Hackerone, die Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker –, hat seinen Report zu den zehn häufigsten Schwachstellen des letzten Jahres veröffentlicht. Das Unternehmen hat anhand der eigenen Daten eine Analyse zu den zehn häufigsten und mit den höchsten Prämien ausbezahlten Schwachstellen erstellt.
Aus mehr als 200.000 Sicherheitslücken, welche zwischen Mai 2019 und April 2020 über die Plattform gemeldet wurden, gewann Hackerone genaue Einblicke und Details zu verschiedenen Schwachstellentypen. Zu den Top 10 gehören unter anderem Cross-Site Scripting, Improper Access Control und Information Disclosure.
„In diesem Jahr waren Organisationen weltweit gezwungen, mit ihren Produktangeboten und Dienstleistungen digital zu arbeiten“, sagte Miju Han, Senior Director of Product Management bei Hackerone. „Darüber hinaus war es für die Unternehmen unausweichlich, sich um neue Einnahmequellen zu bemühen und digitale Angebote für Kunden zu schaffen, deren Lebensstil sich dramatisch verändert hatte. Millionen von Arbeitnehmern begannen aus der Ferne zu arbeiten. Mit diesem beschleunigten Tempo der digitalen Transformation mussten die CISOs schnell neue Bedürfnisse erfüllen und gleichzeitig die Sicherheit der bestehenden Systeme gewährleisten. Angesichts dieser Hürden haben die Sicherheitsverantwortlichen eine neue Wertschätzung für die Arbeit ethisch motivierter Hacker zur Verbesserung der IT-Sicherheit als flexible, skalierbare und kosteneffektive Lösung gewonnen. Damit konnten sie ihre eigenen Ressourcen aufstocken und einen Pay-for-Results-Ansatz anbieten, der bei knappen Budgets besser zu rechtfertigen ist.“
Die Top 10 der schwerwiegendsten und am höchsten prämierten Schwachstellentypen des Jahres 2020 in der Übersicht (absteigende Reihenfolge):
- Cross-Site Scripting (XSS)
- Improper Access Control
- Information Disclosure
- Server-seitige Antragsfälschung (SSRF)
- Unsichere direkte Objektreferenz (IDOR)
- Privilege-Eskalation
- SQL-Injection
- Improper Authentication
- Code-Injection
- Cross-Site Request Forgery (CSRF)
Die wichtigsten Schwachstellen im Jahresvergleich 2020 und 2019:
- Sicherheitslücken beim Cross-Site-Scripting stellen nach wie vor eine große Bedrohung für Webanwendungen dar, da Angreifer die XSS-Angriffe nutzen, um die Kontrolle über das Benutzerkonto zu erlangen und anschließend persönliche Daten wie Passwörter, Bankdaten Kreditkarteninformationen, personenbezogene Daten, Sozialversicherungsnummern zu missbrauchen. Die durch XSS betroffenen Sicherheitslücken waren zwei Jahre in Folge die häufigst genannten und kosteten die Organisationen insgesamt 4,2 Millionen US-Dollar an Prämien. Dies entspricht einem Anstieg von 26 Prozent gegenüber dem Vorjahr. Insgesamt macht diese Art von Schwachstelle 18 Prozent aller gemeldeten Schwachstellen aus, die durchschnittliche Prämie dafür beträgt nur rund 500 US-Dollar. Grundsätzlich wird für eine kritische Schwachstelle durchschnittlich 3.650 US-Dollar gezahlt, entsprechend können Organisationen diese XSS-Angriffe als häufige und potenziell gefährliche Sicherheitslücken im Vergleich kostengünstig beheben lassen bevor sie größeren finanziellen Schaden verursachen.
- Improper Access Control (2019: Platz 9) und Information Disclosure (nach wie vor an dritter Stelle) sind weit verbreitet. Die Awards für Improper Access Control stiegen von Jahr zu Jahr um 134Prozent auf knapp über 4 Millionen US-Dollar. Information Disclosure reihte sich knapp dahinter ein und stieg im Jahresvergleich um 63Prozent. Das Design von Access Control Angriffen ist mit automatisierten Tools nur schwer zu identifizieren und aufgrund des hohen Fehlerpotenzials ist eine manuelle Untersuchung empfehlenswert.
- SSRF-Schwachstellen zeigen das Risiko von Cloud-Migrationen. Diese Lücken werden genutzt, um auf interne Systeme hinter Firewalls zuzugreifen. Früher waren SSRF-Fehler eher harmlos und belegten in einem früheren Ranking den siebten Platz, da sie lediglich internes Netzwerkscannen und den Zugriff auf interne Verwaltungspanels erlaubten. Aber im Zeitalter der raschen digitalen Transformation hat das Aufkommen der Cloud-Architektur und ungeschützter Metadaten-Endpoints diese Schwachstellen immer kritischer werden lassen.
- SQL-Injection nimmt von Jahr zu Jahr ab. Von OWASP (Open Web Application Security Project) und anderen Organisation wurde SQL-Injection als eine der gefährlichsten Bedrohungen für die Sicherheit von Webanwendungen angesehen. Gründe dafür ist die Speicherung sensibler Daten, darunter Geschäftsinformationen, geistiges Eigentum und kritische Kundendaten auf Datenbankserver und deren Anfälligkeit. In den vergangenen Jahren war die SQL-Injection eine der häufigsten Arten von Schwachstellen, ist allerdings auch vom fünften auf den siebten Platz in diesem Jahr gesunken.
Der vollständige Report sollte hier zu finden sein.
Methodik
Diese Ausgabe der Hackerone Top 10 „Most Impactful and Rewarded Vulnerability Types“ basiert auf Hackerone’s eigenen Daten zur Untersuchung von Sicherheitsschwachstellen, die zwischen Mai 2019 und April 2020 mit Hilfe der Hackerone-Plattform behoben wurden. Die hier aufgeführten Schwachstellen wurden von der Hacker-Community durch die Offenlegung von Sicherheitslücken und öffentliche und private Bug-Bounty Programme gemeldet. Alle Schwachstellenklassifizierunge
www.hackerone.com