Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Automatischer Scanner findet unsichere Websites

17.03.2006


Mit Hilfe des an der Technischen Universität Wien neu entwickelten Systems "SecuBat" lassen sich Sicherheitslücken von Webapplikationen automatisch aufspüren. Die Einladung zur Präsentation auf der renommierten internationalen WWW Konferenz in Edinburgh zeigt die hohe Relevanz dieses Themas.


Gibt es Sicherheitslücken in meiner Webapplikation? Mit dieser Frage sehen sich die Betreiber von Internet-Seiten mit dynamischen Webanwendungen regelmäßig konfrontiert. Diese Frage betrifft Seiten mit einfacher Verwaltung von Benutzerdaten ebenso wie Anwendungen im Bereich von E-Commerce oder E-Government. Das Aufspüren von Sicherheitslücken auf solchen Seiten musste bisher weitgehend manuell und mit entsprechend hohem Aufwand durchgeführt werden. Im Rahmen eines Forschungsprojekts an der Technischen Universität Wien wurde nun mit dem "SecuBat Framework" eine automatisierte und somit äußerst Ressourcen schonende Lösung entwickelt, die mögliche Lücken auf Webseiten schon im Vorfeld aufspüren kann. Das Ergebnis hat internationale Aufmerksamkeit erzielt und auch bereits Betreibern heimischer Websites wertvolle Hinweise geliefert.

Vier bis sieben Prozent der getesteten Webapplikationen sind unsicher Über 20.000 Webadressen wurden in ersten Probeläufen innerhalb weniger Stunden geprüft. Zwischen vier und sieben Prozent der "attackierten" Webapplikationen wurden dabei als potenziell anfällig markiert, je nach verwendetem Ansatz. "Das war ein überraschend hoher Anteil" meint Stefan Kals, Entwickler des "SecuBat Framework".


"Wir haben die derzeit gängigsten Arten von Hacker-Angriffen simuliert, wie zum Beispiel SQL Injection oder Cross-Site Scripting Attacks (XSS). Das sind jene Angriffsmethoden, bei denen über Formulare ein Code eingeschleust wird, der Datenbankabfragen durchführt oder Webseiten verändert. Effekte, die zum Beispiel für Phishing ausgenutzt werden können. Die Sicherheitschecks lieferten eine lange Liste von betroffenen Anwendungen, die auch vor bekannten E-Commerce und E-Government-Sites nicht halt machten. Selbstverständlich wurden die Betreiber der betroffenen Seiten sofort über die Sicherheitslücken informiert.", resümiert Stefan Kals.

Einladung nach Edinburgh

Die Ergebnisse des Forschungsprojekts werden im Mai auf der 15. Internationalen World Wide Web Konferenz in Edinburgh präsentiert. "Diese Veranstaltung ist die wichtigste Adresse für wissenschaftliche Resultate im Bereich von Webtechnologien. Google und Microsoft stellen hier regelmäßig ihre neuesten Suchalgorithmen vor" freuen sich Engin Kirda und Christopher Kruegel, Securityforscher an der Fakultät für Informatik.

Fazit: Höheres Sicherheitsbewusstsein bei Webapplikationen nötig

Die Erfahrungen mit "SecuBat" zeigen, mit wie geringem Aufwand ein Hacker heutzutage an lohnende Ziele mit leicht auszunützenden Sicherheitslücken kommen kann. Mit Hilfe von automatisierten Tools sollte es den Herstellern von Webapplikationen aber in Zukunft möglich sein, Hackern einen Schritt voraus zu sein und bestehende Lücken zu schließen, bevor diese ausgenutzt werden können.

Rückfragehinweis:
Dipl.-Ing. Dr. Engin Kirda
Technische Universität Wien
Institut für Informationssysteme
T: 01-58801-18413
E: ek@infosys.tuwien.ac.at

Mag. Karin Peter | idw
Weitere Informationen:
http://www.tuwien.ac.at

Weitere Berichte zu: Automatisch Sicherheitslücke Webapplikation Website

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Tausend Mal schneller als Flash-Speicher: Schnelles Speichermaterial im Neutronenlicht
07.12.2018 | Technische Universität München

nachricht Drei Komponenten auf einem Chip
06.12.2018 | Universität Stuttgart

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Supercomputer ohne Abwärme

Konstanzer Physiker eröffnen die Möglichkeit, Supraleiter zur Informationsübertragung einzusetzen

Konventionell betrachtet sind Magnetismus und der widerstandsfreie Fluss elektrischen Stroms („Supraleitung“) konkurrierende Phänomene, die nicht zusammen in...

Im Focus: Drei Nervenzellen reichen, um eine Fliege zu steuern

Uns wirft so schnell nichts um. Eine Fruchtfliege kann dagegen schon ein kleiner Windstoß vom Kurs abbringen. Drei große Nervenzellen in jeder Hälfte des Fliegenhirns reichen jedoch aus, um die Fliege mit Hilfe visueller Signale wieder auf Kurs zu bringen.

Bewegen wir uns vorwärts, zieht die Umwelt in die entgegengesetzte Richtung an unseren Augen vorbei. Drehen wir uns, verschiebt sich das Bild der Umwelt im...

Im Focus: Researchers develop method to transfer entire 2D circuits to any smooth surface

What if a sensor sensing a thing could be part of the thing itself? Rice University engineers believe they have a two-dimensional solution to do just that.

Rice engineers led by materials scientists Pulickel Ajayan and Jun Lou have developed a method to make atom-flat sensors that seamlessly integrate with devices...

Im Focus: Drei Komponenten auf einem Chip

Wissenschaftlern der Universität Stuttgart und des Karlsruher Institutes für Technologie (KIT gelingt wichtige Weiterentwicklung auf dem Weg zum Quantencomputer

Quantencomputer sollen bestimmte Rechenprobleme einmal sehr viel schneller lösen können als ein klassischer Computer. Einer der vielversprechendsten Ansätze...

Im Focus: Three components on one chip

Scientists at the University of Stuttgart and the Karlsruhe Institute of Technology (KIT) succeed in important further development on the way to quantum Computers.

Quantum computers one day should be able to solve certain computing problems much faster than a classical computer. One of the most promising approaches is...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Kalikokrebse: Großes Interesse an erster Fachtagung

07.12.2018 | Veranstaltungen

Entwicklung eines Amphibienflugzeugs

04.12.2018 | Veranstaltungen

Neue biologische Verfahren im Trink- und Grundwassermanagement

04.12.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Erstmalig in Deutschland: Erfolgreiche Bestrahlungstherapie lebensbedrohlicher Herzrhythmusstörung

07.12.2018 | Medizintechnik

Nicht zu warm und nicht zu kalt! Seminar „Thermomanagement von Lithium-Ionen-Batterien“ am 02.04.2019 in Aachen

07.12.2018 | Seminare Workshops

Seminar „Magnettechnik - Magnetwerkstoffe“ vom 19. – 20.02.2019 in Essen

07.12.2018 | Seminare Workshops

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics