c't 5/2022
S. 160
Praxis
Web-Sicherheitslücken aufspüren
Bild: Andreas Martini

Hackerspielplatz

Websites hacken mit ZAP

Wenn Ihre Website ein Sicherheitsleck hat, fällt Ihnen das vielleicht nicht auf – Cyberkriminellen dagegen schon. Diese Kriminellen suchen automatisiert nach kritischen Lücken, um daraus Profit zu schlagen. Mit unserer Anleitung finden Sie die gröbsten Fehler selbst, bevor es die Bösen tun.

Von Alexander Königstein

Bevor Sie eine Website im Internet veröffentlichen, sollten Sie sie auf Schwachstellen überprüfen. Sonst müssen Sie damit rechnen, dass Ihnen Hacker zuvorkommen. Mit automatischen Tests können Sie zumindest die gröbsten Sicherheitsprobleme frühzeitig entdecken. Hierfür können Sie Zed Attack Proxy (ZAP) nutzen. Die Software ist Open Source, kostenlos, vielseitig und wird von Sicherheitsforschern entwickelt. ZAP hilft darüber hinaus auch bei der manuellen Suche nach weiteren Programmierfehlern.

Um mit dem Tool warmzuwerden, eignet sich das Übungsziel „WackoPicko“: In der Demo-Website wurden absichtlich Sicherheitslücken eingebaut, die Sie mit ZAP leicht aufspüren können. Da Sie ZAP nur gegen Ihren eigenen lokalen Webserver einsetzen, können Sie sich legal an diesem Testobjekt austoben – ohne eines Tages von der Polizei aus dem Schlaf geklingelt zu werden.

Kommentare lesen (1 Beitrag)