Top 5 Angriffsrisiken einer Webanwendung msg summer school, Hamburg, 2. Juli 2014 © msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 1 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 2 Agenda 1. Was ist eine Webanwendung? 2. Warum wird sie angegriffen? 3. 5 Top Angriffsrisiken 4. Maßnahmen für sichere Webanwendungen 5. Diskussion 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 3 Agenda 1. Was ist eine Webanwendung? 2. Warum wird sie angegriffen? 3. 5 Top Angriffsrisiken 4. Maßnahmen für sichere Webanwendungen 5. Diskussion 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 4 Eine Webanwendung ist eine weltweit via Browser erreichbare Anwendung. Was ist eine Webanwendung? 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 5 Eine Webanwendung ist weltweit erreichbar … manchmal auch über Umwege. Was ist eine Webanwendung? 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 6 Agenda 1. Was ist eine Webanwendung? 2. Warum wird sie angegriffen? 3. 5 Top Angriffsrisiken 4. Maßnahmen für sichere Webanwendungen 5. Diskussion 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 7 Für Geld, als politisches Statement, aus Spaß, Spionage, … Warum wird eine Webanwendung angegriffen? 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 10 Agenda 1. Was ist eine Webanwendung? 2. Warum wird sie angegriffen? 3. 5 Top Angriffsrisiken 4. Maßnahmen für sichere Webanwendungen 5. Diskussion 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 11 Es gibt typische Angriffsrisiken • Open Web Application Security Project (OWASP) veröffentlicht häufige Risiken in Anwendungen. • Ziele: 1. Bewusstsein für Risiken steigern 2. Hinweise zu Best Practices geben • Beispiele:  OWASP Top 10 2013 „The Top 10 Most Critical Web Application Security Risks“  OWASP Mobile Top 10 2013  … 5 Top Angriffsrisiken 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 12 OWASP Top 1 2013: Injection • Ursache: Die Anwendung lässt sich dazu überlisten, zusätzliche Befehle (z.B. SQL, Kommandozeile, LDAP, …) auszuführen. • Unverändert wichtig: 2010 war es TOP 1, 2007 war es TOP 2 Beispiel: SQL-Injection 1. Symptom: Seite lässt sich mit Sonderzeichen aus dem Tritt bringen: Username: test' 2. Ausnutzen: Username: [email protected]' or '1'='1 5 Top Angriffsrisiken 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 13 OWASP Risk Rating Methodology am Beispiel Injection 5 Top Angriffsrisiken In diesem Beispiel: jeder Internet-Nutzer In diesem Beispiel: Zugriff auf den Administrator- Account und damit potentiell auf alle Kundendaten 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 14 OWASP Top 2 2013: Broken Authentication and Session Management • Gruppe von verschiedenen Problemen rund um Anmeldung, Sitzungsmanagement, Behandlung von Benutzernamen und Passwörtern und Zurücksetzen von Passwörtern • Tritt insbesondere dann auf, wenn diese Funktionen von einem Projekt neu implementiert werden. Beispiel: Session Fixation 1. Symptom: Nach der Anmeldung ändert sich die Session-ID nicht 2. Ausnutzen: a. Aufrufen der Startseite und merken der aktuellen Session-ID b. Weiterleiten eines Opfers auf die Seite mit der Session-ID http://localhost:8080/bodgeit/search.jsp;jsessionid=6949A2082649 6B3214F9DE87EDCF2126?q=%3Cscript%3Edocument.cookie=%22JSESSIONID =6949A20826496B3214F9DE87EDCF2126%22%3C%2Fscript%3E c. Regelmäßiges Aufrufen der Seite, bis sich das Opfer anmeldet 5 Top Angriffsrisiken 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 15 OWASP Top 3 2013: Cross-Site Scripting (XSS) • Anwendung lässt sich überlisten, zusätzlichen JavaScript-Code auszuführen. • Dadurch können Daten gestohlen, zusätzliche Server-Aufrufe getätigt und die Anzeige manipuliert werden. Beispiel: DOM-XSS (Verändern der Website via XSS) 1. Ausnutzen: a. Eingabe von Text im Such-Feld: document.getElementsByTagName("h1")[0].textContent="The msg Store" b. Verpacken als URL in eine Spam-E-Mail: http://localhost:8080/bodgeit/search.jsp?q=%3Cscript%3Edocument. getElementsByTagName%28%22h1%22%29[0].textContent%3D%22The+msg+S tore%22%3C%2Fscript%3E 5 Top Angriffsrisiken 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 16 OWASP Top 4 2013: Insecure Direct Object References • Manipulation von IDs, die in Requests oder Cookies übergeben werden. • Ursache: Die Anwendung prüft nicht, ob der Nutzer Zugriff auf das Objekt mit der übergebenen Referenz hat. Beispiel: Fuzzing für Cookies 1. Ausnutzen: 1. Aufruf des Warenkorbs 2. Setzen des Cookys über Zed Attack Proxy (ZAP) 3. Anschauen des fremden Warenkorbs 5 Top Angriffsrisiken 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 17 OWASP Top 5 2013: Security Misconfiguration • Gruppe von Punkten, die über eine Checkliste/einen Scanner abgearbeitet werden können, z.B.  Versionen von Betriebssystem und Bibliotheken  Aktivierte gefährliche (Standard-)Konfigurationen  … Beispiel: Fuzzing für Request-Parameter 1. Ausnutzen: a. Aufruf einer Seite mit Parametern b. Setzen eines ungültigen Wertes über ZAP c. Stack-Trace der Anwendung Der Angreifer erhält zusätzliche Informationen über die Anwendung für weitere Angriffe. 5 Top Angriffsrisiken 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 18 Agenda 1. Was ist eine Webanwendung? 2. Warum wird sie angegriffen? 3. 5 Top Angriffsrisiken 4. Maßnahmen für sichere Webanwendungen 5. Diskussion 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 19 Verbesserungen sind an vielen Punkte möglich 1. Firewall einschränken 2. Intrusion Detection System einsetzen 3. Web Application Firewall einsetzen 4. Lücken in der Anwendung reduzieren Maßnahmen für sichere Webanwendungen 1 2 3 4 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 20 Ansätze für weniger Lücken in der Anwendung 1. Wissen und Bewusstsein der Entwickler in Bezug auf IT Sicherheit (inkl. praktischem Verstehen von Angriffen z.B. mit BodgeIt Store/ZAP) 2. Zeit und Budget in Projekten für Design und Entwicklung (inkl. Review) Maßnahmen für sichere Webanwendungen 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 22 Resourcen für weniger Lücken in der Anwendung • OWASP Top 10 (inkl. Links to Cheat Sheets) https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • BorgeIt Store https://code.google.com/p/bodgeit/ • OWASP Zed Attack Proxy (ZAP) https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project • Microsoft Secure Development Lifecycle http://www.microsoft.com/security/sdl/default.aspx • Threat Modelling (STRIDE, DREAD) Microsoft Threat Modelling Tool 2014 http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx Maßnahmen für sichere Webanwendungen 

© msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 24 Agenda 1. Was ist eine Webanwendung? 2. Warum wird sie angegriffen? 3. 5 Top Angriffsrisiken 4. Maßnahmen für sichere Webanwendungen 5. Diskussion 

Vielen Dank für Ihre Aufmerksamkeit © msg systems ag, 2. Juli 2014 Alexander Schwartz / Top 5 Angriffsrisiken einer Webanwendung 25 Alexander Schwartz GB L / Principal IT Consultant Telefon: +49 171 5625767 [email protected] www.msg-systems.com