Artikel versenden
Druckversion
- Schutz vor Hackerangriffen
- Biometrie Teil 1
- IT Security Trends 2010
- Pandemie
- Festplattenverschlüsselung Teil 2
- Festplattenverschlüsselung Teil 1
- Identity Management
- Green IT
- Phishing & Pharming
- VoIP-Tauglichkeit
- End - to - End Security
- IP Storage 3. Teil
- SIEM
- UTM
- IP Storage 2. Teil
- Web Application Security
- IP Storage 1. Teil
- Heute schon geNACt?
- Risikomanagement
- VPN auf Basis von SSL oder IPSec?
- Managed-Security-Services
- Hochverfügbarkeit bei VoIP
- Forensik
04.08.07
Enterasys: Was versteht man unter Webserver-Hacking?
Typische Schwachstellen von Webanwendungen bzw. was sind die wichtigsten Bedrohungen bei der Nutzung von Webanwendungen?
Fehlende Validierung von Input Paramentern ermöglicht in den meisten Fällen Cross Site Scripting.
Webanwendungen werden oftmals mit Scriptsprachen realisiert. Deren Umsetzung ist relativ einfach zu realisieren. Sicherheit steht dabei selten im Vordergrund. Wichtige Backend Services (Datenbank) sind über die Webserver direkt mit dem Internet verbunden und somit indirekt angreifbar. Viele Applikationen nutzen HTTP als Tunnelprotokoll bzw. als Transportschicht das erschwert das Parsen von HTTP Content enorm.
Wie erkenne ich einen Angriff?
Für Webanwendungen exisitieren sehr viele Evasionmethoden, daher ist bei Netzwerkbasierten Lösungen (wie dem Enterasys Dragon IDS / IPS) eine HTTP Protokolldecoderfunktionalität extrem wichtig.
Ferner können Angriffe durch das Antwortverhalten von Webservern/ Webservices erkannt werden. Stream Reassembly Methoden können hierbei helfen. Host IDS und IPS Systeme verhindern Angriffe auf Applikationsebene (Siehe Dragon Host Intrusion Detection).
Wie kann man die Sicherheit seiner Webanwendung testen?
Durch den Einsatz von Sicherheitslückenscannern.
Bei Webservices: Durch den Einsatz von XML Validierungsmethoden, die sicherstellen, dass die verwendeten Datentypen korrekt sind.
Tipps zur Sicherung von Webanwendungen
- XML für Webservices nicht mit Regex parsen, sondern mit vorgegebenen Klassen.
- XSD Strukturen für die XML Services nutzen.
Ist es mit einer WAF-Lösung getan?
Nein, da viele Protokolle und Applikationen HTTP als Tunnel nutzen, somit kann man jeglichen Angriff durch HTTP tunneln. Ein IDS Devices ist in der Lage, die einzelnen Protokolle und Applikationen zu erkennen und die gewohnten Mechanismen zur Angriffserkennung oder präventiven Angriffsvermeidung zu realisieren.
Was sind die Anforderungen an eine zukünftige Web Application Firewall?
- Kerberos Unterstützung
- SSL Support in der Tiefe
- IDS Support
- Line Rate Durchsatz
- XSD Validierung
- Baselining
Werden die Gefahren beim Kunden erkannt? Sind die Gefahren bekannt?
Die Gefahren sind bekannt. Lösungen selten realisiert oder ausgerollt.
Wie gehen Cyber-Kriminelle vor, wenn sie Cookies stehlen?
Zumeist über XSS Attacken.
Was versteht man unter Session Hijacking?
Die Übernahme einer validen Web Session. Somit können zum Beispiel Authentifizierungen umgangen werden.
Welche Gefahren birgt Session Hijacking?
Transparente Übernahme einer HTTP Session.
Was versteht man unter Webserver-Hacking?
Das Kompromittieren eines Webservers weiterführend als reines Website Defacing.
Welche Schwachstellen lauern in Apache und wie können solche Angriffe verhindert werden?
Apache ist in einer direct memory access Sprache geschrieben und ist somit anfällig gegen Buffer bezogene Angriffe.
Was versteht man unter SQL-Injection und wie kann man eingeschleuste SQL-Daten entdecken?
Das Einschleusen von SQL Befehlen in einer URI Call. Entdeckt können diese modifizierten Calls am besten über IDS Systeme werden.
Josef Brunner, Security Solution Manager,
Enterasys
All-About-Security Artikel bookmarken
