Top 10 Vulnerability-Report von Hackerone: Diese zehn Sicherheitslücken verursachten die größten Probleme

Hackerone, die führende Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker –, hat heute seinen Report zu den zehn häufigsten Schwachstellen des letzten Jahres veröffentlicht. Das Unternehmen hat anhand der eigenen Daten eine Analyse zu den zehn häufigsten und mit den höchsten Prämien ausbezahlten Schwachstellen erstellt. Aus mehr als 200.000 Sicherheitslücken, welche zwischen Mai 2019 und April 2020 über die Plattform gemeldet wurden, gewann Hackerone genaue Einblicke und Details zu verschiedenen Schwachstellentypen. Zu den Top 10 gehören unter anderem Cross-Site Scripting, Improper Access Control und Information Disclosure.

„In diesem Jahr waren Organisationen weltweit gezwungen, mit ihren Produktangeboten und Dienstleistungen digital zu arbeiten“, sagte Miju Han, Senior Director of Product Management bei Hackerone. „Darüber hinaus war es für die Unternehmen unausweichlich, sich um neue Einnahmequellen zu bemühen und digitale Angebote für Kunden zu schaffen, deren Lebensstil sich dramatisch verändert hatte. Millionen von Arbeitnehmern begannen aus der Ferne zu arbeiten. Mit diesem beschleunigten Tempo der digitalen Transformation mussten die CISOs schnell neue Bedürfnisse erfüllen und gleichzeitig die Sicherheit der bestehenden Systeme gewährleisten. Angesichts dieser Hürden haben die Sicherheitsverantwortlichen eine neue Wertschätzung für die Arbeit ethisch motivierter Hacker zur Verbesserung der IT-Sicherheit als flexible, skalierbare und kosteneffektive Lösung gewonnen. Damit konnten sie ihre eigenen Ressourcen aufstocken und einen Pay-for-Results-Ansatz anbieten, der bei knappen Budgets besser zu rechtfertigen ist.“

Die Top 10 der schwerwiegendsten und am höchsten prämierten Schwachstellentypen des Jahres 2020 in der Übersicht (absteigende Reihenfolge):

  1. Cross-Site Scripting (XSS)
  2. Improper Access Control
  3. Information Disclosure
  4. Server-seitige Antragsfälschung (SSRF)
  5. Unsichere direkte Objektreferenz (IDOR)
  6. Privilege-Eskalation
  7. SQL-Injection
  8. Improper Authentication 
  9. Code-Injection
  10. Cross-Site Request Forgery (CSRF)

Die wichtigsten Schwachstellen im Jahresvergleich 2020 und 2019:

  1. Sicherheitslücken beim Cross-Site-Scripting stellen nach wie vor eine große Bedrohung für Webanwendungen dar, da Angreifer die XSS-Angriffe nutzen, um die Kontrolle über das Benutzerkonto zu erlangen und anschließend persönliche Daten wie Passwörter, Bankdaten Kreditkarteninformationen, personenbezogene Daten, Sozialversicherungsnummern zu missbrauchen. Die durch XSS betroffenen Sicherheitslücken waren zwei Jahre in Folge die häufigst genannten und kosteten die Organisationen insgesamt 4,2 Millionen US-Dollar an Prämien. Dies entspricht einem Anstieg von 26 Prozent gegenüber dem Vorjahr. Insgesamt macht diese Art von Schwachstelle 18 Prozent aller gemeldeten Schwachstellen aus, die durchschnittliche Prämie dafür beträgt nur rund 500 US-Dollar. Grundsätzlich wird für eine kritische Schwachstelle durchschnittlich 3.650 US-Dollar gezahlt, entsprechend können Organisationen diese XSS-Angriffe als häufige und potenziell gefährliche Sicherheitslücken im Vergleich kostengünstig beheben lassen bevor sie größeren finanziellen Schaden verursachen.
     
