WASC (Web Application Security Council) hat Statistiken zur Sicherheit von Webanwendungen erstellt.
Problem Nummer 1: Cross Site Scripting. Das liegt vermutlich daran, dass viele Betreiber von Webseiten das Problem noch immer nicht kapiert haben. Abgeschlagen auf den Plätzen 2 und 3 befinden sich Information Leakage und SQL Injection.
Erschreckend ist auch die Zahl von 7% aller Webseiten die inzwischen mit automatischen Scannern kompromittiert werden können. Bei einer manuellen detaillierten Untersuchung der Seiten konnten sogar in über 90% aller Webseiten potentielle Schwachstellen nachgewiesen werden.
Faszinierend ist in diesem Zusammenhang die Webseite der Berliner Wasserbetriebe. Ohne wirklich groß zu suchen fielen mir zwei potentielle Sicherheitslücken ins Auge:
- Cross Site Scripting im Suchfeld. Das war aber auch kaum anders zu erwarten, gerade in Hinblick auf die oben erwähnten Statistiken.
- Viel lustiger finde ich jedoch, wenn man mit der Maus über die E-Mail-Adresse unterhalb der 0800-Service-Nummer links fährt. Dort ist auf ein Formular verlinkt, dass diese E-Mail-Adresse in den Parametern e1, e2 und e3 übergeben bekommt. Diese Parameter e1, e2 und e3 finden sich im Formular auch wieder in versteckten Feldern die zurück an das PHP-Mailprogramm geschickt werden. Wenn das nicht nach Spam via Webmail riecht, weiß ich’s auch nicht.
Und das bei einem von einer Webagentur konzipierten Auftritt. Die sollten das eigentlich besser wissen. Seufz.