Sichere Webanwendungen

Transkript

1 Mario Heiderich, Christian Matthies, fukami, Johannes Dahse Sichere Webanwendungen Das Praxishandbuch Galileo Press

2 I Geleitwort des Fachgutachters An wen richtet sich dieses Buch? Was ist der Zweck dieses Buches? Was leistet dieses Buch nicht Wie ist dieses Buch aufgebaut? Einleitung und Grundlagen Sichere Webapplikationen bauen Angriff und Verteidigung Nützliches und Interessantes Über die Autoren Mario Heiderich Christian Matthies fukami Johannes Dahse c- Der Hackerparagraph Erste Konsequenzen und Folgen Wir sind dann mal weg Das BSI im juristischen Fadenkreuz Kriminell um jeden Preis Das EICAR-Positionspapier Fazit? Wie verhält man sich nun am besten? Darf man so was überhaupt? Kommt darauf an Manchmal ist es sogar erwünscht Fazit ' Ein Blick in die rechtliche Zukunft Zusammenfassung 43 7

3 3.1 Samy-Der Wurm, der keiner sein wollte Wie alles begann Technische Grundlagen des Angriffs Wie die Geschichte endete Yamanner-Mailworming mit XSS Die Vorgeschichte Wie Yamannerfunktionierte Konsequenzen Nduja Connection - XWW made in Italy XWWie bitte? Der eigentliche Wurm Wie ging es weiter? Gaiaworm - Online-Games als Zielscheibe Ein halb-reflektiver Wurm Ist reflektives XSS ungefährlich? Phishing-Das älteste Handwerk der Welt Wie alles begann A Phisher's bagof tricks Homographische Angriffe und IDNs Phishing und XSS Redirects - Sich selbst phishende Seiten? Fazit Deine Post ist meine Post Fazit Zusammenfassung Das neue Web Privatsphäre im Social Web Ein verändertes Nutzerverhalten Wie sicher ist das (Social) Web 2.0 wirklich? Auswirkungen auf Nutzer und Unternehmen Gefahr aus der Wolke Dabble DB-Datenbanken für alle PHPperURL-freehostia.com OnlyWire - Bookmarking mal anders^ Sicherheitslücken mit der Google Code Search Engine googeln 93 8

4 4.3.5 OpenKapow - Angriff der Roboterkrieger Das Internetals Payload Ajax Security XHR Die Same Origin Policy Das X in Ajax JSON statt XML Das Problem mit den Headern Die Perle in der JSON-Auster Probleme mit Ajax-Libraries Fazit Zusammenfassung Die Geschichte von Flash Acronym Soup Die Fähigkeiten von Flash Aufruf und Einbindung Parameter und Attribute Die Sicherheitsmechanismen in Flash Verantwortliche für die Sicherheit von Flash Administrative Sicherheitseinstellungen Sicherheitseinstellungen durch den User Sicherheitseinstellungen durch Entwickler Sand box Security Model Mögliche Sandboxen Netzwerk-Protokolle PortBlocking Cross Domain Policies ActionScript Die Unterschiede zwischen AS2 und AS Kritische ActionScript-Funktionen Daten aus Flash auf dem Server speichern Werkzeuge zum Testen von Flash-Anwendungen Angriffe auf Clients mithilfe des Flash-Plug-ins Sinn und Unsinn von Obfuscation Ausblick auf zukünftige Flash-Versionen Zusammenfassung Links 189 9

5 6.1 Einleitung Wichtige Grundlagen Das HTTP-Protokoll Encoding Entities verstehen und nutzen Was versteht man unter Filtering? Warum Stripping selten sinnvoll ist Reguläre Ausdrücke Zusammenfassung Planungs- und Designphase Datenbankstruktur Die Datenbank weiß, wer was darf ACLim Detail Backend und Pflegeskripte härten Keine unnötige Preisgabe von Informationen Zusammenfassung Die Implementationsphase GET-Parameter und Formulare Validierung- A und O der Absicherung Escapen Filtering und Encoding Links und Formulare gegen CSRF schützen Zufallszahlen-aber richtig CAPTCHAs - Sinn und Unsinn der Menscherkennung Zusammenfassung Sichere Datei-Uploads Verbreitete Sicherheitslücken Schutzmaßnahmen Zusammenfassung Kontaktformulare und Form-Mailer Aufbau einer Mail Header Injections Weitere Risiken Zusammenfassung Redirects Redirects per HTML Redirects per JavaScript Die Weiterleitung ins Grauen * HRS und die Kröte auf dem Grund des Brunnens

