungen in diesem Bereich. Bild 1 in der Bildergalerie zeigt die Anzahl der Sicherheitslücken nach Monaten im Verlauf der letzten beiden Jahre. Wie hier deutlich zu erkennen ist, hat sich die Anzahl der neuen Sicherheitslücken 2017 (14.082) im Vergleich zu 2016 (6.615) wesentlich erhöht (um 212 Prozent).
Den Daten der Autoren zufolge gibt es für mehr als 50 Prozent der Schwachstellen in Webanwendungen einen öffentlichen Exploit, den Hacker nutzen können. Zudem ist für mehr als ein Drittel (36 Prozent) der Schwachstellen in Webanwendungen keine Lösung verfügbar, wie etwa ein Software-Upgrade, Workaround oder Software-Patch. Wie gewöhnlich sind Cross-Site-Scripting-Schwachstellen (siehe Bild Nr. 2 in der Bildergalerie) die zahlenmäßig größte Kategorie (8 Prozent). Ihre Zahl hat sich seit 2016 sogar verdoppelt.
:quality(80)/images.vogel.de/vogelonline/bdb/1388400/1388477/original.jpg "Zahl der Schwachstellen in Webanwendungen in 2016-2017.")
:quality(80)/images.vogel.de/vogelonline/bdb/1388400/1388478/original.jpg "Zahl und Art der OWASP Top 10-Sicherheitslücken 2014-2017.")
:quality(80)/images.vogel.de/vogelonline/bdb/1388400/1388479/original.jpg "IOT-Sicherheitslücken 2014-2017.")
:quality(80)/images.vogel.de/vogelonline/bdb/1388400/1388480/original.jpg "Anzahl der Sicherheitslücken nach CMS-Plattform 2016-2017.")
Die OWASP Top 10
Die OWASP hat ihre lang erwartete „Top 10“-Liste veröffentlicht, in der zwei neue Risiken aufgeführt sind:
Unsichere Deserialisierung
Serialisierung ist die Umwandlung von Datenstrukturen oder Objektzuständen in ein Format, das gespeichert werden kann (zum Beispiel in einer Datei oder einem Zwischenspeicher), übertragbar ist (zum Beispiel über eine Netzwerkverbindung) und später wieder zurückübersetzt werden kann (Deserialisierung). Serialisierung wird in RPC, HTTP, Datenbanken etc. weithin verwendet. Anwendungen und APIs können anfällig sein, wenn sie eingeschleuste bösartige oder manipulierte Objekte deserialisieren, ohne sie richtig zu säubern. Aus diesem Grund ist es besonders interessant, sich die Sicherheitslücken im Licht dieser Veränderungen anzusehen.
Die Zahl der Deserialisierungs-Schwachstellen hat sich 2016-2017 (siehe Bild Nr. 2 in der Bildergalerie) im Vergleich zu früheren Jahren erheblich erhöht, was ihnen vermutlich den Platz in der neuen OWASP Top 10 eingetragen hat. Heute kommunizieren immer mehr Anwendungen und Frameworks über Standard-APIs. Einige dieser APIs empfangen serialisierte Objekte und deserialisieren sie dann, was erklären kann, warum die Anzahl von Schwachstellen aufgrund unsicherer Deserialisierung wächst.
Unzureichende Protokollierung und Überwachung
Angreifer setzen auf mangelnde Überwachung und verzögerte Reaktionen, um ihre Ziele zu erreichen, ohne entdeckt zu werden. Unzureichende Protokollierung und Überwachung liegt unter anderem vor, wenn überprüffähige Ereignisse – wie Logins, fehlgeschlagene Logins und Überweisungen mit einer hohen Transaktionssumme nicht protokolliert werden. Ein weiteres Beispiel ist der Fall, dass Protokolle von Applikationen und APIs nicht in Hinblick auf verdächtige Aktivitäten überwacht werden. Oft sind Applikation außerdem nicht fähig, aktive Attacken zu entdecken oder einen Alarm in Echtzeit auszulösen. Sobald die Ereignisanzeige oder Warnereignisse für andere User, bzw. Angreifer sichtbar sind, führt dies zu einer erhöhten Angreifbarkeit für Informationsverlust.
Die Rebellion der (IoT-)Maschinen
IoT-Geräte senden und empfangen Informationen und sind deshalb für gewöhnlich durchgehend mit dem Internet verbunden. In vielen Fällen versäumen es die Hersteller intelligenter Geräte jedoch, sie richtig abzusichern, oder bauen sogar „Hintertüren“ ein, um sich verdeckte Zugriffe zu verschaffen.
104 IoT-bezogene Sicherheitslücken wurden im letzten Jahr beobachtet (siehe Bild Nr. 3 in der Bildergalerie) – eine enorme Steigerung im Vergleich zu früheren Jahren. Dieses Wachstum kann damit zusammenhängen, dass IoT-Geräte in unserem modernen Leben immer populärer werden und Fortschritte in der IoT-Technologie solche Geräte kostengünstiger und für mehr Menschen erschwinglich machen. Eine der häufigsten Arten von Schwachstellen in IoT-Geräten (35 Prozent) besteht darin, dass sich Angreifer Standard- oder leicht zu erratende Anmeldedaten zunutze machen können, um sich Zugang zu Geräten zu verschaffen und sie zu übernehmen. Sobald der Angreifer das Gerät unter Kontrolle hat, kann er es verwenden, um Angriffe aller Art zu starten. In 2017 machte sich die bekannte Malware Mirai eine solche Sicherheitslücke (standardmäßige Zugangsdaten) zunutze, um sich in Netzwerken zu verbreiten. Sobald die Malware Zugriff auf ein Gerät erhält, verwandelt sie es in einen ferngesteuerten Bot, der im Rahmen großer DDoS-Angriffe eingesetzt werden kann.
Content-Management-Systeme
Bei der Analyse von Frameworks für Content-Management-Systeme (CMS) lag der Fokus auf den vier führenden Plattformen, die zusammen einen Marktanteil von 60 Prozent besitzen – WordPress, Joomla, Drupal und Magento.
WordPress
Wie vermutet, entfällt der Löwenanteil aller CMS-bezogenen Sicherheitslücken erneut auf WordPress. Seit 2016 hat die Zahl der Schwachstellen in WordPress (418) sogar um ca. 400 Prozent zugenommen (siehe Bild Nr. 4 in der Bildergalerie). Weitere Analysen der WordPress-Schwachstellen ergaben, dass sie zu 75 Prozent auf Plug-ins von Drittanbietern zurückzuführen waren (siehe Bild Nr. 5 in der Bildergalerie).
Die steigende Anzahl der Anfälligkeiten lässt sich durch das Wachstum von WordPress (siehe Bild Nr. 6 in der Bildergalerie) sowie durch die Tatsache erklären, dass Programmcode von Drittanbieter-Plug-ins für seine Sicherheitsmängel berüchtigt ist.
Serverseitige Technologien
PHP ist nach wie vor die am weitesten verbreitete serverseitige Sprache, weshalb auch zu erwarten ist, dass sie mit der größten Zahl von Sicherheitslücken in Zusammenhang steht. 2017 wurden 44 Schwachstellen in PHP bekanntgegeben – das sind wesentlich weniger (-143 Prozent) als im Jahr 2016 (107) (siehe Bild Nr. 7 in der Bildergalerie). Ende 2015 war nach nahezu eineinhalb Jahren ohne Updates die neue Hauptversion PHP 7.0 herausgekommen, was die Zunahme der Schwachstellen im Jahr 2016 erklären mag. Im folgenden Jahr (Dezember 2016) wurde dann die Nebenversion PHP 7.1 veröffentlicht, die kleinere Veränderungen enthielt. Dies kann der Grund dafür sein, warum in den letzten Monaten weniger Schwachstellen verzeichnet wurden.
Fazit
Webanwendungen sind noch immer voller Schwachstellen und es ist nur eine Frage der Zeit bis Cyberkriminelle sich diese zu Nutze machen, um sich Zugriff auf IT-Systeme und Netzwerke zu verschaffen, die mit den Anwendungen interagieren. Unternehmen sollten dieses mögliche Einfallstor auf dem Schirm behalten und moderne Sicherheitslösungen implementieren, um Angriffe über ausgenutzte Lücken abzublocken.
Über die Autoren: Nadav Avital ist Technical Application Security Research im Imperva Defense Center. Natan Elul ist Security Research Engineer bei Imperva.
(ID:45270908)
:quality(80)/images.vogel.de/vogelonline/bdb/1932700/1932703/original.jpg "Da Webanwendungen immer komplexer werden, lauern in jedem System potenzielle Sicherheitslücken, sowohl für externe Angreifer als auch für Insider. (Egor - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904585/original.jpg "Im „2021 Software Vulnerability Snapshot“ geht Synopsys auf die Schwachstellen ein, die mithilfe verschiedener Testmethoden bei Kunden gefunden wurden. (Synopsys)")