Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Bücher
Zeitschriften
Weitere Formate
Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
ATZ-Fachkongress

Chassis.tech plus 2024


4 Kongresse in einer Veranstaltung

Treffen Sie in München die Fachleute von Chassis, Lenkung, Bremsen sowie Reifen/Räder.
Erweiterte Suche
Anmelden
nach oben
Erschienen in:
Security Testing Beyond Functional Tests Kapitel lesen Erstes Kapitel lesen

2016 | OriginalPaper | Buchkapitel

POODLEs, More POODLEs, FREAK Attacks Too: How Server Administrators Responded to Three Serious Web Vulnerabilities

verfasst von : Benjamin Fogel, Shane Farmer, Hamza Alkofahi, Anthony Skjellum, Munawar Hafiz

Erschienen in: Engineering Secure Software and Systems

Verlag: Springer International Publishing

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Abstract

We present an empirical study on the patching characteristics of the top 100,000 web sites in response to three recent vulnerabilities: the POODLE vulnerability, the POODLE TLS vulnerability, and the FREAK vulnerability. The goal was to identify how the web responds to newly discovered vulnerabilities and the remotely observable characteristics of websites that contribute to the response pattern over time. Using open source tools, we found that there is a slow patch adoption rate in general; for example, about one in four servers hosting Alexa top 100,000 sites we sampled remained vulnerable to the POODLE attack even after five months. It was assuring that servers handling sensitive data were more aggressive in patching the vulnerabilities. However, servers that had more open ports were more likely to be vulnerable. The results are valuable for practitioners to understand the state of security engineering practices and what can be done to improve.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Jetzt informieren
Vorheriges Kapitel Accelerometer-Based Device Fingerprinting for Multi-factor Mobile Authentication
Nächstes Kapitel HexPADS: A Platform to Detect “Stealth” Attacks
Literatur
1.
Adamczyk, P., Hafiz, M., Johnson, R.: Non-compliant and proud: a case study of HTTP compliance. Technical report, UIUC (2008)
2.
3.
Barrett, R., Kandogan, E., Maglio, P.P., Haber, E.M., Takayama, L.A., Prabaker, M.: Field studies of computer system administrators: analysis of system management tools and practices. In: CSCW 2004. ACM (2004)
4.
Beurdouche, B., Bhargavan, K., Delignat-Lavaud, A., Fournet, C., Kohlweiss, M., Pironti, A., Strub, P.-Y., Zinzindohoue, J.K.: SMACK: state machine attacks (2015). https://​www.​smacktls.​com/​
5.
Blevins, B.: POODLE SSL vulnerability doesn’t equal Heartbleed, but still bad (2014)
6.
Botta, D., Werlinger, R., Gagné, A., Beznosov, K., Iverson, L., Fels, S., Fisher, B.: Towards understanding it security professionals and their tools. In: SOUPS 2007. ACM (2007)
7.
Cheswick, W., Bellovin, S., Rubin, A.: Firewalls and Internet Security: Repelling the Wily Hacker, 2nd edn. Addison-Wesley Professional, Reading (2003)MATH
8.
Dierks, T., Allen, C.: The TLS protocol
9.
Durumeric, Z., Kasten, J., Adrian, D., Halderman, J.A., Bailey, M., Li, F., Weaver, N., Amann, J., Beekman, J., Payer, M., Paxson, V.: The matter of heartbleed. In: IMC 2014. ACM (2014)
10.
Durumeric, Z., Kasten, J., Bailey, M., Halderman, J.A.: Analysis of the https certificate ecosystem. In: IMC 2013. ACM (2013)
11.
Durumeric, Z., Wustrow, E., Halderman, J.A.: ZMap: fast internet-wide scanning and its security applications. In: SEC 2013. USENIX Association (2013)
12.
Fu, K., Sit, E., Smith, K., Feamster, N.: Dos and don’ts of client authentication on the web. In: SSYM 2001. USENIX Association (2001)
13.
Haber, E.M., Kandogan, E., Maglio, P.: Collaboration in system administration. Queue 8(12), 10:10–10:20 (2010)
14.
Holz, R., Braun, L., Kammenhuber, N., Carle, G.: The SSL landscape: a thorough analysis of the x.509 PKI using active and passive measurements. In: IMC 2011. ACM (2011)
15.
16.
Kranch, M., Bonneau, J.: Upgrading HTTPS in mid-air: an empirical study of strict transport security and key pinning. In: NDSS 2015. IEEE (2015)
17.
Langley, A.: POODLE attacks on sslv3, October 2014
18.
Langley, A.: The POODLE bites again, December 2014
19.
Lee, H., Malkin, T., Nahum, E.: Cryptographic strength of SSL/TLS servers: current and recent practices. In: IMC 2007. ACM (2007)
20.
21.
Mahendiran, J., Hawkey, K.A., Zincir-Heywood, N.: Exploring the need for visualizations in system administration tools. In: CHI EA 2014. ACM (2014)
22.
Moeller, B.: TLS Signaling Cipher Suite Value (SCSV) for preventing protocol downgrade attacks
23.
Moore, D., Shannon, C., Claffy, K.: Code-Red: a case study on the spread and victims of an internet worm. In: IMW 2002. ACM (2002)
24.
Murray, E.: SSL server security survey (2000)
25.
26.
Provos, N., Honeyman, P.: ScanSSH - scanning the internet for SSH servers. In: LISA 2001. USENIX Association (2001)
27.
Rescorla, E.: Security holes... who cares? In: SSYM 2003. USENIX Association (2003)
28.
Saldana, J.: The Coding Manual for Qualitative Researchers. Sage Publications Limited, Singapore (2009)
29.
Sun, S.-T., Beznosov, K.: The devil is in the (implementation) details: an empirical analysis of oauth sso systems. In: CCS 2012. ACM (2012)
30.
31.
TIM Trustworthy Internet Movement. SSL Pulse: Survey of the SSL implementation of the most popular web sites (2012)
32.
33.
Velasquez, N.F., Weisband, S., Durcikova, A.: Designing tools for system administrators: an empirical test of the integrated user satisfaction model. In: LISA 2008. USENIX Association (2008)
34.
Werlinger, R., Hawkey, K., Botta, D., Beznosov, K.: Security practitioners in context: their activities and interactions with other stakeholders within organizations. Int. J. Hum. Comput. Stud. 67(7), 584–606 (2009)CrossRef
35.
Yilek, S., Rescorla, E., Shacham, H., Enright, B., Savage, S.: When private keys are public: results from the 2008 debian OpenSSL vulnerability. In: IMC 2009. ACM (2009)
Metadaten
Titel
POODLEs, More POODLEs, FREAK Attacks Too: How Server Administrators Responded to Three Serious Web Vulnerabilities
verfasst von
Benjamin Fogel
Shane Farmer
Hamza Alkofahi
Anthony Skjellum
Munawar Hafiz
Copyright-Jahr
2016
Verlag
Springer International Publishing
Buch
Engineering Secure Software and Systems

Print ISBN: 978-3-319-30805-0

Electronic ISBN: 978-3-319-30806-7

Copyright-Jahr: 2016

DOI
https://doi.org/10.1007/978-3-319-30806-7_8

Premium Partner

    Bildnachweise