Neues zur Sicherheit von Webservern und -anwendungen
Auch zum Thema Websecurity wurden 2011 auf den verschiedenen Sicherheitskonferenzen interessante Vorträge gehalten. Am Anfang dieser kurzen Serie über die Sicherheitskonferenzen 2011 gab es ja bereits in drei Folgen eine Übersicht über die Entwicklung im Bereich Web-Client, werfen wir jetzt also zum Abschluss noch einen Blick auf die Entwicklung im Bereich der Webserver und -anwendungen.
Marco Balduzzi: HTTP Parameter Pollution
Marco Balduzzi hat auf gleich drei Konferenzen (Black Hat Europe 2011, Black Hat USA 2011 und Swiss Cyber Storm 2011) über "HTTP Parameter Pollution Vulnerabilities in Web Applications" gesprochen. HTTP Parameter Pollution (HPP) ist ein neuer Angriff, der erstmals 2009 vorgestellt wurde. Bei einer HPP werden in vorhandene Parameter kodierte Query-String-Trennzeichen eingefügt, um die Anwendungslogik zu verwirren und entweder auf Client oder Server Schaden anzurichten. Marco Balduzzi hat erstmals ein Tool entwickelt, mit dem HPP-Schwachstellen automatisch entdeckt werden können: Das PArameter Pollution Analysis System (PAPAS).
Nathan Hamiel et al.: Smartfuzzing The Web
Nathan Hamiel, Justin Engler, Seth Law und Gregory Fleischer haben auf der
Black Hat USA 2011 über
"Smartfuzzing The Web: Carpe Vestra Foramina"
gesprochen. Die vier untersucht, wie weit die aktuellen Tools zur
Schwachstellensuche in Webanwendungen denn die Angriffsfläche moderner
Webanwendungen abdecken. Während die Webanwendungen und damit auch die
Angriffe darauf immer komplizierter werden, sind die Tools auf einem eher
beschränkten Stand stehen geblieben. Ein neues Tool soll einige der sich
ergebenden Lücken schließen: Response Analysis
and Further Testing
(RAFT).
Ein Hinweis zur Präsentation: Die auf der Black-Hat-Website
herunterladbare Version ist, wie darin auch explizit angegeben, veraltet.
Eine deutlich erweiterte Version finden Sie
auf der RAFT-Website.
Kevin Johnson et al.: Don't Drop the SOAP
Auf der Konferenz Black Hat USA 2011 haben Kevin Johnson, Tom Eston und Joshua Abraham einen Vortrag mit dem Titel "Don't Drop the SOAP: Real World Web Service Testing for Web Hackers" gehalten. Sie gehen darin der Frage nach, wie Web Services auf Schwachstellen getestet werden können und kommen zum Schluss, dass die meisten verfügbaren Methoden und Tools nicht besonders gut für den Test von Web Services geeignet sind. Es wurden neue Methoden und Tools vorgestellt, z.B. Metasploit-Module und ein Erweiterung für das Samurai-WTF (Web Testing Framework). Die vorgestellten Testmethoden werden in den OWASP Testing Guide v4 integriert.
Bryan Sullivan: Server-Side JavaScript Injection
Bryan Sullivan hat auf der Black Hat USA 2011 über "Server-Side JavaScript Injection: Attacking NoSQL and Node.js" gesprochen. JavaScript wird immer öfter auch auf dem Server eingesetzt, z.B. mit NoSQL-Datenbanken wie MongoDB und Neo4j und dem Webserver-Framework Node.js. Wie sicher sind diese Lösungen eigentlich? Im Webbrowser gibt es Cross-Site-Scripting-Angriffe, von Bryan Sullivan auch als Client-Side JavaScript Injection bezeichnet, wie sieht es dann auf der Server-Seite aus? Dort besteht die Gefahr von Server-Side JavaScript Injection (SSJI), die Bryan Sullivan genauer untersucht hat. Er hat Angriffe vorgestellt, die Angreifern das Lesen, Schreiben, Hochladen und Ausführen beliebiger Dateien erlauben.
Andrés Riancho: Web Application Payloads
Der Vortrag von Andrés Riancho auf der Black Hat Europe 2011 hatte den
Titel
"Web Application Payloads".
Ein Pentester, der sich Zugriff auf einen Webserver verschafft hat, steht
vor dem Problem, wie es nun weiter geht. Die Lösung sind Web
Application Payloads - Code, der auf fast überall vorhandene
Funktionen auf Webanwendungs-Ebene zurückgreift: Das Lesen lokaler
Dateien, das Ausführen von Systembefehlen und SQL-Injection. Die Web
Application Payloads laufen auf dem Rechner des Angreifers und steuern den
übernommenen Webserver über GET- und POST-Requests. Die Web
Application Payloads wurden als Erweiterungen des Web Application Attack
and Audit Framework w3af implementiert.
Außerdem wurde ein rudimentäres Tool zur statischen Codeanalyse
von PHP-Code vorgestellt, das ebenfalls in w3af integriert ist. Dabei
handelt es sich aber lediglich um einen Proof of Concept, dem noch viele
nötige Funktionen fehlen.
Elena Kropochkina & Joffrey Czarny: WebShells
Auf der "Hack In The Box" Konferenz 2011 (HITBSecConf2011) haben Elena Kropochkina und Joffrey Czarny einen Vortrag mit dem Titel "WebShells: A Framework for Penetration Testing" gehalten (Präsentation als PDF). Webshells werden auf kompromittierte Server hochgeladen und danach zur Steuerung des Servers verwendet. Übliche Funktionen sind z.B. das Ausführen von Systembefehlen, Dateifunktionen samt Up- und Download etc.. Elena Kropochkina und Joffrey Czarny haben zum einen einen Überblick über "in the Wild" eingesetzte Webshells gegeben und Möglichkeiten zur Tarnung der Shells untersucht, zum anderen ein universelles Webshell-Framework für Pentester entworfen. Der entwickelte Proof of Concept soll jedoch nicht veröffentlicht werden, der Überblick über die "in the Wild" verwendeten Webshells ist unabhängig davon aber nützlich.
Auch in der nächsten Folge geht es um neue Angriffe und Schutzmaßnahmen für Webserver und -anwendungen.
Übersicht über alle Artikel zum Thema
- Neues zur Sicherheit von Web-Clients
- Neues zur Sicherheit von Web-Clients, Teil 2
- Neues zur Sicherheit von Clients, nicht nur im Web
- Neues zur Sicherheit von Clients
- Neues zur Sicherheit von Clients, Teil 2
- Neues zur Sicherheit von Webservern und -anwendungen
- Neues zur Sicherheit von Webservern und -anwendungen, Teil 2
- Sicherheitskonferenzen 2011: Autos und Insulinpumpen im Visier
- SAP-Anwendungen dringen ins Web vor, die Angreifer nehmen die Gegenrichtung
Trackbacks