Web Application Testing

Transkript

1 Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, , KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße Brühl information (at) pallas.de

2 Sensibilisierung: Verseuchte Webserver 86 % aller getesteten Websites: gravierende Schwachstellen (WhiteHat Website Security Statistics Report, 05/2013) 85 Millionen verdächtige URLs (McAfee Labs Threats Report, Q3/2013) Jede 35. Website in D ist verseucht (Deutscher IT-Gipfel, 2012) Risk Level of Suspect URLs McAfee, Q3/2013

3 Verseuchung von Webservern Q1-Q2, 2013 Q1 Q Malware Distribution Sites Microsoft Security Intelligence Report, Volume 15: Q1-Q2 2013

4 Sensibilisierung: Verseuchte Webserver 86 % aller getesteten Websites: gravierende Schwachstellen (WhiteHat Website Security Statistics Report, 05/2013) 85 Millionen verdächtige URLs (McAfee Labs Threats Report, Q3/2013) Jede 35. Website in D ist verseucht (Deutscher IT-Gipfel, 2012) Risk Level of Suspect URLs McAfee, Q3/2013 Hartmut Beuß, CIO des Landes NRW: "Ich empfehle sehr, Online-Angebote einem Penetrationstest zu unterziehen" (cologne IT summit_ 2013, )

5 Ein Angriffsbeispiel Suche nach Terrakotta-Hersteller

6 Google-Link nach Holland löst polnischen Angriff aus

7 Zahlreiche Angriffsvektoren für Websites XSS WhiteHat Website Security Statistics Report, 06/2012

8 Ist mein Webserver auch angreifbar? Wahrscheinlich, wenn Sie z.b. folgendes einsetzen: Redaktionssystem (Typo3, Joomla, WordPress, First Spirit, ) Online-Shop Geschützte Bereiche Integration von Back-End-Systeme (Datenbanken, Anbindung Warenwirtschaft wie SAP) Foren, Gästebücher, Bewertungen für Austausch/Feedback Eigenentwicklungen Spezielle SW- Anpassungen Komplexe SW hat Lücken. Nur 10 % der Sicherheitsaufwendungen wird in SW gesteckt. Hier landen aber 75 % der Angriffe.

9 Web Application Testing Hartmut Beuß, CIO des Landes NRW: "Ich empfehle sehr, Online-Angebote einem Penetrationstest zu unterziehen" Das Web Application Testing nutzt Scanner zur Simulation von Angriffen auf Web-Applikationen, um dort Schwachstellen aufzudecken. Kommerzielle Scanner IBM Rational AppScan Burp Suite Acunetix WVS... Freie / Open Source Scanner SkipFish arachni sqlmap...

10 Pallas Web Application Testing: Vorgehen Einsatz führender Werkzeuge zur Simulation von Angriffen und zur Aufdeckung potentiell gefährlicher Lücken Typisches Vorgehen Sichtung Webanwendung, Testeinrichtung, Parametrisierung Automatisierter, betreuter Scan, ohne/mit Anmeldungsdaten Manuelle Nachprüfung, Validierung und Bewertung Aufbereitung in Reportform Maßnahmenvorschläge Gegebenenfalls flankierend Code-Überprüfung, Entwicklerworkshop Web Application Firewall Server-Härtung

11 Web Application Testing: Ergebnisse aus der Pallas Praxis Auswertung unserer letzten 10 Web Application Testing Projekte 9 von 10 Web-Sites hatten Sicherheitslücken, 8 hatten Schwachstellen mit hohem Risiko Ranking der Sicherheitslücken XSS (90%) Anwendungsfehler (60%) Unerwünschte Datenpreisgabe (40%) Datenbankabfragen / -manipulation SQLi (30%) Probleme beim Session Handling (30%)...

12 Web Application Testing: Konkrete Findings aus der Pallas Praxis Eine per "Cross Site Scripting (XSS)" manipulierte Eingabemaske entlockt dem Benutzer sein Passwort "Blind SQL Injection" ermöglicht freie Manipulation von Einträgen in Mitglieder-Verwaltungssystem Kunde kann aus Kundeninformationssystem Informationen über alle Kunden auslesen Intranet-Portal für WLAN-Geräte macht Userdaten und MAC- Adressen unverschlüsselt zugänglich Inkorrektes Fehlerhandling zeigt ERP-Zugangsdaten auf Standard Tomcat Fehlermelde-Seite Durch "PHP file inclusion" wird für Festplatte eines Webservers komplettes Inhaltsverzeichnis auslesbar

13 9 Maßnahmen gegen verseuchte Webserver Ein Flyer der eco Kompetenzgruppe Sicherheit

14 Dr. Kurt Brand Pallas GmbH Hermülheimer Straße 8a Brühl information (at) pallas.de