Wie Angreifer bei Webanwendungen durch Schwachstellen schlüpfen

Wie Angreifer bei Webanwendungen durch Schwachstellen schlüpfen - Bild von Mohamed Hassan auf Pixabay

Beitrag teilen

Schwachstellen bei der Zugangskontrolle und das Risiko der Offenlegung von Daten sind die weit verbreitetsten Sicherheitsmängel in unternehmensintern entwickelten Webanwendungen. Dies zeigt eine aktuelle Analyse im Zeitraum 2021 bis 2023. Das macht es Angreifern zu leicht beim eindringen in Unternehmen. 

Security-Spezialist Kaspersky untersuchte für seinen Report Schwachstellen in selbst entwickelten Webanwendungen von Unternehmen aus den Bereichen IT, Behörden, Versicherungen, Telekommunikation, Kryptowährungen, E-Commerce und Gesundheitswesen.

Anzeige

Selbst entwickelte Webanwendungen fehlerhaft

Der Großteil (70 Prozent) der gefundenen Schwachstellen betrifft die Bereiche Datenschutz hinsichtlich vertraulicher Informationen wie Passwörter, Kreditkartendaten, Gesundheitsakten, persönliche Daten und vertrauliche Geschäftsinformationen oder die Zugriffskontrolle. Über letztere können Cyberkriminelle Website-Richtlinien umgehen und dadurch beispielsweise Daten ändern oder löschen.

In der Mehrzahl der untersuchten Anwendungen fanden die Experten insgesamt mehrere Dutzend Schwachstellen, die die Zugriffskontrolle und den Datenschutz betrafen; viele, die der höchsten Risikostufe zugeordnet wurden, standen im Zusammenhang mit SQL-Injektionen. Einige der analysierten Schwachstellen wiesen sogar ein hohes Risiko auf. So handelte es sich bei 88 Prozent aller analysierten SQL-Injection-Schwachstellen um solche mit hohem Risiko; weiterhin wurden 78 Prozent im Bereich schwache Passwörter als hochriskant eingestuft.

Schwachstellen, schlechte Passwörter und mehr

🔎 40 bis 70 Prozent der untersuchten Webanwendungen enthalten die klassischen Fehler, wie etwa eine defekte Zugangskontrolle (Bild: Kaspersky).

Außerdem wiesen 22 Prozent aller von Kaspersky untersuchten Webanwendungen schwache Passwörter auf. Ein möglicher Grund ist, dass es sich bei den in der Stichprobe enthaltenen Apps möglicherweise um Testversionen und nicht um tatsächliche Live-Systeme handelte. Weitere Arten von gefunden Schwachstellen und ihr Vorkommen in unternehmensintern entwickelten Webanwendungen: Oxana Andreeva, Sicherheitsexpertin im Team von Kaspersky Security Assessment, kommentiert:

„Die Untersuchung wurde unter Berücksichtigung der häufigsten Schwachstellen in Webanwendungen, die inhouse von Unternehmen entwickelt wurden, sowie ihres Risikogrades erstellt. Angreifer könnten dadurch Daten zur Nutzerauthentifizierung stehlen oder schädlichen Code auf dem Server ausführen. Jede Schwachstelle hat unterschiedlich starke Auswirkungen auf die Geschäftskontinuität und die Ausfallsicherheit. Unternehmen sollten daher auf die Sicherheit bei der Entwicklung von Webanwendungen achten und diese stetig überprüfen.“

Mehr Schutz von unternehmensintern entwickelten Webanwendungen

  • Einen Secure Software Development Lifecycle (SSDLC) implementieren.
  • Regelmäßig Bewertungen der Anwendungssicherheit durchführen und entsprechende Maßnahmen ergreifen.
  • Den Betrieb der Anwendungen überwachen.
Mehr bei Sophos.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Weltgrößter white-hacking Wettbewerb im Automobilbereich

Im Tokyo Big Sight Veranstaltungszentrum findet vom 22. bis 24. Januar 2025 der weltweit größte white-hacking Wettbewerb „Pwn2Own Automotive 2025“ ➡ Weiterlesen

Verschlüsselte Angriffe nehmen zu

Ein Anbieter von Cloud-Sicherheit veröffentlicht mit dem ThreatLabz 2024 Encrypted Attacks Report eine Analyse der neuesten Bedrohungen. Verschlüsselter Datenverkehr entwickelte ➡ Weiterlesen

Bedrohungen bewerten und aktiv abwehren

Mit dem Risk Management Dashboard von Keeper Security haben Administratoren die Sicherheit des Unternehmens im Blick. Dynamische Benchmarks unterstützen sie ➡ Weiterlesen

KI-Einsatz: Schutz und Gefahr für die Datensicherheit 2025

In diesem Jahr sollten Unternehmen der Datensicherheit in der Cloud angesichts des zunehmenden KI-Einsatzes höchste Priorität einzuräumen. Die Entwicklung und ➡ Weiterlesen

Phishing-resistente Authentifizierung für Microsoft

Ein führender Anbieter von Sicherheitsschlüsseln für die Hardware-Authentifizierung hat eine neue phishing-resistente Lösung für Microsoft-Ökosysteme vorgestellt. Sie kommt ohne Passwörter ➡ Weiterlesen

KI zum Schutz kritischer IT-Infrastrukturen

Ein Anbieter von Lösungen für Performance Management, Cybersicherheit und Schutz vor DDoS-Angriffen, kündigt Updates für seine branchenführenden Produkte Arbor Edge ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Die zehn größten Datenpannen im Jahr 2024

Datenpannen sorgen nicht nur für häufige, aufmerksamkeitsstarke Schlagzeilen – sie sind eine deutliche Erinnerung an die Schwachstellen, die in vielen ➡ Weiterlesen