Schwachstellenanalyse 2012

Ähnliche Dokumente
Schwachstellenanalyse 2013

Step by Step Webserver unter Windows Server von Christian Bartl

Einführung Inhaltsverzeichnis

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Installation Microsoft Lync 2010 auf Linux

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

PCC Outlook Integration Installationsleitfaden

Windows Server 2008 (R2): Anwendungsplattform

OP-LOG

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Inhaltsverzeichnis Inhaltsverzeichnis

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Session Management und Cookies

my.green.ch... 2 Domänenübersicht... 4

Verwendung des IDS Backup Systems unter Windows 2000

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

How-to: Webserver NAT. Securepoint Security System Version 2007nx

FTP-Server einrichten mit automatischem Datenupload für

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

FL1 Hosting Technische Informationen

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?

Installationsanleitung dateiagent Pro

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

SharePoint Demonstration

Um ein solches Dokument zu erzeugen, muss eine Serienbriefvorlage in Word erstellt werden, das auf die von BüroWARE erstellte Datei zugreift.

ISAP Kundencenter. Alles. Einfach. Online. Das Handbuch zum neuen ISAP Kundencenter ISAP AG. All rights reserved.

BitDefender Client Security Kurzanleitung

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

Kurzanleitung zum Einrichten eines POP3-Mail-Kontos unter Outlook 2013

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Benutzeranleitung Web Login (Internetzugang an Öffentlichen Datendosen und in Studentenwohnheimen )

FrogSure Installation und Konfiguration

Formular»Fragenkatalog BIM-Server«

Wichtige Information zur Verwendung von CS-TING Version 9 für Microsoft Word 2000 (und höher)

Softwaren Engineering I

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Tutorial -

Guide DynDNS und Portforwarding

ecaros-update 8.2 Update 8.2 procar informatik AG 1 Stand: DP 02/2014 Eschenweg Weiterstadt

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

System-Update Addendum

Überprüfung der digital signierten E-Rechnung

Websites mit Dreamweaver MX und SSH ins Internet bringen

Schumacher, Chris Druckdatum :11:00

FL1 Hosting FAQ. FL1 Hosting FAQ. V1.0 (ersetzt alle früheren Versionen) Gültig ab: 18. Oktober Telecom Liechtenstein AG

kreativgeschoss.de Webhosting Accounts verwalten

Anleitung. My Homepage. upc cablecom GmbH Industriestrasse Otelfingen Mehr Leistung, mehr Freude.

ANYWHERE Zugriff von externen Arbeitsplätzen

Avira Support Collector. Kurzanleitung

Installationsanleitung. TFSInBox

Musterlösung für Schulen in Baden-Württemberg. Windows Basiskurs Windows-Musterlösung. Version 3. Stand:

Updatehinweise für die Version forma 5.5.5

Sicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach Turbenthal Schweiz

Duonix Service Software Bedienungsanleitung. Bitte beachten Sie folgende Hinweise vor der Inbetriebnahmen der Service Software.

> Internet Explorer 8

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Alle Jahre wieder... Eckard Brandt. Regionales Rechenzentrum für Niedersachsen Eckard Brandt Gruppe Systemtechnik

Adressen der BA Leipzig

Installationsanleitung

Installationsanleitung für Update SC-Line

Anleitung zur Installation von VSP-Client- Zertifikaten in Browsern

SharePoint-Migration.docx

STARFACE SugarCRM Connector

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

Powermanager Server- Client- Installation

FTP-Leitfaden RZ. Benutzerleitfaden

Installation Linux agorum core Version 6.4.5

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Meine Welt auf einen Blick erleben.

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr -Konto mit Ihrem iphone oder ipad Schritt für Schritt ein.

Einrichten eines E- Mail Kontos mit Mail (Mac OSX)

SJ OFFICE - Update 3.0

Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010

HTBVIEWER INBETRIEBNAHME

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz.

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

ANLEITUNG NETZEWERK INSTALATION

Installationsvoraussetzungen

Copyright MB Connect Line GmbH 2014

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

Nutzung der VDI Umgebung

E-Cinema Central. VPN-Client Installation

Anleitung Login Web-Treuhand

Einrichtung der Windows Phone Geräte

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Step by Step VPN unter Windows Server von Christian Bartl

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

TimeMachine. Time CGI. Version 1.5. Stand Dokument: time.odt. Berger EDV Service Tulbeckstr München

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

White Paper. Konfiguration und Verwendung des Auditlogs Winter Release

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

PHP - Projekt Personalverwaltung. Erstellt von James Schüpbach

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

NTCS Synchronisation mit Exchange

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

meine-homematic.de Benutzerhandbuch

FTP-Leitfaden Inhouse. Benutzerleitfaden

Transkript:

Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012

Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten Systeme... 4 2.1. Betriebssysteme... 4 2.2. Blogsoftware... 4 2.3. Webserver Konfiguration... 5 2.4. Zusätzliche Informationen... 6 3. Umgang mit Kundendaten... 6 3.1. Passwörter und Verschlüsselung... 6 3.2. Session und Datenhandling... 6 4. Erfolgreiche Angriffe... 6 5. Ergebnis... 7

1. Abstract Im Jahr 2012 wurden bei 49 Kunden externe Penetrationstests durchgeführt. Pro Kunde wurde mindestens ein System überprüft. Die Ergebnisse werden in diesem Dokument anonym ausgewertet.

2. Konfiguration der getesteten Systeme 2.1. Betriebssysteme Von allen getesteten Systemen wurden 12% mit Microsoft betrieben, der Rest der Systeme (88%) wurde mit Linux betrieben (Abb.1). Bei Linux überwog die Verwendung von Debian Linux und dem Derivat Ubuntu. Linux Windows 22% der installierten Systeme wurde mit obsoleter Betriebssystem Software betrieben für die es keine Sicherheitsupdates mehr gibt. 2.2. Blogsoftware Abb. 1 33% aller Kunden haben zusätzlich Blogsoftware im Einsatz. 18% der installierten Blogs sind veraltet und wurden nicht gepflegt. 12% der Blogs werden auf demselben Server wie das Webangebot betrieben (Abb.2). Blogsoftware veraltet 1 Blogsoftware auf dem selben Server wie die Anwendung Blogsoftware im Einsatz 0,00% 20,00% 40,00% 60,00% 80,00% Abb. 2

2.3. Webserver Konfiguration Bei 39% der getesteten Systeme war mindestens 1 Ordner mit Directory Listing aktiv. 32% alle Systeme lieferten detaillierte Informationen da PHP Info und Credits aktiv waren. 29% aller Systeme haben detaillierte Fehlermeldungen (Debug) zum Anwender hin aktiv. 43% aller Systeme liefern sensible, nicht-personenbezogene Informationen (Pfade, IP Adressen, Versionsinformationen, Datenbanken...) über Fehlkonfigurationen, Testdateien und Quelltextkommentaren. 29% der Webserver haben die ServerSignature sowie X-Powered-By Header aktiv und liefern so genaue Details über eingesetzte Software und Versionen. Bei 45% der Systeme ist die Systemverwaltung/CMS direkt auf dem Webserver selbst installiert. 6% der Systeme haben ein zugehöriges, sicherheitskritisches System in der IP Range (Abb. 3). 16% der Systeme haben mehr als nur die benötigten Netzwerk Ports offen. Admin Zugriff auf der Webseite Preisgabe von nicht personenbezogenen Betriebsdaten Directory Listing aktiv 1 PHP Credits / Info aktiv Server Fehlermeldungen zum Benutzer aktiv Server Signatur aktiv 0,00% 10,00% 20,00% 30,00% 40,00% 50,00% Unnötige Nettwerkports aktiv und ungeschützt Unsicheres System in IP Bereich Abb. 3

2.4. Zusätzliche Informationen 22% aller Kunden hatten Interne Benutzerkennungen als Metainformationen in PDF und Office Dokumenten. 8% hatte SVN / Subversion entries Dateien auf dem Server und lieferten so Informationen über existierende Dateien die sonst nicht über die Website verlinkt und erreichbar waren. 3. Umgang mit Kundendaten 3.1. Passwörter und Verschlüsselung Bei 2% der getesteten Systeme wurde keine Passwort Policy vorgeschrieben. Kunden konnten somit einfache und beliebig kurze Passwörter vergeben. Obwohl bei allen Systemen ein gültiges Zertifikat installiert war, wurden bei 45% Kundendaten unverschlüsselt übertragen (Login, Account Erstellung ) 12% hatten noch das obsolete und angreifbare SSL2 Protokoll für HTTPS Verbindungen aktiv. 3.2. Session und Datenhandling 57% der Session Cookies die über HTTPS ausgehandelt werden, haben kein Secure Flag und können so über unverschlüsselte Verbindungen übertragen werden. 29% der Systeme hatte in sensitiven Eingabefeldern (Passwörter, Zahlungsdaten ) Autovervollständigung aktiv. 51% haben Soziale Netzwerke schon auf der Startseite integriert. Somit werden Benutzer die aktuell in einem Sozialen Netzwerk eingeloggt sind automatisch mit der Anbieterseite in Zusammenhang gebracht. 27% setzen Massen Tracking Cookie Anbieter ein mit der bis zu 20 verschiedene Ad Cookies beim Besucher hinterlegt 4. Erfolgreiche Angriffe Bei 37% der getesteten Systeme war eine Cross Site Scripting Attacke aufgrund fehlender Eingabeüberprüfung möglich. Somit war es möglich fremde Inhalte in die Webseite zu Integrieren oder Cookies an andere Systeme zu übertragen. 10% waren nicht gegen SQL Injections abgesichert und erlaubten die Ausführung von SQL Code über http Requests. Bei 12% der Systeme war es ebenfalls möglich über andere Wege auf Kundendaten zuzugreifen (Datenbankbackups, KVM )

5. Ergebnis Obwohl 78% der Systeme aktuelle Software verwenden um sich vor Angriffen zu schützen, verzichten 37% auf Input Validation um sich vor Cross Site Scripting, oder 10% auf sichere Programmierung um sich vor SQL Injection zu schützen. Da leider Daten mit sensiblen Informationen auf den Webservern frei verfügbar abgelegt wurden, konnten bei 12% Kundendaten ohne großen Aufwand entwendet werden.

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback