Kategorie: Web Security
10 Mythen zum Thema Web Security
Zum Thema Web Security gibt es viele Behauptungen, Vorurteile und falsche Einschätzungen.
Dadurch werden falsche Informationen verbreitet und unzureichende Schutzmaßnahmen angewendet. In diesem Artikel werden 10 beliebte Mythen zum Thema Web Security aufgedeckt.
Zu einigen dieser Mythen gibt es auch praktische Beispiele, die demonstrieren sollen, wie Angreifer unzureichende Schutzmaßnahmen umgehen können.
Sind statische Webseiten sicher? Sind client-seitige Sicherheitslücken wie Cross-Site Scripting (XSS) wirklich harmlos?
Das und einiges mehr wird in diesem Artikel aufgedeckt.
htaccess Bypass: Authentifizierungen umgehen
Um Verzeichnisse vor unbefugtem Zugriff zu schützen, werden sehr häufig HTTP-Authentifizierungen genutzt.
Beim Apache Server werden dazu .htaccess Dateien verwendet. Diese beinhalten unter Anderem den Pfad zur Passwortdatei .htpasswd, welche den Benutzernamen sowie das verschlüsselte Passwort (DES oder MD5) enthält.
Solche Authentifizierungen gelten allgemein als sicher, solange ein kryptisches Passwort gewählt wurde, um Brute-Force Attacken zu verhindern.
Es gibt jedoch eine Methode, mit der Angreifer viele solcher Authentifizierungen umgehen können. Darum geht es in diesem Artikel.
Sicherheitslücken kombinieren
Harmlose Sicherheitslücken können für versierte Angreifer sehr nützlich und in manchen Fällen sogar entscheidend für einen erfolgreichen Angriff sein. Mit Full Path Disclosure lässt sich beispielsweise der vollständige Pfad aus Fehler- und Warnmeldungen lesen. Viele fragen sich, was Angreifer denn schon mit einem einfachen Pfad angangen können. Dabei sind es oft wertvolle Informationen - zum Beispiel, um Local File Inclusion Sicherheitslücken auszunutzen oder um mehr über die interne Verzeichnis-Struktur zu erfahren.
Manchmal kommt auch es vor, dass SQL Injections für Angreifer unbrauchbar sind. In Kombination mit anderen Sicherheitslücken, wie XSS, XSRF oder aber auch Social Engineering kann sich das Blatt sehr schnell wenden.
Content-Spoofing – Teil 3 – HTTP Redirects
Es gibt eine "versteckte Gefahr", von der viele Webentwickler gar nichts wissen.
Beim Herunterladen von Inhalten über URL's folgt ein mit PHP realisierter HTTP-Request standardmäßig bis zu 20 Weiterleitungen - das ist zum Beispiel beim Darstellen von Bildern, die auf externen Servern liegen, der Fall.
Wie Angreifer dies ausnutzen können, welche Gefahr dahinter steckt und wie man mehrere Redirects in PHP-Anwendungen verhindern kann, wird in diesem 3. Teil der Artikel-Serie "Content-Spoofing" demonstriert.
Content-Spoofing – Teil 2 – Phishing
Beim Phishing, was so viel bedeutet wie "Password fishing", wird versucht an fremde Daten durch E-Mails oder gefälschte Webseiten von scheinbar seriösen Anbietern zu gelangen. Dabei haben es Angreifer häufig auf Kreditkarten-Nummern bzw. Bankdaten (Online-Banking) abgesehen.
Neben dem normalen Phishing gibt es auch etwas andere Arten des Phishings, wie z.B. das Pharming.
In diesem zweiten Teil der Artikel-Serie "Content-Spoofing" geht es also um Phishing.
Content-Spoofing – Teil 1 – JavaScript
Im Internet kursieren unzählige infizierte Webseiten, die darauf warten besucht zu werden. Früher hatte man dazu einfach massenweise Spam-Mails verschickt und gehofft, dass jemand auf die Links klickt.
Die Zeiten sind längst vorbei. Auch wenn immer noch häufig Spam-Mails verschickt werden, gibt es bereits viel cleverere Methoden, die Angreifer ausnutzen: Das Vortäuschen von scheinbar seriösen und vertrauten Informationen.
In diesem ersten Teil der Artikel-Serie geht es um JavaScript.
Gefährliche Funktionen und Variablen in PHP
In PHP-Anwendungen können sehr schnell Sicherheitslücken entstehen. Diese entstehen häufig durch ungefilterte Benutzereingaben. Wenn Benutzereingaben in bestimmten Funktionen verwendet werden, um zum Beispiel Dateien einzulesen, Dateien einzubinden oder sogar System-Befehle auszuführen, ist es besonders kritisch.
Ich habe mal eine Liste mit einigen Funktionen und Variablen zusammengestellt, auf die PHP-Programmierer besonders achten sollten.
