Die zehn größten Schwachstellen in Web-Anwendungen

Platz 6: Information Leakage and Improper Error Handling

Web-Applikationen können unbeabsichtigt detaillierte Informationen etwa zum Aufbau der Anwendung oder zu verwendeten Softwareversionen preisgeben - beispielsweise über technische Fehlermeldungen, die direkt im Browser des Benutzers angezeigt werden. Solche Fehler kann ein Angreifer bewusst provozieren. Jedes System produziert eigene Fehlermeldungen, die Rückschlüsse auf Funktionsweisen und Eigenschaften der Web-Anwendung ermöglichen, aber ausschließlich den Entwicklern vorbehalten sein sollten.

Besonders verbreitet ist die Identifikation aktuell verwendeter Softwareversionen: Wenn ein Angreifer über sie Bescheid weiß, kann er unter Umständen auch ihre Sicherheitslücken ausnutzen. Für den Betreiber einer Web-Anwendung ist diese Schwachstelle riskant, weil sich darauf basierend weiterführende Angriffe lancieren lassen.

Platz 7: Broken Authentication and Session-Management

Wenn in einer Web-Anwendung Zugangsdaten ausgetauscht werden, ist besondere Vorsicht geboten. Zugangs- und Sitzungsinformationen (Session-Tokens) sind oft nicht hinreichend vor Angreifern geschützt. Für Letztere sind Session-Tokens vor allem interessant, weil sie den Zugang zu gesperrten Bereichen unter dem Namen und mit den Rechten eines legitimen Benutzers ermöglichen.

Schwachstellen im Standard-Authentisierungsmechanismus sind dabei nicht immer der einfachste Angriffspunkt. Vielmehr konzentrieren sich Hacker auf Sicherheitslücken in zusätzlichen Authentifizierungsfunktionen wie Logout-Funktion, Passwort-Erinnerung oder "Secret Questions", um an Zugangsinformationen zu gelangen.

Beim fehlerhaften Umgang mit Session-Tokens kann der Angreifer mittels XSS oder Man-in-the-Middle-Attacken in Besitz des Session-Tokens gelangen und so die Sitzung übernehmen (Session-Hijacking). Benutzer und Betreiber sind hiervon gleichermaßen betroffen, da sich neben Benutzer- auch Administratorenkonten kompromittieren lassen.