Wie man Webanwendungen vor Angriffen schützen kann Web-Sicherheit Wie man Webanwendungen vor Angriffen schützen kann
Schwerpunkte Malware Auswirkungen mangelnder Sicherheit Angriffe auf Web-Anwendungen Schutz für Web-Anwendungen
Malware Virus, Wurm, Trojaner Spyware, Adware Rootkit Scareware Grayware
Auswirkungen mangelnder Sicherheit Was möchte man schützen? Hacker ist nicht gleich Hacker White-Hat Hacker Grey-Hat Hacker Black-Hat Hacker Worst-Case-Szenario
Angriffe auf Web-Anwendungen Unsichere Konfiguration Cross-Site-Scripting (XSS) Cross Site Request Forgery (CSRF) Clickjacking & Weiterleitungen Path-Traversal-Schwachstellen Unsichere direkte Objektreferenzen Session-Hijacking SQL-Injection DoS/ReDoS-Angriffe
Path-Traversal-Schwachstellen BEISPIEL Path-Traversal-Schwachstellen Kopierter Link: www.worker.square7.ch/scripts/ download/index.php?datei= Deutsch/1.jpg Angriff durch Path-Traversal: download/index.php?datei=../../../../../../../../../../../../../../scripts/download/ index.php Geschützte Bereiche suchen, herunterladen und knacken
Session-Hijacking BEISPIEL Besucher loggt sich ein Computer 2 Computer 1 Besucher loggt sich ein Session-ID in Cookie kopieren Computer 2 Computer 1 Aktion in der Sitzung des Besuchers durchführen (ausloggen)
Schutz für Webanwendungen Richtiges Konfigurieren Übersichtliche & auskommentierte Skripte Lokale Sicherheit Protokollierung & Verschlüsselung Benutzereingaben richtig validieren Framebusting Pfadangaben überprüfen Nicht auf Cookies vertrauen