© best_vector/Shutterstock.com
Windows Developer
Erst wurde der Client angegriffen, nun ist der Server dran

Websecurity 2016: Angriffe auf Webserver

Auf fast jeder Sicherheitskonferenz, auf der es thematisch passt, gibt es Vorträge zu neuen und/oder verbesserten Angriffen auf Webclient, Webanwendung, Webserver oder Webbrowser.

Carsten Eilers


Warum das so ist, hatte ich bereits in der vorigen Heftausgabe erklärt [1]: Alles, was ein „Web“ vorne stehen hat, hat für die Angreifer zwei große Vorteile: Sie können es im Allgemeinen leicht erreichen, und es gibt dort meist sowohl Möglichkeiten zum Einschleusen von Code als auch zum Ausspähen interessanter Informationen. Aber kommen wir zu den auf den Sicherheitskonferenzen vorgestellten Angriffen und Schwachstellen. In dieser Ausgabe dreht sich alles um Webanwendung und -server. Die kann man durch eine Web Application Firewall (WAF) vor möglichen Angriffen schützen. Bösartige Requests sollen von der WAF blockiert werden, sodass sie die Webanwendung und den Webserver gar nicht erst erreichen. Das ist gut, wenn es funktioniert, da Anwendung und Server dann von der Abwehr der Angriffe entlastet werden, und schlecht, wenn es nicht funktioniert und Angriffe die ungeschützte Anwendung und ihren Server erreichen.

WAFs umgehen

George Argyros und Ioannis Stais haben auf der Black Hat Europe 2016 gezeigt, wie sich WAFs umgehen lassen [2]. WAFs überwachen ein- und ausgehenden Netzwerkverkehr, also HTTP Requests und Responses, um Angriffe zu erkennen und möglichst abzuwehren sowie das Abfließen von Informationen zu verhindern. Request und Response werden von Regeln überprüft. Die beiden Forscher haben mithilfe maschinellen Lernens Modelle der WAFs erstellt. Danach wurde daraus manuell oder automatisiert eine Grammatik konstruiert, die mögliche Angriffe beschreibt, die anschließend ausprobiert wurden. Konnten so keine Angriffsmöglichkeiten gefunden werden, wurde zur weiteren Analyse ein Modell der WAF aus regulären Ausdrücken konstruiert. Mit diesen Ansätzen fanden die Forscher mehr als zehn zuvor unbekannte Schwachstellen in populären WAFs wie ModSecurity, PHPIDS und Expose, über die sie die Firewall umgehen und SQL Injection- und XSS-Angriffe durchführen konnten. Die vorgestellten Techniken wurden in einem Open-Source-Python-Framework namens LightBulb implementiert, mit dem sich WAFs testen lassen [3].

Falls Sie eine Webanwendung durch eine WAF schützen, seien Sie sich also nicht zu sicher, dass sie wirklich alle Angriffe abfängt. Eine Webanwendung muss auch ohne zusätzlichen Schutz sicher sein, denn sonst ist sie Angriffen schutzlos ausgeliefert, sobald der Schutz ausfällt oder durchbrochen werden kann. Die von George Argyros und Ioannis Stais entwickelten Ansätze und ihre Implementierung in Form von LightBulb zeigen, dass das durchaus ein reales Problem ist.

La...

Windows Developer
Erst wurde der Client angegriffen, nun ist der Server dran

Websecurity 2016: Angriffe auf Webserver

Auf fast jeder Sicherheitskonferenz, auf der es thematisch passt, gibt es Vorträge zu neuen und/oder verbesserten Angriffen auf Webclient, Webanwendung, Webserver oder Webbrowser.

Carsten Eilers


Warum das so ist, hatte ich bereits in der vorigen Heftausgabe erklärt [1]: Alles, was ein „Web“ vorne stehen hat, hat für die Angreifer zwei große Vorteile: Sie können es im Allgemeinen leicht erreichen, und es gibt dort meist sowohl Möglichkeiten zum Einschleusen von Code als auch zum Ausspähen interessanter Informationen. Aber kommen wir zu den auf den Sicherheitskonferenzen vorgestellten Angriffen und Schwachstellen. In dieser Ausgabe dreht sich alles um Webanwendung und -server. Die kann man durch eine Web Application Firewall (WAF) vor möglichen Angriffen schützen. Bösartige Requests sollen von der WAF blockiert werden, sodass sie die Webanwendung und den Webserver gar nicht erst erreichen. Das ist gut, wenn es funktioniert, da Anwendung und Server dann von der Abwehr der Angriffe entlastet werden, und schlecht, wenn es nicht funktioniert und Angriffe die ungeschützte Anwendung und ihren Server erreichen.

WAFs umgehen

George Argyros und Ioannis Stais haben auf der Black Hat Europe 2016 gezeigt, wie sich WAFs umgehen lassen [2]. WAFs überwachen ein- und ausgehenden Netzwerkverkehr, also HTTP Requests und Responses, um Angriffe zu erkennen und möglichst abzuwehren sowie das Abfließen von Informationen zu verhindern. Request und Response werden von Regeln überprüft. Die beiden Forscher haben mithilfe maschinellen Lernens Modelle der WAFs erstellt. Danach wurde daraus manuell oder automatisiert eine Grammatik konstruiert, die mögliche Angriffe beschreibt, die anschließend ausprobiert wurden. Konnten so keine Angriffsmöglichkeiten gefunden werden, wurde zur weiteren Analyse ein Modell der WAF aus regulären Ausdrücken konstruiert. Mit diesen Ansätzen fanden die Forscher mehr als zehn zuvor unbekannte Schwachstellen in populären WAFs wie ModSecurity, PHPIDS und Expose, über die sie die Firewall umgehen und SQL Injection- und XSS-Angriffe durchführen konnten. Die vorgestellten Techniken wurden in einem Open-Source-Python-Framework namens LightBulb implementiert, mit dem sich WAFs testen lassen [3].

Falls Sie eine Webanwendung durch eine WAF schützen, seien Sie sich also nicht zu sicher, dass sie wirklich alle Angriffe abfängt. Eine Webanwendung muss auch ohne zusätzlichen Schutz sicher sein, denn sonst ist sie Angriffen schutzlos ausgeliefert, sobald der Schutz ausfällt oder durchbrochen werden kann. Die von George Argyros und Ioannis Stais entwickelten Ansätze und ihre Implementierung in Form von LightBulb zeigen, dass das durchaus ein reales Problem ist.

La...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang