© saicle/Shutterstock.com
Server, Client, Protokolle ... - Wie steht es aktuell um die Sicherheit im Web?

Alles sicher oder was?


Die Zeit der Schwachstellen und Angriffe mit klangvollen Namen wie ShellShock und Heartbleed scheint vorbei zu sein. Aber auf den Sicherheitskonferenzen wurden trotzdem etliche neue bzw. verbesserte Angriffe vorgestellt.

Erinnern Sie sich noch? 2014 sah es zeitweise so aus, als ginge das ganze Internet in Flammen auf. Immer neue Schwachstellen und Angriffe mit klangvollen Namen wie ShellShock, Heartbleed, Poodle und Co. wurden entdeckt, und man kam aus dem Patchen kaum noch heraus [1], [2].

2016 konnte nicht mit so schönen Namen für seine Schwachstellen aufwarten, und zugegeben, auch nicht mit derartig spektakulären. Trotzdem wurden auf den Sicherheitskonferenzen zig Vorträge zu neuen oder verbesserten Angriffen auf, Schwachstellen in und Schutzmaßnahmen für Webanwendungen, -server und -clients gehalten. Zeit, da mal einen Blick drauf zu werfen.

Vertrauen Sie einer Web-Application-Firewall?

Vladimir Ivanov hat sich die Erkennungslogik einiger Web-Application-Firewalls genauer angesehen und seine Forschungsergebnisse auf der Black Hat USA 2016 vorgestellt [3]. Und die haben es in sich, denn er konnte mehr als fünfzehn neue Möglichkeiten vorstellen, um WAFs zu umgehen. Der Workflow aller WAFs läuft ungefähr gleich ab:

  • Stufe 1: Parsen der vom Client empfangenen HTTP(S)-Pakete

  • Stufe 2: Auswahl des zu verwendenden Regelsatzes auf Basis des Typs der empfangenen Parameter

  • Stufe 3: Normalisieren der Daten

  • Stufe 4: Anwenden der Erkennungslogik

  • Stufe 5: Treffen der (hoffentlich) korrekten Entscheidung

Die Erkennungslogik hakt manchmal ein bisschen ...

Die meisten WAFs verwenden für die Erkennungslogik reguläre Ausdrücke. Nur Repsheet (Reputationslösung), HMM (Anomalieerkennung), libinjection (Tokenizer) und NAXSI (Score Builder) verfolgen andere Ansätze zur Erkennung der Angriffe. Konsequenterweise hat sich Vladimir Ivanov bei seinen Untersuchungen auf die regulären Ausdrücke konzentriert, und zwar die gut 500 Stück von OWASP CRS2, CRS3dev und CRS3rc1 für ModSecurity, PHPIDS, Comodo WAF und QuickDefense. Er ist bei diesen auf über 300 möglicherweise umgehbare Regeln gestoßen, die folgendermaßen zu unterteilen sind:

  • Syntax Bypass: Die Regel ist falsch formuliert, sodass entsprechend aufgebaute Angriffe nicht erkannt werden, siehe auch das Regexp Security Cheatsheet [4].

  • Logical Bypass: Ein Logikfehler in einer Blacklist führt dazu, dass entsprechend aufgebaute Angriffe nicht erkannt werden.

  • Unexpected by primary logic bypass: Die Webanwendung oder Teile davon wi...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang