Inhalte überspringen »
Alle Topthemen
Freitag, 5. März 2010
About Security #245: Schwachstellen-Suche: Session-Token
Von der Webanwendung gelieferte Werte wie Session-Tokens und
Passwörter sollten zufällig gewählt werden und nicht
vorhersagbar sein. Manchmal sieht das aber nur so aus. Diese Folge von
About Security dreht sich daher um die Analyse solcher Werte.
Im folgenden wird immer von Session-Tokens oder kürzer Tokens
ausgegangen, die entsprechenden Schritte gelten aber analog …
Donnerstag, 25. Februar 2010
About Security #244: Schwachstellen-Suche: DoS verhindern (3)
Schon beim Entwurf der Webanwendung kann man möglichen DoS-Angriffen
zuvor kommen. Beim sog. "Threat Modelling" wird zwar vor allem auf
Angriffe auf z.B. die Anwendungslogik oder die Authentifizierung geachtet,
aber auch DoS-Angriffe lassen sich zumindest teilweise schon beim Entwurf
verhindern oder zumindest abschwächen.
"Irgendwas irgendwie verbrauchen"
So könnte man eine große Anzahl …
Donnerstag, 18. Februar 2010
About Security #243: Schwachstellen-Suche: DoS verhindern (2)
Bei der Abwehr von DoS-Angriffen hat jeder Betreiber einer Webanwendung
einen natürlichen Verbündeten: Seinen ISP, der ggf. ebenso unter
dem DoS-Angriff zu leiden hat wie er selbst.
Mitgegangen, mitgefangen
Abgesehen von wenigen Sonderfällen kommt beim Betrieb einer
Webanwendung früher oder später ein Dritter ins Spiel, dessen
Dienstleistungen in Anspruch genommen werden. Z.B. …
Donnerstag, 11. Februar 2010
About Security #242: Schwachstellen-Suche: DoS verhindern
Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen:
Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern
oder abzuschwächen, zweitens muss man feststellen können, wenn
ein Angriff erfolgt, und drittens muss man Maßnahmen vorbereiten, die
im Falle eines Angriffs ergriffen werden können, um ihn zu beenden
oder abzuschwächen.
Angriffe vorab verhindern oder abschwächen
DoS-Angriffe …
Mittwoch, 10. Februar 2010
Patchday - Microsoft stopft 26 Schwachstellen
Am Februar-Patchday hat Microsoft wie
angekündigt
13 Security Bulletins (5 kritische, 7 wichtige, 1 moderates)
veröffentlicht,
mit denen insgesamt 26 Schwachstellen behoben werden. Nur eine davon, die
im Januar bekannt gewordene
Schwachstelle im #GP Trap Handler,
war zuvor öffentlich bekannt.
Außer den Security Bulletins wurde auch ein
Security Advisory
veröffentlicht, mit dem Workarounds …
Donnerstag, 4. Februar 2010
About Security #241: Schwachstellen-Suche: Denial of Service (3)
DoS-Angriffe auf den Webserver sind zum einen über entsprechende
Schwachstellen, z.B. einem Pufferüberlauf beim Verarbeiten
überlanger Requests, zum anderen durch eine Überlastung
möglich.
DoS durch Schwachstellen im Webserver
Evtl. vorhandene Schwachstellen sollten im wesentlichen schon in den
vorhergehenden Schritten, insbesondere bei der Suche nach
Pufferüberlauf-Schwachstellen (siehe About Security
#196),
gefunden worden sein. Daher …
Donnerstag, 28. Januar 2010
About Security #240: Schwachstellen-Suche: Denial of Service (2)
Mögliche DoS-Schwachstellen in der Webanwendung wurden bereits in
About Security
#239
beschrieben: Immer, wenn ein Benutzer mit wenig Aufwand eine hohe
Auslastung der Webanwendung verursachen kann, besteht Gefahr. Die muss
verringert und am besten ganz beseitigt werden.
