Schwere Sicherheitsmängel in Web-Applikationen

Logo "Blind Elephant"

Logo "Blind Elephant"

Auf der Black Hat-Konferenz in Las Vegas hat die Firma Qualis ihre Open Source Anwendung Blind Elephant vorgestellt. Blind Elephant scannt Webseiten nach unsicheren, angreifbaren Anwendungen. Eine Untersuchung von insgesamt 1.084.152 betriebenen Online-Applikationen hat ein recht erschreckendes Bild ergeben. Die negative Hitliste sieht folgendermaßen aus:

  1. phpBB – 100% der untersuchten Installationen zeigen kritische Schwachstellen
  2. Mediawiki – 95% der untersuchten Installationen zeigen kritische Schwachstellen
  3. Joomla! – 92% der untersuchten Installationen zeigen kritische Schwachstellen
  4. Movable Type – 91% der untersuchten Installationen zeigen kritische Schwachstellen
  5. phpMyAdmin – 85% der untersuchten Installationen zeigen kritische Schwachstellen
  6. Moodle – 74% der untersuchten Installationen zeigen kritische Schwachstellen
  7. Drupal – 70% der untersuchten Installationen zeigen kritische Schwachstellen
  8. SPIP – 65% der untersuchten Installationen zeigen kritische Schwachstellen
  9. WordPress – 4% (in Worten “vier”!) der untersuchten Installationen zeigen kritische Schwachstellen

Das sehr gute Ergebnis von WordPress wird unter anderem der sehr einfachen Updatefähigkeit des Systemes zugeschrieben. Die meisten untersuchten WordPress-Installationen beinhalten recht aktuelle Versionen. Generell gelten die WordPress-Versionen ab 2.5.1 (aktuell ist die Version 3.0.1) als relativ sicher. Ein starkes Argument für das regelmäßige Updaten von WordPress, den Themes und PlugIns!

Quellen

Qualis PDF mit den Ergebnissen der Studie – Link
Qualis Whitepaper zum Fingerprinting von Web-Anwendungen – Link

15 thoughts on “Schwere Sicherheitsmängel in Web-Applikationen

  1. Pingback: WordPress vergleichsweise sicher - Websites, Studie, Sicherheitslücken, Einführung, Updates, WordPress - WordPress Deutschland Blog

  2. Pingback: Im Vergleich: WordPress Nutzer bloggen am sichersten! - Absicherung, Angreifbarkeit, Applikation, Artikel, Blog, Bloggen, Deutschland, Einstellung, Ergebnis, Erklärung, Firma, Frank Bültge, Lauf, Link, Marc Schnau, netzgeist.org, Nutzer, Olaf Baumann, P

  3. Pingback: WordPress sicherer als vermutet | perun.net

  4. Daniel

    Wenn ich das Papier von BlindElephant richtig verstanden habe identifiziert die Software Versionsstände von Webanwendungen. Man kann also ablesen wie aktuell der Gesamtschnitt der jeweiligen Versionsstände bei einer Software sind und davon ableiten welcher Anteil auf nicht-sichere Versionen entfällt. Die Software erkennt selbst keine Sicherheitsmängel.

  5. Marc Post author

    Wenn ich das Papier von BlindElephant richtig verstanden habe…

    Das hast Du. Da hätte ich vielleicht ein wenig deutlicher formulieren sollen, sorry.

  6. Pingback: wp-popular.com » Blog Archive » Schwere Sicherheitsmängel in Web-Applikationen | Netzgeist V3.1

  7. Pingback: Tweets that mention Schwere Sicherheitsmängel in Web-Applikationen | Netzgeist V3.1 -- Topsy.com

  8. Pingback: Gut eine Million Websites nach verwendeter CMS-Software untersucht - datensicherheit.de Informationen zu Datenschutz und Datensicherheit

  9. Pingback: Wordpress sicherer als gedacht | geeksphere.de

  10. Pingback: Sicherheit von Web-Apps: Blind Elephant scannt Webseiten nach Sicherheitsmängeln, WordPress sicher » t3n News

  11. Daniel Gesundheit

    Hallo,

    ich bin erstaunt. Ich hätte nicht erwartet, dass es ein so krasser Unterschied zw. WordPress und Drupal existiert. Ich bin auch ein Fan von WordPress, hab dies aber nicht erwartet, zeigt aber auch wie hoch die Qualität der Entwicklung ist.

    Klasse.

    Gruß

  12. Marc Post author

    Wobei zu diesem Thema schon wieder Religionskriege entfacht werden. :) Eigentlich ziemlich blödsinnig, aber naja… Es ist schon interessant sich die PDFs und die mittlerweile veröffentlichten “Updates and clarifications” bei Qualis anzuschauen. Das Bild verändert sich dann doch noch etwas.

  13. eigentor

    Ich seh jetzt schon kommen, daß das einfach unkritisch weiterzitiert wird. Und ja, ich bin von der Drupal-Fraktion. Da wird man dann zu hören bekommen “70% der Installationen zeigen schwere Sicherheitsmängel. Boah die Software ist bestimmt total schlampig programmiert.”

    Eine korrekte Überschrift wäre gut. Die müsste heissen “Web Applikationen updaten bringt Sicherheit”. Und dann eben der Hinweis, daß White Elephant nichts tut ausser zu prüfen, ob die gefundene Installation die neueste Version verwendet.
    Na ja, diese Seite hier läuft auf WordPress, und für dieses ist der Test prima abgelaufen.

    Da kann ich schon verstehen, daß man das mal so zitiert… ;) Aber come on, Marc, ganz sauber ist das nicht…

  14. Marc Post author

    Moin,

    ich mag Drupal, je nach Anforderungen/Pflichtenheft gibt es manchmal nichts Besseres – ab und an “darf” ich mich auch mit anderen Systemen herum ärgern. Bezüglich des Textes: Du hast so Unrecht nicht. Die Nachricht hat sich vor einigen Tagen in Windeseile verbeitet, nur in einem einzigen Fall hat sich jemand die Mühe gemacht und mal genauer hingesehen, Qualis Dokumente sowie die Updates and clarifications (Link siehe zwei Kommentare weiter oben) durchzulesen, geschweige denn, diese auch zu verstehen.

    Daraus könnte man nun Schlußfolgerungen ziehen, inwieweit es möglich ist “verbogene” Informationen schnellstmöglich zu verbreiten. Das allerdings war nicht meine Absicht! In (wahrscheinlich falscher) Annahme setze ich darauf, dass Mensch sich informiert bevor er eine Meinung hat. Das ist sicherlich ein Fail.

    Nachtrag
    Eines würde ich übrigens keinesfalls behaupten: Nämlich das X, Y oder Z das beste System aller Zeiten sei. Es gibt Aufgabenstellungen, da ist eventuell ABC die beste Lösung. Von daher würde ich niemals sagen “WordPress über alles”. Das ist doch ziemlich … sagen wir mal “amateurhaft”, erinnert an die Atari vs. Amiga Schlachten. Pure Zeitverschwendung.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>