- Anzeigen -

Die größten Risiken für Web-Applikationen


Was Banken vom Compliance-/Sicherheitsstandard "PCI DSS" lernen können
Cross Site Scripting und wie sich XSS-Schwachstellen vermeiden lassen


(22.10.10) - Dr. Georg Heß, CEO von art of defence, äußerte sich zu Cross-Site-Scripting-Schwachstellen bei Banken-Websites..

"Die Online-Angebote zahlreicher Banken sind anfällig für Cross-Site-Scripting-Angriffe (XSS-Angriffe); dies hat laut Medienberichten ein Schüler herausgefunden. Dabei hätten die Banken gewarnt sein können: Cross-Site-Scripting ist die am weitesten verbreitete Schwachstelle bei Web-Applikationen. Damit erreicht XSS den zweiten Platz in den OWASP-Top-Ten. Diese Liste fasst die größten Risiken für Web-Applikationen zusammen und ist Bestandteil des Sicherheitsstandards der Kreditkartenindustrie PCI DSS.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Er beschreibt detailliert, wie Web-Anwendungen geschützt werden sollen: regelmäßige Überprüfungen auf gängige Schwachstellen durch externe Experten, laufende Bewertung neuer Schwachstellen, Testen neuer Funktionen auf Angreifbarkeit, Einsatz einer Web Application Firewall und vieles mehr. Daran sollten sich Banken ein Beispiel nehmen.

Mit einer XSS-Attacke kann sich ein Angreifer Benutzerdaten, zum Beispiel Log-ins, verschaffen. Das Perfide ist, dass der Nutzer selbst die XSS-Angriffe nicht erkennen kann, da der Angriff komplett in die vermeintlich vertrauenswürdige Website seiner Bank eingebettet ist. Wenn sich Banken gegen diese Schwachstellen nicht absichern, setzen sie das Vertrauen ihrer Kunden aufs Spiel."
(art of defence: ra)

art of defence: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Justizgewährungsanspruch in Gefahr

    Die Corona-Pandemie wirkt sich auch auf die deutschen Arbeits- und Sozialgerichte aus. Es herrscht Notbetrieb in vielen Gerichtssälen, wenn überhaupt verhandelt wird. Mit einem neuen Gesetzentwurf (COVID-19 ArbGG/SGG-AnpassungsG) und weiteren Gesetzesanpassungen will die Bundesregierung den Gerichten helfen, schießt dabei aber übers Ziel hinaus. Der Sozialverband VdK hält die Vorschläge für inakzeptabel. Die VdK-Präsidentin Verena Bentele dazu: "Dieses Gesetz soll die Effizienz der Sozialgerichte steigern. Aber das geht nur auf Kosten verfassungsmäßiger Rechte. Das Gesetz beschneidet die Rechte der Bürgerinnen und Bürger massiv. Geht der Gesetzentwurf so durch, dann ist der Justizgewährungsanspruch in Gefahr. Die Menschen können dann nicht mehr ungehindert die staatlichen Gerichte in Anspruch nehmen."

  • Veränderungen an der Digitalwährung Libra Coin

    Facebook hat in einem neuen Positionspapier Veränderungen an seiner Digitalwährung Libra Coin angekündigt. Dazu sagt Andreas Krautscheid, Hauptgeschäftsführer des Bundesverbands deutscher Banken: "Nach berechtigter, weltweiter Kritik kündigt Libra nun einen Libra Coin in veränderter Form an. Würden die neuen Vorschläge in die Tat umgesetzt, könnten sich die Kräfteverhältnisse unter den Zahlungsdienstleistern in Europa massiv verschieben."

  • Fünf Bedingungen für eine "Anti-Corona-App"

    In Deutschland wird über den möglichen Einsatz von Handydaten diskutiert, um mögliche Kontaktpersonen von Infizierten zu finden und zu warnen. Österreich hat bereits eine "Stopp-Corona-App" auf freiwilliger Basis gestartet. Der Verbraucherzentrale Bundesverband (vzbv) hält den Einsatz einer solchen App auch in Deutschland für sinnvoll, wenn fünf Bedingungen erfüllt sind. vzbv-Vorstand Klaus Müller kommentiert: "Die Corona-Pandemie ist ein nie dagewesener Stresstest für unseren Lebensalltag. Schnelle, pragmatische Lösungen zum Schutz von Gesundheit und Leben sind nötig. Eine Anti-Corona-App kann hier helfen, wenn sie folgende fünf Bedingungen erfüllt: Sie muss freiwillig, geeignet, nötig, verhältnismäßig und zeitlich befristet sein."

  • Novellierung des Jugendschutzgesetzes (JuSchG-E)

    Für eco stellt der vom Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) vorgelegte Entwurf zur Novellierung des Jugendschutzgesetzes (JuSchG-E) keine praktikable Lösung für einen zeitgemäßen Kinder- und Jugendmedienschutz dar. Der Verband der Internetwirtschaft begrüßt eine Modernisierung der gesetzlichen Grundlagen des Kinder- und Jugendmedienschutzes und unterstützt den Grundgedanken, Kindern und Jugendlichen mehr Teilhabe zu ermöglichen. Doch der vorgelegte Entwurf bleibt hinter den selbst gesteckten Zielen in der Praxis weit zurück. Durch die Vielzahl der parallelen Regelungen im Bereich des Jugendmedienschutzes, droht eine Zerklüftung des Rechts, die zu erheblicher Rechtsunsicherheit bei den betroffenen Unternehmen führen wird.

  • "Recht auf Reparatur"

    Die EU-Kommission stellte den neuen Aktionsplan für die Kreislaufwirtschaft vor. Dazu erklärt Bitkom-Präsident Achim Berg: "Dass wir weniger Müll und Elektroschrott erzeugen müssen, wie die EU-Kommission mit ihrem Aktionsplan für die Kreislaufwirtschaft festlegt - daran besteht kein Zweifel. Zweifelhaft ist aber, ob ein "Recht auf Reparatur" auf dieses Ziel einzahlen wird. Denn neben der gesetzlichen Gewährleistung bieten die meisten Hersteller von Elektronikprodukten wie Smartphones, Tablets oder Laptops bereits eine freiwillige Garantie an. Darüber hinaus gibt es eine große Bandbreite an Reparaturmöglichkeiten, die auch rege genutzt werden: Wie eine aktuelle Studie im Auftrag des Bitkom zeigt, haben 56 Prozent der Verbraucher, die schon einmal einen Defekt an ihrem Smartphone oder Handy hatten, diesen reparieren lassen oder - wenn möglich - selbst repariert.