{"id":720,"date":"2008-09-20T23:19:07","date_gmt":"2008-09-20T22:19:07","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/720-wasc-web-application-security-statistics"},"modified":"2018-05-31T15:25:30","modified_gmt":"2018-05-31T14:25:30","slug":"wasc-web-application-security-statistics","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/720-wasc-web-application-security-statistics","title":{"rendered":"WASC Web Application Security Statistics"},"content":{"rendered":"<p>WASC (Web Application Security Council) hat <a href=\"http:\/\/www.webappsec.org\/projects\/statistics\/\">Statistiken zur Sicherheit von Webanwendungen<\/a> erstellt.<\/p>\n<p>Problem Nummer 1: Cross Site Scripting. Das liegt vermutlich daran, dass viele Betreiber von Webseiten das Problem noch immer nicht kapiert haben. Abgeschlagen auf den Pl\u00e4tzen 2 und 3 befinden sich Information Leakage und SQL Injection.<\/p>\n<p>Erschreckend ist auch die Zahl von 7% aller Webseiten die inzwischen mit automatischen Scannern kompromittiert werden k\u00f6nnen. Bei einer manuellen detaillierten Untersuchung der Seiten konnten sogar in \u00fcber 90% aller Webseiten potentielle Schwachstellen nachgewiesen werden.<\/p>\n<p>Faszinierend ist in diesem Zusammenhang die Webseite der <a href=\"http:\/\/www.bwb.de\/\">Berliner Wasserbetriebe<\/a>. Ohne wirklich gro\u00df zu suchen fielen mir zwei potentielle Sicherheitsl\u00fccken ins Auge:<\/p>\n<ol>\n<li>Cross Site Scripting im Suchfeld. Das war aber auch kaum anders zu erwarten, gerade in Hinblick auf die oben erw\u00e4hnten Statistiken.<\/li>\n<li>Viel lustiger finde ich jedoch, wenn man mit der Maus \u00fcber die E-Mail-Adresse unterhalb der 0800-Service-Nummer links f\u00e4hrt. Dort ist auf ein Formular verlinkt, dass diese E-Mail-Adresse in den Parametern e1, e2 und e3 \u00fcbergeben bekommt. Diese Parameter e1, e2 und e3 finden sich im Formular auch wieder in versteckten Feldern die zur\u00fcck an das PHP-Mailprogramm geschickt werden. Wenn das nicht nach Spam via Webmail riecht, wei\u00df ich&#8217;s auch nicht.<\/li>\n<\/ol>\n<p>Und das bei einem von einer Webagentur konzipierten Auftritt. Die sollten das eigentlich besser wissen. Seufz.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>WASC (Web Application Security Council) hat Statistiken zur Sicherheit von Webanwendungen erstellt. Problem Nummer 1: Cross Site Scripting. Das liegt vermutlich daran, dass viele Betreiber von Webseiten das Problem noch immer nicht kapiert haben. Abgeschlagen auf den Pl\u00e4tzen 2 und 3 befinden sich Information Leakage und SQL Injection. Erschreckend ist auch die Zahl von 7% [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/720"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=720"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/720\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}