How to break web software - a look at security vulnerabilties in web-based software
URL: video.google.com/videoplay?docid=5159636580663884360
Dauer: 86 Minuten - Untertitel vorhanden
5159636580663884360
Übersicht
Notizen
Mit seinem Online Office hat Google mit zu den ersten gehört. Andere typische Desktop Applikationen von Microsoft und Adobe sind auch schon in einer Online Version in der Arbeit. Web-Anwendungen werden immer größer und komplexer.
Mike Andrews zeigt einige interessante Schwachstellen. Es geht dabei weniger um typische Lücken bei der Homepage Programmierung, die man 1:1 auf sein Projekt anwenden kann, sondern viel mehr um das "ganze" Problem. In seinem Vortrag nennt er das HTTP Protokoll auch UFBP - Univeral Firewall Bypass Protocoll
Ein paar statistische Daten worauf Lücken zurückzuführen seien:
Viele Kenntnisse aus der Softwaretechnik werden einfach nicht verwendet. Im Web geht die Entwicklung rasend schnell voran (Coderush) und oft will man mit seinem Produkt der erste am Markt sein. Der anonyme Code auf dem Server wiegt manche in Sicherheit.
Vorteil am Web ist die Zentralisation. Sicherheitslücken werden meist schnell gefixt, da sie nur an einer Stelle geändert werden müssen.
Hauptaussage ist, dass man keinem Client trauen darf, da jeder seinen eigenen Client schreiben kann. Durch AJAX gibt es immer mehr Code im Client und manche verpassen es die komplette Validierung auf dem Server zu wiederholen.
Unterschieden werden funktionelle Bugs beim Designen und Sicherheitsfehler bei der Implementierung. Ein anderes Beispiel ist der "Paris Hilton Bug". Deren Account gehackt wurde, weil sie bei der "Passwort-vergessen-Frage" die Frage nach dem Namen ihres Hundes wählte. Den findet man mit einer Google Abfrage schnell heraus.
Vollständige Checklisten fürs Web gibt es nicht. Eine Web-Anwendung kann zwischen zu komplex werden und braucht so individuelle Abfragen. Hier führt er die STRIDE Checkliste ein.
Ein interessanter Hack ist der "Einkaufslisten Hack", bei der er bei einer Bestellung eine negative Produktantahl eingab. Bei Buchungen mit Kreditkarte hätte man so tatsächlich Geld ausgezahlt bekommen, und durch Nachfrage beim Verkäufer hätte er den Artikel vermutlich auch erhalten, weil man das Minus in der Anzahl vermutlich auf einen Druckfehler geschoben hätte.
In Minute 55 bringt er ein anschauliches Beispiel zum Session Hijacking. Außerdem wird Session ID Stealing abgehandelt und nach 62 Minuten bringt er ein weiteres Hacker Beispiel zum Thema "Page defacement". Benutzern wird also vorgetäuscht, dass sie auf einer sicheren Seite sind.
Außerdem gibts Beispiele zum Amazon Cross Site Scripting.. man kann JavaScript Funktionen direkt über den Browser aufrufen und es werden neue Hacker Verfahren wie das HTTP Response Splitting (gefährlich, wenn man hinter Proxies steckt?? Ich denke gute Proxies erkennen das) gezeigt und dass Fehlerhafte 404 Seiten nicht gut sind.
In der 78. Minuten zeigt er den Hack eines Nachrichten Senders
In der Zukunft sieht er Chancen für XPATH Injection, Rekursive Payloads, Externe Entity Attacken, ...
Wenn man wirklich alle Eingaben und Ausgaben validiert, hat man ein hohes Maß an Sicherheit. BufferOverflows und andere Schwachstellen, wie man sie von Desktopapplikationen sind im Web kaum vorhanden.
Links
Wenn ihr also mal die Zeit habt. Vielleicht schaut ihr euch die Präsentation auch mal an.
Würde mich freuen, wenn wir uns hier in Zukunft über solche Themen ein bisschen austauschen können
URL: video.google.com/videoplay?docid=5159636580663884360
Dauer: 86 Minuten - Untertitel vorhanden
5159636580663884360
Übersicht
It all started out as a place to share physics documents, but has grown into potentially mankind's largest and most complex creation. The World Wide Web is a lot of things - a soapbox for everyone, a giant shopping mall, an application platform, and unfortunately a hacker's playground.
As more applications get "web-ified" moving from the desktop or legacy systems onto the web, attackers follow the vulnerabilities. Without sophisticated tools or "1337 5x1llz", web applications are now the most attacked technology, with the majority of attacks categorized as "easily exploitable".
