Please enable JavaScript.
Coggle requires JavaScript to display documents.
WebSecurity 2017 OWASP Top 10 (Sicherheistrisikien (7: Cross Site…
WebSecurity 2017 OWASP Top 10
Einfürung
aktuelle Entwicklungen
digitale Transformation
zunehmende Verntzung IoT
zunehmende Zugänglichkeit
größere Datenmengen
OpenWebSecurityProject
Gründung 2001
offene Community
Werkzeuge
Standard
Forschung
grundlegende Sicherheitsmaßnahmen
Top10 erstmal 2003
Risikoermittlung
Übersicht Top 10
Neuigkeiten
neue Technologien
beschelunigte Entwicklungsprozesse
verstärkter Einsatz vom Fremdbibs
Fortschritte im Hacking
neue Gefährdung Insufficient Attack Protection
Neue Gefährdung Underprotected APIs
Forward Looking items über Umfrage
XML External Entity
Insecure Deserialization
insufficient Logging & Monitoring
Neue Handschrift nach Management Change
Lücken werden avg nach 200 Tagen erkannt
Sicherheistrisikien
1: Injection
textbasierter Angriff
Dtane und Steuerkanal werden vermischt
Datenverlust und Manipulation
Konsequente Verwendung von Prepared Statement
Inputvalidierung
z.B. Whitelist || Blacklist
Validierung im Front und Backend
statische Codeanalyse
Tools
sqlmap
sqlninja
2: Fehler im Authentifizierung und SessionManagement
SessionHijacking
Session Fixation
Potenzielle Ausführung aller Aktionen des Opfer Accounts
URL-reqrites
sessionId in der mail
jsessionIds in referredLogs
Verwerfen ser SessionId nach login
Durchgängige Nutzung von Https
Frühzeitige Plaung von Authetifizierung und Autorisierung
rechteüberprüfung im Backend
Verwendung von Frameowrks: Spring Security, Apache Shiro etc
3: Verlust der Vertraulichkeit sensibler Daten
4: XML External Entity
Offenlegung interner Schnittstellen und Entitäen
s. MillionLaughAttacks
Deactivierung der Verwendung von XML
Upgrade von Libs
XXE prevention Cheat Sheet
5: Fehler in Zugriffskontrollen
Nicht korrekt gesicherte Dtaen
Daten können entwendet werden
unverifizierte Daten in SQL
Navigation in ungeschützte Seiten
6: Sicherheitsrelevante Fehlkonfiguration
Fehlerhafte Konfiguration
regelmäßige Updates
vollständige Systemübernahme
Rückgabe von StackTraces an User
Activiertes Directory Listing
Nicht entfernte testApps
7: Cross Site Scripting
InputValidierung
Im Context des Nutzers
textbasierter Angriff
Benutzerdaten werden ausgelesen
Persistente Variante
Reflectiertes CrossSiteScripting
DOM Basierte Variante
http-only / secure in web.xml
Inputvalidierung durch Positivlisten
8: Unsicher Deserialisierung
Gadget in Serverseite
z.B. Apache Commons Collection
Remote Code Execution
Abwehrmaßnahmen
Kompletter Verzicht auf Java Serialisierung
Einspielen von Patches
Cheat Sheet beachten
9: Nutzung vom komponeten mit bekannten Schwachstellen
Muss kontinuierlich geprüft werden
Continuous Integration
einführen virteuller Patches
10: Unzureichendes Logging und Monitoring
prüfbare Ergebnisse
Monitoring einführen
Alamierung bei Grenzwertüberschreiten
Große Spannbreite von Auswirkungen
Automatisierter Injection-Angriff
Tools: AppSensor
Einbau von DetectionPoints
Fazit
Schaffung von Awareness
Security als Thema duaerhafter Relevanz
Hacking in Web (Buch)
Java Web Security(Buch)