6 6.7.5 Immer und immer wieder Redirects sicher implementieren Zusammenfassung Includes, Pfade und Konfigurationen Local File Inclusions Includes von fremden Servern Vorsicht vor weiteren Include-Methoden Schutzmaßnahmen Ordner-Relikte und Backups Zusammenfassung Eval, Shell-Methoden und User Generated Code Serverseitiges evalo Clientseitiges evalo Schutzmaßnahmen User Generated Code - Geht das überhaupt? Zusammenfassung Sessions Was genau sind eigentlich Sessions? Offensichtliche Fehlerquellen Session Fixation Mehr Sicherheitsrelevantes zu Sessions Zusammenfassung Cookies Sind Cookies Würmer? Der Aufbau eines Cookies Cookiesund Domains Cookies und JavaScript HTTPOnlyals Rettung? Fasttadellos Was bleibt zur Defensive? Zusammenfassung Login und Authentifizierung Information Disclosure XSS im Login-Formular SQL Injections in Login-Formularen Mir nach, User! Apropos Cookies und Logins Schutzmaßnahmen Zusammenfassung

7 6.13 WYSIWYG-Editoren Wie WYSIWYC-Editoren funktionieren WYSIWYG und XSS WYSIWYG - aber bitte sicher WYSIWYG Editor of Death Zusammenfassung Feeds Verbreitete Sicherheitslücken, Lokale Exploits und Chrome Zusammenfassung Fehlermeldungen Zusammenfassung 436 UM ; jf J Üf " =*, M 7.1 Die eigene Applikation hacken Manuelles Vorgehen Source Code Reviews Automatisiertes Vorgehen Monitoring und Logging Bestehende Applikationen absichern Eine Datei, sie alle zu filtern Plug-ins, Extensions und Themes Zusammenfassung Was ist XSS? Kontextsensitives Schadpotential XSS-Würmer XSS in allen Facetten Reflektives XSS Persistentes XSS Lazy-XSS - Angriffe auf das Backend Untraceable XSS - Der unsichtbare Exploit XSS per Stylesheet XSS via XXE und UTF-7 ohne UTF Zusammenfassung

8 10.1 CSRFundXSS Anti-XSRF-Schutzmaßnahmen vs. XSS ExploitingAnti-XSRF geschütztes XSS Exploiting Logged-Out XSS Lesende Requests und Information Disciosure Zustandschecks mit JavaScript JavaScript Hijacking Schutzmaßnahmen Real Life Examples Der Amazon-Exploit von Chris Shiflett Der Gmail-Exploit von pdp Der Gmail-Exploit von Jeremiah Grossman Vorgehensweise und Aufbau Folgen eines Angriffs 52g Authentication Bypass Informationsdiebstahl Denial of Service Datenmanipulation Übernahme des Servers Unterarten von SQL Injections 53g Blind SQL Injections Stored Procedure Injection Datenbanksystemspezifische SQL Injections Fingerprinting des Datenbanksystems Mapping der Datenbank Angriffe auf das System Umgehen von Filtern Zusammenfassung 575 W&rM iisitiiimieiljsllllillliiä 12.1 Schutzmaßnahmen mit zweifelhafter Wirkung Code Execution via Directory Traversal Zusammenfassung

9 13.1 Zusammenfassung Der Browser als Gateway Schutzmaßnahmen und Abwehr Zusammenfassung NoScript» HTML Purifier ratproxy PHPIDS Warum man das PHPIDS einsetzen sollte Anforderungen Installation und Benutzung Arbeiten mit dem Impact Logging und Ergebnisanalyse Allgemeine Angriffserkennung Performance Ausblick 625 lr dex