#30DaysOfSecurityTesting – 7

Aufgabe 7: Learn one or more things about penetration testing

Penetrationtests und die deutsche Gesetzgebung

Mit Penetrationstests befindet man sich auf sehr dünnem Eis, das sollte der Pen-Test von Erfolge gekrönt sein, augenblicklich bricht. Laut deutscher Rechtsprechung sind Penetrationstests nur erlaubt, wenn der Testdurchführende eine eindeutige Befugnis durch den Eigentümer des Testobjekts besitzt (Quelle: Wikipedia).

Der „gute“ Vorsatz – ich will nur helfen und aufzeigen wo Sicherheitslücken sind – schützt in diesem Fall vor Strafe nicht. Den sobald man unberechtigt an Daten gelangt oder durch den Penetrationstest selbst technische Probleme auftreten (z.B. Serverausfall) ist es ein Fall für deutsche Gerichte. Wie ein Penetrationstest durchgeführt werden sollte, darüber hat das Bundesamt für Sicherheit in der Informationstechnik eine Studie erarbeitet, welches sich an Auftraggeber und Beauftragten gleichermaßen richtet – hier zur Studie.

Werbung

#30DaysOfSecurityTesting – 6

Aufgabe 6: Explore these sites: Google Gruyere; hackyourself first; ticket magpie; the bodgeit store

Wer sich mit security testing beschäftigt, kommt früher oder später an den Punkt, auch mal was praktisch machen zu wollen. Hmm, wirklich probieren, ob es Schwachpunkte am Bankautomaten gibt und es mehr Geld gibt, als auf dem Konto ist oder probieren ob man per SQL Injection über eine Website ein paar Informationen mehr herausbekommt.

Nein, der bessere Weg sind Google Gruyere und Co. Google Gruyere ist eine Webapplikation, die es erlaubt sich im Finden und Beheben von Sicherheitslücken zu trainieren ohne ins Illegale abzurutschen. Es sind verschieden Schwachstellen integriert, die es zu finden und beheben gilt. Hierbei kann sowohl black box hacking (Angriffe von außen, ohne Zugriff auf den Code) als auch white box hacking (Zugriff auf Source-Code und Möglichkeit von manuellen und automatisierten Schwachstellenanalyse) und deren Kombination geübt werden. Google Grueyere kann ebenfalls lokal installiert werden und dann nach Herzenslaune manipuliert werden.

#30DaysOfSecurityTesting – 5

Aufgabe 5: Learn about threat modelling (i.e. like the STRIDE Model)

Threat Modelling, die Bedrohungsanalyse, sollte von Software-Herstellern in der Design-Phase angewendet werden.

Warum?

Nicht erkannte Sicherheitslücken sind eine große Gefahr und zerstören, wenn sie erst im Einsatz der Software erkannt werden, das Vertrauen beim Nutzer. Des Weiteren gilt natürlich auch bei Sicherheitslücken – je später der Fehler erkannt umso teurer die Behebung. Somit sollten in der Designphase, die Datenflüsse des untersuchten Systems ermittelt und in Datenflussdiagrammen (DFDs) visualisiert werden.

Das von Microsoft entwickelte STRIDE Modell hilft nun anhand der DFDs alle möglichen Bedrohungen zu identifizieren. Für jedes Element der DFD ist nun zu analysieren, welcher der Bedrohungen aus dem STRIDE-Modell vorhanden sind:

Spoofing: Vortäuschen einer falschen Identität

Tampering: Verändern von Daten

Repudiation: Abstreiten von Aktionen

Information disclosure: Preisgabe von Informationen

Denial of service: Störung eines Dienstes

Elevation of privileges: unbefugtes Erlangen von Rechten

Viel Arbeit, die sich aber am Ende durch ein angemessenes Sicherheitsniveau und der damit verminderten Angriffsfläche der Software auszahlt.

#30DaysOfSecurityTesting – 4

Aufgabe 4: Learn anything about vulnerability scanning

Yippi die erste Schwachstelle gefunden. :D, aber der Reihe nach.

Unter vulnerability Scanning versteht man laut wikipedia das automatisierte Scannen eines Computers oder Netzwerk nach Schwachstellen mittels eines Programms.

Ich habe mich für die Schwachstellen Scanning auf die besonders für Blogs beliebte Anwendung WordPress entschieden. Hierfür gibt es online die Möglichkeit unter https://hackertarget.com/wordpress-security-scan/ den gewünschten WordPress-Blog zu analysieren. Geprüft wird, ob die WordPress-Version auslesbar ist, die installierten Plugins und weiteres. All diese Informationen werden standardmäßig von WordPress zur Verfügung gestellt, können aber auch Angriffsfläche für Hacker bieten beispielsweise wenn hierdurch ans Licht kommt, das eine veraltete WordPress-Version läuft mit bekannten Sicherheitslücken. Zur Behebung gibt es meist kostenlose Plugins, die jene Schwachstelle beheben und somit einen Angriff erschweren.

Konkret aufgedeckt habe ich in diesem Zuge, das beim analysierten Blog die LoginURL über die default-URL www.meinblog.wordpress.com/wp-login erreichbar ist. Damit hat der Hacker schon die halbe Miete, nun gilt es nur noch das Login ausfindig zu machen. Abhilfe schafft hier ein kleines schlankes Plugin WPS Hide Login und schon ist die Login-Seite nur über eine eigenes festgelegte URL erreichbar und auf der Standardseite /wp-login gibt es nur noch eine 404 zu sehen.

Die gefundene Schwachstelle habe ich natürlich weitergegeben. :)

White Hat Petra ;)

#30DaysOfSecurityTesting – 3

Dritte Aufgabe: Use a security tool – examples: zap or Burpsuite

Ungeschützter Netzverkehr kann auch auf dem Mac Folgen haben. ;)

Deshalb läuft bei mir „Little Snitch“ von der Firma Objective Development Software GmbH (https://www.obdev.at/products/littlesnitch/index-de.html)

Little Snitch – kleine Petze – überwacht die Verbindung zum Internet. Bei jeder ein- und ausgehenden Verbindung kann der Nutzer entscheiden, ob er diese zulässt oder verbietet. Wer möchte kann sich auch einen Netzwerkmonitor einblenden. Dieser zeigt in einem kleinen Fenster laufende Programme und deren aktuelle Verbindungen an.

#30DaysOfSecurityTesting – 2

Zweite Aufgabe: Select and read a book related to security testing

Ich habe mich für „Hacking im Web: Denken Sie wie ein Hacker und schließen Sie die Lücken in Ihrer Webapplikation, bevor diese zum Einfallstor für Angreifer wird“ von Tim Philipp Schäfers entschieden.

Es soll einen guten Einstieg ins Thema geben. Bin schon sehr gespannt. :)

#30DaysOfSecurityTesting – 1

Das Ministry of Testing startet eine Aktion: #30DaysOfSecurityTesting

Wir machen mit und laden alle andere mit zu machen!

Erste Aufgabe: Read a security blog

Hacker stehlen gemeinhin Daten und verkaufen sie gewinnbringend weiter.
Nun kann man umgekehrt die Frage stellen:
Was gebe ich eigentlich (un-)freiwillig von mir an Daten preis und was geschieht dann damit?
Hier ein paar sehr interesante Informationen dazu:
https://www.kuketz-blog.de/datenhaendler-wir-sind-glaesern-datensammler-teil1/#more-465217

 

Wenn Du, mein Leser, kein Security Tester bist und möchtest erstmal verstehen was ist was. Dann kannst Du hier anfangen!

Je mehr wir in uns aufnehmen, um so größer wird unser geistiges Fassungsvermögen. (Lucius Anbaues Seneca)

Das neue Jahr hat begonnen und die guten Vorsätze sind noch frisch. Genau die richtige Zeit also um dem ersten Test-Paradies Treffen im Jahr 2017 zu besuchen. :)

Die Veranstaltung begann mit einem Referat über  „Acceptance Testing“ von Robert Reif. Sein lebendiger Vortrag mit vielen Beispielen aus der Praxis stieß beim Publikum auf offene Ohren. Er beinhaltete neben Ausführungen zum idealen Umfeld auch Beispiele für die konkrete Umsetzung von Acceptance Testing mit Cucumber. (Verständnis-)Fragen und eigene Erfahrungsberichte der Zuhörer führten an Ende bei vielen Beteiligten zu Neugier auf mehr. Diese konnte im Anschluss in kleinen Gesprächsrunden bei Obst, Gemüsesticks, Knabberei und einer Club Mate in der Hand gestillt werden. (Vielen Dank für’s Bereitstellen an – Kristine Corbus & diva-e).

Bei einer Runde Testspiele einem vor kurzem von MinistryOfTesting herausgebrachten Spiel für Tester klang der Abend entspannt aus.

Acceptance Testing

Wo: IT Paradies, diva-e Räume
Wann: 12.01.2017
Thema: „Acceptance Testing“ Vortrag von Robert Reif
Beschreibung:
Der Vortrag soll herausarbeiten, welches einerseits ideale Rahmenbedingungen für (automatisierte) Acceptance Tests sind und welchen Anforderungen diese andererseits idealerweise gerecht werden sollten. Darauf aufbauend soll weiterhin beleuchtet werden, worin die Vorteile liegen einen Acceptance Test Stack auf Cucumber aufzubauen und unter welchen Bedingungen das funktioniert.

Wir werden Antwort suchen für die Frage: Was macht einen Acceptance Tests tatsächlich zu einem guten bzw. wertvollen Test?

Internationale Tester Umfrage

„PractiTest“ und „TeaTime with Testers“ zusammen mit ernstes Beratungsteam: Jay Philips, JeanAnn Harrison, Rajesh Mathur, Ben Linders, Justin Rohrman und Jerry Weinberg – organisieren schon viertes Jahr eine internationale Tester Umfrage. 

Die Umfrage ist in Englishe Sprache und dauert ca. 10-20 Minuten.

Mehr Details und Link Zum Umfrage