Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Top 5 Angriffsrisiken einer Webanwendung

Top 5 Angriffsrisiken einer Webanwendung

Eine kurze Einführung in die ersten 5 Risiken der OWASP Top 10. In der Präsentation wurden die 5 Risiken gleich live am BorgetIt Demo Store präsentiert.

Alexander Schwartz

July 02, 2014
Tweet

More Decks by Alexander Schwartz

Other Decks in Programming

Transcript

  1. Top 5 Angriffsrisiken einer Webanwendung
    msg summer school, Hamburg, 2. Juli 2014
    © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    1

    View full-size slide

  2. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    2
    Agenda
    1. Was ist eine Webanwendung?
    2. Warum wird sie angegriffen?
    3. 5 Top Angriffsrisiken
    4. Maßnahmen für sichere Webanwendungen
    5. Diskussion

    View full-size slide

  3. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    3
    Agenda
    1. Was ist eine Webanwendung?
    2. Warum wird sie angegriffen?
    3. 5 Top Angriffsrisiken
    4. Maßnahmen für sichere Webanwendungen
    5. Diskussion

    View full-size slide

  4. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    4
    Eine Webanwendung ist eine weltweit via Browser erreichbare Anwendung.
    Was ist eine Webanwendung?

    View full-size slide

  5. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    5
    Eine Webanwendung ist weltweit erreichbar
    … manchmal auch über Umwege.
    Was ist eine Webanwendung?

    View full-size slide

  6. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    6
    Agenda
    1. Was ist eine Webanwendung?
    2. Warum wird sie angegriffen?
    3. 5 Top Angriffsrisiken
    4. Maßnahmen für sichere Webanwendungen
    5. Diskussion

    View full-size slide

  7. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    7
    Für Geld, als politisches Statement, aus Spaß, Spionage, …
    Warum wird eine Webanwendung angegriffen?

    View full-size slide

  8. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    10
    Agenda
    1. Was ist eine Webanwendung?
    2. Warum wird sie angegriffen?
    3. 5 Top Angriffsrisiken
    4. Maßnahmen für sichere Webanwendungen
    5. Diskussion

    View full-size slide

  9. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    11
    Es gibt typische Angriffsrisiken
    • Open Web Application Security Project (OWASP) veröffentlicht
    häufige Risiken in Anwendungen.
    • Ziele:
    1. Bewusstsein für Risiken steigern
    2. Hinweise zu Best Practices geben
    • Beispiele:
     OWASP Top 10 2013
    „The Top 10 Most Critical Web Application Security Risks“
     OWASP Mobile Top 10 2013
     …
    5 Top Angriffsrisiken

    View full-size slide

  10. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    12
    OWASP Top 1 2013: Injection
    • Ursache: Die Anwendung lässt sich dazu überlisten, zusätzliche Befehle (z.B.
    SQL, Kommandozeile, LDAP, …) auszuführen.
    • Unverändert wichtig: 2010 war es TOP 1, 2007 war es TOP 2
    Beispiel: SQL-Injection
    1. Symptom: Seite lässt sich mit Sonderzeichen aus dem Tritt bringen:
    Username: test'
    2. Ausnutzen:
    Username: [email protected]' or '1'='1
    5 Top Angriffsrisiken

    View full-size slide

  11. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    13
    OWASP Risk Rating Methodology am Beispiel Injection
    5 Top Angriffsrisiken
    In diesem Beispiel:
    jeder Internet-Nutzer
    In diesem Beispiel:
    Zugriff auf den Administrator-
    Account und damit potentiell auf
    alle Kundendaten

    View full-size slide

  12. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    14
    OWASP Top 2 2013: Broken Authentication and Session Management
    • Gruppe von verschiedenen Problemen rund um Anmeldung,
    Sitzungsmanagement, Behandlung von Benutzernamen und Passwörtern und
    Zurücksetzen von Passwörtern
    • Tritt insbesondere dann auf, wenn diese Funktionen von einem Projekt neu
    implementiert werden.
    Beispiel: Session Fixation
    1. Symptom: Nach der Anmeldung ändert sich die Session-ID nicht
    2. Ausnutzen:
    a. Aufrufen der Startseite und merken der aktuellen Session-ID
    b. Weiterleiten eines Opfers auf die Seite mit der Session-ID
    http://localhost:8080/bodgeit/search.jsp;jsessionid=6949A2082649
    6B3214F9DE87EDCF2126?q=%3Cscript%3Edocument.cookie=%22JSESSIONID
    =6949A20826496B3214F9DE87EDCF2126%22%3C%2Fscript%3E
    c. Regelmäßiges Aufrufen der Seite, bis sich das Opfer anmeldet
    5 Top Angriffsrisiken

