pte20060317014 Technologie/Digitalisierung, Forschung/Entwicklung

SecuBat scannt automatisch nach Sicherheitslücken auf Webseiten

Sieben Prozent der Webapplikationen sind anfällig


Wien (pte014/17.03.2006/11:19) An der Technischen Universität Wien http://www.tuwien.ac.at wurde ein System entwickelt, mit dem Sicherheitslücken in Webapplikationen automatisch aufgespürt werden können. Entwickelt wurde SecuBat Framework von Stefan Kals im Rahmen eines Forschungsprojektes. Die ersten Probeläufe zeigten, dass vier bis sieben Prozent der Webapplikationen unsicher sind.

"Bisher waren Attacken auf derartige Sicherheitslücken nicht wirklich bekannt oder sie mussten manuell mit entsprechend großem Aufwand gesucht werden", meint Engin Kirda von der Distributed Systems Group an der TU Wien http://www.infosys.tuwien.ac.at , einer der Betreuer der Arbeit, im pressetext-Gespräch. "Wir haben die derzeit gängigsten Arten von Hacker-Angriffen simuliert, wie zum Beispiel SQL Injection oder Cross-Site Scripting Attacks. Das sind jene Angriffsmethoden, bei denen über Formulare ein Code eingeschleust wird, der Datenbankabfragen durchführt oder Webseiten verändert. Diese Wege können beispielsweise für Phishing ausgenutzt werden. ", erklärt Kals.

Das Ergebnis war für den Entwickler überraschend. "Die Sicherheitschecks lieferten eine lange Liste von betroffenen Anwendungen, mit dabei auch bekannte E-Commerce und E-Government-Sites", so Kals. Durchschnittlich jede zwanzigste vom Programm attackierte Webapplikation wurde als potenziell anfällig markiert. "Das war ein sehr hoher Anteil", kommentierte Kals das Ergebnis, der seinen Auftrag auch gleich verstand: "Selbstverständlich wurden die Betreiber der betroffenen Seiten sofort über die Sicherheitslücken informiert."

Die Erfahrungen mit SecuBat zeigen, mit welch geringem Aufwand Hacker ihre kriminellen Ziele verfolgen können, so die Forscher. Derart leicht auszunutzende Sicherheitslücken kommen ihnen dabei entgegen. Mit Hilfe von automatisierten Tools wie SecuBat ist es für Hersteller von Webapplikationen in Zukunft möglich, den Hackern einen Schritt voraus zu sein und bestehende Lücken zu schließen, bevor diese ausgenutzt werden können.

Besonders erfreut ist Kals über die Einladung zur WWW-Konferenz in Edinburgh im Mai http://www2006.org , wo das Forschungsprojekt präsentiert werden soll. "Diese Veranstaltung ist die wichtigste Adresse für wissenschaftliche Resultate im Bereich von Webtechnologien. Google und Microsoft stellen hier regelmäßig ihre neuesten Suchalgorithmen vor", meint Kirda.

(Ende)
Aussender: pressetext.austria
Ansprechpartner: Andreas List
Tel.: ++43-1-81140-313
E-Mail: list@pressetext.com
|