Im fünften und letzten Teil des Überblicks über die
Schwachstellen-Suche in Webanwendungen geht es zuerst weiter um Angriffe
auf die Authentifizierung. Zu diesem …
Im vierten Teil des Überblicks über die Schwachstellen-Suche in
Webanwendungen geht es zuerst um Angriffe auf den Webserver. So, wie eine
normale Anwendung …
Im dritten Teil des Überblicks über die Schwachstellen-Suche in
Webanwendungen geht es zuerst um die Suche nach typischen Schwachstellen in
kompilierten Programmen. Auch …
Dies ist die 250. Folge "About Security", dazu kommen jeweils fünf
nicht nummerierte Weihnachts-Special und CeBIT-Berichte. Damit handelt es
sich um ein doppeltes …
Nach dem Sammeln von Informationen über die Webanwendung und der Suche
nach zustandbasierten Angriffen, Cross-Site-Scripting- und
SQL-Injection-Schwachstellen geht es als nächstes …
Zum Abschluss des Themenkomplexes "Schwachstellensuche in Webanwendungen"
gibt es eine Zusammenfassung aller notwendigen Schritte. Los geht es mit
dem
Sammeln …
Bevor Session-Token analysiert werden können, müssen sie erst
einmal gefunden und gesammelt werden. Außerdem muss eine
Möglichkeit gefunden werden, selbst erstellte Token zu …
Auch Sessiontoken und ähnliche Werte, die im Gegensatz zu den in
About Security
#245
beschriebenen Ansatz keinerlei Bedeutung haben, müssen irgendwie
erzeugt werden. …
Von der Webanwendung gelieferte Werte wie Session-Tokens und
Passwörter sollten zufällig gewählt werden und nicht
vorhersagbar sein. Manchmal sieht das aber nur so …
Schon beim Entwurf der Webanwendung kann man möglichen DoS-Angriffen
zuvor kommen. Beim sog. "Threat Modelling" wird zwar vor allem auf
Angriffe auf z.B. …
Bei der Abwehr von DoS-Angriffen hat jeder Betreiber einer Webanwendung
einen natürlichen Verbündeten: Seinen ISP, der ggf. ebenso unter
dem DoS-Angriff zu leiden …
Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen:
Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern
oder abzuschwächen, …
DoS-Angriffe auf den Webserver sind zum einen über entsprechende
Schwachstellen, z.B. einem Pufferüberlauf beim Verarbeiten
überlanger Requests, zum anderen durch eine Überlastung
möglich.
…
Mögliche DoS-Schwachstellen in der Webanwendung wurden bereits in
About Security
#239
beschrieben: Immer, wenn ein Benutzer mit wenig Aufwand eine hohe
Auslastung der …
Die Suche nach DoS-Schwachstellen ist etwas komplizierter als die nach
allen anderen. Zum einen kann man sie nicht mit dem Produktivsystem
durchführen, da …
Eine Sicherheitsfrage vor der Funktion zum Zurücksetzen des Passworts
führt möglicherweise zur Preisgabe gültiger Benutzernamen.
Die kann der Angreifer gut für weitere Angriffe …
Wie er Zugriff auf die Webanwendung erlangt, ist einem Angreifer im
Allgemeinen egal. Kann er die Authentifizierung nicht bei der normalen
Anmeldung überwinden, …
Gegen Brute-Force-Angriffe, bei denen eine Liste mit einer große
Anzahl ermittelter oder erratener Benutzernamen der Reihe nach mit einem
einzelnen Passwort durchprobiert wird, …