Security für Webentwickler

SSL ist tot, was bedeutet das für Web-Entwickler? Sie müssen über die Sicherheit und den Schutz ihrer Software vorrangig nachdenken, und nicht nachgelagert. Web-Applikationen betreffen das gesamte Unternehmen, wenn diese verwundbar sind beziehungsweise Lücken aufweisen. Sie sind das Einfallstor für viele schwerwiegende Hackerangriffe in den letzten Jahren, und es kann davon ausgegangen werden, dass sie nicht nur ausgenutzt werden, sondern dass die Angreifer erst nachlassen, wenn sie ihr Ziel erreicht haben. Immer öfter hören die Attacken auch dann noch nicht auf, sondern gehen weiter bis das Image und die IT-Infrastruktur des betroffenen Unternehmens schwer beschädigt wurde - der Angriff auf Sony ist dabei nur einer der immer wieder genannten Fälle. In vielen Unternehmen wird für das Aufspüren von Sicherheitslücken ein Web Application Scanner eingesetzt, allerdings haben diese Tools bewiesen, dass sie nicht effektiv genug sind. Andere Quellen gibt es nicht, denn es gibt keinen Patch Tuesday für eigens aufgebaute Web-Applikationen. Dass hier Lücken lauern, ist Teil der Geschichte von fast jeder Industriestudie, die derzeit auf den Markt kommt. Daher bleibt nur, selbst für den Schutz der Web Applikationen zu sorgen.

Das SANS Institut bietet Teilnehmern einen Kurs während der Pen Test Berlin Live-Trainingsveranstaltung an, der ihnen einen Überblick über die wichtigsten Lücken in weitverbreiteten Web Applikationen gibt. Als Voraussetzung wird lediglich Basiswissen über die Command Line von Linux verlangt. Trainiert und gelehrt wird, wie Hacker Schwachstellen ausfindig machen, ausnutzen und natürlich auch wie sie sich dagegen erfolgreich verteidigen. Web-Entwickler lernen außerdem, wie sie Web-Applikationen sicher aufbauen, um künftig zu vermeiden, dass Lücken in diesen Applikationen auch weiterhin fester Bestandteil der besagten Industriestudien sind.

Teilnehmer lernen eine vierstufige Methodik für die Durchführung von Web Applikationstests, sie bekommen einen tiefen Einblick in das Reconnaissance-Mapping, die Entdeckung und Exploitation von Web Applikationen. Sie analysieren die Ergebnisse von automatischen Web Testing Tools, um False Positives zu beheben und um ihre Funde zu validieren. Wichtig ist für Entwickler vor allem, dass sie einen Einblick in die Schlüssel-Schwachstellen von Web Applikationen und in Cross Site Request Forgery Attacken bekommen. Für alle Tests wird die Sprache Phyton verwendet. Das Fuzzing möglicher Bestandteile von Injection-basierten Attacken ist ebenfalls ein Teil des Kurses. Den Traffic zwischen Client- und Server-Applikationen zu analysieren und auf Unregelmäßigkeiten beim Client-seitigen Applikationen-Code zu finden, ist ebenfalls um einiges einfacher, wenn man weiß, wie man Tools wie Ratproxy und Zed Attack Proxy nutzt.

Weiterhin müssen Teilnehmer im späteren Praxisalltag ihre Ergebnisse und deren mögliche Auswirkungen erklären, und zwar so dass auch der Geschäftsführer dies versteht. Aus diesem Grund beinhaltet der Kurs auch Tipps und Tricks zu Präsentationstechniken solcher Sicherheitslücken. Das Hands-On Training wird außerdem jedem die Möglichkeit geben, bei einem Capture-the-Flag-Contest am Samstag mitzumachen, bei dem jeder Teilnehmer seine neu erworbenen Fähigkeiten und Kenntnisse live testen kann. Der Kurs besteht aus sechs Tagen Training und Teilnehmern werden Bücher mit dem kompletten Foliensatz zur Verfügung gestellt.

Hier erfahren Sie mehr über den Kurs und wie man sich dafür registrieren kann: www.sans.org/event/pen-test-berlin-2015/course/web-app-penetration-testing-ethical-hacking. [bl]