Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Automatischer Scanner findet unsichere Websites

17.03.2006


Mit Hilfe des an der Technischen Universität Wien neu entwickelten Systems "SecuBat" lassen sich Sicherheitslücken von Webapplikationen automatisch aufspüren. Die Einladung zur Präsentation auf der renommierten internationalen WWW Konferenz in Edinburgh zeigt die hohe Relevanz dieses Themas.


Gibt es Sicherheitslücken in meiner Webapplikation? Mit dieser Frage sehen sich die Betreiber von Internet-Seiten mit dynamischen Webanwendungen regelmäßig konfrontiert. Diese Frage betrifft Seiten mit einfacher Verwaltung von Benutzerdaten ebenso wie Anwendungen im Bereich von E-Commerce oder E-Government. Das Aufspüren von Sicherheitslücken auf solchen Seiten musste bisher weitgehend manuell und mit entsprechend hohem Aufwand durchgeführt werden. Im Rahmen eines Forschungsprojekts an der Technischen Universität Wien wurde nun mit dem "SecuBat Framework" eine automatisierte und somit äußerst Ressourcen schonende Lösung entwickelt, die mögliche Lücken auf Webseiten schon im Vorfeld aufspüren kann. Das Ergebnis hat internationale Aufmerksamkeit erzielt und auch bereits Betreibern heimischer Websites wertvolle Hinweise geliefert.

Vier bis sieben Prozent der getesteten Webapplikationen sind unsicher Über 20.000 Webadressen wurden in ersten Probeläufen innerhalb weniger Stunden geprüft. Zwischen vier und sieben Prozent der "attackierten" Webapplikationen wurden dabei als potenziell anfällig markiert, je nach verwendetem Ansatz. "Das war ein überraschend hoher Anteil" meint Stefan Kals, Entwickler des "SecuBat Framework".


"Wir haben die derzeit gängigsten Arten von Hacker-Angriffen simuliert, wie zum Beispiel SQL Injection oder Cross-Site Scripting Attacks (XSS). Das sind jene Angriffsmethoden, bei denen über Formulare ein Code eingeschleust wird, der Datenbankabfragen durchführt oder Webseiten verändert. Effekte, die zum Beispiel für Phishing ausgenutzt werden können. Die Sicherheitschecks lieferten eine lange Liste von betroffenen Anwendungen, die auch vor bekannten E-Commerce und E-Government-Sites nicht halt machten. Selbstverständlich wurden die Betreiber der betroffenen Seiten sofort über die Sicherheitslücken informiert.", resümiert Stefan Kals.

Einladung nach Edinburgh

Die Ergebnisse des Forschungsprojekts werden im Mai auf der 15. Internationalen World Wide Web Konferenz in Edinburgh präsentiert. "Diese Veranstaltung ist die wichtigste Adresse für wissenschaftliche Resultate im Bereich von Webtechnologien. Google und Microsoft stellen hier regelmäßig ihre neuesten Suchalgorithmen vor" freuen sich Engin Kirda und Christopher Kruegel, Securityforscher an der Fakultät für Informatik.

Fazit: Höheres Sicherheitsbewusstsein bei Webapplikationen nötig

Die Erfahrungen mit "SecuBat" zeigen, mit wie geringem Aufwand ein Hacker heutzutage an lohnende Ziele mit leicht auszunützenden Sicherheitslücken kommen kann. Mit Hilfe von automatisierten Tools sollte es den Herstellern von Webapplikationen aber in Zukunft möglich sein, Hackern einen Schritt voraus zu sein und bestehende Lücken zu schließen, bevor diese ausgenutzt werden können.

