Fast jede Webanwendung angreifbar!… ?
10. September 2008 Kategorien:Das Web Application Security Consortium (WASC), in den letzten Jahren eher durch Untätigkeit denn große Geschäftigkeit aufgefallen, hat das Ergebnis des Web Application Security Statistics Project 2007 veröffentlicht.
Demnach sind 96.85% der 32,717 geprüften Seiten bei 69,476 bekannten Schwachstellen nach einer automatisierten Prüfung und manuellen Tests gegenüber “high severity vulnerabilities” verwundbar! *kreisch*
Was genau diese “high severity vulnerabilities” jedoch genau sind, bleibt die Frage. Ist ein Cross-Site-Scripting (XSS) auf einer Seite, die keinerlei personenbezogene Daten verarbeitet bereits High Severity? Oder muss die Seite defacebar sein?
Man weiß es nicht.
Aus der Praxis der Penetrationstests von Webanwendungen heraus erstaunt vor Allem der starke Unterschied zwischen automatisierten Tests und den manuellen Nachprüfungen.
Die spezialisierten Web-Vulnerability-Scanner greifen auf sehr große Datenbanken zurück und können Parameter in von Hand nicht darstellbaren Iterationsmenegen auf die Webanwendung abfeuern. Damit lassen sich SQL-Injection, XSS und auch Cross Site Request Forgery finden und manuell die Angriffe verfeinern (im Gegensatz zur Aussage in einer Heise Newsmeldung zur Studie). Natürlich haben auch Web-Vulnerability-Scanner prinzipbedingt Mängel und eine manuelle Verifikation der Ergebnisse und manuelle Prüfungen die über die Scan-Verifikation hinausgegen sind unerlässlich (was wir schon seit Jahren (bald Jahrzehnten) predigen und in diesem Beispiel und diesem Beispiel hübsch verdeutlicht wird).
Unsere Statistik würde so aussehen (ohne statistisch aufs Nachkomma genau sein zu wollen):
- 95% der geprüften Web-Anwendungen sind verwundbar
- 70% sind vor dem Hintergrund ihres Einsatzgebietes mit Schwachstellen im Risikolevel “high” behaftet
Und welchen Anteil daran haben die automatisierten Tests?
- 80% der Lücken werden aufgrund von Ergebnissen der Scanner gefunden (entsprechend 20% rein manuell)
- 60% der Schwachstellen die im Ergebnisbericht mit “high” bewertet werden, bekommen erst durch manuelle Verfeinerungen und Iterationen diesen Status
Wir sind also insofern mit der Studie einig, dass viele, viele Webanwendungen verwundbar sind und eine regelmäßige Prüfung unerlässlich ist. Spezialisierte Tools spielen jedoch eine größere Rolle, als in der Studie angeführt.