  2. Improper Access Control (2019: Platz 9) und Information Disclosure (nach wie vor an dritter Stelle) sind weit verbreitet. Die Awards für Improper Access Control stiegen von Jahr zu Jahr um 134Prozent auf knapp über 4 Millionen US-Dollar. Information Disclosure reihte sich knapp dahinter ein und stieg im Jahresvergleich um 63Prozent. Das Design von Access Control Angriffen ist mit automatisierten Tools nur schwer zu identifizieren und aufgrund des hohen Fehlerpotenzials ist eine manuelle Untersuchung empfehlenswert.
     
  3. SSRF-Schwachstellen zeigen das Risiko von Cloud-Migrationen. Diese Lücken werden genutzt, um auf interne Systeme hinter Firewalls zuzugreifen. Früher waren SSRF-Fehler eher harmlos und belegten in einem früheren Ranking den siebten Platz, da sie lediglich internes Netzwerkscannen und den Zugriff auf interne Verwaltungspanels erlaubten. Aber im Zeitalter der raschen digitalen Transformation hat das Aufkommen der Cloud-Architektur und ungeschützter Metadaten-Endpoints diese Schwachstellen immer kritischer werden lassen.
     
  4. SQL-Injection nimmt von Jahr zu Jahr ab. Von OWASP (Open Web Application Security Project) und anderen Organisation wurde SQL-Injection als eine der gefährlichsten Bedrohungen für die Sicherheit von Webanwendungen angesehen. Gründe dafür ist die Speicherung sensibler Daten, darunter Geschäftsinformationen, geistiges Eigentum und kritische Kundendaten auf Datenbankserver und deren Anfälligkeit. In den vergangenen Jahren war die SQL-Injection eine der häufigsten Arten von Schwachstellen, ist allerdings auch vom fünften auf den siebten Platz in diesem Jahr gesunken.

Methodik
Diese Ausgabe der Hackerone Top 10 „Most Impactful and Rewarded Vulnerability Types“ basiert auf Hackerone’s eigenen Daten zur Untersuchung von Sicherheitsschwachstellen, die zwischen Mai 2019 und April 2020 mit Hilfe der Hackerone-Plattform behoben wurden. Die hier aufgeführten Schwachstellen wurden von der Hacker-Community durch die Offenlegung von Sicherheitslücken und öffentliche und private Bug-Bounty Programme gemeldet. Alle Schwachstellenklassifizierungen wurden von Hackerone-Kunden vorgenommen oder bestätigt, einschließlich Art, Auswirkung und Schweregrad der Schwachstellen.

Den vollständigen Report „Top 10 Most Impactful and Rewarded Vulnerability Types – 2020 Edition“ finden Sie unter https://www.hackerone.com/…

Über Hackerone

Hackerone ist die Nr. 1 unter den hackergesteuerten Pentest- und Bug-Bounty-Plattformen. Hackerone hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor diese ausgenutzt werden können. Mehr Fortune-500-Unternehmen und Forbes Global 1000-Unternehmen vertrauen Hackerone als jeder anderen Hacker-basierten Sicherheitsalternative. Mit rund 2.000 Programmen bei den Kunden, darunter das US-Verteidigungsministerium, General Motors, Google, Goldman Sachs, PayPal, Hyatt, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, hat Hackerone geholfen, mehr als 170.000 Schwachstellen zu finden und einer wachsenden Gemeinschaft von über 750.000 Hackern mehr als 100 Millionen Dollar an Bug-Bounties zu gewähren. Hackerone hat seinen Hauptsitz in San Francisco und unterhält Niederlassungen in London, New York, den Niederlanden, Frankreich und Singapur. Das Unternehmen wurde von Fast Company zu den 50 World’s Most Innovative Companies 2020 gewählt.

Firmenkontakt und Herausgeber der Meldung:

Hackerone
22 4th Street, 5th Floor
USACA 94103 San Francisco
Telefon: +49 (89) 80090-819
http://www.hackerone.com

Ansprechpartner:
Linda Dahm
AxiCom GmbH
Telefon: +49 (89) 80090-818
E-Mail: linda.dahm@axicom.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel