Web-Sicherheit

Juli 19, 2011

Fingerprinting von Webanwendungen

Filed under: Allgemein — sebastiankuebeck @ 06:12
Tags: , , , ,

Anant Shrivastava beschreibt in seinem Paper Web Application finger printing Methods/Techniques and Prevention das Fingerprinting von Webanwendungen. Der Autor analysiert dazu gängige Werkzeugen und zeigt, wie man das Fingerprinting wirksam erschwert.

Mit „Fingerprinting“ ist die Identifikation von Softwarekomponenten (HTTP-Server, Web-Framework, Bibliotheken, etc.) gemeint, die auf einem Webserver installiert sind. Fingerprinting ist üblicherweise der erste Schritt beim Testen von Webapplikationen. Das Ergebnis ist eine Liste von Softwarekomponenten und im besten Fall deren jeweilige Versionsnummer bzw. deren Patchlevel. Mit diesen Informationen kann man dann gezielt nach Schwachstellen dieser Komponenten suchen und einen Angriff starten.

Für die Verteidigung ist Fingerprinting ebenso interessant, denn es verrät, was ein potentieller Angreifer über das zu schützende System in Erfahrung bringen kann. Ist es möglich, das Fingerprinting für Angreifer zu erschweren oder den Angreifer so zu täuschen, das er glaubt, eine andere Software liefe auf dem Webserver, hat das mehrere Vorteile:

  • Es erschwert für potentielle Angreifer das Auffinden von Angriffspunkten.
  • Die Gefahr ist geringer, von Angreifern als einfaches Ziel lokalisiert zu werden. Diese Angreifer könnten sich dann (vermeintlich) einfachere Ziele suchen und einen geplanten Angriff abblasen.
  • Die Gefahr ist geringer, das Opfer von automatisierten Angriffen zu werden.

Man sollte sich allerdings keinen falschen Illusionen hingeben, dass das erschweren des Fingerprintings einen Angreifer vom Angriff abhält, denn wie die Erfahrung zeigt (und wie ich in Kapitel 4 meines Buches im Detail erörtere) ist Täuschung alleine keine ausreichende Verteidigungsstrategie.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: