Selbst-Hacking: Web-Apps vor Angreifern schützen

Inhaltsverzeichnis

Eine Welt ohne Webapplikationen ist heute undenkbar, sie sind allgegenwärtig. Gegenüber herkömmlichen Desktop-Anwendungen bieten sie einige Vorteile: Benutzer müssen sich nicht um Updates kümmern, Systemanforderungen beschränken sich auf einen aktuellen Webbrowser und eine funktionierende Internetverbindung; außerdem sind Webapplikationen günstiger in Entwicklung und Instandhaltung.

Also wo ist der Haken? Neben regulatorischen Fragen, die beispielsweise mit dem Speichern von Daten auf externen Servern aufkommen, hat sich über die Jahre gezeigt, dass Webanwendungen böswilligen Akteuren im Netz reichlich Angriffsfläche bieten. Webapplikationen können von vielen unterschiedlichen Schwachstellen betroffen sein. Cross-Site Scripting (XSS), SQL Injections, Man-in-the-Middle- und Denial-of-Service-Angriffe sind nur einige davon. Solche Schwachstellen können den Crash des betroffenen Dienstes, das Abfließen vertraulicher Informationen oder gar das (unbemerkte) Übernehmen der zugrunde liegenden IT-Infrastruktur durch Kriminelle zur Folge haben. Auch Web-APIs rücken zunehmend in den Fokus von Angreifern.

Tutorial IT-Security: Selbst-Hacking

• Teil 1: Scannen und Verifizieren der eigenen Systeme
• Teil 2: Webapplikationen angreifen
• Teil 3: Auditieren interner Netzwerke, Domänen und Systeme
• Teil 4: Sammeln öffentlich verfügbarer Informationen und Analysieren der Angriffsfläche
• Teil 5: Überprüfen von Cloud-Umgebungen

Georg Bube

Georg Bube ist Senior Penetration Tester bei der Oneconsult Deutschland AG in München. Im Laufe der Jahre hat er zahlreiche Web Application Penetration Tests in unterschiedlichsten Branchen durchgeführt.

Um diese Bedrohungen zu minimieren, führen viele Unternehmen heutzutage Sicherheitsüberprüfungen ihrer Webapplikationen durch. Im Rahmen unserer Web Application Penetration Tests treffen meine Kollegen und ich bei vielen Projekten auf einige immer wiederkehrende Risiken. Diese könnten Unternehmen oft mit relativ wenig Aufwand auf eigene Faust identifizieren, um sie im Anschluss angemessen zu behandeln. Beispiele für solche Risiken sind das Preisgeben verwendeter Softwareversionen, das Verwenden veralteter Software, öffentlich zugängliche Admin-Oberflächen – schlimmstenfalls ohne Zugriffsschutz oder mit Standardpasswörtern – sowie fehlende sicherheitsrelevante HTTP-Header oder Cookie-Flags, die die Systeme und Applikationen auf einfache Weise besser härten würden. Dieser Artikel stellt einige frei verfügbare Werkzeuge vor, mit deren Hilfe selbst entwickelte oder eingekaufte Webapplikationen größtenteils automatisiert auf solche Einfallstore hin untersucht werden können.

Das war die Leseprobe unseres heise-Plus-Artikels " Selbst-Hacking: Web-Apps vor Angreifern schützen". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen

E-Book-Reader werden bunt: Wir testen Tolino Shine Color, Pocketbook Era Color, Pocketbook Inkpad Color 3 und Boox Note Air3 C.

• E-Books leihen

---

Prompt-Engineering erklärt: Von der Kunst, die KI zu nutzen

Unternehmen wollen jetzt den nächsten Schritt gehen und die Anwendung von KI professionalisieren. Für Mitarbeiter bleibt Frage, ob ihr Job in Gefahr ist.

• Einsteiger-Guide KI

---

Keller trocknen: Das Taupunktlüftungssystem im Smart Home betreiben

Nach dem Hochwasser bleiben oft die Kellerwände feucht. Da hilft das selbstgebaute Taupunkt-Lüftungssystem, hier in der Smart-Home-Version.

---

Speicherverbrauch in Mikrocontrollern erklärt

Dieser Artikel erklärt, wo im Arbeitsspeicher (RAM) welche Art von Daten gespeichert werden.

---

Netzwerkspeicher im Test: 2,5- und 10-GBit/s-NAS von Ugreen

Ugreen tritt im NAS-Markt als Neuling an. Wir haben das Einstiegsmodell DXP2800 und das günstigste Gerät mit 10-Gigabit-Ethernet DXP4800 Plus erprobt.

---

Gehälter 2024: Das verdienen Admins in Deutschland​

Firmen suchen händeringend nach IT-Admins. Sie sind der Grundstein für eine gute technische Infrastruktur. Wir zeigen, was Administratoren verdienen.

• Gehaltsverhandlungs-Tricks

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen

E-Book-Reader werden bunt: Wir testen Tolino Shine Color, Pocketbook Era Color, Pocketbook Inkpad Color 3 und Boox Note Air3 C.

• E-Books leihen

---

Prompt-Engineering erklärt: Von der Kunst, die KI zu nutzen

Unternehmen wollen jetzt den nächsten Schritt gehen und die Anwendung von KI professionalisieren. Für Mitarbeiter bleibt Frage, ob ihr Job in Gefahr ist.

• Einsteiger-Guide KI

---

Keller trocknen: Das Taupunktlüftungssystem im Smart Home betreiben

Nach dem Hochwasser bleiben oft die Kellerwände feucht. Da hilft das selbstgebaute Taupunkt-Lüftungssystem, hier in der Smart-Home-Version.

---

Speicherverbrauch in Mikrocontrollern erklärt

Dieser Artikel erklärt, wo im Arbeitsspeicher (RAM) welche Art von Daten gespeichert werden.

---

Netzwerkspeicher im Test: 2,5- und 10-GBit/s-NAS von Ugreen

Ugreen tritt im NAS-Markt als Neuling an. Wir haben das Einstiegsmodell DXP2800 und das günstigste Gerät mit 10-Gigabit-Ethernet DXP4800 Plus erprobt.

---

Gehälter 2024: Das verdienen Admins in Deutschland​

Firmen suchen händeringend nach IT-Admins. Sie sind der Grundstein für eine gute technische Infrastruktur. Wir zeigen, was Administratoren verdienen.

• Gehaltsverhandlungs-Tricks