Skip to content

Websecurity - Einige Vorträge von Sicherheitskonferenzen im Überblick

Heute gibt es keinen Text zu den Top-10 der der IoT-Schwachstellen nach OWASP, sondern außer der Reihe ergänzend zum Artikel im PHP Magazin 5.17 ein Übersicht über einige weitere Vorträge zum Thema "Websecurity" von verschiedenen Sicherheitskonferenzen:

"Bypassing Browser Security Policies for Fun and Profit"

Im Vergleich zu Desktop-Browsern sind Mobile-Browser noch sehr jung und dadurch noch nicht so ausgereift wie ihre großen Brüder. Rafay Baloch hat auf der Black Hat Asia 2016 gezeigt, wie sich in Mobile-Browsern Schutzfunktionen wie die Same Origin Policy und die Content Security Policy (CSP) umgehen sowie verschiedene Spoofing-Angriffe durchführen lassen.

"Abusing Bleeding Edge Web Standards for AppSec Glory"

Bryant Zadegan und Ryan Lester haben auf der Black Hat USA 2016 (Video auf YouTube) und der DEF CON 24 (Originale Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube) neue Schutzmaßnahmen vorgestellt, die die Sicherheit von Webanwendungen erhöhen sollen. Um dann zu zeigen, wie diese Schutzmaßnahmen unterlaufen oder angegriffen werden können. Betrachtet wurden Subresource Integrity (SRI), die CSP und das HTTP Public Key Pinning (HPKP).

"HTTP Cookie Hijacking in the Wild: Security and Privacy Implications"

Suphannee Sivakorn und Jason Polakis haben auf der Black Hat USA 2016 gezeigt, dass Session- bzw. Cookie-Hijacking auch 2016 noch ein großes Problem ist. Und wieso das so ist, und was man dagegen unternehmen kann (Video auf YouTube).

"Timing Attacks Have Never Been So Practical: Advanced Cross-Site Search Attacks"

Nethanel Gelernter hat auf der Black Hat USA 2016 vorgeführt, wie sich über einen "Cross-Site Search"-Angriff z.B. die von einem Benutzer in Google Mail geschriebenen E-Mails ausspähen lassen (Video auf YouTube).

"TCP Injection Attacks in the Wild - A Large Scale Study"

Gabi Nakibly hat auf der Black Hat USA 2016 gezeigt, wie über TCP-Injection-Angriffe "in the Wild" falsche Daten in Webseiten eingefügt werden (Video auf YouTube).

"Hiding Wookiees in HTTP - HTTP smuggling is a thing we should know better and care about"

@regilero hat auf der DEFCON 24 einen Vortrag über HTTP Smuggling gehalten (Präsentation als PDF, Video auf YouTube, Video mit Beispielen auf YouTube). Beim HTTP Smuggling wird ein HTTP-Request bzw. eine HTTP-Response so manipuliert, dass darin ein weiterer Request bzw. eine weitere Response enthalten ist. Normalerweise ist so eine Verschachtelung nicht möglich und führt zu einem Fehler. Mitunter ergibt sich aber auch eine ausnutzbare Schwachstelle, und manche Systeme sehen das eine, andere Systeme das andere.

"411: A framework for managing security alerts"

Kai Zhong und Kenneth Lee haben auf der DEFCON 24 mit 411 ein Framework vorgestellt, dass die Auswertung von Logfiles mit Hilfe von ELK (Elasticsearch, Logstash, Kibana) erleichtert (Originale Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube). 411 erkennt und meldet interessante Anomalien und sicherheitsrelevante Vorfälle in Logfiles.

"I Know What You Saw Last Minute - The Chrome Browser Case"

Ran Dubin hat auf der Black Hat Europe 2016 gezeigt, wie eine bösartige Website bei Chrome-Nutzern ausspähen kann, welche YouTube-Videos sie zuletzt angesehen haben. Um die Qualität der Videos zu verbessern, nutzt YouTube für die Übertragung Dynamic Adaptive Streaming over HTTP (DASH). Dabei wird das Video in kurze Segmente aufgeteilt, die alle mehrfach in verschiedenen Qualitäten kodiert werden. Je nach Qualität der Verbindung wird immer die bestmögliche Kodierung des nächsten Segments an den Benutzer übertragen. Aus den Fingerprints der übertragenen Daten lasse sich Rückschlüsse auf das Video und damit seinen Titel ziehen.

"Deploying TLS 1.3: the great, the good and the bad"

Filippo Valsorda und Nick Sullivan haben auf dem 33c3 die Vor- und Nachteile von TLS 1.3 beschrieben und erklärt, wie es ausgerollt wird (Medien, Präsentation).

"Everything you always wanted to know about Certificate Transparency"

Martin Schmiedecker hat auf dem 33c3 die in RFC 6962 spezifizierte Certificate Transparency ausführlich vorgestellt (Medien, Präsentation).

"On the Security and Privacy of Modern Single Sign-On in the Web"

Guido Schmitz (gtrs) und dfett haben auf dem 33c3 einen Vortrag über die modernen Single Sign-On Lösungen im Web (OAuth, OpenID Connect und BrowserID) gehalten (Medien, Präsentation): Wir funktionieren diese Protokolle, welche Angriffe sind möglich und wie sieht es mit dem Schutz der Privatsphäre aus?

"Everybody Wants SOME: Advance Same Origin Method Execution"

Ben Hayak hat auf der Hack in the Box Amsterdam 2017 neue Angriffe mittels SOME ("Same Origin Method Execution") vorgestellt. SOME-Angriffe missbrauchen Callback-Endpunkte, um im Namen des Benutzers einer Website unerwünschte Aktionen durchzuführen.

"The Best Laid Schemes: Attacking URL Schemes"

Yu Hong hat auf der Hack in the Box Amsterdam 2017 gezeigt, wie die Manipulation von URLs und URI-Schemes Angriffe wie SSRF und XXE erleichtern kann.

Wie schon der Artikel gezeigt hat, tut sich im Bereich der Websicherheit einiges.

In der nächsten Folge wird das Thema Top IoT Vulnerabilities von OWASP mit Punkt 10 abgeschlossen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 5.17 - Das Web - Alles sicher oder was?

Vorschau anzeigen
Im PHP Magazin 5.2017 ist ein Überblick über den aktuellen Stand der Web-Sicherheit erschienen. Die Zeit der Schwachstellen und Angriffe mit klangvollen Namen wie ShellSchock und Heartbleed scheint vorbei zu sein. Aber auf den Sic

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!