Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Cross-Site-Tracing: Cross-Site-Tracing ist eine weniger bekannte Variante des Cross-Site-Scripting und wird dazu benutzt, Cookies von Opfern zu stehlen. Bei Cross-Site-Tracing wird eine HTTP TRACE Anfrage des Clients auf einen Server angestoßen, von dem der Angreifer die Cookies des Opfers erhalten möchte. Aufgrund der HTTP Methode TRACE wird von diesem Server das Cookie des Clients wieder zurück gegeben und danach zum Angreifer gesendet. Dies ist in erster Linie ein Konfigurationsproblem und kann vermieden werden, indem die Methode HTTP TRACE auf dem Webserver verboten wird, wie es generell empfohlen wird, sofern diese Methode nicht explizit benötigt wird. Robots.txt: Die robots.txt wird verwendet, um Suchmaschinen mitzuteilen, welche Seiten einer Internetpräsenz oder Webapplikation von den Suchmaschinen-Robots durchsucht werden sollen bzw. welche für die Suchmaschine und damit auch normalen unbekannten Benutzern verboten ist. Da die robots.txt immer aufrufbar sein muss um sie den Suchmaschinen bekannt zu machen, ist sie natürlich auch von Angreifern einsehbar. Im Falle von Regeln, die das Besuchen von Teilen der Internetpräsenz oder Webapplikation verbieten, kann dies dazu führen, dass ansonsten unentdeckte Verzeichnisse bekannt werden wie hier in Abbildung 6: Robots.txt. In dieser Applikation ist das Verzeichnis /admin/ als für Suchmaschinen verboten gekennzeichnet, offenbart aber dadurch dessen Existenz. Abbildung 6: Robots.txt Miscellaneous Uncategorized Directories: Die auf dem ersten Screenshot sichtbare ‘Miscellaneous Uncategorized Directories’ sind das erste Beispiel der vom Scanner produzierten false Positives. Es ist bei näherer Betrachtung allerdings schnell zu erkennen, dass die Damian Schlager Seite 32
Sicherheit von SAP in Bezug auf neue Technologien Ursache in diesem Fall - und mit Verlauf des Scans weiteren Fällen – die für den Scanner problematische Eigenart der Webapplikation ist, in einigen Bereichen mit HTTP Status 200 auf ungültige Anfragen zu antworten, so dass der Scanner annehmen muss, die Anfrage war erfolgreich und die Ressource vorhanden. Bereits die nach etwa eineinhalb Minuten gefundenen Ergebnisse sind recht typisch für die Funktion des automatisierten Scans. Auch zu diesem frühen Zeitpunkt fanden sich Ergebnisse, die richtig erkannt wurden, Ergebnisse, die sich bei näherer Betrachtung als richtig aber unkritisch herausstellten und Ergebnisse, die false-Positives darstellen. Nachfolgend sind die weiteren, relevanten Ergebnisse aufgeführt, die das automatische Audit gefunden hat. Cross-Site-Scripting: Wie in beinahe allen Webapplikationen die überprüft werden, findet sich auch in cirobank eine Cross-Site- Scripting Schwachstelle. Dieser Screenshot zeigt die HTTP Antwort des Webservers auf die sehr einfach gehaltene Attacke. Man kann in Abbildung 7: Cross-Site-Scripting bei cirobank erkennen, dass die Scripttags nicht kodiert werden und daher vom Browser interpretiert und Code ausgeführt wird.. Wie in kapitel 2.3.4 beschrieben ist dies ein Standardtest der zeigt, ob ein Angriff mittels Cross-Site- Scripting möglich ist. Abbildung 7: Cross-Site-Scripting bei cirobank Damian Schlager Seite 33
Seite 1: Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 88 und 89:
Sicherheit von SAP in Bezug auf neu
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?