Network Attacker (Server-Side)
- Überwachung, Herstellung und Störung von Netzwerkverkehr
→ Man-in-the-Middle
Web Attacker (Server-Side)
- spezialisiert auf Webanwendungen
→ Man-in-the-browser - XXS attacker (execute JavaScript)
Web Application (Basic Technologie)
anschauen!
HTTP and Web Application Basics
- alle HTTP Transaktionen haben das gleiche Format
- jede Anfrage und Antwort haben 3 Teile:
1. Anfrage/Antwort line
2. Header
3. Body
Form einer Anfrage
Verb Path Protocol
GET, POST, URL (anschauen)
Response Codes
2xx Success, 3xx Redirection, 4xx Client Error, 5xx Server Error
Web Server Scripting
create the HTML Code on the fly by a Programm
Methoden: CGI, Web Server modules, dedicated application server
Web Application (Attacking Web Apps)
Client Side Problems (XXS, CSRF)
Server Side Problems (SQL Injection, Remode Code Injection)
Injection Attacks
SQL: suche nach unsicheren Code Sequenzen
- Applikation benutzt ein DBS für dauerhafte Datenspeicherung
→ Unsicherheit bei dynamischen Queries
→ Attacker muss ein Parameter finden, dass die Webanwendung zum Konstruieren eines query benutzt
Remote Code:
XSS:
KERBEROS
User, Kerberos System, Ticket Granting Server, Service
- Passwort des Users nie in Klartext
- Authentication + Encryption basieren auf geteilten Schlüsseln
- Schützt vor Spoofing
- kein Passwort wird über Netzwerke versendet
- Schutz gegen AntworAttacken
OWASP TOP 10
- Injection
- Broken authorisation and session Management
- Cross site scripting (XSS)
- inject direct object references
- security miscondiguration
- sensitiv Data exposure
- missing function level access control
- cross site request forgery
- using components with known vulnerabilities
- invalidated redirects and forwards
Kerberos ablauf
User macht Anfrage an K für Authorisation Ticket, bekommt Authorisation.
User macht Service Access Request und bekommt Ticket for Request Service.
User Request for Service Access with Ticket to service
