Eine neue Schwachstellen-Suchmaschine legt den Finger in die offene Wunde der Sicherheit von Web-Applikationen. Sicherheitslücken wie Cross Sites Scripting und SQL Injection sind leider weit verbreitet und gefährden die Daten der Besucher dieser Seiten. Die neue Suchmaschine Punkspider sucht im ganzen Internet systematisch nach diesen Schwachstellen und dokumentiert die Ergebnisse öffentlich. Das Konzept von Hyperion Gray ist einfach: Nimm einen skalierbaren Hadoop-Cluster, scanne mit vielen parallelen Spider-Skripten Millionen von Web-Sites auf Sicherheitslücken und mach die Ergebnisse über eine Suchmaschine öffentlich zugänglich.
Die sichtbaren Ergebnisse für .DE-Domain sind noch nicht wirklich beeindruckend: Getestet wurden offenbar circa 50.000 Websites. Auf etwa 50 davon will der Punkscan Cross Site Scripting Lücken (XSS) aufgespürt haben, bei 16 SQL Injection und die eigentlich schwerer zu entdeckende Variante Blind SQL Injection sogar auf etwa 120 Web-Sites. Die Qualität dieser Ergebnisse ist sehr durchwachsen. Während wir bei einigen Stichproben die angebliche Schwachstelle anhand der Demo-URL sofort verifizieren konnten, gab es bei vielen gar keine Detail-Informationen (Scanner abgestürzt?) und auch die ein oder andere Meldung, die stark nach einem Fehlalarm roch.
Die Vorgehensweise von Hyperion Gray ist vorsichtig formuliert „unkonventionell“ und wird derzeit kontrovers diskutiert: „Zentralisierte Schwachstellendatenbank für Script-Kiddies“ ist noch einer der harmlosen Vorwürfe. Auch die juristischen Aspekte sind durchaus diskussionswürdig – immerhin werden nicht nur fremde Sites ohne Nachfragen auf Sicherheitslücken untersucht, sondern deren Ergebnisse auch ohne Einwilligung öffentlich zugänglich gemacht. Da dürfte das letzte Wort noch nicht gesprochen sein.
Für Web-Admins ist die Situation derzeit schwierig: Wer jetzt einfach seine Site in die Suche eingibt, riskiert, dass es zwar noch keine Ergebnisse gibt, er damit aber ins Visier zukünftiger Punkscans geraten ist. Wer es unterlässt, muss befürchten, dass andere die Punkspider-Suche bemühen und eventuell fündig werden. Wie man einen Punkscan der eigenen Site ausschließt, ist nicht dokumentiert. Unsere Fragen an den Betreiber des Dienstes unter anderem dazu warten derzeit noch auf Antwort. Immerhin behauptet CTO Alejandro Caceres, dass die Anweisungen der Steuerdatei robots.txt ausgewertet und beachtet würden. Er sieht seinen neuen Dienst im Übrigen als Angebot: „Das Ziel meines Projekts ist es, Firmen kostenlos über solche Sicherheitslücken zu informieren, damit sie sie von ihren Web-Entwicklern beseitigen lassen können.“ (ju)
English Version: Vulnerabilities served up
Quelle : heise.de