Die meisten Anwendungen in Web-Skriptsprachen beinhalten Schwachstellen

 

Der Report »State of Software Security 2015« [1] zeigt, dass im Untersuchungszeitraum vier von fünf Anwendungen, die in PHP, Classic ASP und ColdFusion geschrieben wurden, mindestens eine der Schwachstellen der OWASP Top 10 beinhalten. Die OWASP Top 10 sind eine Rangliste der zehn schwerwiegendsten Schwachstellen von Webanwendungen.

Diese Ergebnisse zeigen, welche potenziellen Sicherheitslücken in Millionen von Websites vorhanden sein könnten. Dies gilt besonders im Hinblick auf die große Anzahl von PHP-Anwendungen, die für die Top 3 Content Management Systeme (CMS) WordPress, Drupal und Joomla verwendet werden. Diese machen insgesamt mehr als 70 Prozent aller CMS aus.

Die Analyse von Veracode zeigt, dass 86 Prozent der untersuchten PHP-basierten Anwendungen mindestens eine Cross-Site-Scripting-Schwachstelle und 56 Prozent mindestens eine SQL Injection beinhalteten. Diese Trends zeigen sich auch bei Skriptsprachen. Die Wahrscheinlichkeit, dass Anwendungen, die in Classic ASP und ColdFusion geschrieben wurden, Schwachstellen enthalten, ist bei Skriptsprachen zweimal so hoch wie bei modernen Sprachen, wie etwa .NET und Java.

Über die Cloud-basierte Plattform von Veracode wurden bis dato mehr als eine Billion Codezeilen auf Schwachstellen analysiert, die zu massiven Angriffen führen können. Der SoSS-Report 2015 nutzt Daten, die innerhalb der letzten 18 Monate im Rahmen von mehr als 200.000 automatisierten Assessments für Veracode-Kunden aus verschiedensten Branchen und Ländern untersucht wurden.

Unternehmen stehen heute kontinuierlich unter dem Druck, schneller mehr sichere Software zu entwickeln. Laut SANS-Institut haben dennoch weniger als 26 Prozent der Unternehmen Weiterbildungsprogramme ins Leben gerufen, die sich mit sicherem Coding beschäftigen.

Die Ergänzung zum SoSS-Report 2015 schlüsselt Schwachstellen nach Programmiersprache auf und kann Unternehmen so dabei unterstützen, die Entwicklung neuer Anwendungen entsprechend zu planen, das Anwendungs-Assessment zu priorisieren und Gegenmaßnahmen einzuleiten.

Im Report werden Fragen beantwortet wie: Gibt es Programmiersprachen, die sicherer sind als andere? Was müssen Design-Teams beachten, bevor sie mit ihren Entwicklungsprojekten beginnen? Die Ergebnisse beinhalten:

  • Das Design der Programmiersprache ist wichtig für die Sicherheit – Manche Sprachen sind von Grund auf so gestaltet, dass sie bestimmte Arten von Schwachstellen verhindern. So müssen Entwickler bei Java und .NET beispielsweise keine Memory-Kapazitäten mehr direkt zuteilen, weshalb Schwachstellen, die genau darauf abzielen (zum Beispiel Buffer Overflows) gar nicht mehr zum Zuge kommen. Gleichermaßen verhindert das Default-Verhalten mancher ASP.NET-Kontrollen Schwachstellen, die mit Cross-Site-Scripting zusammenhängen.
  • Die Betriebsumgebung der Programmiersprache ist wichtig für die Sicherheit – Manche Schwachstellen sind nur in bestimmten Ausführungsumgebungen relevant. So sind Lücken, durch die Informationen gestohlen werden können, besonders in mobilen Umgebungen gefährlich, da diese große Mengen persönlicher Daten mit den Always-On-Möglichkeiten kombiniert.
  • Projektteams für die Entwicklung mobiler Anwendungen müssen sich auf Verschlüsselung konzentrieren – 87 Prozent der Android Apps und 80 Prozent der iOS Apps haben mit Verschlüsselungsproblemen zu kämpfen. Obwohl die Entwickler hier also zu wissen scheinen, dass sie Verschlüsselungsmechanismen integrieren müssen, um sensible Daten zu schützen, sind nur wenige von ihnen in der Lage, diese auch korrekt zu implementieren. Das ist besonders hinsichtlich der wachsenden Nutzung von mobilen Anwendungen im Gesundheitswesen bedenklich.

»Sobald ein Unternehmen ein neues Entwicklungsprojekt startet und sich Gedanken über Programmiersprachen und die allgemeine Vorgehensweise macht, hat das Sicherheitsteam die Möglichkeit, die wahrscheinlichsten Schwachstellen vorauszusehen und entsprechend zu bewerten«, so Chris Wysopal, CISO und CTO bei Veracode. »Die Informationen aus diesem SoSS-Report können nicht nur bei der Auswahl der Programmiersprachen, sondern auch beim Design von Schulungsprogrammen und Bewertungsverfahren helfen, so dass es einfacher wird, Schwachstellen zu beheben.«

Geschulte Entwickler für mehr Sicherheit

Die Daten zeigen ebenfalls, dass die Weiterbildung von Entwicklern durch E-Learning-Angebote Risiken auf Anwendungsebene stark reduzieren kann. So verbessern die Unternehmen, die Veracodes E-Learning-Angebote nutzen, die Sicherheit ihres Codes um 30 Prozent im Vergleich zu Unternehmen ohne formale Weiterbildungsprogramme. Die On-Demand-Schulungen, die von erstklassigen Sicherheits- und Entwicklungsexperten aufgesetzt wurden, helfen Entwicklern dabei, sicheres Coding zu verstehen und zu lernen, wie Schwachstellen schnell und effizient behoben werden können.

Der Report zeigt außerdem, dass die Fixrate für Schwachstellen durch den Einsatz von »White Box« oder statischen Analysen (SAST) im Vergleich zum Einsatz von »Black Box« oder dynamischen Analyseverfahren (DAST) um 28 Prozent höher liegt. Obwohl eine einmalige Beurteilung für die Sicherheit von Anwendungen nicht ausreicht, ist es trotz allem wichtig, die Stärken und Schwächen verschiedener Bewertungsverfahren zu kennen, wenn es um das Beheben – und nicht nur um das Finden – von Softwareschwachstellen geht.

[1] Der Report »State of Software Security: Focus on Application Development« bezieht sich auf kontinuierlich aktualisierte Informationen aus Veracodes Cloud-basierter Plattform. Die Daten stammen aus einer aktuellen Analyse auf Code-Ebene von Milliarden von Codezeilen aus einer Vielzahl von Branchen und Regionen, die über Veracodes Plattform analysiert wurden.
Der Report enthält Daten, die über die letzten 18 Monate aus über 200.000 Anwendungs-Scans gesammelt wurden. Er umfasst Informationen über Anwendungen, die in den elf meistverwendeten Programmiersprachen geschrieben wurden, darunter Java, .NET, .iOS, Android, C/C++, JavaScript, PHP, ColdFusion, Ruby und COBOL.
Der vollständige »State of Software Security Report: Focus on Application Development« kann nach Registrierung hier abgerufen werden: https://info.veracode.com/state-of-software-security-report-volume6-pt2.html

cover (c) vercode soss report