111816

Web-Anwendung als Sicherheitsrisiko

22.04.2010 | 14:43 Uhr |

Hacker versuchen immer öfter Programmierfehler in Web-Anwendungen auszunutzen, um an vertrauliche Kunden- und Unternehmensdaten zu gelangen. Anwender können sich schützen, indem sie ihre Web-Anwendungen auf Sicherheitslecks überprüfen oder Gateways dazwischenschalten.

Wenn man die Rechnungs-ID änderte (hier geschwärzt), erlangte man Zugriff auf die Verbindungsdaten anderer Kunden.
Vergrößern Wenn man die Rechnungs-ID änderte (hier geschwärzt), erlangte man Zugriff auf die Verbindungsdaten anderer Kunden.
© 2014

Hackers Traum - Admins Albtraum: Über eine an und für sich harmlose Web-Anwendung auf der Unternehmens-Website, die eigentlich dem Kunden einen besseren Service bieten soll, lassen sich unter Umständen auch ganz andere Informationen aus der Unternehmensdatenbank auslesen, die überhaupt nicht zur Veröffentlichung gedacht sind.

Dieses Horrorszenario ereignete sich beispielsweise Anfang Februar 2009 bei 1&1 , als Kunden auf die Verbindungsdaten anderer Nutzer zugreifen konnten . Die Lücke entstand durch einen Fehler in der Kundenverwaltung von 1&1. Durch eine fehlende Überprüfung der Nutzerrechtekonnten konnten unberechtigte Personen auf die Einzelverbindungsnachweise anderer Nutzer zugreifen. Dazu genügte es, nach dem Login die eigenen Daten aufzurufen und anschließend in der URL die Rechnungs-ID zu ändern. Danach konnte man sehen, welche Rufnummer wie lange und zu welchem Preis mit welcher Gegenstelle telefoniert hat. Glücklicherweise war kein Zugriff auf das eigentliche 1&1-Konto möglich.

Verschiedene Ursachen können zu solch einer schweren Panne führen. Entweder ist die Web-Anwendung fehlerhaft programmiert. Oder der Fehler steckt im Programmcode der Backend-Anwendung. Oder aber das Problem tritt beim Zusammenspiel zwischen diesen beiden Komponenten auf.

Clevere Hacker können dann via Browser Abfragen zu starten und Daten einzusehen, die nicht für die Allgemeinheit gedacht sind. Genau das sollen Maßnahmen zur so genannten Web Application Security (WAS) verhindern. Das ist angesichts der Warnungen der Computing Technology Industry Association (Comptia) dringend nötig, denn die Zahl solcher Attacken nimmt fortwährend zu und könnte sich aus Sicht der Organisation zum Alptraum der IT-Security entwickeln.

0 Kommentare zu diesem Artikel
111816