#30daysofsecuritytesting – 8

Aufgabe 8: Use a proxy toll to observe web traffic in web or mobile application

Ich habe mich dafür entschieden Burp Suite an meinen Chrome-Browser anzubinden. Nach dem Installieren von Burp Suite war ich zunächst erstmal erschlagen von den 13 Haupt-Tabs – ja, ich habe nachgezählt ;) – die nach dem Start des Programmes zu sehen sind. Die Konfiguration ging leicht von der Hand, auch weil sich mein neuerworbenes Buch „Hacking im Web“ von Tim Phillipp Schäfers dem Tool, dessen Konfiguration und den meistgenutzten Funktionen auf etwas mehr als 10 Seiten widmet.
Die interessanteste Erkenntnis bei meinem ersten Überflug war der BApp Store – über den Tab „Extender“ zu finden, sind hier meist kostenlose Erweiterungen für Burp Suite verfügbar. Hier kann man beispielsweise Erweiterungen finden zur Anzeige und Analyse von PDF-Dateien, zur Durchführungen von SQL-Injections und vielem mehr.

burpsuite_bappstore

#30DaysOfSecurityTesting – 7

Aufgabe 7: Learn one or more things about penetration testing

Penetrationtests und die deutsche Gesetzgebung

Mit Penetrationstests befindet man sich auf sehr dünnem Eis, das sollte der Pen-Test von Erfolge gekrönt sein, augenblicklich bricht. Laut deutscher Rechtsprechung sind Penetrationstests nur erlaubt, wenn der Testdurchführende eine eindeutige Befugnis durch den Eigentümer des Testobjekts besitzt (Quelle: Wikipedia).

Der „gute“ Vorsatz – ich will nur helfen und aufzeigen wo Sicherheitslücken sind – schützt in diesem Fall vor Strafe nicht. Den sobald man unberechtigt an Daten gelangt oder durch den Penetrationstest selbst technische Probleme auftreten (z.B. Serverausfall) ist es ein Fall für deutsche Gerichte. Wie ein Penetrationstest durchgeführt werden sollte, darüber hat das Bundesamt für Sicherheit in der Informationstechnik eine Studie erarbeitet, welches sich an Auftraggeber und Beauftragten gleichermaßen richtet – hier zur Studie.

#30DaysOfSecurityTesting – 6

Aufgabe 6: Explore these sites: Google Gruyere; hackyourself first; ticket magpie; the bodgeit store

Wer sich mit security testing beschäftigt, kommt früher oder später an den Punkt, auch mal was praktisch machen zu wollen. Hmm, wirklich probieren, ob es Schwachpunkte am Bankautomaten gibt und es mehr Geld gibt, als auf dem Konto ist oder probieren ob man per SQL Injection über eine Website ein paar Informationen mehr herausbekommt.

Nein, der bessere Weg sind Google Gruyere und Co. Google Gruyere ist eine Webapplikation, die es erlaubt sich im Finden und Beheben von Sicherheitslücken zu trainieren ohne ins Illegale abzurutschen. Es sind verschieden Schwachstellen integriert, die es zu finden und beheben gilt. Hierbei kann sowohl black box hacking (Angriffe von außen, ohne Zugriff auf den Code) als auch white box hacking (Zugriff auf Source-Code und Möglichkeit von manuellen und automatisierten Schwachstellenanalyse) und deren Kombination geübt werden. Google Grueyere kann ebenfalls lokal installiert werden und dann nach Herzenslaune manipuliert werden.

#30DaysOfSecurityTesting – 5

Aufgabe 5: Learn about threat modelling (i.e. like the STRIDE Model)

Threat Modelling, die Bedrohungsanalyse, sollte von Software-Herstellern in der Design-Phase angewendet werden.

Warum?

Nicht erkannte Sicherheitslücken sind eine große Gefahr und zerstören, wenn sie erst im Einsatz der Software erkannt werden, das Vertrauen beim Nutzer. Des Weiteren gilt natürlich auch bei Sicherheitslücken – je später der Fehler erkannt umso teurer die Behebung. Somit sollten in der Designphase, die Datenflüsse des untersuchten Systems ermittelt und in Datenflussdiagrammen (DFDs) visualisiert werden.

Das von Microsoft entwickelte STRIDE Modell hilft nun anhand der DFDs alle möglichen Bedrohungen zu identifizieren. Für jedes Element der DFD ist nun zu analysieren, welcher der Bedrohungen aus dem STRIDE-Modell vorhanden sind:

Spoofing: Vortäuschen einer falschen Identität

Tampering: Verändern von Daten

Repudiation: Abstreiten von Aktionen

Information disclosure: Preisgabe von Informationen

Denial of service: Störung eines Dienstes

Elevation of privileges: unbefugtes Erlangen von Rechten

Viel Arbeit, die sich aber am Ende durch ein angemessenes Sicherheitsniveau und der damit verminderten Angriffsfläche der Software auszahlt.

#30DaysOfSecurityTesting – 3

Dritte Aufgabe: Use a security tool – examples: zap or Burpsuite

Ungeschützter Netzverkehr kann auch auf dem Mac Folgen haben. ;)

Deshalb läuft bei mir „Little Snitch“ von der Firma Objective Development Software GmbH (https://www.obdev.at/products/littlesnitch/index-de.html)

Little Snitch – kleine Petze – überwacht die Verbindung zum Internet. Bei jeder ein- und ausgehenden Verbindung kann der Nutzer entscheiden, ob er diese zulässt oder verbietet. Wer möchte kann sich auch einen Netzwerkmonitor einblenden. Dieser zeigt in einem kleinen Fenster laufende Programme und deren aktuelle Verbindungen an.

#30DaysOfSecurityTesting – 2

Zweite Aufgabe: Select and read a book related to security testing

Ich habe mich für „Hacking im Web: Denken Sie wie ein Hacker und schließen Sie die Lücken in Ihrer Webapplikation, bevor diese zum Einfallstor für Angreifer wird“ von Tim Philipp Schäfers entschieden.

Es soll einen guten Einstieg ins Thema geben. Bin schon sehr gespannt. :)