Eine neue Schwachstellen-Suchmaschine legt den Finger in die offene Wunde der Sicherheit von Web-Applikationen. Sicherheitslücken wie Cross Sites Scripting und SQL Injection sind leider weit verbreitet und gefährden die Daten der Besucher dieser Seiten. Die neue Suchmaschine Punkspider sucht im ganzen Internet systematisch nach diesen Schwachstellen und dokumentiert die Ergebnisse öffentlich. Das Konzept von Hyperion Gray ist einfach: Nimm einen skalierbaren Hadoop-Cluster, scanne mit vielen parallelen Spider-Skripten Millionen von Web-Sites auf Sicherheitslücken und mach die Ergebnisse über eine Suchmaschine öffentlich zugänglich.
Die sichtbaren Ergebnisse für .DE-Domain sind noch nicht wirklich beeindruckend: Getestet wurden offenbar circa 50.000 Websites. Auf etwa 50 davon will der Punkscan Cross Site Scripting Lücken (XSS) aufgespürt haben, bei 16 SQL Injection und die eigentlich schwerer zu entdeckende Variante Blind SQL Injection sogar auf etwa 120 Web-Sites. Die Qualität dieser Ergebnisse ist sehr durchwachsen. Während wir bei einigen Stichproben die angebliche Schwachstelle anhand der Demo-URL sofort verifizieren konnten, gab es bei vielen gar keine Detail-Informationen (Scanner abgestürzt?) und auch die ein oder andere Meldung, die stark nach einem Fehlalarm roch.
Der ganze ArtikelQuelle :
www.heise.de
