3. Die Ausführung bösartiger Dateien

Das Problem: Hacker können aus der Ferne Schadcode zur Ausführung bringen, Rootkits installieren oder ein komplettes System kompromittieren. Für die so genannte Remote File Inclusion (RFI) ist im Prinzip jede Web-Applikation oder jedes Framework anfällig, das Dateien oder Dateinamen von Nutzern akzeptiert. Besonders häufig tritt die Bedrohung im Zusammenspiel mit der weit verbreiteten Skriptsprache PHP auf.

Beispiel: Ein jugendlicher Programmierer hatte im Jahr 2002 eine Sicherheitslücke bei der Mode-Site Guess.com entdeckt, die den Diebstahl von rund 200.000 Kundendaten wie Namen und Kreditkartennummern aus der Guess-Datenbank ermöglichte. Nach einer Untersuchung durch die Federal Trade Commission erklärte sich das Unternehmen bereit, sein Sicherheitsbollwerk entsprechend aufzurüsten.

Basis-Schutz: Nach Empfehlung der Owasp sollte Nutzer-Input für die Konstruktion von Dateinamen für Server-basierende Ressourcen im Skript vermieden werden. Auch sind Firewall-Regeln so zu setzen, dass sie neue Verbindungen zu externen Web-Sites oder internen Systemen verhindern.