Veracode warnt
21.04.2016, 07:05 Uhr
21.04.2016, 07:05 Uhr
Gefährliche XSS-Sicherheitslücke bei Lieferando
Das Online-Bestellportal Lieferando.de weist eine Sicherheitslücke auf, durch die Hacker mittels Cross-Site-Scripting auf Nutzerdaten zugreifen und sogar Accounts übernehmen könnten.
Julian Totzek-Hallhuber, Solution Architect Veracode
Dies kann durch die Eingabe von schädlichem Code in Suchfeldern auf der Webseite geschehen. Bisher hat Lieferando noch keine Stellung dazu bezogen und die Schwachstelle auch nicht behoben, wie der Anwendungssicherheits-Spezialist Veracode mitteilt. Julian Totzek-Hallhuber, Solution Architect bei Veracode erklärt, warum Cross-Site-Scripting (XSS) so gefährlich ist und was Unternehmen für die Sicherheit tun können:
„86 Prozent PHP-basierter Anwendungen beinhalten mindestens eine Cross-Site-Scripting (XSS)-Schwachstelle, wie eine Veracode-Analyse zeigt. Obwohl diese Art von Sicherheitslücken so bekannt ist und Unternehmen Millionen kosten kann, kümmern sich viele Unternehmen nicht ausreichend um die Sicherheit ihrer Anwendungen – so auch Lieferando. Hacker könnten mithilfe von XSS ihren Weg in das Backend der Webseite finden und auf Nutzerdaten zugreifen. Fest steht: Anwendungen, die auf Web-Skriptsprachen basieren sind sehr viel anfälliger für Schwachstellen wie XSS und SQL Injections als Anwendungen, die in .NET oder Java geschrieben wurden. Vielleicht ist es eine Überlegung wert, beim nächsten Mal auf eine andere Programmiersprache zu setzen.“
Natürlich sollte jedes betroffene Unternehmen schnellstmöglich versuchen, die Lücke zu schliessen und die Daten ihrer Kunden zu sichern. Doch was kann Lieferando jetzt noch tun, um eine Cross-Site-Scripting-Attacke und den Verlust wertvoller Nutzerdaten zu vermeiden?
„86 Prozent PHP-basierter Anwendungen beinhalten mindestens eine Cross-Site-Scripting (XSS)-Schwachstelle, wie eine Veracode-Analyse zeigt. Obwohl diese Art von Sicherheitslücken so bekannt ist und Unternehmen Millionen kosten kann, kümmern sich viele Unternehmen nicht ausreichend um die Sicherheit ihrer Anwendungen – so auch Lieferando. Hacker könnten mithilfe von XSS ihren Weg in das Backend der Webseite finden und auf Nutzerdaten zugreifen. Fest steht: Anwendungen, die auf Web-Skriptsprachen basieren sind sehr viel anfälliger für Schwachstellen wie XSS und SQL Injections als Anwendungen, die in .NET oder Java geschrieben wurden. Vielleicht ist es eine Überlegung wert, beim nächsten Mal auf eine andere Programmiersprache zu setzen.“
Natürlich sollte jedes betroffene Unternehmen schnellstmöglich versuchen, die Lücke zu schliessen und die Daten ihrer Kunden zu sichern. Doch was kann Lieferando jetzt noch tun, um eine Cross-Site-Scripting-Attacke und den Verlust wertvoller Nutzerdaten zu vermeiden?
Julian Totzek-Hallhuber gibt im Folgenden drei Tipps:
„1. Input reinigen. Um XSS-Attacken zu vermeiden ist eine Reinigung des Inputs der erste Schritt. Durch intelligente und konsistente Filter in Eingabefeldern können schädliche Nutzer keinen ausführenden Code mehr eingeben. So kann eine grosse Anzahl von Attacken vermieden werden.
2. Output verschlüsseln. Nutzerabfragen müssen relevant und – noch viel wichtiger – nicht schädlich sein. Eine besondere Rolle spielen hier Sonderzeichen, wie Fragezeichen, spitze Klammern und das kaufmännische „Und“, die häufig verwendet werden. Diese sollten sofern anwendbar immer in das kodierte Äquivalent gewandelt werden.
3. Nutzern erlauben, Client-seitige Skripts zu deaktivieren. Sofern die Web-Anwendung Client-seitige Skripts verwendet, sollten Anwender die Möglichkeit haben, diese komplett auszuschalten. Dies garantiert sowohl für den Nutzer als auch für das Unternehmen eine sichere Sitzung.“ – Julian Totzek-Hallhuber, Solution Architect bei Veracode.
2. Output verschlüsseln. Nutzerabfragen müssen relevant und – noch viel wichtiger – nicht schädlich sein. Eine besondere Rolle spielen hier Sonderzeichen, wie Fragezeichen, spitze Klammern und das kaufmännische „Und“, die häufig verwendet werden. Diese sollten sofern anwendbar immer in das kodierte Äquivalent gewandelt werden.
3. Nutzern erlauben, Client-seitige Skripts zu deaktivieren. Sofern die Web-Anwendung Client-seitige Skripts verwendet, sollten Anwender die Möglichkeit haben, diese komplett auszuschalten. Dies garantiert sowohl für den Nutzer als auch für das Unternehmen eine sichere Sitzung.“ – Julian Totzek-Hallhuber, Solution Architect bei Veracode.
