Media Alert art of defence: Was Banken vom Sicherheitsstandard PCI DSS lernen können …

Dr. Georg Heß, CEO von art of defence     Print JPG

Regensburg, 14. Oktober 2010 ---- Dr. Georg Heß, CEO von art of defence, zu Cross-Site-Scripting-Schwachstellen bei Banken-Websites: „Die Online-Angebote zahlreicher Banken sind anfällig für Cross-Site-Scripting-Angriffe (XSS-Angriffe); dies hat laut Medienberichten ein Schüler herausgefunden. Dabei hätten die Banken gewarnt sein können: Cross-Site-Scripting ist die am weitesten verbreitete Schwachstelle bei Web-Applikationen. Damit erreicht XSS den zweiten Platz in den OWASP-Top-Ten. Diese Liste fasst die größten Risiken für Web-Applikationen zusammen und ist Bestandteil des Sicherheitsstandards der Kreditkartenindustrie PCI DSS. Er beschreibt detailliert, wie Web-Anwendungen geschützt werden sollen: regelmäßige Überprüfungen auf gängige Schwachstellen durch externe Experten, laufende Bewertung neuer Schwachstellen, Testen neuer Funktionen auf Angreifbarkeit, Einsatz einer Web Application Firewall und vieles mehr. Daran sollten sich Banken ein Beispiel nehmen.

Mit einer XSS-Attacke kann sich ein Angreifer Benutzerdaten, zum Beispiel Log-ins, verschaffen. Das Perfide ist, dass der Nutzer selbst die XSS-Angriffe nicht erkennen kann, da der Angriff komplett in die vermeintlich vertrauenswürdige Website seiner Bank eingebettet ist. Wenn sich Banken gegen diese Schwachstellen nicht absichern, setzen sie das Vertrauen ihrer Kunden aufs Spiel."

Informationen zu Cross Site Scripting und wie sich XSS-Schwachstellen vermeiden lassen unter http://www.owasp.org/index.php/Top_10_2010-A2

circa 1.500 Zeichen