Rückfragehinweis:
Dipl.-Ing. Dr. Engin Kirda
Technische Universität Wien
Institut für Informationssysteme
T: 01-58801-18413
E: ek@infosys.tuwien.ac.at

Mag. Karin Peter | idw
Weitere Informationen:
http://www.tuwien.ac.at

Weitere Berichte zu: Automatisch Sicherheitslücke Webapplikation Website

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Browser-Plugin für mehr Internet-Sicherheit
21.08.2018 | Technische Universität Wien

nachricht Neue Software erleichtert Tierbewegungsforschung
21.08.2018 | Eberhard Karls Universität Tübingen

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Die Mischung macht‘s: Jülicher Forscher entwickeln schnellladefähige Festkörperbatterie

Mit Festkörperbatterien sind aktuell große Hoffnungen verbunden. Sie enthalten keine flüssigen Teile, die auslaufen oder in Brand geraten könnten. Aus diesem Grund sind sie unempfindlich gegenüber Hitze und gelten als noch deutlich sicherer, zuverlässiger und langlebiger als herkömmliche Lithium-Ionen-Batterien. Jülicher Wissenschaftler haben nun ein neues Konzept vorgestellt, das zehnmal größere Ströme beim Laden und Entladen erlaubt als in der Fachliteratur bislang beschrieben. Die Verbesserung erzielten sie durch eine „clevere“ Materialwahl. Alle Komponenten wurden aus Phosphatverbindungen gefertigt, die chemisch und mechanisch sehr gut zusammenpassen.

Die geringe Stromstärke gilt als einer der Knackpunkte bei der Entwicklung von Festkörperbatterien. Sie führt dazu, dass die Batterien relativ viel Zeit zum...

Im Focus: It’s All in the Mix: Jülich Researchers are Developing Fast-Charging Solid-State Batteries

There are currently great hopes for solid-state batteries. They contain no liquid parts that could leak or catch fire. For this reason, they do not require cooling and are considered to be much safer, more reliable, and longer lasting than traditional lithium-ion batteries. Jülich scientists have now introduced a new concept that allows currents up to ten times greater during charging and discharging than previously described in the literature. The improvement was achieved by a “clever” choice of materials with a focus on consistently good compatibility. All components were made from phosphate compounds, which are well matched both chemically and mechanically.

The low current is considered one of the biggest hurdles in the development of solid-state batteries. It is the reason why the batteries take a relatively long...

Im Focus: Farbeffekte durch transparente Nanostrukturen aus dem 3D-Drucker

Neues Design-Tool erstellt automatisch 3D-Druckvorlagen für Nanostrukturen zur Erzeugung benutzerdefinierter Farben | Wissenschaftler präsentieren ihre Ergebnisse diese Woche auf der angesehenen SIGGRAPH-Konferenz

Die meisten Objekte im Alltag sind mit Hilfe von Pigmenten gefärbt, doch dies hat einige Nachteile: Die Farben können verblassen, künstliche Pigmente sind oft...

Im Focus: Color effects from transparent 3D-printed nanostructures

New design tool automatically creates nanostructure 3D-print templates for user-given colors
Scientists present work at prestigious SIGGRAPH conference

Most of the objects we see are colored by pigments, but using pigments has disadvantages: such colors can fade, industrial pigments are often toxic, and...

Im Focus: Eisen und Titan in der Atmosphäre eines Exoplaneten entdeckt

Forschende der Universitäten Bern und Genf haben erstmals in der Atmosphäre eines Exoplaneten Eisen und Titan nachgewiesen. Die Existenz dieser Elemente in Gasform wurde von einem Team um den Berner Astronomen Kevin Heng theoretisch vorausgesagt und konnte nun von Genfern Astronominnen und Astronomen bestätigt werden.

Planeten in anderen Sonnensystemen, sogenannte Exoplaneten, können sehr nah um ihren Stern kreisen. Wenn dieser Stern viel heisser ist als unsere Sonne, dann...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Dialog an Deck, Science Slam und Pong-Battle

21.08.2018 | Veranstaltungen

LaserForum 2018 thematisiert die 3D-Fertigung von Komponenten

17.08.2018 | Veranstaltungen

Aktuelles aus der Magnetischen Resonanzspektroskopie

16.08.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Zukünftige Informationstechnologien: Wärmetransport auf der Nanoskala unter die Lupe genommen

21.08.2018 | Physik Astronomie

Bedeutung des „Ozeanwetters“ für Ökosysteme

21.08.2018 | Biowissenschaften Chemie

Auf dem Weg zur personalisierten Medizin

21.08.2018 | Biowissenschaften Chemie

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics