Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße 10 50321 Brühl information (at) pallas.de http://www.pallas.de
Sensibilisierung: Verseuchte Webserver 86 % aller getesteten Websites: gravierende Schwachstellen (WhiteHat Website Security Statistics Report, 05/2013) 85 Millionen verdächtige URLs (McAfee Labs Threats Report, Q3/2013) Jede 35. Website in D ist verseucht (Deutscher IT-Gipfel, 2012) Risk Level of Suspect URLs McAfee, Q3/2013
Verseuchung von Webservern Q1-Q2, 2013 Q1 Q2 2013 Malware Distribution Sites Microsoft Security Intelligence Report, Volume 15: Q1-Q2 2013
Sensibilisierung: Verseuchte Webserver 86 % aller getesteten Websites: gravierende Schwachstellen (WhiteHat Website Security Statistics Report, 05/2013) 85 Millionen verdächtige URLs (McAfee Labs Threats Report, Q3/2013) Jede 35. Website in D ist verseucht (Deutscher IT-Gipfel, 2012) Risk Level of Suspect URLs McAfee, Q3/2013 Hartmut Beuß, CIO des Landes NRW: "Ich empfehle sehr, Online-Angebote einem Penetrationstest zu unterziehen" (cologne IT summit_ 2013, 18.11.2013)
Ein Angriffsbeispiel Suche nach Terrakotta-Hersteller
Google-Link nach Holland löst polnischen Angriff aus
Zahlreiche Angriffsvektoren für Websites XSS WhiteHat Website Security Statistics Report, 06/2012
Ist mein Webserver auch angreifbar? Wahrscheinlich, wenn Sie z.b. folgendes einsetzen: Redaktionssystem (Typo3, Joomla, WordPress, First Spirit, ) Online-Shop Geschützte Bereiche Integration von Back-End-Systeme (Datenbanken, Anbindung Warenwirtschaft wie SAP) Foren, Gästebücher, Bewertungen für Austausch/Feedback Eigenentwicklungen Spezielle SW- Anpassungen Komplexe SW hat Lücken. Nur 10 % der Sicherheitsaufwendungen wird in SW gesteckt. Hier landen aber 75 % der Angriffe.
Web Application Testing Hartmut Beuß, CIO des Landes NRW: "Ich empfehle sehr, Online-Angebote einem Penetrationstest zu unterziehen" Das Web Application Testing nutzt Scanner zur Simulation von Angriffen auf Web-Applikationen, um dort Schwachstellen aufzudecken. Kommerzielle Scanner IBM Rational AppScan Burp Suite Acunetix WVS... Freie / Open Source Scanner SkipFish arachni sqlmap...
Pallas Web Application Testing: Vorgehen Einsatz führender Werkzeuge zur Simulation von Angriffen und zur Aufdeckung potentiell gefährlicher Lücken Typisches Vorgehen Sichtung Webanwendung, Testeinrichtung, Parametrisierung Automatisierter, betreuter Scan, ohne/mit Anmeldungsdaten Manuelle Nachprüfung, Validierung und Bewertung Aufbereitung in Reportform Maßnahmenvorschläge Gegebenenfalls flankierend Code-Überprüfung, Entwicklerworkshop Web Application Firewall Server-Härtung
Web Application Testing: Ergebnisse aus der Pallas Praxis Auswertung unserer letzten 10 Web Application Testing Projekte 9 von 10 Web-Sites hatten Sicherheitslücken, 8 hatten Schwachstellen mit hohem Risiko Ranking der Sicherheitslücken XSS (90%) Anwendungsfehler (60%) Unerwünschte Datenpreisgabe (40%) Datenbankabfragen / -manipulation SQLi (30%) Probleme beim Session Handling (30%)...
Web Application Testing: Konkrete Findings aus der Pallas Praxis Eine per "Cross Site Scripting (XSS)" manipulierte Eingabemaske entlockt dem Benutzer sein Passwort "Blind SQL Injection" ermöglicht freie Manipulation von Einträgen in Mitglieder-Verwaltungssystem Kunde kann aus Kundeninformationssystem Informationen über alle Kunden auslesen Intranet-Portal für WLAN-Geräte macht Userdaten und MAC- Adressen unverschlüsselt zugänglich Inkorrektes Fehlerhandling zeigt ERP-Zugangsdaten auf Standard Tomcat Fehlermelde-Seite Durch "PHP file inclusion" wird für Festplatte eines Webservers komplettes Inhaltsverzeichnis auslesbar
9 Maßnahmen gegen verseuchte Webserver Ein Flyer der eco Kompetenzgruppe Sicherheit
Dr. Kurt Brand Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de