Drucksache: PHP Magazin 5.17 - Das Web - Alles sicher oder was?
Im PHP Magazin 5.2017 ist ein Überblick über den aktuellen Stand der Web-Sicherheit erschienen.
Die Zeit der Schwachstellen und Angriffe mit klangvollen Namen wie ShellSchock und Heartbleed scheint vorbei zu sein. Aber auf den Sicherheitskonferenzen wurden trotzdem etliche neue bzw. verbesserte Angriffe vorgestellt.
Erinnern Sie sich noch? 2014 sah es zeitweise so aus, als ging das ganze Internet in Flammen auf. Immer neue Schwachstellen und Angriffe mit klangvollen Namen wie ShellSchock, Heartbleed, Poodle und Co. wurden entdeckt, und man kam aus dem Patchen ja kaum noch heraus ([1], [2]).
2016 konnte nicht mit so schönen Namen für seine Schwachstellen aufwarten, und zugegeben, auch nicht mit derartig spektakulären. Trotzdem wurden auf den Sicherheitskonferenzen zig Vorträge zu neuen oder verbesserten Angriffen auf, Schwachstellen in und Schutzmaßnahmen für Webanwendungen, -server und -clients gehalten. Zeit, da mal einen Blick drauf zu werfen. Also auf einige mehr oder weniger willkürlich ausgewählte Vorträge, denn ein Überblick über alle Vorträge würde jedes Heft sprengen.
Schon der kleine Ausschnitt zeigt aber: Im Bereich der Websicherheit sind noch lange nicht alle möglichen Schwachstellen und Angriffe entdeckt worden. Gerade im Bereich Sicherheit ist lebenslanges Lernen unerlässlich. Und nicht nur Lernen, sondern auch Umsetzen, denn auf manche neue Entwicklung müssen die vorhandenen Webanwendungen angepasst werden, um nicht ins Hintertreffen zu geraten. Von den vorgestellten Vorträgen erfordern vor allem die zur CSP eine Reaktion - wie sicher ist Ihre CSP-Policyeinstellung? Wenn die etwas komplexer ist als nur aus 2-3 Direktiven und 1-2 Origins zu bestehen ist die Wahrscheinlichkeit groß, dass es Nachbesserungsbedarf gibt. Lassen Sie die Regeln doch mal vom CSP Validator prüfen, und wenn der was zu meckern hat sollten Sie mal über einen Nonce-basierten Ansatz nachdenken. Es sei denn, Sie sind 100%ig davon überzeugt, dass Ihre Webanwendung garantiert keine XSS-Schwachstelle enthält. Und auch keine andere Schwachstelle, deren Ausnutzung über die CSP erschwert wird. Sind Sie das? Ich wäre es nicht.
Nachtrag 20.7.:
Einen Überblick über einige interessante, im Artikel aber
mangels Platz nicht berücksichtige Vorträge gibt es
hier.
Ende des Nachtrags
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Kein Feuer, aber kräftig am Kokeln!"; Entwickler Magazin 2.15
- [2] Carsten Eilers: "Herzbluten, ein bissiger Poodle und Co."; Entwickler Magazin 1.15
- [3] Vladimir Ivanov; Black Hat USA 2016: "Web Application Firewalls: Analysis of Detection Logic" (Video auf YouTube)
- [4] Regexp Security Cheatsheet
- [5] CPP-SQL-FUZZER
- [6] George Argyros, Ioannis Stais; Black Hat Europe 2016: "Another Brick Off the Wall: Deconstructing Web Application Firewalls Using Automata Learning"
- [7] GitHub: lightbulb-framework/lightbulb-framework
- [8] Vanessa Henderson; HITB GSEC Singapore 2016: "BIZ-COMMSEC: Copy-paste Vulnerabilities"
- [9] Michele Spagnuolo, Lukas Weichselbaum; Hack in the Box Amsterdam 2016: "CSP Oddities"
- [10] CSP Evaluator
- [11] Lukas Weichselbaum, Michele Spagnuolo, Sebastian Lekies, Artur Janc; Proceedings of the 23rd ACM Conference on Computer and Communications Security, ACM, Vienna, Austria (2016): "CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy"
- [12] Michele Spagnuolo, Lukas Weichselbaum; Hack in the Box Amsterdam 2017: "We Broke all CSPs and You Won’t Believe What Happened Next!"
- [13] Google - Content Security Policy Tools
- [14] Catherine (Kate) Pearce, Carl Vincent; Black Hat USA 2016: "HTTP/2 & QUIC - Teaching Good Protocols To Do Bad Things" (Video auf YouTube)
- [15] Nadav Avital; Black Hat Asia 2017: "Hacking HTTP/2 - New Attacks on the Internet's Next Generation Foundation" (Präsentation von 2016 auf Slideshare, Paper als PDF, Video auf YouTube)
- [16] Yannay Livneh; 33c3: "Exploiting PHP7 unserialize" (Medien, Präsentation)
Trackbacks
Dipl.-Inform. Carsten Eilers am : Websecurity - Einige Vorträge von Sicherheitskonferenzen im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 6.17 - Schwachstellensuche mit Kali Linux
Vorschau anzeigen