Veracode warnt
21.04.2016, 07:05 Uhr
21.04.2016, 07:05 Uhr
Gefährliche XSS-Sicherheitslücke bei Lieferando
Das Online-Bestellportal Lieferando.de weist eine Sicherheitslücke auf, durch die Hacker mittels Cross-Site-Scripting auf Nutzerdaten zugreifen und sogar Accounts übernehmen könnten.
Julian Totzek-Hallhuber, Solution Architect Veracode
Dies kann durch die Eingabe von schädlichem Code in Suchfeldern auf der Webseite geschehen. Bisher hat Lieferando noch keine Stellung dazu bezogen und die Schwachstelle auch nicht behoben, wie der Anwendungssicherheits-Spezialist Veracode mitteilt. Julian Totzek-Hallhuber, Solution Architect bei Veracode erklärt, warum Cross-Site-Scripting (XSS) so gefährlich ist und was Unternehmen für die Sicherheit tun können:
„86 Prozent PHP-basierter Anwendungen beinhalten mindestens eine Cross-Site-Scripting (XSS)-Schwachstelle, wie eine Veracode-Analyse zeigt. Obwohl diese Art von Sicherheitslücken so bekannt ist und Unternehmen Millionen kosten kann, kümmern sich viele Unternehmen nicht ausreichend um die Sicherheit ihrer Anwendungen – so auch Lieferando. Hacker könnten mithilfe von XSS ihren Weg in das Backend der Webseite finden und auf Nutzerdaten zugreifen. Fest steht: Anwendungen, die auf Web-Skriptsprachen basieren sind sehr viel anfälliger für Schwachstellen wie XSS und SQL Injections als Anwendungen, die in .NET oder Java geschrieben wurden. Vielleicht ist es eine Überlegung wert, beim nächsten Mal auf eine andere Programmiersprache zu setzen.“
Natürlich sollte jedes betroffene Unternehmen schnellstmöglich versuchen, die Lücke zu schliessen und die Daten ihrer Kunden zu sichern. Doch was kann Lieferando jetzt noch tun, um eine Cross-Site-Scripting-Attacke und den Verlust wertvoller Nutzerdaten zu vermeiden?
„86 Prozent PHP-basierter Anwendungen beinhalten mindestens eine Cross-Site-Scripting (XSS)-Schwachstelle, wie eine Veracode-Analyse zeigt. Obwohl diese Art von Sicherheitslücken so bekannt ist und Unternehmen Millionen kosten kann, kümmern sich viele Unternehmen nicht ausreichend um die Sicherheit ihrer Anwendungen – so auch Lieferando. Hacker könnten mithilfe von XSS ihren Weg in das Backend der Webseite finden und auf Nutzerdaten zugreifen. Fest steht: Anwendungen, die auf Web-Skriptsprachen basieren sind sehr viel anfälliger für Schwachstellen wie XSS und SQL Injections als Anwendungen, die in .NET oder Java geschrieben wurden. Vielleicht ist es eine Überlegung wert, beim nächsten Mal auf eine andere Programmiersprache zu setzen.“
Natürlich sollte jedes betroffene Unternehmen schnellstmöglich versuchen, die Lücke zu schliessen und die Daten ihrer Kunden zu sichern. Doch was kann Lieferando jetzt noch tun, um eine Cross-Site-Scripting-Attacke und den Verlust wertvoller Nutzerdaten zu vermeiden?