So, before your application is placed out into one of the most hostile environments, how do you stop your software from being "0wn3d" by the 14 year old in their blacked-out bedroom, or being used by a Russian crime cartel?
In this TechTalk, Mike Andrews will look at how web applications are attacked, walk through a testing framework for evaluating the security of an application and take some deep-dives into a few interesting and common vulnerabilities and how they can be exploited.
Notizen
Mit seinem Online Office hat Google mit zu den ersten gehört. Andere typische Desktop Applikationen von Microsoft und Adobe sind auch schon in einer Online Version in der Arbeit. Web-Anwendungen werden immer größer und komplexer.
Mike Andrews zeigt einige interessante Schwachstellen. Es geht dabei weniger um typische Lücken bei der Homepage Programmierung, die man 1:1 auf sein Projekt anwenden kann, sondern viel mehr um das "ganze" Problem. In seinem Vortrag nennt er das HTTP Protokoll auch UFBP - Univeral Firewall Bypass Protocoll
Ein paar statistische Daten worauf Lücken zurückzuführen seien:
- 44% XSS
- 25% SQL Injection
- 17% File Inclusion
- 8% Input Validierung
Viele Kenntnisse aus der Softwaretechnik werden einfach nicht verwendet. Im Web geht die Entwicklung rasend schnell voran (Coderush) und oft will man mit seinem Produkt der erste am Markt sein. Der anonyme Code auf dem Server wiegt manche in Sicherheit.
Vorteil am Web ist die Zentralisation. Sicherheitslücken werden meist schnell gefixt, da sie nur an einer Stelle geändert werden müssen.
Hauptaussage ist, dass man keinem Client trauen darf, da jeder seinen eigenen Client schreiben kann. Durch AJAX gibt es immer mehr Code im Client und manche verpassen es die komplette Validierung auf dem Server zu wiederholen.
Unterschieden werden funktionelle Bugs beim Designen und Sicherheitsfehler bei der Implementierung. Ein anderes Beispiel ist der "Paris Hilton Bug". Deren Account gehackt wurde, weil sie bei der "Passwort-vergessen-Frage" die Frage nach dem Namen ihres Hundes wählte. Den findet man mit einer Google Abfrage schnell heraus.
Vollständige Checklisten fürs Web gibt es nicht. Eine Web-Anwendung kann zwischen zu komplex werden und braucht so individuelle Abfragen. Hier führt er die STRIDE Checkliste ein.
Ein interessanter Hack ist der "Einkaufslisten Hack", bei der er bei einer Bestellung eine negative Produktantahl eingab. Bei Buchungen mit Kreditkarte hätte man so tatsächlich Geld ausgezahlt bekommen, und durch Nachfrage beim Verkäufer hätte er den Artikel vermutlich auch erhalten, weil man das Minus in der Anzahl vermutlich auf einen Druckfehler geschoben hätte.
In Minute 55 bringt er ein anschauliches Beispiel zum Session Hijacking. Außerdem wird Session ID Stealing abgehandelt und nach 62 Minuten bringt er ein weiteres Hacker Beispiel zum Thema "Page defacement". Benutzern wird also vorgetäuscht, dass sie auf einer sicheren Seite sind.
Außerdem gibts Beispiele zum Amazon Cross Site Scripting.. man kann JavaScript Funktionen direkt über den Browser aufrufen und es werden neue Hacker Verfahren wie das HTTP Response Splitting (gefährlich, wenn man hinter Proxies steckt?? Ich denke gute Proxies erkennen das) gezeigt und dass Fehlerhafte 404 Seiten nicht gut sind.
In der 78. Minuten zeigt er den Hack eines Nachrichten Senders
In der Zukunft sieht er Chancen für XPATH Injection, Rekursive Payloads, Externe Entity Attacken, ...
Wenn man wirklich alle Eingaben und Ausgaben validiert, hat man ein hohes Maß an Sicherheit. BufferOverflows und andere Schwachstellen, wie man sie von Desktopapplikationen sind im Web kaum vorhanden.
Links
- securityfocus.com/
- en.wikipedia.org/wiki/STRIDE_%28security%29
- en.wikipedia.org/wiki/Ministry_of_silly_walks
- xss-proxy.sourceforge.net/
Wenn ihr also mal die Zeit habt. Vielleicht schaut ihr euch die Präsentation auch mal an.
Würde mich freuen, wenn wir uns hier in Zukunft über solche Themen ein bisschen austauschen können