Dipl.-Inform. Carsten Eilers

Im Vergleich zu Desktop-Browsern sind Mobile-Browser noch sehr jung und dadurch noch nicht so ausgereift wie ihre großen Brüder. Rafay Baloch hat auf der Black Hat Asia 2016 gezeigt, wie sich in Mobile-Browsern Schutzfunktionen wie die Same Origin Policy und die Content Security Policy (CSP) umgehen sowie verschiedene Spoofing-Angriffe durchführen lassen.

"Abusing Bleeding Edge Web Standards for AppSec Glory"

Bryant Zadegan und Ryan Lester haben auf der Black Hat USA 2016 (Video auf YouTube) und der DEF CON 24 (Originale Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube) neue Schutzmaßnahmen vorgestellt, die die Sicherheit von Webanwendungen erhöhen sollen. Um dann zu zeigen, wie diese Schutzmaßnahmen unterlaufen oder angegriffen werden können. Betrachtet wurden Subresource Integrity (SRI), die CSP und das HTTP Public Key Pinning (HPKP).

"HTTP Cookie Hijacking in the Wild: Security and Privacy Implications"

Suphannee Sivakorn und Jason Polakis haben auf der Black Hat USA 2016 gezeigt, dass Session- bzw. Cookie-Hijacking auch 2016 noch ein großes Problem ist. Und wieso das so ist, und was man dagegen unternehmen kann (Video auf YouTube).

"Timing Attacks Have Never Been So Practical: Advanced Cross-Site Search Attacks"

Nethanel Gelernter hat auf der Black Hat USA 2016 vorgeführt, wie sich über einen "Cross-Site Search"-Angriff z.B. die von einem Benutzer in Google Mail geschriebenen E-Mails ausspähen lassen (Video auf YouTube).

"TCP Injection Attacks in the Wild - A Large Scale Study"

Gabi Nakibly hat auf der Black Hat USA 2016 gezeigt, wie über TCP-Injection-Angriffe "in the Wild" falsche Daten in Webseiten eingefügt werden (Video auf YouTube).

"Hiding Wookiees in HTTP - HTTP smuggling is a thing we should know better and care about"

@regilero hat auf der DEFCON 24 einen Vortrag über HTTP Smuggling gehalten (Präsentation als PDF, Video auf YouTube, Video mit Beispielen auf YouTube). Beim HTTP Smuggling wird ein HTTP-Request bzw. eine HTTP-Response so manipuliert, dass darin ein weiterer Request bzw. eine weitere Response enthalten ist. Normalerweise ist so eine Verschachtelung nicht möglich und führt zu einem Fehler. Mitunter ergibt sich aber auch eine ausnutzbare Schwachstelle, und manche Systeme sehen das eine, andere Systeme das andere.

"411: A framework for managing security alerts"

Kai Zhong und Kenneth Lee haben auf der DEFCON 24 mit 411 ein Framework vorgestellt, dass die Auswertung von Logfiles mit Hilfe von ELK (Elasticsearch, Logstash, Kibana) erleichtert (Originale Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube). 411 erkennt und meldet interessante Anomalien und sicherheitsrelevante Vorfälle in Logfiles.

"I Know What You Saw Last Minute - The Chrome Browser Case"

Ran Dubin hat auf der Black Hat Europe 2016 gezeigt, wie eine bösartige Website bei Chrome-Nutzern ausspähen kann, welche YouTube-Videos sie zuletzt angesehen haben. Um die Qualität der Videos zu verbessern, nutzt YouTube für die Übertragung Dynamic Adaptive Streaming over HTTP (DASH). Dabei wird das Video in kurze Segmente aufgeteilt, die alle mehrfach in verschiedenen Qualitäten kodiert werden. Je nach Qualität der Verbindung wird immer die bestmögliche Kodierung des nächsten Segments an den Benutzer übertragen. Aus den Fingerprints der übertragenen Daten lasse sich Rückschlüsse auf das Video und damit seinen Titel ziehen.

"Deploying TLS 1.3: the great, the good and the bad"

Filippo Valsorda und Nick Sullivan haben auf dem 33c3 die Vor- und Nachteile von TLS 1.3 beschrieben und erklärt, wie es ausgerollt wird (Medien, Präsentation).

"Everything you always wanted to know about Certificate Transparency"

Martin Schmiedecker hat auf dem 33c3 die in RFC 6962 spezifizierte Certificate Transparency ausführlich vorgestellt (Medien, Präsentation).

"On the Security and Privacy of Modern Single Sign-On in the Web"

Guido Schmitz (gtrs) und dfett haben auf dem 33c3 einen Vortrag über die modernen Single Sign-On Lösungen im Web (OAuth, OpenID Connect und BrowserID) gehalten (Medien, Präsentation): Wir funktionieren diese Protokolle, welche Angriffe sind möglich und wie sieht es mit dem Schutz der Privatsphäre aus?

"Everybody Wants SOME: Advance Same Origin Method Execution"

Ben Hayak hat auf der Hack in the Box Amsterdam 2017 neue Angriffe mittels SOME ("Same Origin Method Execution") vorgestellt. SOME-Angriffe missbrauchen Callback-Endpunkte, um im Namen des Benutzers einer Website unerwünschte Aktionen durchzuführen.

"The Best Laid Schemes: Attacking URL Schemes"

Yu Hong hat auf der Hack in the Box Amsterdam 2017 gezeigt, wie die Manipulation von URLs und URI-Schemes Angriffe wie SSRF und XXE erleichtern kann.

Wie schon der Artikel gezeigt hat, tut sich im Bereich der Websicherheit einiges.

In der nächsten Folge wird das Thema Top IoT Vulnerabilities von OWASP mit Punkt 10 abgeschlossen.

Carsten Eilers