Sichere Webanwendungen

Mario Heiderich, Christian Matthies, fukami, Johannes Dahse Sichere Webanwendungen Das Praxishandbuch

Auf einen Blick 1 Einleitung... 17 2 Rechtslage... 29 3 Vergangene Angriffe und Hacks... 45 4 Sicherheit im Web 2.0... 75 5 Webentwicklung mit Adobe Flash... 121 6 Sichere Webapplikationen bauen... 191 7 Testphase... 437 8 Pflege- und Erweiterungsphase... 451 9 XSS... 465 10 Cross Site Request Forgeries... 505 11 SQL Injection... 525 12 Directory Traversal... 577 13 RCE und LFI... 585 14 URI-Attacken... 593 15 Projekte und Tools... 603

Inhalt Geleitwort des Fachgutachters... 15 1 Einleitung... 17 1.1 An wen richtet sich dieses Buch?... 17 1.2 Was ist der Zweck dieses Buches?... 20 1.3 Was leistet dieses Buch nicht... 22 1.4 Wie ist dieses Buch aufgebaut?... 25 1.4.1 Einleitung und Grundlagen... 25 1.4.2 Sichere Webapplikationen bauen... 26 1.4.3 Angriff und Verteidigung... 26 1.4.4 Nützliches und Interessantes... 27 1.5 Über die Autoren... 27 1.5.1 Mario Heiderich... 27 1.5.2 Christian Matthies... 27 1.5.3 fukami... 27 1.5.4 Johannes Dahse... 27 2 Rechtslage... 29 2.1 202c Der Hackerparagraph... 29 2.2 Erste Konsequenzen und Folgen... 31 2.2.1 Wir sind dann mal weg... 31 2.2.2 Das BSI im juristischen Fadenkreuz... 33 2.2.3 Kriminell um jeden Preis... 35 2.2.4 Das EICAR-Positionspapier... 36 2.2.5 Fazit?... 36 2.3 Wie verhält man sich nun am besten?... 37 2.3.1 Darf man so was überhaupt?... 38 2.3.2 Kommt darauf an... 38 2.3.3 Manchmal ist es sogar erwünscht... 39 2.3.4 Fazit... 41 2.4 Ein Blick in die rechtliche Zukunft... 42 2.4.1 Zusammenfassung... 43 7

Inhalt 3 Vergangene Angriffe und Hacks... 45 3.1 Samy Der Wurm, der keiner sein wollte... 45 3.1.1 Wie alles begann... 46 3.1.2 Technische Grundlagen des Angriffs... 47 3.1.3 Wie die Geschichte endete... 49 3.2 Yamanner Mailworming mit XSS... 50 3.2.1 Die Vorgeschichte... 50 3.2.2 Wie Yamanner funktionierte... 51 3.2.3 Konsequenzen... 52 3.3 Nduja Connection XWW made in Italy... 53 3.3.1 XWWie bitte?... 54 3.3.2 Der eigentliche Wurm... 54 3.3.3 Wie ging es weiter?... 55 3.4 Gaiaworm Online-Games als Zielscheibe... 55 3.4.1 Ein halb-reflektiver Wurm... 56 3.4.2 Ist reflektives XSS ungefährlich?... 57 3.5 Phishing Das älteste Handwerk der Welt... 58 3.5.1 Wie alles begann... 58 3.5.2 A Phisher s bag of tricks... 59 3.5.3 Homographische Angriffe und IDNs... 62 3.5.4 Phishing und XSS... 64 3.5.5 Redirects Sich selbst phishende Seiten?... 67 3.5.6 Fazit... 68 3.6 Deine Post ist meine Post... 70 3.7 Fazit... 72 3.7.1 Zusammenfassung... 73 4 Sicherheit im Web 2.0... 75 4.1 Das neue Web... 75 4.2 Privatsphäre im Social Web... 76 4.2.1 Ein verändertes Nutzerverhalten... 76 4.2.2 Wie sicher ist das (Social) Web 2.0 wirklich?... 77 4.2.3 Auswirkungen auf Nutzer und Unternehmen... 83 4.3 Gefahr aus der Wolke... 85 4.3.1 Dabble DB Datenbanken für alle... 85 4.3.2 PHP per URL freehostia.com... 88 4.3.3 OnlyWire Bookmarking mal anders... 89 4.3.4 Sicherheitslücken mit der Google Code Search Engine googeln... 93 8

Inhalt 4.3.5 OpenKapow Angriff der Roboterkrieger... 96 4.3.6 Das Internet als Payload... 98 4.4 Ajax Security... 101 4.4.1 XHR... 103 4.4.2 Die Same Origin Policy... 106 4.4.3 Das X in Ajax... 109 4.4.4 JSON statt XML... 111 4.4.5 Das Problem mit den Headern... 112 4.4.6 Die Perle in der JSON-Auster... 114 4.4.7 Probleme mit Ajax-Libraries... 116 4.4.8 Fazit... 117 4.4.9 Zusammenfassung... 120 5 Webentwicklung mit Adobe Flash... 121 5.1 Die Geschichte von Flash... 122 5.2 Acronym Soup... 124 5.3 Die Fähigkeiten von Flash... 125 5.4 Aufruf und Einbindung... 127 5.4.1 Parameter und Attribute... 127 5.5 Die Sicherheitsmechanismen in Flash... 130 5.5.1 Verantwortliche für die Sicherheit von Flash... 131 5.5.2 Administrative Sicherheitseinstellungen... 133 5.5.3 Sicherheitseinstellungen durch den User... 137 5.5.4 Sicherheitseinstellungen durch Entwickler... 143 5.5.5 Sandbox Security Model... 145 5.5.6 Mögliche Sandboxen... 147 5.5.7 Netzwerk-Protokolle... 148 5.5.8 Port Blocking... 148 5.5.9 Cross Domain Policies... 149 5.6 ActionScript... 156 5.6.1 Die Unterschiede zwischen AS2 und AS3... 157 5.6.2 Kritische ActionScript-Funktionen... 158 5.7 Daten aus Flash auf dem Server speichern... 174 5.8 Werkzeuge zum Testen von Flash-Anwendungen... 177 5.9 Angriffe auf Clients mithilfe des Flash-Plug-ins... 184 5.10 Sinn und Unsinn von Obfuscation... 186 5.11 Ausblick auf zukünftige Flash-Versionen... 187 5.12 Zusammenfassung... 188 5.13 Links... 189 9

Inhalt 6 Sichere Webapplikationen bauen... 191 6.1 Einleitung... 191 6.2 Wichtige Grundlagen... 192 6.2.1 Das HTTP-Protokoll... 192 6.2.2 Encoding... 206 6.2.3 Entities verstehen und nutzen... 221 6.2.4 Was versteht man unter Filtering?... 229 6.2.5 Warum Stripping selten sinnvoll ist... 233 6.2.6 Reguläre Ausdrücke... 237 6.2.7 Zusammenfassung... 250 6.3 Planungs- und Designphase... 250 6.3.1 Datenbankstruktur... 253 6.3.2 Die Datenbank weiß, wer was darf... 259 6.3.3 ACL im Detail... 261 6.3.4 Backend und Pflegeskripte härten... 266 6.3.5 Keine unnötige Preisgabe von Informationen... 269 6.3.6 Zusammenfassung... 274 6.4 Die Implementationsphase... 274 6.4.1 GET-Parameter und Formulare... 277 6.4.2 Validierung A und O der Absicherung... 278 6.4.3 Escapen... 288 6.4.4 Filtering und Encoding... 291 6.4.5 Links und Formulare gegen CSRF schützen... 293 6.4.6 Zufallszahlen aber richtig... 298 6.4.7 CAPTCHAs Sinn und Unsinn der Menscherkennung... 299 6.4.8 Zusammenfassung... 304 6.5 Sichere Datei-Uploads... 304 6.5.1 Verbreitete Sicherheitslücken... 305 6.5.2 Schutzmaßnahmen... 315 6.5.3 Zusammenfassung... 321 6.6 Kontaktformulare und Form-Mailer... 321 6.6.1 Aufbau einer Mail... 322 6.6.2 Header Injections... 323 6.6.3 Weitere Risiken... 327 6.6.4 Zusammenfassung... 329 6.7 Redirects... 329 6.7.1 Redirects per HTML... 331 6.7.2 Redirects per JavaScript... 332 6.7.3 Die Weiterleitung ins Grauen... 333 6.7.4 HRS und die Kröte auf dem Grund des Brunnens... 337 10

Inhalt 6.7.5 Immer und immer wieder... 339 6.7.6 Redirects sicher implementieren... 340 6.7.7 Zusammenfassung... 344 6.8 Includes, Pfade und Konfigurationen... 344 6.8.1 Local File Inclusions... 347 6.8.2 Includes von fremden Servern... 348 6.8.3 Vorsicht vor weiteren Include-Methoden... 351 6.8.4 Schutzmaßnahmen... 351 6.8.5 Ordner-Relikte und Backups... 357 6.8.6 Zusammenfassung... 360 6.9 Eval, Shell-Methoden und User Generated Code... 360 6.9.1 Serverseitiges eval()... 362 6.9.2 Clientseitiges eval()... 364 6.9.3 Schutzmaßnahmen... 364 6.9.4 User Generated Code Geht das überhaupt?... 366 6.9.5 Zusammenfassung... 371 6.10 Sessions... 371 6.10.1 Was genau sind eigentlich Sessions?... 372 6.10.2 Offensichtliche Fehlerquellen... 373 6.10.3 Session Fixation... 376 6.10.4 Mehr Sicherheitsrelevantes zu Sessions... 381 6.10.5 Zusammenfassung... 384 6.11 Cookies... 384 6.11.1 Sind Cookies Würmer?... 385 6.11.2 Der Aufbau eines Cookies... 387 6.11.3 Cookies und Domains... 389 6.11.4 Cookies und JavaScript... 390 6.11.5 HTTPOnly als Rettung?... 392 6.11.6 Fast tadellos... 393 6.11.7 Was bleibt zur Defensive?... 393 6.11.8 Zusammenfassung... 394 6.12 Login und Authentifizierung... 395 6.12.1 Information Disclosure... 396 6.12.2 XSS im Login-Formular... 399 6.12.3 SQL Injections in Login-Formularen... 401 6.12.4 Mir nach, User!... 405 6.12.5 Apropos Cookies und Logins... 407 6.12.6 Schutzmaßnahmen... 408 6.12.7 Zusammenfassung... 411 11

Inhalt 6.13 WYSIWYG-Editoren... 411 6.13.1 Wie WYSIWYG-Editoren funktionieren... 414 6.13.2 WYSIWYG und XSS... 415 6.13.3 WYSIWYG aber bitte sicher... 418 6.13.4 WYSIWYG Editor of Death... 420 6.13.5 Zusammenfassung... 422 6.14 Feeds... 422 6.15 Verbreitete Sicherheitslücken... 424 6.16 Lokale Exploits und Chrome... 426 6.16.1 Zusammenfassung... 430 6.17 Fehlermeldungen... 430 6.17.1 Zusammenfassung... 436 7 Testphase... 437 7.1 Die eigene Applikation hacken... 437 7.2 Manuelles Vorgehen... 437 7.2.1 Source Code Reviews... 441 7.3 Automatisiertes Vorgehen... 444 8 Pflege- und Erweiterungsphase... 451 8.1 Monitoring und Logging... 452 8.2 Bestehende Applikationen absichern... 456 8.2.1 Eine Datei, sie alle zu filtern... 457 8.3 Plug-ins, Extensions und Themes... 461 8.3.1 Zusammenfassung... 463 9 XSS... 465 9.1 Was ist XSS?... 465 9.2 Kontextsensitives Schadpotential... 467 9.3 XSS-Würmer... 469 9.4 XSS in allen Facetten... 475 9.4.1 Reflektives XSS... 476 9.4.2 Persistentes XSS... 484 9.4.3 Lazy-XSS Angriffe auf das Backend... 488 9.4.4 Untraceable XSS Der unsichtbare Exploit... 492 9.4.5 XSS per Stylesheet... 498 9.4.6 XSS via XXE und UTF-7 ohne UTF-7... 502 9.4.7 Zusammenfassung... 504 12

Inhalt 10 Cross Site Request Forgeries... 505 10.1 CSRF und XSS... 508 10.1.1 Anti-XSRF-Schutzmaßnahmen vs. XSS... 509 10.1.2 Exploiting Anti-XSRF geschütztes XSS... 509 10.1.3 Exploiting Logged-Out XSS... 510 10.2 Lesende Requests und Information Disclosure... 515 10.2.1 Zustandschecks mit JavaScript... 515 10.2.2 JavaScript Hijacking... 516 10.2.3 Schutzmaßnahmen... 519 10.3 Real Life Examples... 521 10.3.1 Der Amazon-Exploit von Chris Shiflett... 521 10.3.2 Der Gmail-Exploit von pdp... 522 10.3.3 Der Gmail-Exploit von Jeremiah Grossman... 522 11 SQL Injection... 525 11.1 Vorgehensweise und Aufbau... 526 11.2 Folgen eines Angriffs... 528 11.2.1 Authentication Bypass... 529 11.2.2 Informationsdiebstahl... 530 11.2.3 Denial of Service... 532 11.2.4 Datenmanipulation... 533 11.2.5 Übernahme des Servers... 535 11.3 Unterarten von SQL Injections... 536 11.3.1 Blind SQL Injections... 536 11.3.2 Stored Procedure Injection... 544 11.4 Datenbanksystemspezifische SQL Injections... 547 11.4.1 Fingerprinting des Datenbanksystems... 547 11.4.2 Mapping der Datenbank... 548 11.4.3 Angriffe auf das System... 562 11.5 Umgehen von Filtern... 572 11.5.1 Zusammenfassung... 575 12 Directory Traversal... 577 12.1 Schutzmaßnahmen mit zweifelhafter Wirkung... 579 12.2 Code Execution via Directory Traversal... 582 12.2.1 Zusammenfassung... 583 13

Inhalt 13 RCE und LFI... 585 13.1 Zusammenfassung... 592 14 URI-Attacken... 593 14.1 Der Browser als Gateway... 595 14.2 Schutzmaßnahmen und Abwehr... 599 14.2.1 Zusammenfassung... 601 15 Projekte und Tools... 603 15.1 NoScript... 603 15.2 HTML Purifier... 606 15.3 ratproxy... 609 15.4 PHPIDS... 612 15.4.1 Warum man das PHPIDS einsetzen sollte... 614 15.4.2 Anforderungen... 615 15.4.3 Installation und Benutzung... 615 15.4.4 Arbeiten mit dem Impact... 618 15.4.5 Logging und Ergebnisanalyse... 619 15.4.6 Allgemeine Angriffserkennung... 621 15.4.7 Performance... 624 15.4.8 Ausblick... 625 Index... 627 14

»There is no security on this earth. Only opportunity.«general Douglas MacArthur 1 Einleitung 1.1 An wen richtet sich dieses Buch? Eigentlich ist diese Frage recht schnell beantwortet: Dieses Buch richtet sich an alle, die mit der Erstellung, Pflege und Konzeption von Webapplikationen zu tun haben oder in Zukunft involviert sein werden. Dies schließt sowohl technische Projektmanager, neugierige Administratoren sowie natürlich und gleichermaßen Entwickler und Programmierer von Webapplikationen ein. Aber gehen wir zunächst noch einen kleinen Schritt zurück und denken darüber nach, was eigentlich eine Webapplikation ist. Klar, werden Sie jetzt sagen, bei Webapplikationen handelt es sich um Online-Shops und Suchmaschinen, Foren und Blogs, Online-Mailclients und vieles mehr. Aber was ist eigentlich genau der Unterschied zwischen einer Website und einer Webapplikation? Um uns diesen Unterschied und damit auch die Antwort auf die Frage, an wen sich das Buch richtet, ein wenig eindeutiger erklären zu können, vergnügen wir uns zunächst mit einer kleinen Zeitreise. Es ist noch gar nicht so lange her, da bestand das Internet zu einem nicht unbedeutenden Teil aus einer riesigen Ansammlung von einfachen Webseiten. Diese Daten lagerten meist als statische HTML-Dateien in den Docroots der zuständigen Webserver, und demzufolge gab es kaum Möglichkeiten für User, mit diesen tatsächlich zu interagieren, sie zu verändern und anzureichern oder gar untereinander in semantischen Zusammenhang zu bringen mal ganz abgesehen von den klassischen Verlinkungen, ohne die eben diese Dokumente jedes für sich kaum mehr als eine verlorene Insel in einem immer schneller wachsenden Meer an Informationen gewesen wären. Zu diesen Zeiten existierte der Begriff Webapplikation noch nicht im heutigen Sinne, und demzufolge war auch die Sicherheit von Webapplikationen kein Thema. Bösewichte gab es damals auch schon, aber die beschäftigten sich größtenteils damit, in größere Industrierechner einzudringen oder kleinere Webserver zu hacken, um darüber Pornobildchen und Warez zu verteilen. 17

1 Einleitung Abbildung 1.1 Eine typische Website schlicht, grafikarm, reine Information Aber die Zeiten änderten sich rasch, und es wurden immer neue Technologien auf den Markt gespült, die es dem Entwickler (damals zumeist noch als Webmaster bekannt) ermöglichten, seinen Applikationen (analog zum Webmaster meist als Homepage bezeichnet) immer mehr Interaktivität einzuhauchen. In vielen Küchen wurden vergleichbare Technologien gekocht, und in einer davon garte ein grönländischer Informatiker ein Süppchen, das heute auf weit über 20 Millionen Domains eingesetzt wird: PHP. In den Jahren 1994 und 1995 entstand die erste Version von PHP aus der Feder von besagtem Rasmus Lerdorf. Kaum mehr als eine lose Sammlung von Perl-Scripten, waren die ersten PHP- oder auch PHP/FI-Versionen gerade mal in der Lage, eine grundlegende Art von Logging zu ermöglichen. Später besann sich Lerdorf und begann eine Überarbeitung seines Projekts diesmal in C. In den nachfolgenden Versionen gab es dann bereits Möglichkeiten zur Interaktion mit Datenbanken, und im Juni 1998 wurde die erste, als stabil bezeichnete Version von PHP 3 freigegeben. Bis dahin wurde PHP bereits nicht mehr allein von Lerdorf entwickelt auch Andi Gutmans und Zeev Suraski (zwei Entwickler aus Israel) waren mittlerweile an Bord, und das Projekt nannte sich 18

An wen richtet sich dieses Buch? 1.1 auch nicht mehr»personal Homepage Tools/Forms Interpreter«, sondern PHP Hypertext Preprocessor. Es war nicht schwer, mit PHP kleinere, richtige Applikationen zusammenzubauen, und die Verbreitung der Sprache auf den Webservern wuchs stark an. Wichtig an dieser Entwicklung ist nun ein entscheidender Punkt: Entwickler konnten jetzt sehr leicht Webseiten bauen, deren Verhalten von Eingaben des Users abhing. Der User konnte also nicht mehr nur auf Links klicken und sich einen linearen Weg durch das Informationsangebot der Website suchen, sondern war beispielsweise in der Lage, Suchbegriffe einzugeben und tatsächlich Treffer zu erhalten oder auch nicht. Klar, all dies war vorher ebenfalls nicht unmöglich, aber PHP erlaubte es durch die einfache und relativ tolerante Syntax sowie dank guter und verständlicher Dokumentation auch Einsteigern, schnell Fuß zu fassen und Applikationen zu kreieren. Sie ahnen nun bestimmt schon, wohin diese Schlussfolgerung führt? Genau das Internet war nach kurzer Zeit mit allerlei Angeboten überschwemmt, die zum größten Teil eines taten: mehr oder weniger gut zu funktionieren. Von sicherer Programmierung und sicherem Applikationsdesign war in diesen Tagen zumeist wenig zu sehen. Sie erinnern sich: Die.COM-Blase dehnte sich in diesen Jahren synchron zur Weiterentwicklung von Sprachen wie z. B. PHP auf, und viele Webmaster (Versprochen: Wir verwenden dieses fürchterlichen Begriff an dieser Stelle zum letzten Male!) mussten Websites und Applikationen unter großem Zeitdruck und mit wenig Vorwissen aus dem Boden stampfen koste es, was es wolle. Kommen wir zurück zu unserer anfänglichen Frage: Was ist eigentlich der Unterschied zwischen einer Website und einer Webapplikation? Im Prinzip haben wir die Frage ja schon beantwortet: Eine Website ist statisch, während eine Webapplikation dynamisch ist, also auf Eingaben von außen reagiert, und diese Eingaben können von einem User, einer anderen Applikation oder etwas ganz Anderem stammen. Wenn Sie sich also nicht mit dem Erstellen von Websites, sondern echten Applikationen (und sei auch nur der kleinste Teil derselbigen tatsächlich dynamisch) beschäftigen und nicht in die gleiche Falle tappen wollen wie unsere Väter und Mütter während des.com-booms und unsere großen Brüder und Schwestern im Web 2.0, dann ist dieses Buch genau richtig für Sie. Auf den folgenden Seiten werden wir noch ein wenig mehr ins Detail gehen und Ihnen erklären, was Sie von diesem Buch zu erwarten habe und was nicht. Sie werden außerdem in knapper Form durch den Inhalt dieses Buches geführt, um schon einmal einen Vorgeschmack auf die folgenden Kapitel zu erhalten. Wenn Sie es also geschafft haben, bis hierhin durchzuhalten, ist es nur noch ein kurzer Weg, bis es richtig losgeht. 19

1 Einleitung Abbildung 1.2 Google Reader Eine typische Webapplikation 1.2 Was ist der Zweck dieses Buches? Diese Frage ist ebenso leicht beantwortet wie die Frage, an wen sich dieses Buch richtet: Es hilft Ihnen dabei, Ihre Webapplikationen und Projekte so wenig aufdringlich wie möglich gegen Angriffe fast beliebiger Art abzusichern und das mit so wenig Aufwand wie möglich. Leicht gesagt, denn es gibt in der Wolke namens Internet zu diesem einen Thema fast unendlich viele Meinungen, Tipps, mahnend erhobene Zeigefinger, manchmal weniger mahnend erhobene Mittelfinger, Tools, Foren, Mailinglists und vieles mehr. Doch das soll uns an dieser Stelle noch nicht Beweis genug sei, die Behauptung zu untermauern, dass das Absichern einer Webapplikation gar nicht so leicht ist. Stellen Sie sich einmal folgende Situation vor, die sich vielleicht sogar genau so vor einiger Zeit zugetragen hat: Ein junger Informatiker, frisch von der Fachhochschule, fängt in einer bekannten Internetagentur als PHP-Entwickler an. Eines seiner ersten Projekte dreht sich um das Erstellen einer News-Seite, auf der redaktionell gepflegte Inhalte als HTML und RSS angeboten und in regelmäßigen Abständen aktualisiert werden. Unser junger Freund erstellt also eine Datenbank- 20

Was ist der Zweck dieses Buches? 1.2 struktur, die diese Anforderungen abbilden kann, dazu einen Admin-Bereich und ein Frontend. Da er bereits diverse Male vom Thema WebAppSec gelesen und eine grobe Vorstellung davon hat, worum es sich bei XSS, SQL Injection und Konsorten handelt, beschließt er, Angreifern einen Strich durch die Rechnung zu machen und die Applikation sicher aufzubauen. Die Absicherung gegen SQL Injections war schnell erledigt: Die Firma stellte einen Wrapper bereit, der alle Anfragen gefiltert weiterleitet, Parameter bindet etc. Bliebe also so dachte sich unser junger Padawan eigentlich nur noch XSS. Und da XSS ja ohne HTML nicht funktionieren kann, sollte es ja reichen, jede Eingabe einfach mit strip_tags zu filtern. Er scrollte also durch die bereits vorhandenen Sourcen und fügte an jedem Punkt, an dem GETund POST-Parameter verarbeitet und ausgegeben wurden, ein strip_tags() hinzu fertig: $clean = strip_tags($_get['dirty']) //könnte klappen, oder? Fällt Ihnen was auf? Falls nicht, werden Sie sehr viel mehr Nutzen aus diesem Buch ziehen, als Sie vielleicht ursprünglich dachten. Denn nach einigen Kapiteln werden Sie bereits erkennen, was unser Protagonist falsch verstanden hat, und nur noch wenige Schritte davon entfernt sein, solche Fehler nicht nur zu vermeiden, sondern Ihre Applikationen meisterlich gegen Angriffe abzusichern. Falls Sie jedoch mit schreckgeweiteten Augen den groben Fehler in seinem Handeln sofort erkannt haben, werden Sie neben großem Nutzen an diesem Buch vermutlich auch sehr viel Spaß haben, da Sie nicht nur lernen werden, wie man es besser macht als der junge Entwickler, sondern wie man mit einem Minimum an Zeitaufwand Lösungen für teils ganz konkrete und teils sehr allgemeine Probleme hinsichtlich der WebAppSec nachhaltig und elegant lösen kann. Der Zweck dieses Buches besteht weiterhin nicht darin, Ihnen lediglich aufzuzeigen, was Sie tun sollten, um eine sichere Applikation zu bauen oder eine bestehende Applikation nachträglich zu härten. Nein, hier geht es primär darum, dass Sie verstehen, wie Angreifer denken, welcher Techniken sie sich bedienen, wo sie ihre Informationen sammeln und wie echte Angriffsvektoren aufgebaut sind. Nach Lektüre der Kapitel über XSS und CSRF werden Sie Dinge über JavaScript wissen, die sich manch einer nicht zu träumen gewagt hätte. Wir werden über nicht oder wenig dokumentierte Features sprechen und gemeinsam gebräuchliche Filter überlisten. Gleiches gilt freilich für die anderen Kapitel, in denen Sie lernen, wie Statements wie SOUNDS LIKE Zugriff auf Admin-Bereiche ermöglichen, warum Firefox alles andere als ein sicherer Browser ist und welche Charaktere aus dem Unicode-Zeichensatz Ihrer Applikation richtig weh tun können (wussten Sie zum Beispiel, welch»grausames«werk das Zeichen anrichten kann?). 21

.bak 357.htaccess 356.old 357.svn 357 202c 29 als Delimiter für Attribute 224 0days 80 123people 81 24C3 42 8-Bit UCS/Unicode Tranformation Format 218 A ABC 124 abc 124 Access Control List 260 ACL 260, 261, 287 Access Control Object 261 Access Request Object 261 ACO 261 ARO 261 ARO/ACO-Tabellen 265 CakePHP ACL 266 Dendrogramm 262 Matrix 261 Modified Preorder Tree Traversal 263 MPTT 263 RBAC 260 Role Based Access Control 260 Ruby On Rails 266 sfguard 266 ActiveX 428 AdBlock Plus 246 Add'N Edit Cookie 37, 407 Adminpanel 267 AIR 122 Ajax 101 Ajax Security 101 alert('xss') 39 allow_furl_open 589 Alshanetsky, Ilia 93 AltoroMutual Testseite 404 Amazon 521 American Standard Code for Information Interchange 206 Anderson, Tom 46 Angriff Hacks und frühere Angriffe 45 homographischer 62 Anti XSRF Token 520 Anti-Pattern 275 Anti-XSS-Filter 605 Apache 355, 357 AddHandler 355 mod_rewrite 273, 277 MultiViews 357 php_admin_value 431 AppJet 398 Apple Quicktime 605 Application Security 2.0 78 Array-Konstruktor überladen 518 as 124 ASCII 206 Non-Printable-Character 580 Steuerzeichen 208 Tabelle 209, 225 ASCII-Tabelle 279 ATOM 422 Attachment 323 Authentication Bypass 529 Automatisierter Test 444 AWStats 267 B Backend härten 266 Backframe 486 Badges 96 Ball of Mud 275 base64 211, 322 BBCode 507 BeautifulSoup 293, 370 Bestehende Applikation absichern 456 $_GET, $_POST und $_COOKIE 457 array_walk_recursive 459 627

auto_prepend_file 456 Extensions 461 Frameworks 456 Inkonsistenz 461 REQUEST 458 variables_order 458 Virtual Host Datei 457 BIG-5 256, 289 Bilder mit eingebettetem Code 310 Binary Large Object 252 Blacklist 233, 309 Blind SQL Injection 536 BLOB 252 Blogger.com 98 Bookmarklets 89 Brandt, Daniel 386 Browser-Caches auslesen 512 BSI 33 C Cache Poisoning 337 CakePHP 113, 252, 259, 272, 294, 296, 344, 369, 410 query 369 Callback-Funktion 518 CAPTCHA 299, 301 3D-Captcha 302 Audio-Captcha 302 OCR Tools 301 Optical Character Recognition 301 Spam-Bots 300 Cartner, Ryan 331 Character Encoding 206 Chrome 426 launch 428 nsilocalfile 428, 596 nsiprocess 428 Quicktime 428 run 428 Chrome-Kontext 426 ClickFraud 184 Clientseitiges IDS 496 Cline, Craig 75 Cloud Computing 85 Conditional Error 538 Conditional Response 537 console.dir 112 Content-Types Validierung 306 Control Characters 285 Cookie-Header 277, 294 Cookies 384, 407 Aufbau eines Cookies 387 Cross-Cooking-Lücken 394 HTTPOnly 392 JavaScript 390 Long-Life Cookies 386 Same Origin Policy 389 SQLite Datenbank 385 SSL 388 Third-Party-Cookies 386 Tracking-Cookies 386 XSS 391 CPanel 88 create_function 284, 592 PHP 284, 592 CRLF 194, 200, 207, 285, 289, 324, 426 Crockford, Douglas 111 Cron 255 Cronjob 255 Cross Site Request Forgeries CSRF Cross-User Defacement 339 CRUD 253 CSRF 51, 70, 114, 192, 293, 378, 409, 429, 505 Barrierefreiheit 303 Beispiele 521 Captcha 299 Cookie-Header 294 Cross Site Request Forgeries 505 csrf-magic 295, 298 CSRFx 295 Exploiting Anti-XSRF geschütztes XSS 509 Exploiting Logged-Out XSS 510 GET 294 Passwort erneut eingeben 303 POST 294 Post Redirection Service 294 Schutzmaßnahmen 519 Schutzmaßnamen 509 Semi Logging Out Attack 512 Token 294 csrf-magic 295 CSRFx 295 CSS 628

background, Property 48 min-height 499 min-width 499 -moz-binding 500 Properties 487 Selektoren 487 XBL 487 CSSTidy 293, 370, 487 CURL 600 D Dabble DB 85 Dabirsiaghi, Arshan 201 Dahse, Johannes 591 data:uri kitchen 595 DataURI 335, 342, 414, 501, 593 in Stylesheets 594 Testcases 594 Dateiendung überprüfen 308 Dateiupload Executables 305 Dateiuploads sichere 304 Sicherheitslücken 305 Datenbank 526 Datenbankmanagementsystem (DBMS) 525 Angriff auf MSSQL 565 Angriff auf MySQL 563 Angriff auf Oracle 567 Angriff auf PostgreSQL 569 Fingerprinting 547 Übersicht der Angriffsmöglichkeiten 572 Datenbankstruktur 253 DBA 258 DDoS 72, 329 Decimal Entity 225 Decoding 206 Defacement 65 Denial of Service 532, 533 Design Pattern 251 Designphase 250 DeXSS 370 Dhanjani, Nitesh 93 Dictionary-Attacks 35 Digg 76 Direct Character 270 Directory Traversal 577 /etc/passwd 578 Access-Log 582 Error-Log 582 file_exists 581 Includes 577 magic_quotes_gpc 580 Nullbyte 580 UTF-8 579 disable_functions 363, 592 PHP 592 Disclosure 25 RFPolicy 25 Distributed Denial of Service 72, 329 DNS (Domain Name System) 543 DNS Rebinding 185 DoctorDan 492 DOCTYPE 328 DOM globalstorage 496 localstorage 497 sessionstorage 496 Domain 282 Domain Name System (DNS) 543 DoS 202, 425 Double Quote 225 DoubleClick 84 Doublequotes 402 Dougherty, Dale 75 E E4X 110 E-Mail-Anhänge 305 Encoding 206, 291 American Standard Code for Information Interchange 206 ASCII 206 ASCII-Tabelle 213 atob 212 base16, base32, base62 und andere 213 base64 206, 211 base64 umrechnen 211 btoa 212 Character Encoding 206 CRLF 207 diakritische Zeichen 219 Direct Characters 213, 217, 218 double encodings 293 629

encodeuri 209 encodeuricomponent 209 IFRAME MIME Type Inheritance 216 mb_convert_encoding 214 MIME Type Guessing 215 Oktett 207 Online-Converter 217 Paritäts-Bit 207 PHP Charset Encoder 219 Punycode 62 Unicode 218 URL Encoding 209 urlencode 209 urlencode vs. rawurlencode 210 US-ASCII 206, 213 UTF-7 213 UTF-7 via Meta-Tag 214 UTF-8 214, 218 Entity 221 ASCII-Tabelle 225 Decimal Entities 225 Hex Entities 225, 226 JavaScript 227 Least Significant Bit 227 LSB 227 Most Significant Bit 227 MST 227 Named Entities 222 W3C 222, 225 EOT-Datei 426 Escaping 288 Double Quotes 288 Prepared Statements 289 Stored Procedures 289 Esser, Stefan 298, 384, 403, 581 EUC-JP 289 European Expert Group for IT Security 36 EV SSL 204 Eval 360 Eventhandler 415, 475 Evron, Gadi Evron 93 Executables Upload 305 Exploit lokaler 426 Exploiting Logged-Out XSS 510 Externe Ressource 345 F Facebook 80 Feedly 448 Feed-Reader 422 Feeds 422 ATOM 422 Chrome 426 CSRF-Attacken über Feeds 425 DoS 425 EOT-Dateien 426 Feedly 426 OPML 422 RSS 422 Sage 426 SimpleXML 423 Universal Feed Parser 423 vergiftete Feeds 429 WYSIWYG-Editor 424 XML 423 XML_Feed_Parser 423 XSS-Attacken 425 Fehlermeldung 430 Fileinfo 310 file-uri 428 Filtering 229, 291 End-Of-Transmission-Zeichen 230 Eventhandler 230 LEFT-TO-RIGHT EMBEDDING 232 LEFT-TO-RIGHT OVERRIDE 232 Nullbyte 230 RIGHT-TO-LEFT EMBEDDING 232 strip_tags 229 Styles 230 Unicode-Leerzeichen 229 Fingerprinting (Datenbanken) 547 Firebug 37, 102, 112, 198, 324, 603 Firefox 38, 235 Password Manager 513 FirefoxURL 596 Firewall 508 fla 124 Flash ActionScript 156 AIR 122, 123, 124, 126, 188 allow-access-from 152 allowfullscreen 128 allow-http-request-headers-from 153 allownetworking 128, 129, 144 630

allowscriptaccess 128, 129, 145 AllowUserLocalTrust 134 AMF 123, 124, 126, 148, 173, 176, 183 asfunction 161 AssetCacheSize 134 AutoUpdateDisable 134 AutoUpdateInterval 134 AVHardwareDisable 134 AVM1 157 AVM2 125, 146, 157 Charles Web Debugging Proxy 183 ConstantPool 181 Cross Domain Policy 132, 147, 149, 150, 151, 155, 165, 185 crossdomain.xml 149, 150, 151, 152, 164, 187 cross-domain-policy 151 Debug-Movie 126 DisableDeviceFontEnumeration 134 DisableLocalSecurity 145 DisableNetworkAndFilesystemInHostApp 135 DisableProductDownload 135 DisableSockets 135 Domain Matching 154 E4X 157 EnableSocketsTo 135 EnforceLocalSecurity 145 EnforceLocalSecurityInActiveXHostApp 135 ErrorReportingEnable 142 ExternalInterface 126, 171 Fähigkeiten 125 File API 188 FileDownloadDisable 135 FileUploadDisable 135 FlashAuthor.cfg 145 Flash-Cookies 125, 172, 173 FlashPlayerTrust 136 FlashVars 127, 128, 163 Flex 121, 125, 168, 177, 178, 190 Flex 3 SDK 168 Flex SDK 177, 190 FullScreenDisable 135 geturl() 129, 161, 162, 163, 184 Globales Player Trust Verzeichnis 136 LegacyDomainMatching 135 loaderinfo.parameters 160 Local Shared Objects 138, 173, 496 LocalConnection.allowDomain() 144 LocalConnection.allowInsecureDomain() 144 LocalConnections 146, 147, 173 LocalFileLegacyAction 136 LocalFileReadDisable 136 LocalStorageLimit 136 localtrusted 137 localtrusted 147 local-with-filesystem 147 local-with-networking 147, 149 Master Policy 150, 151, 152 MaxWarnings 142 Method Bodies 181 mm.cfg 142 mms.cfg 131, 133, 134 navigatetourl() 129, 149, 162, 184 NetStream.play() 161 NoScript 156 OverrideGPUValidation 136 PNDF 158, 159 PolicyFileLog 142 PolicyFileLogAppend 142 policy-file-request 150, 154, 155 Potentially Dangerous Native Functions 158 Projektor 126 register_globals 159 Same Origin Policy 126, 131, 146, 149, 174, 185 Sandbox Security 145 Security.allowDomain() 144, 147 Security.allowInsecureDomain() 144 Security.exactSettings 144 Security.loadPolicyFile() 144 Security.sandboxType 137, 144 Settings Manager 137, 139 Shared Objects 173 Sicherheitsmechanismen 130 site-control 151 Socket Policy 154 Socket.timeout() 187 SWF-Dateiformat 126 SWFDecompiler 181 swfdump 177 SWFIntruder 182, 190 SWLiveConnect 127 System.security.loadPolicyFile() 150 System.security.sandboxType 137 631

ThirdPartyStorage 136 trace() 142 TraceOutputFileEnable 142 URLLoader.load() 146 User Flash Player Trust Verzeichnis 142 Validierung 166 XML.load() 129, 161, 163, 168 XMLSocket.timeout() 187 XML-Sockets 165 Flash Cookie Spoofing 512 Flickr 76 Flock 235 flp 124 FLV 125 flv 124 Forcierter Logout 511 1Cross Site Request Forgeries 511 Form-Mailer 321 Formular zum Registrieren 434 Fragment Identifier 494 Framework 252 freehostia.com 88 Friedl, Jeffrey E. F. 244 ftp 426 G Gabrilovich, Evgeniy 62 Gadgets 96 Gaiaworm 55 GBK 256 GCal 77 Gecko 235 GET 277, 279, 405 get_defined_functions 592 PHP 592 getimagesize() 317 GIF 310 Gmail 70, 77 Exploit 522 GME 96 GNUCITIZEN 428 Gontmakher, Alex 62 Google 350 Google Analytics 79, 267 Google Caja 503 Google Code Search Engine 93, 350, 362, 585 Google Hacking Database 355 Google Mail 515 Angriff 517 Google Mashup Editor 96 Google Reader 425 Google Search Appliances 215 Google Webmaster Tools 359 Greasemonkey 37, 603 Grossman, Jeremiah 518, 523 Guninski, Gregor 53 Gutmans, Andi 18 H Hackerparagraph 29 Hansen, Robert 472, 504 Härten von Backend und Pflegeskripten 266 Hasegawa 502 Hash-Tabellen 201 Hazel, Philip 237 Header Injection 323 Henderson, Cal 282 Hex Entity 225, 226 Heyes, Gareth 107, 303, 332, 421, 492 Hinks, Martin 500 Hofmann, Billy 90, 474 Homographischer Angriff 62 HTC 345, 498 HTML 475 HTML 5 496 HTML Components 498 HTML Purifier 291, 293, 370, 419, 424, 429, 481, 487, 606 HTMLArea 420 htmlawed 418 HTML-E-Mail 69 HTTP 192 Authentication 200 Basic Authentication 200 CAcert.org 203 CONNECT 199 content-type 502 CRLF 194 CSRF 192 Digest Access Authentication 200 EV SSL 204 HEAD 197 HTTP Authentication 200 632