DoS-Schwachstellen in der Webanwendung verhindern
Die in About Security
#239
beschriebenen Beispiele gehen …
Donnerstag, 21. Januar 2010
About Security #239: Schwachstellen-Suche: Denial of Service
Die Suche nach DoS-Schwachstellen ist etwas komplizierter als die nach
allen anderen. Zum einen kann man sie nicht mit dem Produktivsystem
durchführen, da jeder Erfolg gleichzeitig zum echten DoS der Anwendung
wird, zum anderen gibt es extrem viele Möglichkeiten, eine
Webanwendung für die Benutzer unbrauchbar zu machen.
Viele Wege führen zum Ziel
Die …
Donnerstag, 14. Januar 2010
About Security #238: Schwachstellen-Suche: Sichere Authentifizierung (7)
Eine Sicherheitsfrage vor der Funktion zum Zurücksetzen des Passworts
führt möglicherweise zur Preisgabe gültiger Benutzernamen.
Die kann der Angreifer gut für weitere Angriffe auf die
Authentifizierung gebrauchen.
Frage da, Benutzername gültig
Können die Benutzer die Sicherheitsfrage selbst wählen, werden
gültige Benutzernamen allein schon am Vorhandensein der Frage erkannt:
Gibt es eine Sicherheitsfrage, existiert …
Donnerstag, 7. Januar 2010
About Security #237: Schwachstellen-Suche: Sichere Authentifizierung (6)
Wie er Zugriff auf die Webanwendung erlangt, ist einem Angreifer im
Allgemeinen egal. Kann er die Authentifizierung nicht bei der normalen
Anmeldung überwinden, sucht er nach anderen Möglichkeiten,
Zugangsdaten auszuspähen oder zu manipulieren. Auch jede Funktion,
die nur indirekt den Zugriff auf die Anwendung erlaubt, ist daher ein
mögliches Angriffsziel. So auch die Funktion zum Zurücksetzen
des …
Donnerstag, 31. Dezember 2009
About Security #236: Schwachstellen-Suche: Sichere Authentifizierung (5)
Gegen Brute-Force-Angriffe, bei denen eine Liste mit einer große
Anzahl ermittelter oder erratener Benutzernamen der Reihe nach mit einem
einzelnen Passwort durchprobiert wird, helfen die üblichen
Gegenmaßnahmen nicht. Wie in About Security
#235
erwähnt, sind die Erfolgsaussichten eines solchen Angriffs gar nicht
mal schlecht, vor allem dann nicht, wenn die Webanwendung sehr viele
Benutzer hat und …
Donnerstag, 24. Dezember 2009
About Security Weihnachts-Special: Lesetips zur Web-Sicherheit
Auch in diesem Jahr gibt es das schon traditionelle Weihnachts-Special von
About Security. Diesmal mit einer bunten Sammlung an Artikeln,
Präsentationen und Tools rund ums Thema "Web-Sicherheit".
Browser-Sicherheit
Zentraler Anlaufpunkt, wenn es um Fragen der Sicherheit des Webbrowsers
geht, ist das
Browser Security Handbook (BSH)
von Michal Zalewski, das als …
Donnerstag, 17. Dezember 2009
About Security #235: Schwachstellen-Suche: Sichere Authentifizierung (4)
Mit Brute-Force-Angriffen lassen sich schwache Passwörter brechen (und
mit etwas Pech auch stärkere). Da man schwache Passwörter nicht
mit Sicherheit verhindern kann, muss man Brute-Force-Angriffe verhindern
oder zumindest erschweren.
