Bericht zum Web-Sicherheitslückentest von Acunetix 2017 (Deutsch)

14 Oktober 2017
Bericht zum Web-Sicherheitslückentest von Acunetix 2017 (Deutsch)

Auf der Grundlage der Daten von Acunetix Online erstellt das Team von Acunetix jedes Jahr einen Bericht. Dieser dritte Sicherheitslückentestbericht enthält die Daten und Analyse der Sicherheitslücken, die Acunetix von März 2016 bis März 2017 erfasst hat und gibt den Sicherheitsstatus der Webanwendungen und des Netzwerkrands an.

Web Schwachstellen Report 2017


Mit den Cross-site Scripting (XSS)-Sicherheitslücken, die bei 50 % der getesteten Ziele ermittelt wurden, bestätigten die Ergebnisse in diesem Jahr erneut das weitgehende Verständnis, dass der Webanwendungsvektor ein großer, gangbarer Vektor mit niedriger Einstiegshürde für Angreifer ist.

Zum Zweck dieser Analyse wurde eine zufällige Stichprobe von 11.600 Teilnehmern aus möglichen 43.200 Teilnehmer ausgewählt, die ein oder mehrere Scan Targets erfolgreich gescannt haben.

Dieser Datensatz konzentriert sich vorwiegend auf Sicherheitslücken mit hohem und mittlerem Schweregrad in Webanwendungen sowie Sicherheitslückendaten im internen Netzwerk.

Sicherheitslücken im Überblick.JPG

Sicherheitslücken2.JPG


Ergebnisse des Sicherheitslückentests

Code Execution – Hoher Schweregrad

Code Execution, Code Injection oder Remote Code Execution (RCE) bezieht sich auf einen Angriff, der dem Angreifer erlaubt, im Rahmen eines Injection-Angriffs einen bösartigen Code auszuführen.

Die Code Execution bietet einem Angreifer häufig die Möglichkeit, einen Angriff von der Code Injection zu eskalieren, um beliebige Shell-Befehle auszuführen, daher zählt die Code Execution zu den schwerwiegendsten Sicherheitslücken von Webanwendungen seit es einem Angreifer potenziell möglich ist, das System vollständig zu übernehmen. Sobald ein Angreifer erstmals einen Fuß in der Tür hat, ist es ihm möglich, eine laterale Bewegung durch Aufzählen der Ressourcen im internen Netzwerk und Eskalation der Angriffe durch Rechteausweitung zu erreichen.

acunetix3.JPG


SQL Injection – Hoher Schweregrad


SQL Injection (SQLi) bezieht sich auf einen Injection-Angriff, wobei ein Angreifer bösartige SQL-Anweisungen ausführen kann, die den Datenbankserver der Webanwendung steuern.

Durch den Einsatz der SQL Injection kann ein Angreifer die Authentifizierungs- und Autorisierungsmechanismen umgehen und die Datenbankinhalte abrufen und sogar ändern. Ein Angreifer kann potentiell auch eine Web-Shell auf einem Server bereitstellen und diesen anschließend übernehmen. Darüber hinaus kann er im Rahmen der SQLi sogar in andere Systeme eindringen.

Die SQL Injection kann auch „blind“ erfolgen, d. h. die Ergebnisse eines Injection-Angriffs sind für den Angreifer nicht sichtbar. Da bei einem blinden SQLi-Angriff keine Daten in den Serverantworten angezeigt werden, muss der Angreifer im Rahmen eines Side Channel-Angriffs die Daten mittels Analyse der Ergebnisse einer logischen Anweisung, die in die SQL-Abfrage injiziert wurde, abrufen.


acunetix sql.JPG
acunetix sql 2.JPG

File Inclusion und Directory Traversal – Hoher Schweregrade


File Inclusion- und Directory Traversal-Sicherheitslücken ermöglichen dem Angreifer ggf. den Zugriff auf eingeschränkte Dateien und Verzeichnisse außerhalb des Stammverzeichnisses eines Webservers. Die File Inclusion geht sogar noch einen Schritt weiter: Angreifern ist es möglich, Inhalte nicht nur zu lesen, sondern auch Inhalte auch auszuführen und somit Code Execution-Sicherheitslücken verursachen.


acunetix file inclusion.JPG

Cross-site Scripting – Hoher Schweregrad

Die Sicherheitslücke des Cross-site Scripting (XSS) ist eine Client-seitige Code Injection, die vorwiegend über JavaScript erfolgt, da JavaScript in den meisten Browserfunktionen eingesetzt wird.

Da ein bösartiges JavaScript auf dieselben Objekte wie der Rest der Webseite zugreifen kann, darunter der Zugriff auf Session-Tokens in Cookies und den lokalen Speicher, kann ein Angreifer mit dem Session-Token eines Benutzers dessen Identität annehmen. Darüber hinaus kann JavaScript lesen und willkürliche Änderungen am Browser-DOM innerhalb der Seite vornehmen, auf der das Skript ausgeführt wird. Dies eröffnet einem Angreifer Möglichkeiten für clevere Social Engineering-Angriffe.


acunetix xss.JPG



Sicherheitslücken in der Netzwerkumgebung – Hoher Schweregrad

Die Sicherheitslücken in der Netzwerkumgebung, die sich in den Ressourcen der Netzwerkumgebung befinden, ergeben sich in der Regel durch Konfigurationsprobleme oder Sicherheitslücken in Geräten, wie Router, Firewalls und anderen Netzwerkgeräten, oder sogar durch Dienste, wie Webserver, E-Mail-Server und VPN-Gateways, um nur einige zu nennen. Fehlerhaft konfigurierte Netzwerkgeräte oder -dienste sowie vorhandene Sicherheitslücken in den Diensten in einer Netzwerkinfrastruktur können verheerende Auswirkungen haben.

Nach einer ersten Kompromittierung kann ein Angreifer oftmals schon einen Angriff eskalieren und sich lateral durch ein Netzwerk bewegen. Dies ist insbesondere dann der Fall, wenn das Netzwerk nicht richtig segmentiert wurde und keine Kontrollen für die Erkennung von Eindringlingen vorhanden sind.


acunetix network.JPG

Directory Listing – Mittlerer Schweregrad

Directory Listing bezieht sich auf die fehlerhafte Konfiguration eines Webservers, der vertrauliche Informationen an einen Angreifer weitergeben könnte. Directory Listing ist eine „Funktion“, die auf einigen Webservern standardmäßig aktiviert ist und Benutzern die Anzeige einer Liste mit Dateien und Verzeichnissen ermöglicht, die auf dem Webserver in einer organisierten hierarchischen Ansicht gehostet werden. Ein Angreifer kann diese Sicherheitslücken ausnutzen, indem er Verzeichnisse auflistet, um empfindliche Dateien zu finden.


acunetix listing directory.JPG


TLS-/SSL-bezogene Sicherheitslücken – Mittlerer Schweregrad

Transport Layer Security (TLS) und Vorgängerversionen sowie Secure Socket Layer (SSL) sind weitverbreitete Protokolle, die zur Sicherung der Datenübertagung zwischen Client und Server mittels Authentifizierung, Verschlüsselung und Integrität ausgelegt sind. TLS-Sicherheit ist wichtig für Websites und andere Dienste, die auf wichtige kryptographische Protokolle angewiesen sind, um die Kommunikation zu ermöglichen, ohne dass Dritte den Datenverkehr lesen und ändern können.


acunetix tls.JPG


Zusammenfassung


Die Ergebnisse in diesem Bericht zeigen klar, dass die Webanwendungen eine wichtige und wachsende Angriffsmethode darstellen, mit denen sich Unternehmen jeder Art und Größe weltweit – wissentlich oder unwissentlich – konfrontiert sehen.

Bei den meisten Sicherheitslücken von Webanwendungen, wie SQL Injection (SQLi), Cross-site Scripting (XSS) und Code Execution (RCE), ist der typische Mitigationsansatz der Installation eines Patches oft nicht zulässig. Der Hauptgrund dafür ist, dass sich die Sicherheitslücken von Webanwendungen in der Regel aus schlechten Design-Entscheidungen oder Versäumnissen bei der Entwicklung oder Implementierung des Prozesses ergeben.

Das beunruhigendste Ergebnis ist der Anstieg der Cross-site Scripting (XSS)-Sicherheitslücken. Während die Messlatte für den Missbrauch reflektierter XSS durch Angreifer immer höher gelegt wird, was teilweise auf die integrierten Schutzmaßnahmen in Browsern zurückzuführen ist, umgehen geschickte und zielgerichtete Angreifer die XSS-Filter. Und darüber hinaus bleiben gespeicherte XSS und DOM-basierte XSS weiterhin bedeutende Angriffsvektoren, wobei Angreifern nur ein geringer oder überhaupt kein Browser-Schutz im Weg steht.

Jedoch ist nicht alles düster — In Sachen SQL Injection sind die Zeiten im Wandel. Die Sicherheitslücken, die die Webanwendungssicherheit so lange geplagt haben, verzeichnen von Jahr zu Jahr einen Rückgang und sind in diesem Jahr alleine bereits um 3 % gesunken. Dies zeigt uns, dass sich die Dinge langsam in die richtige Richtung bewegen, und wir sind ziemlich sicher, dass die SQL Injection in absehbarer Zukunft weiterhin die Schlagzeilen beherrschen wird.

Die zunehmende Verlagerung auf Webtechnologien, die sowohl positive als auch spannend ist, stellt das ideale Ziel für böswillige Angriffe dar. Leider sind Entwicklungsteams häufig mit sehr knapp bemessenen Fristen konfrontiert, müssen sich mit komplexen technischen Problemen beschäftigen und sind oftmals zu schlecht ausgestattet, um die Auswirkungen eines unsicheren Codes in ihren Anwendungen zu beurteilen, vor allem in der Geschwindigkeit, in der der neue Code implementiert wird.

Die Entwicklungs- und DevOps-Teams können die Automatisierung jedoch sehr gut nutzen, um ihrer Arbeit effizienter zu gestalten. Hier gibt es keinen Grund, warum Websicherheitslückentests nicht automatisiert werden sollten —besonders, wenn sie Teil der Continuous Integration (CI)- oder Continuous Delivery (CD)-Pipelines sind. Natürlich sollten automatisierte Sicherheitslückentests, genau wie jede andere Sicherheitstestmethode nicht als Patentlösung, sondern eher als hoch kosteneffizienter Ansatz für die Festlegung einer grundlegenden Sicherheitslage betrachtet werden.

Durch die Nutzung automatisierter Sicherheitslückentests für die automatische Erkennung ganzer Klassen von schwerwiegenden Sicherheitsbugs sind manuelle Sicherheitstest (sei es mittels traditioneller Penetrationstests oder Crowdsourcing-Plattformen für Sicherheitstests) unmittelbar kosteneffizienter, da der Fokus des Penetrationstesters auf der Bugsuche liegt, die der menschlichen Logik, Vorahnung und Intuition bedarf.

Automatisierte Sicherheitstest bieten eine hochgradig skalierbare, kosteneffektive und fortwährende Ausgangsbasis für die Sicherheit von den Anfangsstadien des Software Development Lifecycle (SDLC) bis hin zu den Bereitstellungs- und Produktionsumgebungen.

Wenn Sie Websicherheit keine Priorität einräumen, ist jetzt die Zeit damit zu beginnen, da die Sicherheitslücken von Webanwendung zunehmend ernsthafte Bedrohungen für die gesamte Sicherheitslage von Organisationen darstellen.

Virtual Patching mit Acunetix und NET WÄCHTER

In Kooperation mit Acunetix – bietet NET WÄCHTER Ihnen die Möglichkeit Virtual Patching zu realisieren.

Dabei wird die eigene Webanwendung mit einem professionellen Scan nach möglichen Schwachstellen untersucht und der daraus resultierende Report in NET WÄCHTER Web Applikation Firewall integriert, um so die Website sofort von außen gegen die gefundenen Lücken individuel zu schützen. Der Entwickler hat in diesem Fall in Ruhe Zeit die Sicherheitslücken in einem Wartungsfenster zu beheben.


virtual patching.JPG


Acunetix kostenlos testen


Als zertifizierter Partner und Reseller von Acunetix bietet NET WÄCHTER Ihnen die Möglichkeit eigene Website einmalig kostenlos mit dem professionellen Web-Schwachstellen Scanner von Acunetix nach Sicherheitslücken zu untersuchen.

NET WÄCHTER testen



Sie möchten immer auf dem neuesten Stand zu IT-Security Technologien und Abwehrmaßnahmen sein? Abonnieren Sie unsere RSS Feed und Newsletter und verpassen Sie keine neuen Artikel rund um IT und Web-Security.


Zurück zur Liste

Bitte geben Sie Ihre E-Mail Adresse ein um
NET WÄCHTER 14 Tage kostenlos zu testen.

  Ich bestätige die AGB's und Datenschutzerklärung


   Ja, ich möchte den NET WÄCHTER Newsletter abbonnieren. Mir ist bekannt, dass ich den Newsletter jederzeit abbestellen kann.


Bitte füllen Sie das Formular aus.

  Ich bestätige die AGB's, Partnervereinbarung's und Datenschutzerklärung



Vielen Dank für ihre Interesse an NET WÄCHTER Partnerprogramm und ihre Registrierung.

Ihre Anfrage wird bearbeitet und unser Channel Manager nimmt bald Kontakt mit Ihnen auf.

Hier können Sie unsere Partnerpräsentation herunterladen:
Partnerpräsentation