Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     Siemens  n-tv 
Datenbankrecherche:

Fachgebiet (optional):

 

Automatischer Scanner findet unsichere Websites

17.03.2006

Anzeige


Mit Hilfe des an der Technischen Universität Wien neu entwickelten Systems "SecuBat" lassen sich Sicherheitslücken von Webapplikationen automatisch aufspüren. Die Einladung zur Präsentation auf der renommierten internationalen WWW Konferenz in Edinburgh zeigt die hohe Relevanz dieses Themas.


Gibt es Sicherheitslücken in meiner Webapplikation? Mit dieser Frage sehen sich die Betreiber von Internet-Seiten mit dynamischen Webanwendungen regelmäßig konfrontiert. Diese Frage betrifft Seiten mit einfacher Verwaltung von Benutzerdaten ebenso wie Anwendungen im Bereich von E-Commerce oder E-Government. Das Aufspüren von Sicherheitslücken auf solchen Seiten musste bisher weitgehend manuell und mit entsprechend hohem Aufwand durchgeführt werden. Im Rahmen eines Forschungsprojekts an der Technischen Universität Wien wurde nun mit dem "SecuBat Framework" eine automatisierte und somit äußerst Ressourcen schonende Lösung entwickelt, die mögliche Lücken auf Webseiten schon im Vorfeld aufspüren kann. Das Ergebnis hat internationale Aufmerksamkeit erzielt und auch bereits Betreibern heimischer Websites wertvolle Hinweise geliefert.

Vier bis sieben Prozent der getesteten Webapplikationen sind unsicher Über 20.000 Webadressen wurden in ersten Probeläufen innerhalb weniger Stunden geprüft. Zwischen vier und sieben Prozent der "attackierten" Webapplikationen wurden dabei als potenziell anfällig markiert, je nach verwendetem Ansatz. "Das war ein überraschend hoher Anteil" meint Stefan Kals, Entwickler des "SecuBat Framework".

"Wir haben die derzeit gängigsten Arten von Hacker-Angriffen simuliert, wie zum Beispiel SQL Injection oder Cross-Site Scripting Attacks (XSS). Das sind jene Angriffsmethoden, bei denen über Formulare ein Code eingeschleust wird, der Datenbankabfragen durchführt oder Webseiten verändert. Effekte, die zum Beispiel für Phishing ausgenutzt werden können. Die Sicherheitschecks lieferten eine lange Liste von betroffenen Anwendungen, die auch vor bekannten E-Commerce und E-Government-Sites nicht halt machten. Selbstverständlich wurden die Betreiber der betroffenen Seiten sofort über die Sicherheitslücken informiert.", resümiert Stefan Kals.

Einladung nach Edinburgh

Die Ergebnisse des Forschungsprojekts werden im Mai auf der 15. Internationalen World Wide Web Konferenz in Edinburgh präsentiert. "Diese Veranstaltung ist die wichtigste Adresse für wissenschaftliche Resultate im Bereich von Webtechnologien. Google und Microsoft stellen hier regelmäßig ihre neuesten Suchalgorithmen vor" freuen sich Engin Kirda und Christopher Kruegel, Securityforscher an der Fakultät für Informatik.

Fazit: Höheres Sicherheitsbewusstsein bei Webapplikationen nötig

Die Erfahrungen mit "SecuBat" zeigen, mit wie geringem Aufwand ein Hacker heutzutage an lohnende Ziele mit leicht auszunützenden Sicherheitslücken kommen kann. Mit Hilfe von automatisierten Tools sollte es den Herstellern von Webapplikationen aber in Zukunft möglich sein, Hackern einen Schritt voraus zu sein und bestehende Lücken zu schließen, bevor diese ausgenutzt werden können.

Rückfragehinweis:
Dipl.-Ing. Dr. Engin Kirda
Technische Universität Wien
Institut für Informationssysteme
T: 01-58801-18413
E: ek@infosys.tuwien.ac.at

Mag. Karin Peter | Quelle: Informationsdienst Wissenschaft
Weitere Informationen: www.tuwien.ac.at

Weitere Berichte zu: Automatisch Sicherheitslücke Webapplikation Website

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Berlinale setzt auf Fraunhofer IIS Expertise bei der Prüfung digitaler Filmformate
07.02.2012 | Fraunhofer-Institut für Integrierte Schaltungen IIS

nachricht Satellitentelefonie ist unsicher: RUB-Forscher knacken Sicherheitsstandards
07.02.2012 | Ruhr-Universität Bochum

Alle Nachrichten aus der Kategorie Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>


Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Bronze-Matrjoschka: hocheffiziente Katalysatoren und Nanoröhrchen mit ungewöhnlicher Symmetrie


Eine Puppe in der Puppe und noch eine drumherum – so erklärt Thomas Fässler seine Moleküle: Er packt ein Atom in einem Käfig in noch ein weiteres Atomgerüst.

Mit ihrer großen Oberfläche könnten solche Strukturen als hocheffiziente Katalysatoren dienen. Wie bei dem russischen Holzspielzeug sitzt ganz innen drin ein einzelnes kleines Zinnatom, eingepackt in eine Hülle aus zwölf Kupferatomen, und diese ist nochmals umgeben von weiteren 20 Zinnatomen.

In der Arbeitsgruppe von Professor Fässler am Institut für Anorganische ...

Im Focus: Notunterkünfte für Katastrophengebiete


Eine Notunterkunft muss schnell verfügbar, kostengünstig, leicht zu transportieren und unkompliziert im Aufbau sein.

In der Katastrophenhilfe ist daher das Zelt die erste Wahl. Doch oft wird aus dem Provisorium ein Dauerzustand, der sich über Jahre erstrecken kann. Ziel des Projektes Architekturstudierender am KIT: ein Ansatz, der die Lebensbedingungen in solchen Zeltlagern verbessert. Mit der sechseckigen Konstruktion „x-tent.me“ entwickelten sie eine Übergangsform zwischen temporärer ...

Im Focus: Was Larven hungrig macht


Viele Insektenlarven fressen Pflanzen und richten so in der Landwirtschaft Schaden an. Wie wird das Fressverhalten der Larven gesteuert, welche Hormone sind daran beteiligt? Das untersuchen Wissenschaftler vom Biozentrum der Universität Würzburg. Die Deutsche Forschungsgemeinschaft (DFG) fördert ihr Projekt.

Ob ein Mensch Hunger spürt oder sich satt fühlt, wird durch ein komplexes Signalnetzwerk in seinem Organismus bestimmt. Daran beteiligt sind Nervensystem, Magen-Darm-Trakt, Bauchspeicheldrüse und Fettzellen, wobei diese Akteure über so genannte Neuropeptide wie Orexin und über Peptidhormone wie Insulin oder Leptin miteinander kommunizieren. Peptide von diesem Typus spielen im ...

Im Focus: Getriebelose 6-Megawatt-Windturbine am Markt


Siemens hat eine getriebelose Windenergieanlage mit sechs Megawatt (MW) Leistung für den Offshore-Einsatz auf den Markt gebracht.

Windturbinen ohne Getriebe zeichnen sich durch ein robustes Design und ein geringes Gesamtgewicht aus. Diese Kombination senkt Infrastruktur-, Installations- und Wartungskosten und steigert die Energieausbeute und damit die Rentabilität über die gesamte Lebensdauer der Anlage. Die Rotorblätter der SWT-6.0-Windturbine sind mit 75 Meter Länge die größten für 6-MW-Anlagen.

Sie basieren auf ...

Im Focus: Ultrahochspannung: Schalter für 1,2 Megavolt


Siemens hat den weltweit ersten Leistungsschalter entwickelt, der bei Spannungen von 1,2 Millionen Volt arbeitet.

Solche Ultrahochspannungen erhöhen die Übertragungskapazität von Stromleitungen und bieten so die Möglichkeit, auf relativ wenigen Trassen große Mengen elektrischer Energie zu transportieren.

Leistungsschalter werden in Umspannwerken eingesetzt, um einzelne Stromleitungen zu- oder abzuschalten. Der neue Schalter ist für eine Testinstallation im indischen Bina bestimmt. Indien setzt auf die Ultrahochspannungs-Technik, um seine ...

Alle Focus-News des innovations-reports >>>

Anzeige

B2B Suche
Produkt / Dienstleistung
Firma / Organisation

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Aktuell

Mit Hitze Daten speichern

07.02.2012 | Physik Astronomie

Sharp images from the living mouse brain

07.02.2012 | Biowissenschaften Chemie

Wir sind Übermorgenmacher

07.02.2012 | Architektur Bauwesen

VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Veranstaltungen

Zuverlässig und sicher fahren mit alternativen Antrieben

07.02.2012 | Veranstaltungsnachrichten

II. HHL-Energiekonferenz zu “Smart Cities“

07.02.2012 | Veranstaltungsnachrichten

GI-VDE-Forum zum Thema IT-Sicherheit auf der CeBIT am 9. März 2012 ab 11:00 Uhr

07.02.2012 | Veranstaltungsnachrichten

FindAndHelp