Fehler in Web-Anwendungen gefährden Unternehmen

Die Mehrheit der Websites haben mindestens ein großes Sicherheitsproblem, das von Hackern für betrügerische Zwecke verwendet werden könnte, nach einer neuen Umfrage.

Etwa 64 Prozent von 1.300 Websites, die von 250 Unternehmen betrieben werden, haben mindestens eine schwerwiegende Sicherheitslücke, so WhiteHat Security, die auf das Auffinden von Sicherheitslücken in Webanwendungen spezialisiert ist. Die Statistiken stammen aus dem Kundenstamm von WhiteHat, wodurch das Unternehmen seine Websites regelmäßig auf Probleme überprüfen kann.

Das am weitesten verbreitete Problem ist Cross-Site-Scripting. Es ist ein 66 Prozent eine Website wird ein solches Problem haben, sagte WhiteHat. Ein Cross-Site-Scripting-Fehler kann dazu führen, dass Daten oder bösartiger Code von einer anderen Website gezogen werden, was zu einer Datenverletzung führen kann.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Andere häufig vorkommende Zu den Problemen gehören Datenleckprobleme, Content-Spoofing, unzureichende Autorisierung und SQL-Injection.

Die Gefahr von Sicherheitslücken in Webanwendungen hängt von der Langsamkeit ab, mit der Unternehmen versuchen, sie zu beheben. Wenn WhiteHat eine Schwachstelle in einer Website findet, informiert es den Kunden, sagte Jeremiah Grossman, CTO von WhiteHat.

Im Fall eines Problems mit Cross-Site-Scripting ist das Problem normalerweise nur eine Zeile Code, sagte Grossman. Das Problem bei der Behebung ist jedoch eher die menschliche Seite.

WhiteHat wird in der Regel die Sicherheitsabteilung eines Unternehmens informieren, die dann die Informationen an die Entwickler der Webanwendung weitergeben muss. Der benutzerdefinierte Code der Web-Anwendung kann nicht von der Sicherheitsabteilung geändert werden.

Das Management muss dann das OK geben, damit Entwickler an der Reparatur des Codes arbeiten, anstatt gewinnbringende Funktionen zu erstellen, die normalerweise Priorität bekommen, sagte Grossman. Manchmal ist es schwierig, das Risiko von Sicherheitslücken in Webanwendungen zu quantifizieren, was wiederum die Gewässer in die Irre führt, weil die Fehlerbehebung priorisiert wird.

"Die Aufgabe eines Entwicklers besteht darin, Code zu schreiben", sagte Grossman. "Sicherheit hat keine Priorität, wenn Code rausgeschmissen wird."

Überraschenderweise benötigen viele Sicherheitslücken viel Zeit, um repariert zu werden, und einige werden nie repariert. WhiteHat hat Schwachstellen untersucht, die über einen Zeitraum von einem Jahr bei seinen Kunden gefunden wurden.

Das Unternehmen hat festgestellt, dass es im Durchschnitt 67 Tage dauerte, bis ein Problem mit der siteübergreifenden Skripterstellung behoben werden konnte. Im Vergleich zu 78 Tagen für ein Problem des Informationslecks, 87 Tagen für Spoofing-Probleme und 62 Tagen für eine SQL-Injection-Schwachstelle.

"Wir können mit Sicherheit sagen, dass IT-Sicherheit und Entwicklungsorganisationen koordinieren müssen, wenn es um den Handel geht mit Sicherheitslücken in der Website, um die Zeit bis zur Behebung der Lücke zu schließen ", heißt es im Bericht.

Im Durchschnitt werden nur 30 bis 60 Prozent der Sicherheitslücken behoben, sagte Grossman. Das Bewusstsein für Web-Anwendungsprobleme "war nie höher, aber es muss viel größer sein", sagte er.