Drucksache: Windows Developer 3.17 - Websecurity 2016: Angriffe auf Webserver
Auf fast jeder Sicherheitskonferenz, auf der es thematisch passt, gibt es eigentlich jedes Mal Vorträge zu neuen und/oder verbesserten Angriffen auf Webclient, Webanwendung, Webserver oder Webbrowser. Im Windows Developer 2.17 ging es um Angriffe auf Webbrowser und Webclient, nun ist der Server dran.
Im Artikel fand nur eine Auswahl von Vorträgen rund um die Web-Sicherheit Platz, aber sie zeigen, dass nur eines wirklich sicher ist: Das nichts wirklich sicher ist, wenn es um IT und speziell das Web geht. Irgendwas ist halt immer. Und wenn es mal nicht die Web-Server und -Anwendungen betrifft, dann eben die Browser.
Z.B. können in Firefox bösartige Erweiterungen augenscheinlich ausschließlich harmlose Funktionen nutzen und damit Mozillas Prüfungen bestehen, später aber Funktionen anderer Erweiterungen für bösartige Zwecke missbrauchen („Firefox Extension-Reuse Vulnerability“, [23]). Und im IE lassen sich die Schutzmaßnahmen unterlaufen [24], so dass das Einschleusen von Code einfacher wird (auch wenn weiterhin eine entsprechende Schwachstelle benötigt wird). Oder in verschiedenen Browser die Benutzer auf verschiedene Arten ausgespäht werden ([25], [26]).
Fühlen Sie sich im Web also nicht zu sicher. Weder als Entwickler, noch als Admin oder Benutzer. Während Sie als Entwickler oder Admin wenigstens etwas tun können, um die Sicherheit ihrer Anwendungen und Server zu erhöhen (indem Sie sie sicher entwickeln bzw. konfigurieren), bleibt Benutzern nur, immer die aktuellsten Versionen von System, Browser(n) und PlugIns zu verwenden.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Websecurity 2016: Browser und Webclient"; Windows Developer 2.17
- [2] George Argyros, Ioannis Stais; Black Hat Europe 2016: "Another Brick Off the Wall: Deconstructing Web Application Firewalls Using Automata Learning"
- [3] GitHub: lightbulb-framework/lightbulb-framework
- [4] Vladimir Ivanov; Black Hat USA 2016: "Web Application Firewalls: Analysis of Detection Logic" (Video auf YouTube)
- [5] Regexp Security Cheatsheet
- [6] Vanessa Henderson; HITB GSEC Singapore 2016: "BIZ-COMMSEC: Copy-paste Vulnerabilities"
- [7] @regilero; DEFCON 24: "Hiding Wookiees in HTTP - HTTP smuggling is a thing we should know better and care about" (Präsentation als PDF, Video auf YouTube, Video mit Beispielen auf YouTube)
- [8] Carsten Eilers: "About Security" auf entwickler.de, nun über archive.org:
- "About Security #17: HTTP Request Smuggling", 4. August 2005
- "About Security #18: Spielarten des HTTP Request Smuggling, 1", 11. August 2005
- "About Security #19: Spielarten des HTTP Request Smuggling, 2", 18. August 2005
- "About Security #20: HTTP Request Smuggling erkennen und verhindern", 25. August 2005
- [9] RFC 7230 - Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
- [10] RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1
- [11] GitHub: regilero/HTTPWookiee
- [12] Bryant Zadegan, Ryan Lester; Black Hat USA 2016: "Abusing Bleeding Edge Web Standards for AppSec Glory" (Video auf YouTube)
- [13] Bryant Zadegan, Ryan Lester; DEFCON 24: "Abusing Bleeding Edge Web Standards for AppSec Glory" (Originale Präsentation als PDF, Aktualisierte Präsentation als PDF, Video auf YouTube)
- [14] W3C: "Subresource Integrity"; W3C Recommendation
- [15] GitHub: cyph/sri-fallback
- [16] CVE-2016-1636
- [17] W3C: "Content Security Policy Level 2"; W3C Recommendation
- [18] Chloe: "Hardening Content Security Policy (CSP)"
- [19] RFC 7469 - Public Key Pinning Extension for HTTP
- [20] GitHub: cyph/ransompkp
- [21] RFC 6844 - DNS Certification Authority Authorization (CAA) Resource Record
- [22] GitHub: cyph/hpkp-supercookie
- [23] Ahmet Buyukkayhan, William Robertson; Black Hat Asia 2016: "Automated Detection of Firefox Extension-Reuse Vulnerabilities" (Whitepaper als PDF, Video auf YouTube)
- [24] Brian Gorenc, Abdul-Aziz Hariri, Simon Zuckerbraun; Black Hat USA 2015: "Abusing Silent Mitigations - Understanding Weaknesses Within Internet Explorer's Isolated Heap and MemoryProtection" (Video auf YouTube)
- [25] Angelo Prado, Xiaoran Wang; Black Hat Asia 2015: "Browsers Gone Wild"
- [26] Bas Benis; Hack in the Box 2015 Amsterdam: "Exploiting Browsers the Logical Way"
Trackbacks