Die zehn größten Schwachstellen in Web-Anwendungen

Platz 3: Malicious File Execution

Bei Web-Anwendungen besteht die Möglichkeit, Schaddateien auf den Web-Server zu laden und zur Ausführung zu bringen. Häufig werden Dateien einfach entgegengenommen und auf dem Web-Server gespeichert, ohne vorab die Gültigkeit zu prüfen. Möglich werden entsprechende Angriffe oft durch Upload-Funktionen innerhalb der Web-Applikation.

Bleibt eine hinreichende Prüfung der hochgeladenen Dateien aus, kann ein Angreifer bösartigen Code auf dem Server der Anwendung platzieren. Schadcode wird dabei in die Datei eingebettet und durch einen anschließenden Aufruf zur Ausführung gebracht.

Die Auswirkungen einer solchen Attacke sind unterschiedlich und hängen stark von der Konfiguration des Web-Servers ab: Es besteht die Gefahr einer Server-Übernahme, auch ein Angriff auf die Benutzer der Web-Anwendung ist möglich.