Eine aktuelle Studie der Experten von Kaspersky Security Assessment identifizierte die gefährlichsten und am weitesten verbreiteten Schwachstellen in unternehmensintern entwickelten Webanwendungen. Im Zeitraum zwischen 2021 und 2023 wurden bei der Mehrzahl der untersuchten Anwendungen, insgesamt mehrere Dutzend, Mängel im Bereich Zugangskontrolle und Datenschutz festgestellt. Die höchste Anzahl an Sicherheitslücken mit hohem Risiko stand im Zusammenhang mit SQL-Injektionen.
Webanwendungen wie soziale Netzwerke, E-Mail und Onlinedienste sind im Wesentlichen Webseiten, auf denen Benutzer über einen Browser mit einem Webserver kommunizieren. In ihrer neuesten Studie, der Kaspersky untersuchte Schwachstellen in Webanwendungen, die von IT-, Regierungs-, Versicherungs- und Telekommunikationsorganisationen sowie Kryptowährungs-, E-Commerce- und Gesundheitsorganisationen verwendet werden, um die häufigsten Arten von Angriffen zu identifizieren, die in Unternehmen wahrscheinlich auftreten.
Die häufigsten Arten von Schwachstellen stehen im Zusammenhang mit der Möglichkeit der böswilligen Nutzung fehlerhafter Zugriffskontrollen und Schwachstellen beim Schutz sensibler Daten. Zwischen 2021 und 2023 wiesen 70 % der in dieser Studie untersuchten Webanwendungen Schwachstellen in diesen Kategorien auf.
Eine kompromittierte Sicherheitslücke in der Zugriffskontrolle kann ausgenutzt werden, wenn Angreifer versuchen, Site-Richtlinien zu umgehen, die Benutzer auf ihre autorisierten Rechte beschränken. Dies kann zu unbefugtem Zugriff, Datenbeschädigung oder -löschung und mehr führen. Die zweite häufige Art von Schwachstelle betrifft die Offenlegung sensibler Informationen wie Passwörter, Kreditkarteninformationen, Gesundheitsakten, personenbezogene Daten und vertrauliche Geschäftsinformationen, was die Notwendigkeit erhöhter Sicherheitsmaßnahmen verdeutlicht.
„Die Bewertung wurde unter Berücksichtigung der häufigsten Schwachstellen in intern in verschiedenen Unternehmen entwickelten Webanwendungen sowie deren Risikoniveau erstellt. Beispielsweise könnte eine Schwachstelle es Angreifern ermöglichen, Benutzerauthentifizierungsdaten zu stehlen, während eine andere dazu beitragen könnte, Schadcode zu implementieren Server, mit unterschiedlich starken Auswirkungen auf die Rentabilität und Widerstandsfähigkeit des Unternehmens. Unsere Rankings spiegeln diese Einschätzung wider und basieren auf unserer praktischen Erfahrung bei der Durchführung von Sicherheitsanalyseprojekten“, erklärt Oxana AndreevaSicherheitsexperte im Kaspersky Security Assessment Team.
| Art der Schwachstelle | Der Anteil der Webanwendungen, die es enthalten | Anteil der Schwachstellen mit hohem Risiko | Anteil der Schwachstellen mit mittlerem Risiko | Anteil der Schwachstellen mit geringem Risiko | |||||
| Defekte Zugangskontrolle | 70 % | 37 % | 49 % | 14 % | |||||
| Offenlegung sensibler Daten | 70 % | 9 % | 28 % | 63 % | |||||
| Serverseitige Anforderungsfälschung (SSRF) | 57 % | 15% | 66 % | 19 % | |||||
| SQL-Injektion | 43 % | 88 % | 12 % | – | |||||
| Cross-Site-Scripting (XSS) | 61 % | 11 % | 78 % | 11 % | |||||
| Defekte Authentifizierung | 52 % | 21 % | 47 % | 32 % | |||||
| Fehlkonfiguration der Sicherheit | 43 % | 15% | 41 % | 44 % | |||||
| Unzureichender Schutz vor Brute-Force-Angriffen | 39 % | 11 % | 39 % | 50 % | |||||
| Schwaches Benutzerpasswort | 22 % | 78 % | 22 % | – | |||||
| Verwendung von Komponenten mit bekannten Schwachstellen | 13 % | 43 % | 43 % | 14 % |
Kaspersky-Experten untersuchten auch, wie gefährlich die Schwachstellen in den oben genannten Gruppen waren. Der größte Prozentsatz an Hochrisikostörungen stand im Zusammenhang mit SQL-Injektionen. Konkret wurden 88 % aller untersuchten SQL-Injection-Schwachstellen als hochriskant eingestuft.
Es wurde festgestellt, dass ein weiterer erheblicher Prozentsatz der Schwachstellen mit hohem Risiko mit schwachen Benutzerkennwörtern zusammenhängt. In dieser Kategorie wurden 78 % aller analysierten Schwachstellen als hochriskant eingestuft.
Es ist wichtig zu beachten, dass nur 22 % aller vom Kaspersky Security Assessment-Team untersuchten Online-Anwendungen schwache Passwörter hatten. Ein möglicher Grund ist, dass es sich bei den in der Stichprobe enthaltenen Anwendungen möglicherweise um Testversionen und nicht um tatsächliche Betriebssysteme handelte.
Die in der Umfrage beschriebenen Schwachstellenkategorien entsprechen den Kategorien und Unterkategorien der OWASP Top Ten-Bewertung. Die Behebung der häufigsten in der Studie beschriebenen Schwachstellen in Webanwendungen wird Unternehmen dabei helfen, vertrauliche Daten zu schützen und zu verhindern, dass Webanwendungen und zugehörige Systeme kompromittiert werden. Um die Sicherheit von Online-Anwendungen zu verbessern und potenzielle Angriffe auf diese rechtzeitig zu erkennen, empfiehlt das Kaspersky Security Assessment-Team:
- Nutzung des Secure Software Development Lifecycle (SSDLC),
- regelmäßige Beurteilung der Anwendungssicherheit,
- Verwendung von Protokollierungs- und Protokollierungsmechanismen zur Überwachung des Anwendungsbetriebs;
