Seite 4: Fazit

Inhaltsverzeichnis

Die Tools rund um Kali & Co sollen zeigen, dass es besser ist, statt entstandene Schäden zu beseitigen, kriminellen Cyberangreifern einen Schritt voraus zu sein. Dazu sollten sich Entwickler mit deren Herangehensweise und Tools vertraut machen. Dann sind sie nur noch einen Schritt vom Ethical Hacker entfernt. Deren Spezialwissen ist begehrt, denn die Bedrohung durch Cyberkriminalität wächst Jahr für Jahr – nicht nur in Deutschland. Mit dem Ethical Hacker und Penetrationstests wollen sich immer mehr Unternehmen gegen Cyberattacken wappnen.

Gerade die externe Betrachtung kann helfen, vor Betriebsblindheit zu schützen. Dabei sollte man eben wie echte Angreifer vorgehen, optimalerweise auch verdeckt. Es sollte nur ein kleiner Personenkreis von der "Hacker-Attacke" wissen, um ein realistisches Bild zu liefern. Eine einigermaßen gut konfigurierte Webanwendung verrät nicht sehr viel:

root@57d2d48dd2f5:/# nikto -host www.holisticon.de -C all
- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP:          85.214.158.97
+ Target Hostname:    www.holisticon.de
+ Target Port:        80
+ Start Time:         2018-05-23 05:36:45 (GMT0)
---------------------------------------------------------------------------
+ Server: nginx
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ Root page / redirects to: https://www.holisticon.de/
+ ERROR: Error limit (20) reached for host, giving up. Last error: error reading HTTP response
+ Scan terminated:  20 error(s) and 3 item(s) reported on remote host
+ End Time:           2018-05-23 05:43:43 (GMT0) (418 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Weitere Details zu konkreten Schritten folgen im dritten Teil dieser Artikelserie.

Martin Reinhardt
arbeitet als Architekt bei der Management- und IT-Unternehmensberatung Holisticon AG. Er beschäftigt sich dort mit der Architektur komplexer verteilter Systeme, modernen Webarchitekturen und Build Management. Als Software Craftsman sind ihm pragmatische Lösungen, gerade vor dem Aspekt der Sicherheit und Automatisierung in Continuous Delivery wichtig.

Online-Quellen

• Online-Kurs zum Selberhacken (englisch)
• Beispiel mit Security-Checks in Jenkins

(ane)