5. Brute-Force-Angriffe verhindern
Sämtliche zur Authentifizierung gehörenden Funktionen müssen
vor automatisierten Angriffen geschützt werden. Außer der
Login-Funktion selbst betrifft das z.B. auch die Funktionen …
Donnerstag, 10. Dezember 2009
About Security #234: Schwachstellen-Suche: Sichere Authentifizierung (3)
Die Entwicklung sicherer Authentifizierungssysteme bzw. die Behebung
gefundener Schwachstellen ist auch das Thema dieser Folge. Zur bereits in
About Security
#233
behandelten korrekten Prüfung der Zugangsdaten gehört auch die
richtige Reaktion auf Fehler bzw. mögliche Angriffe.
Die Anwendung sollte auf alle unerwarteten Eingaben oder Ereignisse
während der Authentifizierung sehr restriktiv reagieren. Wenn ein
Fehler …
Mittwoch, 9. Dezember 2009
Patchday - Microsoft stopft 12 Schwachstellen, Adobe mindestens 7
Am Dezember-Patchday hat Microsoft wie
angekündigt
3 als kritisch und 3 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 12 Schwachstellen behoben werden, darunter die Ende
November veröffentlichte
0-Day-Schwachstelle
im Internet Explorer. Von den restlichen 11 Schwachstellen war nur eine
weitere vor der Veröffentlichung der Security Bulletins
öffentlich
bekannt, alle anderen wurden …
Donnerstag, 3. Dezember 2009
About Security #233: Schwachstellen-Suche: Sichere Authentifizierung (2)
Die Entwicklung sicherer Authentifizierungssysteme bzw. die Behebung
gefundener Schwachstellen ist auch das Thema dieser Folge.
Zur Vervollständigung der in About Security
#232
aufgeführten Regeln zur sicheren Verwendung bzw. Verarbeitung der
Zugangsdaten fehlt noch ein Punkt: Wenn möglich, sollte ein Teil der
Zugangsinformationen über ein Drop-Down-Menü statt über ein
Textfeld abgefragt werden, um einen …
Donnerstag, 26. November 2009
About Security #232: Schwachstellen-Suche: Sichere Authentifizierung
Nachdem es nun einige Folgen lang um die Suche nach Schwachstellen in der
Authentifizierung ging, geht es ab dieser Folge um deren Behebung bzw. die
Entwicklung sicherer Authentifizierungssysteme.
Viele Wünsche auf einmal
Ein sicheres Authentifizierungssystem muss viele Wünsche bzw.
Anforderungen auf einmal erfüllen, denn es muss sowohl sicher als auch
einfach zu …
Donnerstag, 19. November 2009
About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
Außer den in About Security
#230
beschriebenen Implementierungsfehlern in mehrstufigen
Authentifizierungssystemen gibt es weitere.
Falsche Frage
Um einmal z.B. über Phishing ausgespähte Zugangsdaten für
den Angreifer wertlos zu machen, erfordern manche mehrstufigen
Authentifizierungssysteme nach der Eingabe von Benutzername und Passwort
z.B. die Beantwortung einer von mehreren geheimen Fragen oder die Eingabe
bestimmter Zeichen …
Donnerstag, 12. November 2009
About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
Auch ein gut entworfenes, theoretisch absolut sicheres
Authentifizierungssystem kann durch Implementierungsfehler unsicher werden.
Das können z.B. Informationslecks sein, eine Möglichkeit zum
direkten Umgehen des Authentifizierungssystems oder eine allgemeine
Schwächung des Systems.
Implementierungsfehler sind schwieriger zu finden als Designfehler wie ein
fehlender Schutz vor Brute-Force-Angriffen oder unsichere Regeln für
Passwörter. Daher ist eine allgemeine Beschreibung schwierig, …
Mittwoch, 11. November 2009
Patchday - Microsoft stopft 15 Schwachstellen, davon 8 in Excel
Am November-Patchday hat Microsoft wie
angekündigt
3 als kritisch und 3 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 15 Schwachstellen behoben werden, davon allein 8 in
Excel. Alle Schwachstellen wurden Microsoft vertraulich gemeldet,
lediglich eine davon wurde danach noch anderweitig veröffentlicht.
Die kritischen Bulletins
MS09-063 - …
