Web-Sicherheit

Mai 31, 2017

Die wahren OWASP Top 10

Filed under: Allgemein — sebastiankuebeck @ 11:13
Tags:

Über Jahre hinweg waren die OWASP Top 10 für zahllose Webentwickler der Erste Berührungspunkt mit dem Thema Web-Sicherheit. Leider steckt das Projekt seit Jahren in der Krise und die Autoren konnten sich seit 2013 auf keine neue Version einigen. Praktischerweise arbeitet die OWASP sehr transparent und die Rohdaten stehen jedermann zur Verfügung. Ich habe nun die Rohdaten genommen und mit dem aktuellen Draft verglichen. Das Ergebnis war sowohl überraschend als auch besorgniserregend… The Real OWASP Top 10.

Januar 18, 2012

BSI: Gezieltes Hacking von Web-Servern derzeit die größte Bedrohung

Filed under: Allgemein — sebastiankuebeck @ 20:13
Tags: , , , ,

Laut diesem Artikel warnt das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor sechs Formen von Cyber-Angriffen. An erster Stelle wird das „gezielte Hacking von Webservern“ genannt – entweder zur Platzierung von Schadsoftware oder zur Vorbereitung von Datenbank-Spionage.

Wenn man bedenkt wie gering der Aufwand ist, beispielsweise über einen SQL-Injection-Angriff in einen Webserver (oder eigentlich Datenbankserver) einzudringen und welch rasante Fortschritte Werkzeuge zum automatischen Aufspüren von Schwachstellen in Webanwendungen in den letzten Jahren gemacht haben, wundert das nicht.

Januar 9, 2012

Shreeraj Shah präsentiert Angriffstechniken auf aktuelle Webtechnologien

Filed under: Allgemein — sebastiankuebeck @ 22:34
Tags: , , , , , , , , ,

Shreeraj Shahs Präsentation von der AppSecUS 2011 (die er auch auf der Blackhat- und OWASP-Konferenz gehalten hat) über Angriffstechniken auf aktuelle Webtechnologien HTML5, XHR and DOM Security ist nun online verfügbar, zusammen mit seinem Paper Reverse Engineering Browser Components – Dissecting and Hacking Silverlight, HTML 5 and Flex.

Wie der Titel schon andeutet, geht es dabei nicht um HTML 5 alleine sondern auch umd das Zusammenspiel von Browsern und Plugins wie Flash und Silverlight. Er beschreibt darin detailliert, wie man aktuelle Webanwendungen gezielt auf Schwachstellen untersucht und diese dann ausnutzt.

Es werden dabei kaum  grundsätzlich neue Angriffstechniken vorgestellt, sondern gezeigt, wie bestehende Angriffstechniken (Cross-Site Scripting, Cross-Site Request Forgery, Clickjacking) mit aktuellen Browsern und Plugins noch wirksamer eingesetzt werden können.

Januar 7, 2012

Erneut Massenattacken auf SQL-Injection-Schwachstellen

Filed under: Allgemein — sebastiankuebeck @ 15:08
Tags: , , , ,

Mark Hofman berichtete kürzlich auf der Webseite des Internet Storm Center (ISC), dass inzwischen mehr als eine Million Webseiten (davon zehntausende deutsche Webseiten) Opfer von automatisierten Angriffen auf SQL-Injection-Schwachstellen geworden sind. Betroffen sind offenbar ausschließlich Coldfusion-Installationen die mit dem Microsofts Internet Information Server (IIS) und SQL Server betrieben werden. Die Angreifer binden dabei Code in die Webseite ein, der Besucher auf die Domain Lilupophilupop.com umleitet, auf der Scareware angeboten wird.

Ob eine Webseite infiziert wurde, kann beispielsweise mit Hilfe von Google ermittelt werden. Liefert die Suche mit der Zeichenkette <script src="http://lilupophilupop.com/" sowie dem Parameter site samt einer verdächtigen Webadresse ein positives Ergebnis, ist diese infiziert.
Alle betroffenen Webseiten der Domäne .de lassen sich durch folgende Suche ermitteln:

  <script src="http://lilupophilupop.com/" site:de

Der Datensatz, mit dem die Webseiten manipuliert werden enthält folgenden Code, den Coldfusion offenbar ungefiltert an die Datenbank weiterleitet und so zur Ausführung bringt (siehe Mark Hoffmans Post von Anfang Dezember) …

declare+@s+varchar(4000)+set+@s=cast(0xset ansi_warnings off DECLARE @T VARCHAR(255),
@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME
from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t where c.DATA_TYPE in
('...IN EXEC('UPDATE ['+@T+'] SET ['+@C+']=''">''">

Laut den Kommentaren ist das keine Schwachstelle im Coldfusion-Server selbst sondern es handelt sich um Schwachstellen in den Coldfusion-Skripten der betroffenen Webseiten. Mark Hofman rät, die betroffenen Seiten über die Log-Einträge zu identifizieren und die Schwachstellen dort zu beheben. Wie das geht ist beispielsweise in folgendem Artikel beschrieben: Secure your ColdFusion application against SQL injection attacks.

Massenattacken auf SQL-Injection-Schwachstellen kommen inzwischen häufig vor und keine gängige Webtechnologie bleibt von ihnen verschont (siehe LizaMoon vor einem Jahr und dieser Angriff auf ISS-Installationen aus dem Jahr 2010). Höchste Zeit also, die eigene Webseite abzusichern.

Januar 4, 2012

Buchempfehlung auf sein.de

Filed under: Allgemein — sebastiankuebeck @ 16:45
Tags:

Schmeichelhafte Buchempfehlung auf sein.de.
Besonders freut mich natürlich das Fazit:

Selbst Laien, die allerdings über ein fundiertes Grundverständnis des Internets verfügen sollten, können bei der Lektüre dieses fachspezifischen Buches einiges lernen. Die in verständlicher Sprache formulierten und für Interessierte durchaus spannenden Erklärungen, die erläuternden Abbildungen und zahlreichen Screenshots machen viele Abläufe, die vorher wie ein Buch mit sieben Siegeln erschienen, nachvollziehbar. So wird Verständnis und damit die Möglichkeit geschaffen, Fehler zu vermeiden und seine private oder gewerbliche Webseite in Zukunft besser schützen (lassen) zu können.

Studie: Zahlreiche Datenlecks in populären Webseiten

Filed under: Allgemein — sebastiankuebeck @ 08:28
Tags: , , , , ,

Eine Studie der US-amerikanischen Standford-Universität deckte vor einiger Zeit auf, wie Webseitenbetreiber personenbezogene Informationen oft unbeabsichtigt an andere Webseiten weiterleiten.

Balachander Krishnamurthy und seine Autorenkollegen deckten dabei auf, dass die Beteuerungen auf der Webseite, dass Benutzerinformationen nur anonymisiert weitergegeben würden, offensichtlich Wunschdenken sind. Die Webseitenbetreiber verpacken nämlich Informationen wie den Benutzernamen oder des Alter des Benutzers oft direkt in die URL, mit der sie im Hintergrund eine externe Webseite aufrufen. Meist geschieht dieses nicht aus purer Absicht sondern schlicht aus Unachtsamkeit.

In diesem Fall wird sogar die E-Mail-Adresse an den Werbepartner übermittelt…

GET http://ad.doubleclick.net/adj/...
Referer: http://submit.SPORTS.com/...?email=jdoe@email.com
Cookie: id=35c192bcfe0000b1...

Manche Seiten leiten auch Suchanfragen direkt weiter, was für Seiten, die Leute mit gesundheitlichen Problemen aufsuchen, datenschutzrechtlich höchst bedenklich ist.

GET http://pixel.quantserve.com/pixel;r=1423312787...
Referer: http://search.HEALTH.com/search.jsp?q=pancreatic+cancer

In diesem Fall lädt die Webseite lediglich ein Bild von einer anderen, dabei wird aber unbeabsichtigterweise auch die Suchanfrage übergeben. Diese Praxis könnte von der anderen Webseite beispielsweise ausgenutzt werden, um so ermittelte Daten gesundheitlich beeinträchtigter Besucher an Quacksalber zu verkaufen, die das Unglück der Besucher dann schamlos ausnützen können…

Januar 3, 2012

Erster Phish im neuen Jahr

Filed under: Allgemein — sebastiankuebeck @ 09:27
Tags: , , , , , ,

Manche Phisher glauben offenbar, dass zahlreiche Kreditkarteninhaber die Silvesterfeierlichkeiten bis heute ausgedehnt haben und so alles ausfüllen und unterschreiben, was ihnen per E-Mail untergejubelt wird.

Wünsche also neues gutes Jahr mit neues, nicht sonderlich ambitioniert gestaltetes Phish! 😉

Betreff: Neuen 2012 Wichtige Updates !

Sehr geehrter Inhaber der Kreditkarte,

Ihre Kreditkarte wird vorübergehend für neue Sicherheits-Updates 
gesperrt.
Wir müssen unsere Datenbank zu aktualisieren jedes Jahr.
Aus diesem Grund haben wir vorübergehend Ihre Kreditkarte 
gesperrt.
Ihre Kreditkarte wird freigeschaltet, nachdem Sie und laden Sie 
das beigefügte Formular werden.

Danke,
Visa und Mastercard Support Team.
 © Copyright Visa Europe 2012

Die Hinweise auf Sparkasse.de gelten natürlich auch in diesem Fall sowie für jede andere Bank und Kreditkartengesellschaft von hier bis mindestens Westsamoa…

Geben Sie niemals Ihre PIN und TAN heraus! Auch wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Die Sparkassen [Visa, MasterCard, oder welcher Finanzdienstleister auch immer] werden Sie weder per E-Mail noch persönlich am Telefon auffordern, Ihre Zugangsdaten zum Online-Banking preiszugeben oder aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten oder Kreditkarten-Nummern einzugeben.

Dezember 9, 2011

Neue Rezension im Linux Magazin

Filed under: Allgemein — sebastiankuebeck @ 15:52
Tags: , , , ,

Im aktuellen Linux Magazin befindet sich in der Rubrik Tux Liest eine freundliche Rezension von Mathias Huber und Mark Vogelsberger. Der Empfehlung der Rezensenten, dass sich weniger erfahrene Programmierer ein gutes Programmierbuch zur verwendeten Programmiersprache zulegen sollten, bevor sie sich mit der Web-Sicherheit näher befassen, kann ich nur zustimmen. Schließlich kann man erst dann sicher programmieren, wenn man zumindest mit den Grundlagen der Softwareentwicklung vertraut ist und die verwendete Webtechnologie zumindest halbwegs sicher beherrscht.

Oktober 25, 2011

Durch Fehler in Flash lassen sich Computerbenutzer über die Webcam ausspionieren

Filed under: Allgemein — sebastiankuebeck @ 14:14
Tags: , , , , , , , ,

In Abschnitt 10.5 meines Buches beschreibe ich Clickjacking, eine Angriffstechnik, mit der Angreifer Teile einer Webseite auf ihrer eigenen einblenden, um Besucher dazu zu bringen, Aktivitäten auf der legitimen Webseite durchzuführen, die der Benutzer gar nicht beabsichtigt. Es ist also eine Variante von Cross-Site Request Forgery für die allerdings gar keine Schwachstelle in der Webanwendung notwendig ist. Damit der Benutzer nur jene Teile zu sehen bekommt, die ihm der Angreifer zeigen will, verwendet letzterer beispielsweise ein DIV-Element das er vor einem IFrame platziert.

„Klassischer“ Clickjaking-Angriff auf Facebook von 2010.

Da sich auch Flash-Inhalte durch ein DIV-Element abdecken lassen, war es bis vor einiger Zeit möglich, den arglosen Benutzer dazu zu bringen, die Webcam aufzudrehen. So konnte der Angreifer alles mitverfolgen, was die Webcam des Benutzers erfasste, wie folgendes Video demonstriert.

Clickjaking-Angriff auf Webcam des Seitenbesuchers 2008.

Inzwischen hat Adobe das Problem durch ein Update das Flash-Plugins behoben, indem das Plugin eine Technik namens Framebusting verwendet, die das Anzeigen des Plugins (genauer gesagt, das Anzeigen der Dialogbox, mit der der Benutzer das Aktivieren der Webcam genehmigt) innerhalb eines IFrames verhindert. Wie sich allerdings inzwischen herausstellt, lässt sich dieser Schutz umgehen. Feross Aboukhadijeh, Student der Stanford Universität, fand einen Weg, den Framebusting-Code des Plugins (Details dazu sind in meinem Buch und in diesem Paper zu finden) zu umgehen: Dazu platzierte er einfach die SWF-Datei für die Einstellungen in einem IFrame, was Clickjaking-Angriffe wieder möglich macht.

Feross Aboukhadijeh’s erweiterter Clickjaking-Angriff, der den Schutz des Flash-Plugins umgeht.

Laut Feross Aboukhadijeh funktioniert der Angriff mit allen Flash-Plugin-Versionen, die er getestet hat, für den Mozilla Firefox und den Safari-Browser auf dem Mac. Durch einen Fehler in der CSS-Implementierung funktioniert der Angriff weder auf dem Chrome-Browser für den Mac noch auf den meisten Windows und Linux-Brwosern. Aboukhadijeh veröffentlichte einen Proof-Of-Concept-Code (PoC) auf seinem Blog, nachdem Adobe nicht auf seinen Fehlerbericht reagiert hatte.
Wie es aussieht hat Adobe inzwischen eine Lösung für das Problem gefunden.

Auch wenn das Problem jetzt behoben zu sein scheint, sollte man die Webcam hardwareseitig (oder softwareseitig, wenn das hardwareseitig nicht möglich ist) deaktivieren, wenn man sie nicht benötigt. In der Vergangenheit wurden Webcams bereits dazu missbraucht, Kinder bei der Bedienung ihrer Notebooks zu beobachten.

Oktober 24, 2011

Facebook patentiert Verfahren zur Überwachung von Benutzern, die nicht bei Facebook angemeldet sind

Filed under: Allgemein — sebastiankuebeck @ 14:50
Tags: , , , , , ,

Das Patent Nummer 2,011,023,240 das am 22 September 2011 vom US-amerikanischen Patentamt USPTO genehmigt wurde, ermöglicht Facebook auch Benutzer zu überwachen, die nicht bei Facebook angemeldet sind.

Kommunizieren von Informationen in einem sozialen Netzwerk über Aktivitäten einer anderen Domain

In einem Abschnitt wird eine Methode zur Verfolgung von Informationen über die Aktivitäten von Benutzern eines sozialen Netzwerks während sich diese auf einer anderen Domäne befinden. Die Methode beinhaltet das erstellen eines Profils für jedes Mitglied eines oder mehrerer sozialen Netzwerke, wobei jedes Profil eine Verbindung zu einem oder mehreren anderen Benutzern identifiziert und Informationen über den Benutzer beinhaltet. Die Methode beinhaltet auch ein Verfahren das Informationen des Benutzers wobei für jedes Profil eine Verbindung zu einem anderem Benutzer Identifiziert wird. Darüber hinaus beinhaltet die Methode das entgegennehmen von Kommunikationsdaten von einer fremden Webseite die sich in einer anderen Domäne befindet, wie das Sozialen Netzwerk, wobei jede Nachricht eine Aktivität des Benutzers das sozialen Netzwerks auf der fremden Webseite beschreibt. Die Methode beinhaltet weiters das Loggen der Aktivitäten des Benutzers auf der fremden Webseite inklusive Details dieser Aktivitäten. Die Methode beinhaltet weiters das Abgleichen der geloggten Aktivitäten mit einem oder mehreren Inserenten, die den Benutzern auf der fremden Webseite präsentiert werden und das Abgleichen der geloggten Aktivitäten mit denen eines Benutzers des sozialen Netzwerks.

Facebook beteuert, dass dieses Patent nicht diesem Zweck dient. Obwohl Facebook Benutzer zu überwachen scheint, die nicht bei Facebook angemeldet sind, genauso wie Benutzer, die gar nicht auf Facebook sind. Letzteres hat Facebook inzwischen bestätigt – mit der Einschränkung, das Facebook diese Daten für ihr Profiling verwende.

Das klingt wohl nicht nur für Bruce Schneier nach Haarspalterei. Dieser behauptet, er bekommt E-Mails von Facebook mit Listen von Freunden, die sich bereits auf Facebook befinden, und das, obwohl er gar nicht auf Facebook ist.

Man kann also der Datenkrake Facebook nicht entkommen, auch wenn man gar nicht auf Facebook ist. Es genügt, dass Freunde oder Bekannte auf Facebook sind und schon schlingen sich Facebooks virtuelle Tentakel unbemerkt um einen…

Ja, auch die Bundesangie ist auf Facebook. Quelle: Desparada News

Nächste Seite »

Bloggen auf WordPress.com.