Vulnerable Web Application Enumeration - Veröffentlichung des Beitrags

Vulnerable Web Application Enumeration

Veröffentlichung des Beitrags

Stefan Friedli
von Stefan Friedli
Lesezeit: 2 Minuten

Keypoints

  • Angriffe über Browser sind populär
  • Einfachheit von Browser und HTTP sind Ursachen dafür
  • Drive-By Infektionen durch korrupte Webseiten nehmen zu
  • Identifikation von verwundbaren Seiten ist möglich

Die Kompromittierung eines Zielsystems über den Browser ist heute eine der verbreitesten und beliebtesten Varianten des Angriffs. Durch eine Vielzahl von Schwächen in der Architektur des Browsers als solches, sowie des zugrundeliegenden archaischen HTTP-Protokolls, lassen sich verschiedenste Angriffsszenarien relativ einfach realisieren. Von verwundbaren Browser-Plugins ganz zu schweigen.

Ein verbreiteter Irrtum im Hinblick auf diese Thematik ist, dass nur explizit bösartige Webseiten eine derartige Kompromittierung bewirken können. Doch nicht nur die “dunklen Winkel” des Internets bergen Gefahren, auch vertrauenswürdige Seiten können kompromittiert und als Angriffsplattform für derartige Angriffe, auch gern als “Drive-by Attack” bezeichnet, missbraucht werden. Eine einzige Zeile Javascript reicht dazu in der Regel.

Natürlich setzt das in der Regel voraus, dass ein Angreifer vorgängig zu einem flächendeckenden Angriff eine hohe Anzahl legitime Seiten unter seine Kontrolle bringen kann. Die Identifikation von verwundbaren Seiten ist daher ein wichtiger Kernpunkt.

In Vulnerable Web Application Enumeration wird aufgezeigt, wie verwundbare Web Applikationen enumeriert und identifiziert werden können. Als Beispiel wird die populäre Blogging Software “Wordpress” genutzt, die aufgrund seiner hohen Verbreitung und häufiger Sicherheitsprobleme ein beliebtes Ziel für derartige Angriffe darstellt.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Sie wollen Ihr Log und Monitoring auf das nächste Level bringen?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv