nach oben

Erschienen in:

2018 | OriginalPaper | Buchkapitel

3. Technische Sicherheitsmaßnahmen

verfasst von : Matthias Rohr

Erschienen in: Sicherheit von Webanwendungen in der Praxis

Verlag: Springer Fachmedien Wiesbaden

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Zusammenfassung

Technische Sicherheitsmaßnahmen stellen den zentralen Aspekt der Anwendungssicherheit und damit auch dieses Buches dar. Die große Schwierigkeit besteht dabei zum einen darin, die richtigen Maßnahmen auszuwählen, zum anderen, diese korrekt umzusetzen.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Bedrohungen für Webanwendungen

Nächstes Kapitel Sicherheitsuntersuchungen von Webanwendungen

Laut Verizons Data Breach Report 2011 traten 11 % der bekannt gewordenen Datenlecks bei Webseiten auf, die kürzlich nach PCI-DSS auditiert wurden (vergl. [4]).

Siehe http://csrc.nist.gov/publications/PubsSPs.html.

Siehe https://www.owasp.org/index.php/Cheat_Sheets.

Selbst bei Einsatz eines ORM-Frameworks ist Interpreter Injection weiterhin potentiell möglich. Denn diese stellen APIs zur Verfügung, in denen sich grundsätzlich ebenfalls nicht validierte Benutzerparameter einbauen lassen. Im Fall von Hibernate betrifft dies etwa die Search-API. Wir sprechen hier dann auch allgemein von ORM Injection oder (ganz konkret im Fall von Hibernate) von HQL Injection (CWE 564). Auch diese Parameter sollten wir daher entsprechend enkodieren, bevor sie in einem API-Aufruf verwendet werden.

Eine Liste der in Firefox verwendeten Root-Zertifikate findet sich z. B. unter http://www.mozilla.org/projects/security/certs/included.

Siehe https://www.npmjs.com/package/safe-regex.

Siehe hierzu das einleitende Kapitel zu Enkodierung (siehe Abschn. 3.2.7). Ebenfalls lesenswert ist in diesem Zusammenhang das XSS Filter Evasion Cheat Sheet der OWASP (https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet), das SQL Injection Cheat Sheet auf ha.ckers.org (http://ha.ckers.org/sqlinjection/) sowie http://html5sec.org.

Siehe hierzu https://www.owasp.org/index.php/Protect_FileUpload_Against_Malicious_File.

Wie bereits erwähnt, werden die beiden Begriffe Kanonisierung und Normalisierung nicht einheitlich von APIs verwendet. Hier entspricht die Funktion „getCanonicalPath()“ der einer Normalisierung.

Auch zu diesem Thema ist ein hilfreiches Cheat Sheet auf der Webseite der OWASP verfügbar (vergl. [25]).

Ist dies nicht möglich, ist die Abwehr etwas komplizierter. Christian Schneider beschreibt ein mögliches Vorgehen in seinem Blog: http://www.christian-schneider.net/GenericXxeDetection.html.

Denn in der Praxis ist dieses Verfahren keinesfalls so anonym wie es vielleicht auf den ersten Blick den Anschein macht. Schnell können hierbei Rückschlüsse auf eine natürliche Person gewonnen werden, etwa wenn sich ein Besucher von demselben System aus an einer Webanwendung anmeldet.

Mit Evercookie (http://en.wikipedia.org/wiki/Evercookie) existiert sogar eine JavaScript-API, welche alle hier genannten Verfahren kombiniert verwendet.

Dies wird als Nonce („Number only used once“) bezeichnet.

Vollständige Zufälligkeit inkl. Sonderzeichen; Länge mindestens 20, besser 30 Zeichen sowie Umsetzung der Maßnahmen zur Speicherung kryptographischer Schlüssel (siehe Abschn. 3.4.6).

Bei privilegierten Accounts sollte stets eine höhere Stärke der Authentifizierung angestrebt werden, idealerweise durch Verwendung von Mehrfaktorauthentifizierung (z. B. RSA-Token), denn Passwörter allein können „per Design“ immer nur eine eingeschränkte Schutzfunktion bieten.

Hiervon ist allerdings sehr stark abzuraten. Schließlich kann nicht ausgeschlossen werden, dass diese „Dienstleistungen“ mit einer kriminellen Motivation betrieben werden und darüber geknackte Passwörter zudem Aufschluss über deren Herkunft liefern können.

Das Minimum, welches die Methode vorschreibt, ist tatsächlich 1000 Runden. Dennoch ist es durchaus empfehlenswert, hier eine größere Rundenzahl zu verwenden. In der Praxis werden häufig 10.000 oder auch 100.000 Runden verwendet. Neben dem besseren Schutz gegenüber Offline-Angriffen wird hierdurch auch ein impliziter Schutz vor Online-Angriffen geschaffen, denn die Verzögerung, die hierdurch entsteht (rechnen Sie mit einer Sekunde bei 100.000 Runden), bremst Brute Forcing über das HTTP-Protokoll effektiv aus.

PBKDF2 wird etwa von Truecrypt zur Speicherung der Passwörter verwendet und konnte nicht einmal vom FBI in einem Jahr Berechnungszeit geknackt werden (vergl. [31]).

Siehe Synchronizer Token Pattern: http://www.corej2eepatterns.com/Design/PresoDesign.htm.

In mancher Literatur wird ein sogenannter „Double Submit Cookie“ und ähnliche Verfahren empfohlen. Dabei wird die Session-ID zusätzlich zum Cookie in die URL geschrieben. Dieser Ansatz lässt sich sehr einfach implementieren, da er ohne einen serverseitigen State auskommt. Allerdings ist er insofern falsch, als sensible Daten (nämlich die Session-ID) in die URL geschrieben werden, was ein Anti-Pattern darstellt.

Siehe https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project.

Ist etwa durch eine restriktive Passwort-Policy sichergestellt, dass sämtliche Benutzeraccounts mit starken Passwörtern geschützt sind, so ist ein Aussperren von Benutzern nach mehrmaliger Fehlanmeldung sicherlich weniger sinnvoll als wenn Benutzer hier auch triviale Passwörter vergeben können.

Eine HTTP-Origin bezeichnet laut RFC6454 die Kombination aus Schema, Host und Port, also z. B. „HTTPS“ + „www.example.com“ + „443“.

Siehe https://www.w3.org/TR/cors/.

Als „Access Tokens“ wurden im vorherigen Abschnitt alle möglichen zur Autorisierung einsetzbaren Tokens bezeichnet. In diesem Zusammenhang sind jedoch ausschließlich OAuth Access Tokens gemeint.

Da diese Authentifizierung jedoch kein eigener Bestandtteil von OAuth ist, sondern in diesem Schritt lediglich erwartet wird, dass der OAuth2 Service-Provider den Benutzer nach eigenem Ermessen authentifiziert, sprechen wir an dieser Stelle auch von OAuth Pseudo Authentifizierung, welche wir bereits in Abschn. 3.7.7 thematisiert hatten.

Lodderstedt et Al. beschreiben als weitere Sicherheitsfunktion hier die Einrichtung eines Dienstes, über den der Client einen Access Token jederzeit widerrufen kann (vergl. [40]).

Siehe https://github.com/bramus/mixed-content-scan.

Siehe https://httpschecker.net.

Siehe https://w3c.github.io/webappsec-subresource-integrity.

Siehe https://w3c.github.io/webappsec-referrer-policy/#referrer-policy-same-origin.

Mittels MIME Sniffing versucht ein Browser einen Datentyp auf Basis seines Inhaltes zu erkennen, wodurch es etwa möglich sein kann, dass Skriptcode in einer Textdatei ausgeführt wird.

Der Begriff „Webservice“ ist als XML-Dienst definiert, der über das HTTP-Protokoll aufgerufen wird. Als „Webdienst“ sollen dagegen allgemein alle HTTP-basierten Diensten oder Schnittstellen verstanden werden, über die Prozesse miteinander kommunizieren.

Alternativ lässt sich der private Schlüssel zum X.509-Zertifikat auf dem WAF-System hinterlegen, mit dem dieses HTTPS-Verbindungen entschlüsseln und analysieren kann. Dies setzt voraus, dass Forward Key Secrecy nicht aktiviert ist, was der Sicherheit abträglich und daher nicht zu empfehlen ist.

Kersten H, Reuter J, Schröder K-W (2001) IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz – Der Weg zur Zertifizierung, 3. Aufl. Vieweg + Teubner

Hope P (2009) Software security requirements – the foundation for security. http://www.cigital.com/presentations/SecurityReqs_Hope_ISSA09.pdf

Payment Card Industry (PCI) (2016) Datensicherheitsstandard – Anforderungen und Sicherheitsbeurteilungsverfahren, Version 3.2. https://de.pcisecuritystandards.org/document_library

Kawasaki G (2004) Rule N. 4. http://blog.guykawasaki.com/2006/01/the_art_of_inno.html. Zugegriffen am 20.12.2013

Bundesamt für Sicherheit in der Informationstechnik (BSI), Sicheres Bereitstellen von Web-Angeboten (ISi-Web-Server) (2008) https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/ISi-Reihe/ISi-Web-Server/web_server_node.html

OWASP Foundation OWASP secure coding practices – quick reference guide, Version 2. https://www.owasp.org/index.php/OWASP_Secure_Coding_Practices_-_Quick_Reference_Guide

Saltzer H, Schroeder MD (1975) The protection of information in computer systems. http://www.cs.virginia.edu/~evans/cs551/saltzer/

Stoneburner G, Hayden C, Feringa A (2004) NIST special publication 800-27 – engineering principles for information technology security (A baseline for achieving security), revision A. NIST. http://csrc.nist.gov/publications/nistpubs/800-27A/SP800-27-RevA.pdf

Verizon data breach report (2017) http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017

10.

OWASP Foundation. https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet

11.

Litchfield D (2006) The history of the Oracle PLSQL Gateway Flaw. http://seclists.org/fulldisclosure/2006/Feb/11

12.

Wing J (2011) Measuring relative attack surfaces. http://www.cse.psu.edu/~tjaeger/cse598-f11/slides/Wing_attack_surface.pdf

13.

Spinellis D (2007) Another level of indirection. In: Oram A, Wilson G (Hrsg) Beautiful code: leading programmers explain how they think. O’Reilly and Associates, Sebastopol, S 279–291

14.

Kernighan BW, Plauger PH (1981) Software tools in Pascal. Addison-Wesley, Boston

15.

Schneier B (2000) The process of security. Information Security Magazine, April 2000

16.

US-CERT statistics (2013). http://www.cert.org/stats. Zugegriffen am 20.12.2013

17.

Polizei Nordrhein-Westfalen (2011) Kölner Studie 2011 – Modus operandi beim Wohnungseinbruch. http://www.polizei-nrw.de/media/Dokumente/koelner-studie-2011.pdf

18.

Schneier B (2003) Beyond fear – thinking sensibly about security in an uncertain world. Copernicus Books, Göttingen, S 107

19.

http://technogility.sjcarriere.com/2009/01/26/simple-architectures-for-complex-enterprises/

20.

Schreiber T (2007) Den Missbrauch des Vertrauenskontextes verhindern. IT-SICHERHEITpraxis. http://www.securenet.de/fileadmin/papers/IT-S_praxis_3_07_SecureNet.pdf

21.

Coates M (2009) HTTPS data exposure – GET vs POST. http://michael-coates.blogspot.de/2009/11/https-data-exposure-get-vs-post.html

22.

Fielding et al (1999) RFC 2616 – hypertext transfer protocol – HTTP/1.1, Section 14.9.1. http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9.1

23.

Fielding et al (1999) RFC 2616 – hypertext transfer protocol – HTTP/1.1, Section 14.32. http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.32

24.

Heise Online. Facebook & Co: 2 Klicks für mehr Datenschutz. http://www.heise.de/newsticker/meldung/Facebook-Co-2-Klicks-fuer-mehr-Datenschutz-1335091.html. Zugegriffen am 01.09.2011

25.

Anderson R (2008) Security engineering: a guide to building dependable distributed systems, 2. Aufl. Wiley Verlag

26.

Bundesamt für Sicherheit in der Informationstechnik (BSI). Glossar und Begriffsdefinitionen zu den IT-Grundschutzkatalogen. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html. Zugegriffen am 20.12.2016

27.

OpenID Foundation (2007) OpenID authentication 2.0 – final. http://openid.net/specs/openid-authentication-2_0.html

28.

Chong F (2006) Trusted subsystem design. http://msdn.microsoft.com/en-us/library/aa905320.aspx

29.

Scarfone K, Souppaya M (2009) NIST Special Publication (SP)-NIST SP 800-118, Guide to enterprise password management (draft). http://csrc.nist.gov/publications/drafts/800-118/draft-sp800-118.pdf

30.

Heise Online. LinkedIn wegen Passwort-Leck verklagt. http://www.heise.de/newsticker/meldung/LinkedIn-wegen-Passwort-Leck-verklagt-1622142.html. Zugegriffen am 20.06.2012

31.

http://googleonlinesecurity.blogspot.de/2014/04/street-view-and-recaptcha-technology.html

32.

Tillmann H (2013) Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen. http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf

33.

Alur D, Crupi J, Malks D (2003) Core J2EE patterns: best practices and design strategies, 2. Aufl. Prentice Hall/Sun Microsystems Press. http://www.corej2eepatterns.com/Design/PresoDesign.htm

34.

Griggs B (2009) Are you a Facebook friend padder? http://scitech.blogs.cnn.com/2009/02/13/are-you-a-facebook-friend-padder

35.

Ollmann G (2007) Anti brute force resource metering. Helping to restrict web-based application brute force guessing attacks through resource metering. http://www.technicalinfo.net/papers/AntiBruteForceResourceMetering.html. Zugegriffen am 20.9.2017

36.

Ollmann G (2007) Stopping automated attack tools, an analysis of web-based application techniques capable of defending against current and future automated attack tools. http://www.technicalinfo.net/papers/StoppingAutomatedAttackTools.html

37.

Matsumoto S (2007) Is secure Ajax an Oxymoron, SD WEST 2007. http://www.cigital.com/presentations/Is%20Secure%20Ajax%20An%20Oxymoron.pdf

38.

World Wide Web Consortium (W3C) (2010) Uniform messaging policy, level one, W3C working draft. http://www.w3.org/TR/UMP

39.

Hammer E (2012) OAuth 2.0 and the road to Hell. http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell

40.

Lodderstedt T et al (2012) Token Revocation draft-lodderstedt-oauth-revocation-04. http://tools.ietf.org/pdf/draft-lodderstedt-oauth-revocation-04.pdf

41.

Watson C, Groves D Melton J (2015) AppSensor guide – application-specific real time attack detection & response, Version 2.0.2. https://www.owasp.org/images/0/02/Owasp-appsensor-guide-v2.pdf

42.

Langley A Maintaining digital certificate security. Google Security Blog. http://googleonlinesecurity.blogspot.de/2014/07/maintaining-digital-certificate-security.html. Zugegriffen am 08.07.2014

43.

Golem News. Noch ein Einbruch bei einem Comodo-Partner. https://www.golem.de/1105/83726.html. Zugegriffen am 10.09.2017

44.

Ristic I Is HTTP public key pinning dead? Qualys Blog. https://blog.qualys.com/ssllabs/2016/09/06/is-http-public-key-pinning-dead. Zugegriffen am 06.09.2016

45.

Helme S (2016) Alexa top 1 million crawl. https://scotthelme.co.uk/alexa-top-1-million-crawl-aug-2016/

46.

Mozilla Organisation (2013) CSP specification wiki. https://wiki.mozilla.org/Security/CSP/Specification. Zugegriffen am 20.12.2013

47.

Sterne B, Barth A (2012) Content security policy 1.0. www.w3.org/TR/CSP

48.

Weichselbaum (2016) CSP is dead, long live strict CSP! https://deepsec.net/docs/Slides/2016/CSP_Is_Dead,_Long_Live_Strict_CSP!_Lukas_Weichselbaum.pdf

49.

Mozilla Developer Network. Using CSP violation reports. https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP. Zugegriffen am 20.08.2017

50.

Rydstedt EB, Boneh D, Jackson C (2010) Busting frame-busting a study of clickjacking vulnerabilities on popular sites. http://elie.im/publication/busting-frame-busting-a-study-of-clickjacking-Vulnerabilitys-on-popular-sites

51.

Law E (2010) Combating clickjacking with X-frame-options. http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx. Zugegriffen am 20.12.2013

52.

OWASP Foundation (2017) Web service security cheat sheet. https://www.owasp.org/index.php/Web_Service_Security_Cheat_Sheet. Zugegriffen am 01.04.2017

53.

Chess B, O’Neil YT, West J (2007) JavaScript hijacking. http://james.padolsey.com/wp-content/uploads/javascript_hijacking.pdf

54.

Sarkar PG, Fitzgerald S (2013) Attacks on SSL a comprehensive study of beast, crime, time, breach, lucky 13 & RC4 biases. https://www.isecpartners.com/media/106031/ssl_attacks_survey.pdf

55.

Deutsche Telekom. Technische Sicherheitsanforderungen. http://www.telekom.com/static/-/155996/7/technische-sicherheitsanforderungen-si

56.

OWASP German Chapter unter Mitwirkung von: Maximilian Dermann, Mirko Dziadzka, Boris Hemkemeier, Achim Hoffmann, Alexander Meisel, Matthias Rohr, Thomas Schreiber, Best Practices: Einsatz von Web Application Firewalls, Version 1.0.2, März 2008, wiki September 2008. https://www.owasp.org/index.php/Best_Practices:_Einsatz_von_Web_Application_Firewalls. Zugegriffen am 20.12.2013

57.

Barnett R (2011) Best practices: virtual patching. https://www.owasp.org/index.php/Virtual_Patching_Best_Practices. Zugegriffen am 20.12.2013

58.

Web Application Security Consortium (WASC) (2006) Web application firewall evaluation criteria (WAFEC), Version 1.0. http://projects.webappsec.org/f/wasc-wafec-v1.0.pdf

59.

OWASP Foundation. Web application firewall. https://www.owasp.org/index.php/Web_Application_Firewall. Zugegriffen am 12.06.2014

60.

Cloud Security Alliance (CSA) (2009) Security guidance for critical areas of focus in cloud computing, Version 2.1 https://cloudsecurityalliance.org/csaguide.pdf

61.

Bundesamt für Sicherheit in der Informationstechnik (BSI). Studien zum Thema Cloud Computing. https://www.bsi.bund.de/DE/Themen/CloudComputing/Studien/Studien_node.html

62.

ISECOM (2010) The open source security testing methodology manual (OSSTMM), Version 3.02. http://www.isecom.org/mirror/OSSTMM.3.pdf

Titel: Technische Sicherheitsmaßnahmen
verfasst von: Matthias Rohr
Verlag: Springer Fachmedien Wiesbaden
Buch: Sicherheit von Webanwendungen in der Praxis
Print ISBN: 978-3-658-20144-9

Electronic ISBN: 978-3-658-20145-6

Copyright-Jahr: 2018
DOI: https://doi.org/10.1007/978-3-658-20145-6_3

Springer Professional

Zusammenfassung

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Technik"

Springer Professional "Wirtschaft"