Web Application Security Testing Schulung

Web Application Security Testing und Web Application Firewall

Ihre Strategie ist falsch

87% der großen Unternehmen (und sogar 96% der KMU) der Automobilindustrie, dem Maschinenbau, Banken und Versicherungen etc. sind bereits Opfer erfolgreicher IT-Angriffe geworden – der deutschen Wirtschaft entsteht durch Industriespionage jährlich ein Gesamtschaden von ca. 4,2 Milliarden Euro.
Unsinnigerweise wird häufig wie blind auf die vielen Angriffe wie Viren, Würmer (stuxnet), APT hingewiesen. Richtig ist aber, dass alle diese Angriffe ohne Sicherheitslücken erfolglos wären! Tatsächlich ist Sicherheitslücken-freie Software 100% sicher – selbst gegen Angriffe von Nachrichtendiensten. Ihre Software – auch Sicherheitssoftware – wird nie wieder Opfer von Angriffen! Nie wieder entstehen Patchkosten und Imageverluste durch Rückrufe.

Eine Firewall ist nicht genug

Webanwendungen werden immer häufiger zum Ziel von Angriffen durch Cyber-Kriminelle. Gravierende Sicherheitslücken ermöglichen es Angreifern auch ohne zusätzliche Social Engineering Angriffe in die Unternehmenssysteme zu gelangen. Neben Denial-of-Service Angriffen werden vertrauliche Informationen wie Login-Daten ausgespäht und Datenbanken manipuliert.
Traditionelle Netzwerk-Firewalls und andere Sicherheitssoftware wie Intrusion Detection Systems (IDS) sind für jedes Unternehmensnetz unerlässlich, dennoch bieten diese Schutzsysteme keinen ausreichenden Schutz für Webanwendungen.

Web Application Firewall (WAF)

Gegenüber klassischen Firewalls untersucht eine WAF die Kommunikation auf der höchsten OSI-Schicht, der Anwendungsschicht, öffnet dabei jedes einzelne Paket und prüft es auf schädliche Inhalte. Das Herzstück einer WAF sind die Filter, die meist über reguläre Ausdrücke definiert werden. Dabei gibt es zum einen den Blacklist-Ansatz, der dafür sorgt, dass http-Request, die in das Filter-Muster fallen, nicht weitergeleitet werden und zum anderen den Whitelist-Ansatz, der Anfragen nur dann durchlässt, wenn die Filter greifen. Manche WAFs verwenden auch eine Kombination aus Black- und Whitelist. Die hier als Beispiel präsentierte WAF Airlock von der Schweizer Firma Ergon wendet zunächst die Whitelist-Filterregeln an, um erlaubte Anfragen direkt an die Webanwendung weiterzusenden. Falls die Whitelist-Filter nicht greifen, werden die http-Request im nächsten Schritt von den Blacklist-Regeln auf schädliche Inhalte geprüft.

Web Application Security Testing Process
Identifiziert werden Sicherheitslücken und insbesondere die bislang nicht-erkannten, kritischen Zero-Day-Vulnerabilities mit den 4 Methoden: Security by Design: Threat Modeling, Quellcode-Analyse: Static Source Code AnalysisPenetration Testing, Dynamic Analysis: Fuzzing.

Zielgruppe

IT-Leiter, Entscheider, Administratoren, Software-Entwickler und –Tester aus allen Anwendungsbereichen – z.B.:

  • Kommerzielle Software: Webapplications, ERM, CRM, SCM, ERP, E-Business, CIM, Apps für mobile Devices
  • Sicherheitssoftware wie Firewalls, Router, Gateways, Verschlüsselung, Intrusion Detection
  • Industrial Control Systems (PLC/SPS), HMI
  • Smart Grid / Smart Meter Gateway sowie Energiemanagement und Smart Home

Lernziele

Web Applications – auch Web Application Firewalls – weisen häufig kritische Sicherheitslücken auf. Im Workshop wird an 4 Web Applications und 2 Web Application Firewalls beispielhaft gemeinsam der Security Testing Process erarbeitet – entsprechend ISO 27034 und dem Security Development Lifecycle (SDL).

Inhalte des Workshops:
1. Darstellung des Security Development Lifecycle (SDL)

  • Security Requirements Analysis
  • Security by Design: Threat Modeling
  • Static Source Code Analysis
  • Penetration Testing
  • Dynamic Analysis: Fuzzing

2. Grundsätzliche Sicherheitsaspekte von Webanwendungen und Web-Services

  • Angriffsvektoren moderner Webanwendungen
  • Browserschutz und Umgehungsansätze
  • Web-Service-basierte Angriffe (SOAP, REST)

3. Web Application Firewalls: Grundlagen und Funktionsweise an Beispielen

Open Source WAF ModSecurity und proprietäre WAF Airlock (Ergon)

4. Übungen: Penetration Testing und Fuzzing Web Application Firewalls

  • Information Gathering
  • Arten von Sicherheitslücken
  • Angriffe: SQL Injections, Cross-Site-Scripting (XSS), JSON Hijacking, XML Attacks, Cross-Site-Request Forgery (CSRF)
  • OWASP-Projekt: Top10, Pentesting Tools, Live Präsentation: Pentesting mit Metasploit Framework, HTML5-Angriffe, Live Präsentation: WebGoat – exemplarisches Exploiting von Sicherheitslücken
  • Vulnerability Scans
  • Pentesting der geschützten Webanwendung mit Burb Suite Pro
  • Web Application Security Testing an Hand der Test-Webanwendung
  • Fuzzing von Sicherheitssoftware am Beispiel von WAFs
  • Verfahren: Information Disclosure, Remote Executions, Authentication Bypass
  • Rating Sicherheitslücken mit DREAD und CVSSv2
  • Exploiting
  • Mitigation Strategies, Beheben von Sicherheitslücken durch Konfiguration der WAF
  • Aufwandsabschätzung

5. Empfehlungen, Diskussion