Zero-Day-Schwachstellen finden und Angriffe verhindern

Um problematische Codestellen und gefährliches Verhalten von Anwendungen ausfindig zu machen, gibt es teils kostenlose Analysewerkzeuge.

Artikel verschenken

24.10.2024, 10:00 Uhr

Lesezeit: 20 Min.

iX Magazin

Von

Jonas Hagg
Stephan Brandt

Zero-Day-Schwachstellen finden und Angriffe verhindern
- Authentifizierungsmechanismen untersuchen
Welche IP-Adressen akzeptiert die Anwendung?
Scanner warnt vor möglicher IP-Adressen-Fälschung
Anfällig für das Einschleusen von Befehlen
KI-Werkzeuge – nützlich oder nicht?
Fazit

Artikel in iX 11/2024 lesen

Im ersten Artikel zu den Grundlagen der Schwachstellenanalyse wurde mit den passenden Werkzeugen der Code einer Anwendung systematisch nach möglichen Schwachstellen durchsucht. So entstand dort eine Liste potenzieller Anfälligkeiten für Exploits, die immer weiter verfeinert wurde.

Der zweite Teil soll zeigen, wie man die Authentifizierung, eines der Haupthindernisse für einen funktionierenden Angriff, umgeht und die Schwachstelle letztlich findet.

Wenn es gelingt, die Authentifizierung zu umgehen, kann man einen funktionierenden Angriff für eine Applikation konstruieren und den unbekannten Schwachstellen auf die Spur kommen.
Hilfreich bei der Suche ist neben einer Codeanalyse die Methode des Fuzzing, bei der man zahlreiche bekannte Angriffe durchprobiert.
KI-Werkzeuge bieten bei der Schwachstellensuche noch keine Vorteile gegenüber den herkömmlichen Methoden.

Stephan Brandt ist Penetration Tester bei der Oneconsult Deutschland AG. Neben den Tests beschäftigt er sich mit der automatisierten Auswertung und Dokumentation von Scanergebnissen.

Jonas Hagg ist Penetrationstester bei der Oneconsult Deutschland AG. Er beschäftigt sich mit aktuellen Sicherheitsproblemen in Webanwendungen und APIs

Da für die Software Cacti bis Version 1.2.22 eine verwundbare Testumgebung zur Verfügung steht, kann man den im vorigen Artikel untersuchten Endpunkt im Browser ansprechen und einen Angriff konstruieren. Beim Aufrufen des Skripts remote_agent.php gibt die Applikation eine Fehlermeldung zurück.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Apple: Wie die Airpods Pro 2 in iOS 18.1 dem Gehör helfen

Mit den Hörhilfen in iOS 18.1 umwirbt Apple vor allem Senioren. Die Airpods 2 Pro helfen aber auch Jüngeren, Hörschäden gar nicht erst entstehen zu lassen.

Festnetzanschluss mit Smartphone nutzen

Man kann ein Smartphone über den Festnetzanschluss nutzen. Das bringt Kostenvorteile für die anrufende Verwandtschaft und spart besonders im Ausland Gebühren.

Kindle Colorsoft: Erster Eindruck von Amazons E-Reader mit Farbdisplay

Amazon schickt mit dem Kindle Colorsoft Signature Edition seinen ersten farbfähigen E-Book-Reader ins Rennen. Kaufpreis knapp 300 Euro. Ein erster Eindruck.

, Proxima Studio, stock.adobe.com; Montage: Mac & i

Gesundheitsdaten in Eigenregie analysieren: So macht man das mit iPhone und Mac

Viele Gesundheits-Apps möchten, dass man seine Daten auf Server der Hersteller überträgt. Wer das verhindern will, speichert seine Ergebnisse selbst. So geht's.

VW ID Buzz, vor dem eine Familie mit vier Kindern steht

Elektroautos mit viel Platz: Was elektrische Siebensitzer tatsächlich kosten

EV9, Zafira Electric, EQB, ID. Buzz: Wer mehr als fünf Sitze benötigt, hat diese vier Modelle womöglich auf dem Zettel. Wir nennen die monatlichen Kosten.

Goodbye Notion: Mit Apple-Apps Erinnerungen und Notizen den Alltag organisieren

Tools wie Notion sind mächtig, aber komplex. Für vieles reichen Apple-Apps wie "Erinnerungen" völlig aus: Sie organiseren Alltag und Beruf auf elegante Weise.

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}