Die zehn größten Schwachstellen in Web-Anwendungen

Platz 4: Insecure Direct Object Reference

Bei der Entwicklung von Web-Anwendungen werden oft Objektreferenzen verwendet, um auf ein bestimmtes internes Implementierungsobjekt zu verweisen. Dabei kann es sich um Dateien, Verzeichnisse, Datenbankeinträge oder digitale Schlüssel handeln. Bei einer Insecure-Direct-Object-Reference-Lücke ist die Objektreferenz auf diese Objekte manipulierbar.

Ein Angreifer kann durch geschicktes Manipulieren unautorisiert auf Dateien und Inhalte zugreifen. Vor allem wenn Applikationen mit sensiblen Daten arbeiten, sind diese Attacken gefährlich. Konkret verwenden Angreifer meist manipulierte IDs oder Pfadangaben, um etwa fremde Datensätze aus der Datenbank auszulesen oder unautorisiert auf Dateien des Web-Servers zuzugreifen.

Platz 5: Cross Site Request Forgery (CSRF)

Bei dieser Angriffsvariante wird der rechtmäßig angemeldete Benutzer zum "Bauernopfer", indem - ohne sein Wissen - von seiner authentisierten Web-Anwendungs-Session eine Anfrage durchgeführt wird. Möglich ist das beispielsweise, wenn sich der bei einer Web-Anwendung angemeldete User beim Verlassen derselben nicht abmeldet und beim weiteren Surfen auf eine vom Angreifer präparierte Seite gelangt.

Der dort platzierte bösartige Code löst über die autorisierte Sitzung des Nutzers einen Angriff aus, indem er beispielsweise im Namen des Opfers, jedoch ohne sein Wissen eine Funktion (etwa eine Überweisung) in Gang setzt. Solche Attacken zu erkennen oder nachzuweisen ist extrem schwierig. CSFR ist die Variante von Angriffen auf Web-Anwendungen, die derzeit am schnellsten zunimmt.