Web Application Testing: Wie erkenne ich, ob meine … · Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann ... SSL schützt nur die Verbindung

Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

18.10.2011

Referent:

Tim Kretschmann Senior System Engineer, CISO

Pallas Security Colloquium

© Pallas GmbH. No distribution without authorization.

Quelle: WEBSITE SECURITY STATISTICS REPORT | JUNE 2012, White Hat Security

64% aller Web-Sites sind angreifbar


Wachsenden Gefahren für Ihren Web-Server


Doch nicht unser Web-Server…?

Betreiben Sie (komplexe) Web Anwendungen, wie …?

Redaktionssysteme (Typo3, Joomla, WordPress, First Spirit, …)

Online-Shop, geschützte Bereiche

Integration von Back-End-Systeme (Datenbanken, Anbindung Warenwirtschaft wie SAP)

Foren, Guestbooks, etc. für Kundenaustausch/-feedback

Eigenentwicklungen bzw. für Sie angepasste Web-Software

Web applications are the #1 focus of hackers:

Missbrauch des Servers als Botnet-Client

Auslesen der Zugangs- und ggf. Zahlungsdaten

Verteilung von Malware (wie z.B. drive-by downloading)

Generierung von Spam-Mails

Auslesen und Manipulation von (vertraulichen) Inhalten

Darstellung von falschen (schädlichen) Daten

Session Hijacking, Phishing

Weiterleitung auf zwielichtige Angebote / Konkurrent

…


Grobe Übersicht über eine Web-Anwendung

SSL schützt nur die Verbindung

Firewall schützt nur das Netzwerk

Die Sicherheit der Daten ist nur so

sicher, wie die Web-Anwendung

und der Web-Server

Die meisten Sicherheitslücken sind

in den Anwendungsschichten und

nicht auf der Ebene

Netzwerk/Betriebssystem/Datenbank

Im Verhältnis wird 90% in

Netzwerk/Server-Sicherheit und

10% in die Anwendungssicherheit

investiert aber 75% der Angriffe

erfolgen über die Anwendung!

Quelle Grafiken: IBM, Shawn Miller


Beispiele aus Praxis

Zahlen aus Pallas Web Application Tests (Auswertung der letzten 10 Tests):

9 von 10 Web-Sites haben eine Sicherheitslücke (80% Schwachstellen mit hohem Risiko)

Top 8 der Sicherheitslücken

– XSS (90%)

– Anwendungsfehler (60%)

– Auflisten Verzeichnis (40%)

– Unerwünschte Datenpreisgabe (40%)

– Datenbankabfragen / -manipulation SQLi (30%)

– Gespeicherte Inhaltsmanipulation (30%)

– Probleme beim Session Handling (30%)

– CSRF (20%)

Vorfälle bei von Kunden verwalteten Web-Servern *

DriveByDownload – VeralteteTypo3-Erweiterung lädt verseuchtes JavaScript bei Ansehen der Seite

PHPBotNetClient – durch veraltetes PhpMyAdmin wird Web-Server zum BotNetClient

DoS – Web-Site wird innerhalb 10 Minuten rund 250.000-mal von einer einzigen IP-Adresse abgefragt

Virus – durch veraltetes Joomla Virus war es möglich ein Virus als Grafik zu verbreiten

* Die aufgeführten Systeme wurden durch Kunden verwaltet und nicht durch Pallas. Alle Angriffe konnten

* durch Pallas proaktiv detektiert werden.


XSS: per IFrame Seite überlagert


XSS: Phishing mittels Link in E-Mail (Demo)


Error Handling: JSP verrät SAP Account

BI ABAP Release: 701 - Patch level: 0009 -

Description: SAP Business Warehouse (****) -

Additional info: - Production mode: true

Java VM IBM J9 VM - IBM Corporation - 2.3

Operating System Linux - amd64 - 2.6.16.60-0.76.8-smp

…

Request URL http://******.de:55000

Server_URL_Prefix http://*****.de:55000

THEME_NAME ****KUNDE****

User ****LOGIN*****


PHP file inclusion: Konfig, Passwörter, … lesen

www.pallas.com/download/testm2.txt:

<?php system("cat /var/www/htdocs/.../local.php | sed -e 's/$/<br>/'"); ?>


Temporäre User-Daten im Web


Wie können wir Sie unterstützen?

Quelle: IBM, Thomas Neudert


Der Web-Application-Security-Scan

Input von Kunden

– URL, ggf. Zugangsdaten der verschiedenen Berechtigungsebenen

– Programmiersprache, Datenbank sind egal

Vorgehen

– Sichtung der Anwendung (von außen und ggf. innen)

– Parametrisierung des Scans

– Scan der Anwendung mit Profi-Tool IBM AppScan

– Auf Wunsch: händische Kontrolle der Konfiguration WebServer, Anwendung, Datenbank etc.

– Bewertung der Ergebnisse und Bericht (auch auf Deutsch!)

– Maßnahmen-Vorschläge

– Ggf. Präsentation

Tool-Einsatz

– IBM AppScan: sehr aktuelle und vollständige Angriffsvektoren, gut erweiterbar, gut

parametrisierbar, aber sehr mächtig und komplex

– Freie Tools (wie W3AF, SkipFish, arachni, sqlmap,… ): unvollständige Erkennungen bekannter

Sicherheitslücken, sehr viele false-positive, Einsatz bei Pallas: nur für Spezialfälle vgl. http://sectooladdict.blogspot.de/2012/07/2012-web-application-scanner-benchmark.html

Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de

Gerne beantworten wir Ihre Fragen

Documents

Web Application Testing: Wie erkenne ich, ob meine … · Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann ... SSL schützt nur die Verbindung