    View full-size slide

  13. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    15
    OWASP Top 3 2013: Cross-Site Scripting (XSS)
    • Anwendung lässt sich überlisten, zusätzlichen JavaScript-Code auszuführen.
    • Dadurch können Daten gestohlen, zusätzliche Server-Aufrufe getätigt und die
    Anzeige manipuliert werden.
    Beispiel: DOM-XSS (Verändern der Website via XSS)
    1. Ausnutzen:
    a. Eingabe von Text im Such-Feld:
    document.getElementsByTagName("h1")[0].textContent="The<br/>msg Store"
    b. Verpacken als URL in eine Spam-E-Mail:
    http://localhost:8080/bodgeit/search.jsp?q=%3Cscript%3Edocument.
    getElementsByTagName%28%22h1%22%29[0].textContent%3D%22The+msg+S
    tore%22%3C%2Fscript%3E
    5 Top Angriffsrisiken

    View full-size slide

  14. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    16
    OWASP Top 4 2013: Insecure Direct Object References
    • Manipulation von IDs, die in Requests oder Cookies übergeben werden.
    • Ursache: Die Anwendung prüft nicht, ob der Nutzer Zugriff auf das Objekt mit
    der übergebenen Referenz hat.
    Beispiel: Fuzzing für Cookies
    1. Ausnutzen:
    1. Aufruf des Warenkorbs
    2. Setzen des Cookys über Zed Attack Proxy (ZAP)
    3. Anschauen des fremden Warenkorbs
    5 Top Angriffsrisiken

    View full-size slide

  15. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    17
    OWASP Top 5 2013: Security Misconfiguration
    • Gruppe von Punkten, die über eine Checkliste/einen Scanner abgearbeitet
    werden können, z.B.
     Versionen von Betriebssystem und Bibliotheken
     Aktivierte gefährliche (Standard-)Konfigurationen
     …
    Beispiel: Fuzzing für Request-Parameter
    1. Ausnutzen:
    a. Aufruf einer Seite mit Parametern
    b. Setzen eines ungültigen Wertes über ZAP
    c. Stack-Trace der Anwendung
    Der Angreifer erhält zusätzliche Informationen über die Anwendung für
    weitere Angriffe.
    5 Top Angriffsrisiken

    View full-size slide

  16. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    18
    Agenda
    1. Was ist eine Webanwendung?
    2. Warum wird sie angegriffen?
    3. 5 Top Angriffsrisiken
    4. Maßnahmen für sichere Webanwendungen
    5. Diskussion

    View full-size slide

  17. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    19
    Verbesserungen sind an vielen Punkte möglich
    1. Firewall einschränken
    2. Intrusion Detection System einsetzen
    3. Web Application Firewall einsetzen
    4. Lücken in der Anwendung reduzieren
    Maßnahmen für sichere Webanwendungen
    1 2 3 4

    View full-size slide

  18. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    20
    Ansätze für weniger Lücken in der Anwendung
    1. Wissen und Bewusstsein der Entwickler in Bezug auf IT Sicherheit
    (inkl. praktischem Verstehen von Angriffen z.B. mit BodgeIt Store/ZAP)
    2. Zeit und Budget in Projekten für Design und Entwicklung (inkl. Review)
    Maßnahmen für sichere Webanwendungen

    View full-size slide

  19. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    22
    Resourcen für weniger Lücken in der Anwendung
    • OWASP Top 10 (inkl. Links to Cheat Sheets)
    https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
    • BorgeIt Store
    https://code.google.com/p/bodgeit/
    • OWASP Zed Attack Proxy (ZAP)
    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
    • Microsoft Secure Development Lifecycle
    http://www.microsoft.com/security/sdl/default.aspx
    • Threat Modelling (STRIDE, DREAD)
    Microsoft Threat Modelling Tool 2014
    http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx
    Maßnahmen für sichere Webanwendungen

    View full-size slide

  20. © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    24
    Agenda
    1. Was ist eine Webanwendung?
    2. Warum wird sie angegriffen?
    3. 5 Top Angriffsrisiken
    4. Maßnahmen für sichere Webanwendungen
    5. Diskussion

    View full-size slide

  21. Vielen Dank für Ihre Aufmerksamkeit
    © msg systems ag, 2. Juli 2014
    Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung
    25
    Alexander Schwartz
    GB L / Principal IT Consultant
    Telefon: +49 171 5625767
    [email protected]
    www.msg-systems.com

    View full-size slide