Security Scanner Design am Beispiel von httprecon

Slides:



Advertisements
Ähnliche Präsentationen
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Advertisements

Gruppe Dr. Henrik Grosskreutz
Der Businessplan - oder wie erstelle ich ein Unternehmenskonzept.
Webinterface für eingebettete Systeme in Dual-Server-Architektur
Automatisierte Dokumentation des Netzwerks bei der Gartenheim e.G. mit NetDoc Server Günther Haese, Vorstand Gartenheim e.G.
„Such-Algorithmen“ Zusammenfassung des Kapitels 11
Gegen die Vergänglichkeit digitaler Informationen Susanne Kurz AWV Sitzung Daten- und Speichermanagement, Köln,
Stefanie Selzer - Pascal Busch - Michael Kropiwoda
Einführungssitzung Architekturen interoperabler Systeme für raumzeitliche Prozesse Einführungssitzung Lars Bernard, Udo Einspanier,
Grundlagen der Wirtschaftsinformatik
WIESEL – Integration von Wissensmanagement und E-Learning auf der Basis von Semantic Web Technologien Matthias Rust, XML-Tage 2004, Berlin WIESEL Integration.
Framework für ein Intrusion Detection System
Entwicklung von Simulationsmodellen
Erstsemesterprojekt „Ertragsanalyse von thermischen Solaranlagen“
Das Thema Beschreiben – eine Unterrichtseinheit für die 6. Jahrgangsstufe.
In Kapstadt ist im Jahr 2010 nicht nur die WM vorhanden
SEP Halgurt Mustafa Ali Can Önder Marius Morawski Matthias Seidl Themen: Integration von RDQL und OWQL innerhalb des Apache Cocoon Frameworks Semantische.
Titelfolie23 Oct 2006 Agenda Pilotentreffen Publication Management Service Oktober 2006 Berlin, Harnack-Haus.
Folie 1 Titel Markus Mustermann Agenda Markus Mustermann Studiengang KT98 U12345 WS 2001/2002 Vorlesung Optische AVT Titel.
„Richtig investieren“
Studie Einfluss der Sitzposition in den Vorlesungsräumen auf die studentische Leistung Jochen Jung, Larry Maus und Steffen Brünske.
PPS-Design einer eigenen WWW-Homepage SS 2003 Applets.
Der Coach für deine mentale Stärke im Judo
„Buy and Make“ anstelle von „Make or Buy“
Framework for Integrated Test (FIT)
Webservice Grundlagen
Mit 3 Schichte zum Erfolg
Michael Greth - Judith Schütz - Daniel Wessels. Referenten Michael Greth / Daniel Wessels Consultant und Trainer SharePoint Technologien Microsoft Most.
Online Reservierungssytem ReSys. Einleitung Gruppenmitglieder Auftrag Technologie Eingesetzte Technologie Softwarearchitektur Software-Design Use-Cases.
Präsentation C Tutorium von Daniel J. Nowak Folie 1 C Tutorium.
Umweltdaten via Smartphone
App-Entwicklung mit HTML5, CSS und JavaScript
Your name Bedeutung von Internet- Technologien Gruppe 1 Andreas Feuerstein Philipp Hochratner Christian Weinzinger.
Vorstellung des Projektergebnisses. Agenda I. Bla II. Änderungen beim Design III. Zeitliche Aufwände IV. Komplexität V. Produktpräsentation VI. Mögliche.
Nicolas Müggler, Trivadis AG Zürich, 26. Januar 2010
SoSe_2014 _Prof. Dr. Werner Stork und Olaf Schmidt
OVGU Präsentation Entwicklung Mobiler Anwendungen mit Open Source Ein Showcase über Technische und andere Hürden.
Kinder- und Jugendpsychiatrie Schulung EFM-KJP
business case: My-Hammer.de
Einführungsveranstaltung
Webhosting an der Universität Zürich
Automatisierte Worterkennung (Autocorrect) Automatisierung in der Medientechnik, Labor, KulturMediaTechnologie Lucia Winsauer SS14.
Master Kernmodul Navigation und Geodynamik 1 Kernfach Sem. Physikalische Geodäsie und Geodynamik I + II Ziel: Überblick über.
Grundlagen der Messtechnik Vorlesung:Mo 13:15 – 14:45 (Hörsaal ) Prof. Dr. G. Dollinger / Dr. C. Greubel Übungen:Do 08:00 – 9.30 ( ) Dr.
Thema Name des Vortragenden Ort, Datum
Application Lifecycle Management Day 25. August 2008 Erfolgreiche Software- Entwicklung in Offshore-Projekten mit Microsoft Team Foundation Server Thomas.
Attack Tool Kit (ATK) Project Marc Ruef Alle Rechte vorbehalten – Kopieren erlaubt.
Scripting: Einführung in die ‚Kunst‘ des Unterrichtens mit ICT.
Ilmenau, den * * Torsten Kunze
Wilfried Schley Zürich Michael Schratz Innsbruck
Ein referat von: Andre Bohdziewicz und Laura Krüger
TDD mit MSTest Stefan Lieser Web:
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
Übungspräsentation ICT Kompetenzen II.
Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.
1 Prof. Dr. Andreas SchmietendorfWS06/07 Übung 3 Test der Möglichkeiten des JDBC-Interfaces.
ORB – Konzepte Ist – Analyse der betrieblichen Notwendigkeiten, Anforderungsableitung an moderne Lösungskonzepte, alternative ORB – Konzepte mit Zukunft,
Test 1 Test 2 Test 3. Test 4 Test 5 Test 6 Test 7 Test 8 Test 9.
Gesamtkonferenz zum Orientierungsrahmen Globale Entwicklung Neue Nachbarinnen und Nachbarn - wie kann unsere Schule auf die Herausforderungen der weltweiten.
Einführung in die Informationsverarbeitung Teil Thaller Stunde V: Wege und warum man sie geht Graphen. Köln 14. Januar 2016.
Schülerpraktikum 2012 Einführungsveranstaltung. Überblick Organisatorisches Einführung CERN Zugangskarten / Computerzugang Sicherheitskurse.
, Jens Rettig1 Einsatz von Versionsverwaltungstools im ORACLE – Umfeld Dipl.-Inform. Jens Rettig
29. Magento Stammtisch Thema: IT-Sicherheit Gregor Bonney
Test.
 Präsentation transkript:

Security Scanner Design am Beispiel von httprecon Marc Ruef www.scip.ch

Agenda  Security Scanner Design Einführung Analysetechniken Test-Module Architektur Reporting Zusammenfassung

Einführung I: Vorstellung Name Marc Ruef Beruf CTO, scip AG, Zürich Private Webseite http://www.computec.ch Letztes Buch „Die Kunst des Penetration Testing“ (2007), Computer & Literatur Böblingen, ISBN 3-936546-49-5 Übersetzung

Einführung II: Präsentation Grundlegende Funktionsweise von Security Scanner Ideale Umsetzung einer entsprechenden Lösung Konkreter Vergleich zum httprecon project mit seinen Vor- und Nachteilen

Einführung III: Security Scanner Ein Security Scanner wird eingesetzt, um automatisiert, semi-automatisiert oder begleitet die Sicherheit einer Komponente zu ermitteln. Im weitesten Sinn gehören dazu Lösungen wie: Portscanner Auswertungs-Utilities Vulnerability Scanner Exploiting Frameworks Quelle: http://www.scip.ch/?labs.20091106

Analysetechniken I - Ableitung Beschreibung Anhand einer allgemein identifizierten Gegebenheit wird die potentielle Existenz einer Schwachstelle abgeleitet. HTTP-Fingerprint Apache <2.0.51  mod_dav LOCK Denial of Service OS-Fingerprint Windows 95  Out of Band Denial of Service Problem Schwachstellen werden nur erahnt und nicht verifiziert. False-Positives sind genauso möglich wie False-Negatives.

Analysetechniken II - Scanning Beschreibung Anhand einer gezielt identifizierten Eigenschaft/Objekt wird die potentielle oder effektive Existenz einer Schwachstelle ermittelt. Webserver bietet /FormMail.pl an  Redirect Parameter Cross Site Scripting Server benutzt ausschliesslich SSLv2  Kryptografisch unsichere Verbindung Problem Zugriffe müssen dediziert umgesetzt werden. Die Qualität der Resultate ist massgeblich von der Intelligenz dieser abhängig.

Analysetechniken III - Exploiting Beschreibung Anhand einer gezielt ausgenutzten Sicherheitslücke wird die existente Schwachstelle ermittelt. Microsoft IIS 6.0 Authentisierung umgehen  WebDAV Remote Authentication Bypass Citrix XenCenterWeb inkludiert Script-Code  console.php Cross Site Scripting Problem Intrusive Tests können Manipulationen erzwingen und Schäden anrichten. Stetige Entwicklung verlässlicher Exploits ist sehr aufwendig.

Test-Module I: Datenbank Sämtliche Beschreibungen zu Tests und Schwachstellen werden in einer Datenbank dokumentiert. Titel der Schwachstelle Beschreibung des Problems Einstufung des Risikos Vorgehen zur Ausnutzung/Verifikation Liste mir Gegenmassnahmen Quellenangaben und Links Manche Lösungen verwenden eine relationale Datenbank, andere pflegen Dateien zu nutzen.

Test-Module I: Datenbank (httprecon fdb Datei)

Test-Module I: Datenbank (Nessus NASL Datei)

Test-Module I: Datenbank (scip PenTest DB)

Test-Module II: Plugins Die einzelnen Tests werden modular mit dedizierten Plugins realisiert. Das Ausführen von Plugins ist zeitintensiv. Durch Abhängigkeiten sollten sie bestmöglich nur dann ausgeführt werden, wenn es „Sinn“ macht. Tests sollten in Plugin-Familien gruppiert werden (z.B. Webserver, Mailserver, SNMP, Windows, …) Plugins sollten quelloffen und/oder gut dokumentiert sein, um das Vorgehen nachvollziehen, adaptieren oder querprüfen zu können.

Test-Module III: Test-Sprache Für das Umsetzen der Tests/Plugins muss eine simple Sprache genutzt werden. Die Sprache sollte klare Schnittstellen für immer wiederkehrende Funktionen haben (z.B. Tests offener Ports, HTTP-Zugriffe, etc.) Die Sprache sollte das Einbinden externer Skripte erlauben (z.B. Exploits).

Test-Module III: Test-Sprache (ATK/ASL)

Test-Module III: Test-Sprache (Nessus/NASL)

Architektur I - Standalone Beschreibung Simple Scanning-Lösungen agieren standalone. Problem Direktzugriffe auf Systeme/Dienste sind in topologisch komplexen Umgebungen (Routing/Firewalling) nicht ohne weiteres Möglich.

Architektur II - Multi-Tier Beschreibung Erweiterte Scanning-Lösungen für das professionelle Umfeld bieten eine Multi-Tier Architektur an. Problem Die Installation, Wartung und Nutzung wird mit jeder zusätzlichen Komponente erschwert.

Reporting Mit dem Reporting steht und fällt die konkrete Nützlichkeit einer Analyse. Reports müssen modular, detailliert und dennoch übersichtlich sein. Verschiedene Darstellungsformen machen eine gute Lösung aus: Listen und Tabellen zur Übersicht Statistiken und Diagramme zwecks Analysen Prosatext für umfassenden Einblick Bildschirmausgaben mit technischen Details Report-Dokumente sollten sich in verschiedenen Formaten generieren lassen (PDF, XML, CSV, …)

Reporting

Reporting (Qualys)

Zusammenfassung Security Scanner helfen beim Finden von Schwachstellen. Verschiedene Auswertungsmechanismen garantieren unterschiedliche Zuverlässigkeit. Eine pluginbasierte Architektur erleichtert eine modulare Erweiterung von Tests. Architektonische Eigenschaften helfen dem Einbinden im Unternehmensnetzwerk. Das Reporting stellt den zentralen Übergangspunkt zur weiteren Absicherung dar.

Fragen? „Man hört nur die Fragen, auf welche man imstande ist, eine Antwort zu geben.“ – Friedrich Nietzsche Kontaktieren Sie mich am besten per Email: maru@scip.ch

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.