Zero-Day-Schwachstellen finden und Angriffe verhindern

Um problematische Codestellen und gefährliches Verhalten von Anwendungen ausfindig zu machen, gibt es teils kostenlose Analysewerkzeuge.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht
Lesezeit: 20 Min.
Von
  • Jonas Hagg
  • Stephan Brandt
Inhaltsverzeichnis

Im ersten Artikel zu den Grundlagen der Schwachstellenanalyse wurde mit den passenden Werkzeugen der Code einer Anwendung systematisch nach möglichen Schwachstellen durchsucht. So entstand dort eine Liste potenzieller Anfälligkeiten für Exploits, die immer weiter verfeinert wurde.

Der zweite Teil soll zeigen, wie man die Authentifizierung, eines der Haupthindernisse fĂĽr einen funktionierenden Angriff, umgeht und die Schwachstelle letztlich findet.

iX-tract
  • Wenn es gelingt, die Authentifizierung zu umgehen, kann man einen funktionierenden Angriff fĂĽr eine Applikation konstruieren und den unbekannten Schwachstellen auf die Spur kommen.
  • Hilfreich bei der Suche ist neben einer Codeanalyse die Methode des Fuzzing, bei der man zahlreiche bekannte Angriffe durchprobiert.
  • KI-Werkzeuge bieten bei der Schwachstellensuche noch keine Vorteile gegenĂĽber den herkömmlichen Methoden.
Rund ums Thema Sicherheit
Stephan Brandt

Stephan Brandt ist Penetration Tester bei der Oneconsult Deutschland AG. Neben den Tests beschäftigt er sich mit der automatisierten Auswertung und Dokumentation von Scanergebnissen.

Jonas Hagg

Jonas Hagg ist Penetrationstester bei der Oneconsult Deutschland AG. Er beschäftigt sich mit aktuellen Sicherheitsproblemen in Webanwendungen und APIs

Da fĂĽr die Software Cacti bis Version 1.2.22 eine verwundbare Testumgebung zur VerfĂĽgung steht, kann man den im vorigen Artikel untersuchten Endpunkt im Browser ansprechen und einen Angriff konstruieren. Beim Aufrufen des Skripts remote_agent.php gibt die Applikation eine Fehlermeldung zurĂĽck.

Das war die Leseprobe unseres heise-Plus-Artikels "Zero-Day-Schwachstellen finden und Angriffe verhindern". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.