Die Bilanz der aktuellen Analyse von Context Information Security: Zwei Drittel aller getesteten Web-Applikationen sind gefährdet für „Cross-Site Scripting“-Angriffe und jede fünfte würde fachkundig durchgeführten „SQL Injections“-Attacken zum Opfer fallen. Heute veröffentlicht das Unternehmen seinen vollständigen „Web Application Vulnerability“-Bericht mit allen statistischen Auswertungen der umfassenden Penetrationstests im Jahr 2011. Untersucht wurden rund 600 Web-Anwendungen. Das Ergebnis zeigt auch, dass vor allem die Entwicklungen für staatliche Institutionen, Rechts- sowie Versicherungs- und Finanzdienstleistungsbereiche zunehmende Sicherheitslücken aufweisen. Insgesamt entdeckte Context etwa 8.000 Schwachstellen, die bei den untersuchten Applikationen bis dato unbekannt waren. Damit stieg die Zahl der potenziellen Angriffspunkte pro Anwendungssoftware 2011 von durchschnittlich 12,5 auf 13,5 im Vergleich zum Vorjahr.
Die Kategorien möglicher Sicherheitsrisiken mussten für den aktuellen Bericht noch ergänzt werden: Mangelhafte Server-Konfigurationen und „Information-Leakage“ erweitern die Liste, die auch die Themenfelder Authentifizierung, Session Management sowie Schwachstellen bei Autorisierungen und Verschlüsselungen umfasst. Die einzige Ausnahme in der sich allgemeinen verschlechternden Situation ist der Bereich der Eingabevalidierung. Die Verbesserung ist hier wahrscheinlich auf den vermehrten Einsatz von Frameworks zurückzuführen, in denen unterschiedliche Sicherheitsüberprüfungen bereits integriert sind.
„Obwohl die Zahl der Sicherheitsrisiken bei Web-Applikationen von 2010 bis 2011 nicht allzu sehr gestiegen ist, weist unser Bericht doch deutlich darauf hin, dass die Entwickler nach wie vor dieselben Fehler machen. Das Thema Sicherheit wird noch immer nicht angemessen berücksichtig“, betont Michael Jordon, Manager für Research und Development bei Context.
Applikationen für den staatlichen Bereich weisen laut den Ergebnissen aus dem Jahr 2011 die meisten Schwachstellen auf. Im Finanzsektor, der 2010 die geringsten Risiken verzeichnete, ergab sich im vergangenen Jahr ein Anstieg um durchschnittlich gut 1,5 Sicherheitslücken mehr pro getesteter Anwendung. Ähnliche Ergebnisse gab es für die Bereiche Recht und Versicherungen im selben Zeitraum – die Penetrationstests bewiesen ein Plus von durchschnittlich gut 2,5 Schwachstellen.
„In Kategorien wie Server-Konfiguration und Information-Leakage haben wir eine große Zunahme an Angriffsmöglichkeiten ermittelt. Die größten und potenziell gefährlichsten Bedrohungen für Web-Applikationen verbergen sich jedoch im gekonnten Cross-Scripting und in SQL Injection-Angriffen“, erläutert Michael Jordon. „Wir hoffen, dass unser Bericht Handlungsanleitungen bietet, durch die Entwickler und Sicherheitsexperten ihre Arbeit zukünftig besser priorisieren können. Bevor Web-Anwendungen live gehen sollten in jedem Fall immer eingehende Penetrationstests stattfinden.“
Der vollständige „Web Application Vulnerability“-Bericht steht unter dem folgenden Link zum Download bereit:
www.contextis.com/research/white-papers/WebApplicationVulnerabilityStatistics2010-2011/
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut – zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28, 1. Obergeschoss
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
www.contextis.de
technik@contextis.de
Pressekontakt:
Press’n’Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de