Skip to content

Drucksache: You’ve been hacked! - Alles über Exploits gegen Webanwendungen

Heute ist im Rheinwerk Verlag mein Buch "You’ve been hacked! - Alles über Exploits gegen Webanwendungen" erschienen.

Darin erfahren Sie

  • welche Schwachstellen es in Webanwendungen gibt,
  • wie die Cyberkriminellen diese ausnutzen können und in einigen Fällen auch "in the wild" ausgenutzt haben,
  • wie Sie die Schwachstellen selbst finden können und
  • wie Sie sie entweder beheben oder zumindest die Angriffe darauf abwehren können.

Der Aufbau des Buchs folgt dem Vorgehen bei einem Penetrationstest, denn egal ob ein Angreifer Schwachstellen zum ausnutzen sucht oder ein Pentester sie finden möchte, damit sie behoben werden können: Das Vorgehen ist im Grunde identisch. Nur dass ein Angreifer gezielt nach bestimmten Schwachstellen sucht, mit denen er sein Ziel am besten erreichen kann, und nach der ersten gefundenen Schwachstelle i.A. mit der Suche aufhört. Und ein Pentester natürlich alle möglichen Arten von Schwachstellen sucht und davon möglichst alle finden will.

Los geht es immer mit der Erkundung des Ziels. Als Entwickler oder Admin kennen Sie ihren Server mit ihrer Webanwendung darauf natürlich, während der Angreifer sich erst mal einen Überblick darüber verschaffen muss. Trotzdem sollten Sie auch mal einen Blick quasi von außen auf das Ganze werfen. Vielleicht verraten Webanwendung oder Webserver ja mehr über sich, als nötig ist.

Danach geht es dann richtig los: Der Reihe nach werden übliche Schwachstellen vorgestellt und sowohl die möglichen Angriffe als auch die Suche danach beschrieben. Und natürlich erkläre ich auch, wie Sie die Schwachstellen beheben können. Oder, wenn das nicht möglich ist, zumindest ihre Ausnutzung so schwer wie möglich machen. Denn nichts und niemand kann einen Angreifer davon abhalten, Ihre Webanwendung und Ihren Webserver anzugreifen. Aber Sie können dafür sorgen, dass er damit keinen Erfolg hat.

Und damit das Ganze nicht nur graue Theorie bleibt gibt es eine kleine Demo-Webanwendung, die Sie auf einem eigenen Server oder einer virtuellen Maschine installieren und dann für Tests verwenden können. Diese Anwendung sollte aber nicht aus dem Internet erreichbar sein, denn sie hat nur eine einzige Aufgabe: Schwachstellen zu enthalten. Viele Schwachstellen. Und damit sowohl für die Demonstration der Suche nach diesen Schwachstellen als auch der möglichen Angriffe darauf zu dienen.

Eine Leseprobe sowie das Inhaltsverzeichnis finden Sie auf der Seite zum Buch beim Rheinwerk Verlag, ebenso das Archiv mit der Demo-Anwendung, den Linkverzeichnissen und zusätzlichem Material wie z.B. den kommentierten Sourcecode einiger Webwürmer.

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Drucksache

Trackbacks

Keine Trackbacks