SECURITY: Web-Anwendungen: Ein beliebtes Angriffsziel

In einer Studie aus dem Jahr 2002 kam die Gartner Group zu dem Schluss, dass mehr als 70 Prozent aller böswilligen Angriffe auf diesem neuen Kampfschauplatz - der Anwendungsebene - stattfinden. Und die Presse berichtet regelmässig über Zwischenfälle, die auf Phishing, Cross-Site-Scripting, SQL-Injection oder andere Angriffe auf Dienste zurückzuführen sind. Man denke nur an den im März 2005 von der britischen Polizei aufgedeckten Versuch von Hackern, 220 Millionen Pfund von Konten der Sumitomo Bank zu transferieren, oder an die Schliessung der Datenhandelsfirma Choice-Point aus Atlanta, nachdem Informationen über 145 000 Personen aus deren Datenbank gestohlen worden waren. Für diese Situation ist eine ganze Reihe von Faktoren verantwortlich: Web-Anwendungen sind attraktive Ziele: Ein erfolgreicher Angriff gibt dem Eindringling die Möglichkeit, Transaktionen durchzuführen, vertrauliche Informationen zu stehlen und den Ruf und das Markenimage eines Unternehmens erheblich zu beschädigen. Da Web-Anwendungen oft hoch komplex sind und unter grossem Zeitdruck entwickelt werden, weisen sie viele Schwachstellen auf, die ausgenützt werden können.
Mangelhafte Sicherheitskontrollen auf der Ebene des Clients, der eine Website anfordert, erleichtern Remote-Angriffe. Ob URL, Header-Informationen, Cookies, im Cache gespeicherte oder nicht gespeicherte Parameter - ein Hacker kann sämtliche HTTP(S)-Requests manipulieren, um Befehle einzugeben, mit denen die Anwendungssoftware korrumpiert werden kann.