Sicherheitslücken in Webanwendungen -

Transkript

1 Manuel Ziegler Web Hacking Sicherheitslücken in Webanwendungen - Lösungswege für Entwickler Mit Playground im Internet HANSER

2 Vorwort IX 1 Sicherheitsprobleme im Internet und deren Folgen Sicherheitsprobleme auf kleinen Webseiten Sicherheitsprobleme auf großen Plattformen Mangelhafte Verschlüsselung und Authentifizierung im Whatsapp-Messenger Die Facebook-Neujahrspanne 2012/ Der Fiack des Facebook-Profils von Mark Zuckerberg Sicherheitsprobleme mit großen Folgen für die Nutzer Angriff auf das Playstation Network Datendiebstahl bei Vodafone 6 2 Grundlagen Die Macht der Fantasie Anwendungsbeispiel: Zugang zu einem Content-Management-System Seiten-und Servicenamen erraten Code-Injection Physischer und virtueller Zugang 14 3 Passwörter knacken: eine Frage von Sekunden? Brüte Force - einfach, aber effektiv Passwörter mit bekannter Länge Passwörter mit unbekannter Länge Das Problem des Flaschenhalses Partitionierung des Alphabets Informationen über ein Passwort Die Arbeit mit Passwort-Listen Credential Recycling Reverse-Brute-Force-Attacke 25

3 Verschlüsselte Passwörter knacken Wie werden Passwörter gespeichert? Brute-Force Attacke auf Hashwerte Rainbow-Tables Den Aufwand verteilen Wann ist eine Aufteilung sinnvoll? Verteilung auf mehrere Prozessoren Verteilung zwischen physikalischen Computern.., Organisation der beteiligten Rechner Client-Server-Prinzip Dezentrale Kommunikation Vollständig vernaschtes Netz Ringtopologie Eine sinnvolle Aufteilung Timeouts, Captchas und Co Die Sicherheitsfrage Timeouts Captchas Der Entwurf sicherer Authentifikationssysteme Die Benutzername-Passwort-Authentifizierung Anforderungen an Passwörter Speichern von Passwörtern Hashing Kryptografische Verfahren Speicherung von Benutzerdaten Benutzerdaten mit globalem Schlüssel speichern Benutzerdaten mit benutzerspezifischem Schlüssel speichern Weitere Authentifikationskonzepte Passwortschutz einzelner Seiten Versand benutzerdefinierter Links Sicherheitsfragen Authentifikation mit Systemeigenschaften als Passwort... Generelle Sicherheitshinweise Brute-Force-Attacken verhindern Wenn möglich, sichere Verbindungen nutzen SQL-Injection: Zugriff auf die Datenbank Was ist SQL? Das relationale Datenbankkonzept SQL-Befehlssyntax Daten abfragen mittels SELECT

4 Bestehende Datensätze mittels UPDATE ändern Neue Datensätze in eine Tabelle einfügen - INSERT DELETE: Werte aus einer Tabelle löschen Ganze Tabellen löschen - DROP SQL-Code einschleusen SQL-Injection erfolgreich verhindern Rechte des Datenbankbenutzers Prepared Statements 87 6 Cross-Site-Scripting (XSS) Motive des Cross-Site-Scriptings Varianten des Cross-Site-Scriptings Reflektiertes Cross-Site-Scripting Persistentes Cross-Site-Scripting Clientseitiges Cross-Site-Scripting Angriffe durch Suchmaschinen und andere Personen auslösen Cross-Site-Tracing Cross-Site-Scripting verhindern Denial-of-Service-Attacken (DoS) Maßnahmen gegen DoS-Attacken DoS-Attacken erkennen Die Performance von PHP-Programmen steigern Sinnvolle Anordnung von Anweisungen Ergebnisse von Berechnungen wiederverwenden Keine unnötigen Vergleiche oder unnötiges Kopieren von Variablen Stringoperationen Einsatz des ternären Operators Kritische Aufrufe cachen Fortgeschrittene DoS-Angriffe Reflektierte DoS-Attacken SYN-Flooding Phishing Phishing-Techniken Phishing via Phishing in sozialen Netzwerken Phishing durch Spam-Kommentare auf Webseiten Phishing durch Cross-Site-Scripting Phishing verhindern Login über externe Webseiten verhindern Phishing durch Spam-Kommentare verhindern 123

5 9 Social Engineering Die Geschichte von Kevin Mitnick Muster und Ziele des Social Engineerings Social Engineering in sozialen Netzwerken und auf Online-Dating-Plattformen Dumpster Diving Abwehr von Social Engineering Generelle Maßnahmen gegen Social Engineering Technische Maßnahmen gegen Social Engineering Kryptografie, Protokolle und fortgeschrittene Hacking-Technologien Sessions Die Funktionsweise von Sessions Session Hijacking TCP-Session Hijacking Web-Session Hijacking Session Fixation Kryptografische Verfahren Symmetrische Verschlüsselung Substitutionschiffren Permutationsverfahren Moderne Blockverschlüsselungsverfahren - der AES Asymmetrische Verschlüsselung Das TLS/SSL-Protokoll Geheimdienste und ihre Methoden und Möglichkeiten DNS-Spoofing Das Domain Name System Angriffsmöglichkeiten auf die Namensauflösung Änderung der hosts-datei DNS-Spoofing durch einen Provider (DNS-Injection) Temporäres DNS-Spoofing Abhören von Kommunikation im Internet Grundlegende Low-Level-Hacking-Techniken Simple Programmierfehler: Off-by-One-Fehler Buffer-Overflows Exkurs A: Alphabet zum Knacken eines Passwortes Exkurs B: Bäume, Listen und Graphen Verkettete Listen Binärbäume Graphen 169

6 13 Exkurs C: Netzwerkprogrammierung - Grundlagen mit C/C Exkurs D: Rasteralgorithmus (Brute-Force-Attacke) Ein festes Raster Statistische Partitionierung des Lösungsraums Exkurs E: Die grundlegende Funktionsweise eines Prozessors Aufbau eines Prozessors Der Befehlssatz eines Prozessors 196 Index 197