Inhaltsverzeichnis. Web Hacking

Transkript

1 Inhaltsverzeichnis zu Web Hacking von Manuel Ziegler ISBN (Buch): ISBN (E-Book): Weitere Informationen und Bestellungen unter sowie im Buchhandel Carl Hanser Verlag München

2 Inhalt Vorwort IX 1 Sicherheitsprobleme im Internet und deren Folgen Sicherheitsprobleme auf kleinen Webseiten Sicherheitsprobleme auf großen Plattformen Mangelhafte Verschlüsselung und Authentifizierung im Whatsapp-Messenger Die Facebook-Neujahrspanne 2012/ Der Hack des Facebook-Profils von Mark Zuckerberg Sicherheitsprobleme mit großen Folgen für die Nutzer Angriff auf das Playstation Network Datendiebstahl bei Vodafone Grundlagen Die Macht der Fantasie Anwendungsbeispiel: Zugang zu einem Content-Management-System Seiten- und Servicenamen erraten Code-Injection Physischer und virtueller Zugang Passwörter knacken: eine Frage von Sekunden? Brute Force einfach, aber effektiv Passwörter mit bekannter Länge Passwörter mit unbekannter Länge Das Problem des Flaschenhalses Partitionierung des Alphabets Informationen über ein Passwort Die Arbeit mit Passwort-Listen Credential Recycling Reverse-Brute-Force-Attacke

3 VI Inhalt 3.3 Verschlüsselte Passwörter knacken Wie werden Passwörter gespeichert? Brute-Force Attacke auf Hashwerte Rainbow-Tables Den Aufwand verteilen Wann ist eine Aufteilung sinnvoll? Verteilung auf mehrere Prozessoren Verteilung zwischen physikalischen Computern Organisation der beteiligten Rechner Client-Server-Prinzip Dezentrale Kommunikation Vollständig vermaschtes Netz Ringtopologie Eine sinnvolle Aufteilung Timeouts, Captchas und Co Die Sicherheitsfrage Timeouts Captchas Der Entwurf sicherer Authentifikationssysteme Die Benutzername-Passwort-Authentifizierung Anforderungen an Passwörter Speichern von Passwörtern Hashing Kryptografische Verfahren Speicherung von Benutzerdaten Benutzerdaten mit globalem Schlüssel speichern Benutzerdaten mit benutzerspezifischem Schlüssel speichern Weitere Authentifikationskonzepte Passwortschutz einzelner Seiten Versand benutzerdefinierter Links Sicherheitsfragen Authentifikation mit Systemeigenschaften als Passwort Generelle Sicherheitshinweise Brute-Force-Attacken verhindern Wenn möglich, sichere Verbindungen nutzen SQL-Injection: Zugriff auf die Datenbank Was ist SQL? Das relationale Datenbankkonzept SQL-Befehlssyntax Daten abfragen mittels SELECT

4 Inhalt VII Bestehende Datensätze mittels UPDATE ändern Neue Datensätze in eine Tabelle einfügen INSERT DELETE: Werte aus einer Tabelle löschen Ganze Tabellen löschen DROP SQL-Code einschleusen SQL-Injection erfolgreich verhindern Rechte des Datenbankbenutzers Prepared Statements Cross-Site-Scripting (XSS) Motive des Cross-Site-Scriptings Varianten des Cross-Site-Scriptings Reflektiertes Cross-Site-Scripting Persistentes Cross-Site-Scripting Clientseitiges Cross-Site-Scripting Angriffe durch Suchmaschinen und andere Personen auslösen Cross-Site-Tracing Cross-Site-Scripting verhindern Denial-of-Service-Attacken (DoS) Maßnahmen gegen DoS-Attacken DoS-Attacken erkennen Die Performance von PHP-Programmen steigern Sinnvolle Anordnung von Anweisungen Ergebnisse von Berechnungen wiederverwenden Keine unnötigen Vergleiche oder unnötiges Kopieren von Variablen Stringoperationen Einsatz des ternären Operators Kritische Aufrufe cachen Fortgeschrittene DoS-Angriffe Reflektierte DoS-Attacken SYN-Flooding Phishing Phishing-Techniken Phishing via Phishing in sozialen Netzwerken Phishing durch Spam-Kommentare auf Webseiten Phishing durch Cross-Site-Scripting Phishing verhindern Login über externe Webseiten verhindern Phishing durch Spam-Kommentare verhindern

5 VIII Inhalt 9 Social Engineering Die Geschichte von Kevin Mitnick Muster und Ziele des Social Engineerings Social Engineering in sozialen Netzwerken und auf Online-Dating-Plattformen Dumpster Diving Abwehr von Social Engineering Generelle Maßnahmen gegen Social Engineering Technische Maßnahmen gegen Social Engineering Kryptografie, Protokolle und fortgeschrittene Hacking-Technologien Sessions Die Funktionsweise von Sessions Session Hijacking TCP-Session Hijacking Web-Session Hijacking Session Fixation Kryptografische Verfahren Symmetrische Verschlüsselung Substitutionschiffren Permutationsverfahren Moderne Blockverschlüsselungsverfahren der AES Asymmetrische Verschlüsselung Das TLS/SSL-Protokoll Geheimdienste und ihre Methoden und Möglichkeiten DNS-Spoofing Das Domain Name System Angriffsmöglichkeiten auf die Namensauflösung Änderung der hosts-datei DNS-Spoofing durch einen Provider (DNS-Injection) Temporäres DNS-Spoofing Abhören von Kommunikation im Internet Grundlegende Low-Level-Hacking-Techniken Simple Programmierfehler: Off-by-One-Fehler Buffer-Overflows Exkurs A: Alphabet zum Knacken eines Passwortes Exkurs B: Bäume, Listen und Graphen Verkettete Listen Binärbäume Graphen

6 Inhalt IX 13 Exkurs C: Netzwerkprogrammierung Grundlagen mit C/C Exkurs D: Rasteralgorithmus (Brute-Force-Attacke) Ein festes Raster Statistische Partitionierung des Lösungsraums Exkurs E: Die grundlegende Funktionsweise eines Prozessors Aufbau eines Prozessors Der Befehlssatz eines Prozessors Index