Auch in diesem Jahr gibt es das schon traditionelle Weihnachts-Special von About Security. Diesmal mit einer bunten Sammlung an Artikeln, Präsentationen und Tools rund ums Thema "Web-Sicherheit".

Browser-Sicherheit

Zentraler Anlaufpunkt, wenn es um Fragen der Sicherheit des Webbrowsers geht, ist das Browser Security Handbook (BSH) von Michal Zalewski, das als Referenz für die Funktionsweise der Sicherheitsfunktionen verschiedener Browser dienen soll. Die Funktionsweise von DNS Rebinding hat Robert 'RSnake' Hansen in einem Video erklärt, und Billy Hoffman und Matt Wood haben ein Darknet im Browser vorgestellt (PDF). Ein Darknet ist ein verstecktes, privates Netzwerk, in dem die Benutzer unbeobachtet miteinander kommunizieren und Daten austauschen können.

Neue Angriffe

'Inferno' beschreibt in 'Hacking CSRF Tokens using CSS History Hack' einen Brute-Force-Angriff zum Ermitteln der Tokens, die vor CSRF-Angriffen schützen sollen. Mike Bailey beschreibt einen CSRF-Angriff zur Manipulation von Online-Abstimmungen und ähnlichem: 'CSRF Isn't Just For Access'. Zusammen mit Russ McRee hat er auf der Defcon-Konferenz verschiedene CSRF-Angriffe vorgestellt (PDF, Video). Und Nathan Hamiel und Shawn Moyer haben mit 'Dynamic Cross-Site Request Forgery' neue Angriffe auf User-Generated Content beschrieben (Paper als PDF, Präsentation als PDF und das verwendete Tool MonkeyFist).

Stefano di Paola und Luca Carettoni haben mit HTTP Parameter Pollution (HPP) einen neuen Angriff vorgestellt (FAQ, Beschreibung von Client Side HTTP Parameter Pollution samt Video-Demonstration). Arian J. Evans hat versucht, HPP und dessen Auswirkungen anschaulich zusammen zu fassen.

Mike Bailey hat das Umgehen der Same Origin Policy in Flash beschrieben (FAQ), und Bojan Zdrnja schreibt im Handler's Diary des ISC über 'Flash attack vectors (and worms)'. Ashkan Soltani, Shannon Canty, Quentin Mayo, Lauren Thomas und Chris Jay Hoofnagle haben 'Flash Cookies and Privacy' untersucht.

Robert Auger beschreibt 'Socket Capable Browser Plugins Result In Transparent Proxy Abuse' (PDF). Shuo Chen, Ziqing Mao, Yi-Min Wang und Ming Zhang beschreiben, wie HTTPS-Verbindungen mit Hilfe eines speziellen Proxies angegriffen werden können. Und Joshua 'Jabra' Abraham und Robert 'RSnake' Hansen haben untersucht, was Proxies über ihre Benutzer verraten (PDF).

Alek Amrani beschreibt einen neuen Angriff, bei dem er Session Hijacking quasi umdreht: Beim 'Session Donation' (PDF) schiebt der Angreifer seine eigene, authentifizierte Session einem Benutzer unter, der darin dann z.B. vertrauliche Daten eingibt.

SQL Injection

Dmitry Evteev beschreibt 'Another fine method to exploit SQL Injection and bypass WAF'. Jeremiah Grossman berichtet zwei mal über SQL-Injection-Würmer, Mary Landesman zwei mal über deren Folgen. Sylvan von Stuppe beschreibt, wie man die Angriffe abwehrt, und Paco Hope beschreibtsingt in einem Video 50 Ways to Inject Your SQL.

Cross Site Scripting

Der XSS-Filter im Internet Explorer 8 arbeitet fehlerhaft, so dass darüber XSS-Angriffe auf Seiten möglich werden, die selbst keine XSS-Schwachstelle enthalten, sofern der Angreifer Teile der Seite manipulieren kann. Gareth Heyes hat eine neue Möglichkeit beschrieben, in HTML5 XSS-Angriffe trotz Filterung von < und > durchzuführen, und sirdarckcat nennt 'Our Favorite XSS Filters and how to Attack them'. Dem Fingerprinting lokaler Systeme dient das z.B. durch XSS einzuschleusende Tool Yokoso (Sourceforge-Projektseite). Das Browser Exploitation Framework BeEF kann in einer neuen Version u.a. im Exploit-Framework Metasploit integriert werden.

Gegenmaßnahmen

Nicht neu, aber immer aktuell und wichtig, sind die 'Prevention Cheat Sheets' von OWASP: Zu Cross Site Scripting, zu SQL Injection, zu Cross-Site Request Forgery und zur Transport Layer Protection. Das Web Application Security Consortium hat eine Liste mit Web Application Security Scannern aufgestellt, und Ivan Ristic hat einen HTTP Parser speziell für Web Application Firewalls und Intrusion Detection Systeme entwickelt. Und Wepawet (Web Engine to Protect from and Analyze Widespread and Emerging Threats) ist ein von Forschern der University of California in Santa Barbara entwickeltes Online-Tool zur Erkennung und Analyse Web-basierter (d.h. zur Zeit in Flash oder JavaScript geschriebener) Schädlinge.

Allgemeines

Dan Cornell von der Denim Group nennt 13 Things a Web Application Attacker Won't Tell You und 5 More Things a Web Application Attacker Won't Tell You. Jeremiah Grossman nennt Overcoming Objections to an Application Security Program und 5 great Web security blogs you haven't heard of.

TechPosters liefert Übersichtsposter und Cheat Sheets zu allen Bereichen der IT, und Ross Anderson hat eine 'Psychology and Security Resource Page' erstellt.

In der nächsten Folge geht es weiter um die Entwicklung sicherer Authentifizierungssysteme, und zwar um die Abwehr bestimmter Brute-Force-Angriffe sowie um die Absicherung der Funktionen zum Ändern des Passworts.

Ich wünsche allen Lesern ein frohes Weihnachtsfest!

Carsten Eilers