Sicherheitsprobleme bei Geschäftsprozessen [

Das Ausführen einer sicheren Website bedeutet mehr als nur Schutz vor Cross-Site-Scripting und SQL-Injection-Angriffen. Fehler in den Geschäftsprozessen, die den Websites zugrunde liegen, können ebenfalls ernsthafte Sicherheitsrisiken darstellen, sagte der CTO eines Web-Sicherheitsunternehmens am Donnerstag.

Fehler in den Prozessen oder der Geschäftslogik für Websites können sich für Hacker als sehr profitabel erweisen und erfordern wenig Fähigkeiten zu verwerten und sind manchmal technisch nicht illegal zu nutzen, sagte Jeremiah Grossman, CTO von WhiteHat Security, in der Source Boston Security Showcase.

"Diese Probleme sind üblich, wenn Sie wissen, was Sie suchen", sagte er.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Er hat mehrere Beispiele für diese Fehler aufgeführt, einschließlich solcher, die in Website-Designs, Captcha-Authentifizierungssystemen und Benutzerberechtigungen zu finden sind. Menschen, die sie ausnutzen, werden oft einfach verboten, einen Dienst zu nutzen, obwohl sie manchmal strafrechtlich verfolgt werden.

Im Jahr 2007 wurde einer Frau vorgeworfen, QVC von 412.000 US-Dollar betrogen zu haben, indem sie einen Fehler in ihrer Geschäftslogik ausnutzte. Sie platzierte Bestellungen für 1.800 Artikel im Home-Shopping-Netzwerk und stornierte dann die Bestellungen auf ihrer Website. Sie bekam den Kredit für die Rückgabe der Ware, aber die Sachen wurden trotzdem an sie geschickt und sie verkaufte sie bei eBay, sagte das Justizministerium. QVC wurde auf den Sachverhalt aufmerksam, als eBay-Nutzer ihn darauf ansprachen, Artikel in seiner Verpackung zu erhalten. Die Frau erklärte sich schließlich für schuldig, Betrug begangen zu haben.

Funktionen zum Zurücksetzen des Passworts können zu unautorisiertem Kontozugriff führen, wenn sie offensichtliche Fragen stellen, und Hacker haben kleinere Informationen über ihre Opfer. Grossman bot ein Beispiel mit dem ehemaligen Mobilfunkanbieter Sprint an. Um seine Passwörter zurückzusetzen, sagte er, ein Hacker müsse nur die Handynummer einer Person und eine grundlegende Information wissen, wie zum Beispiel wo sie lebten oder das Auto, das sie fuhren. Dies hätte einem Hacker erlauben können, neue Telefone im Namen des Opfers zu bestellen oder neue Dienste auf seinem Telefon zu installieren.

E-Kupons stellen ein Risiko für Händler dar, wenn die Kuponnummern der Reihe nach dicht beieinander liegen. Ein Händler sah, dass einige seiner hochpreisigen Artikel für ein paar Dollar verkauft wurden, nachdem ein Hacker ein Skript geschrieben hatte, um Gutschein-Nummern aufzudecken, die sich nur um ein paar Ziffern unterschieden, sagte Grossman. Der Einzelhändler entdeckte das Problem, als seine Systemprotokolle nachts eine Fülle von Bestellungen aufdeckten, während das Skript des Hackers lief.

Hacker können andere Web-Surfer dazu verleiten, Captcha-Tests für sie zu lösen, indem sie sie auf Websites mit dem Versprechen von Free locken Musik oder Inhalte für Erwachsene. Captchas erfordern, dass eine Person eine Reihe von durcheinandergewürfelten Zeichen entschlüsselt, um sich für Dienste wie ein Web-E-Mail-Konto anzumelden. Die Web-Surfer lösen die Captchas, die über einen Proxy-Server an den Hacker geschickt werden, der sie dann für die Anmeldung mehrerer E-Mail-Accounts zum Versenden von Spam oder anderen Aktivitäten verwendet.

"Solange genug Nutzer kommen auf Ihrer Website haben Sie das Captcha gelöst ", sagte Grossman. "Schlechte Leute wollen diese Captchas besiegen, damit sie uns spammen können."

Ein weiterer Fehler besteht darin, Benutzern Zugriff auf alle Teile einer Website zu gewähren, wenn sie dort einen Benutzernamen oder ein Passwort für einen bestimmten Dienst haben. Zum Beispiel haben sich Mitarbeiter einer estnischen Firma im Jahr 2004 für den Pressemediendienst von Business Wire angemeldet. Sie fanden heraus, dass URLs auf der Website manchmal Informationen über Pressemitteilungen enthielten, die noch nicht veröffentlicht worden waren. Mit einem Programm, das nach URLs sucht, konnten die Mitarbeiter des Unternehmens sensible Geschäfts- und Finanzinformationen aufdecken. Nach dem Kauf und Verkauf von Aktien auf der Grundlage dieser Informationen machten die Mitarbeiter 7,8 Millionen US-Dollar, wurden aber auch von US-Aufsichtsbehörden mit Betrügereien belegt.

Er stellte fest, dass es wahrscheinlich viele ähnliche Fälle gegeben haben, die die Täter nie ans Licht brachten nie gefangen.

Die Websicherheit geht weit über die Qualitätssicherung und die korrekte Gestaltung von Webanwendungen hinaus, um zu beschreiben, wie die Dienste eingerichtet werden, sagte er.