Recent blog posts
- Monitoring von Applikationen mit Hilfe eines Monitoring-Schichtenmodells - Teil 2
- Monitoring von Applikationen mit Hilfe eines Monitoring-Schichtenmodells - Teil 1
- Entwicklungsumgebung mit Eclipse, Android SDK und Samsung Galaxy S I9000 unter Ubuntu 10.10
- Installation OpenVAS unter Ubuntu 9.10
- 2. Bildungswoche in Bad Bevensen (14.09 - 19.09.2009)
- Besuch im Kinderkrankenhaus (20.09.2009)
- Schulung Einführung in Objektorientierung, OO Design und UML 2 im Linuxhotel (24.08 - 28.08.2009)
- Nagios-Workshop 2009 (22.06 - 23.06.2009)
- Installation und Einrichtung von ModSecurity 2.5.9 unter Ubuntu 9.04
- Hacking Webapplications (08.06 - 12.06.2009)
Syndicate
Hacking Webapplications (08.06 - 12.06.2009)
Das ist meine erste Inhouse-Schulung bei der BTC-AG zum Thema hacking Webapplications. Als Dozent wurde Ralf Spenneberg von der Firma OpenSource Training eingeladen. Bei dieser Schulung ging es im wesentlichen darum, wie dringe ich in ein Webapplication ein und wie kann ich mich davor schützen bzw. welche Maßnahmen kann man ergreifen.
1.Tag
Heute ging es um SQL-Injection, Blinde SQL-Injektion, Cross Site Scripting usw. mit einigen praktischen Beispielen dazu. Interessant war ein Werkzeug, mit dem man sehr leicht feststellen konnte, um welche Datenbank es sich handelt, welcher Tabelle es dazu gibt usw. Auch schön zu sehen wie man UNION SELECT schöne Dinge anstellen kann.
Ein weiteres Thema was diskutiert wurde war, wie weit darf ich gehen und ab wann wird es Strafbar.
2.Tag
Heute ging es dann schon etwas tiefer in die Materie, wie XSRF/CSRF, Cookie und Javascript Hijacking, Phising, Pharming, SSH, Kryptographie, PGP, SPAM Versand, Sicherheitslücken in AJAX-Anwendungen und SOAP. Dazu habe wir uns einen kleine Java-Proxy angeschaut, welcher einem sehr viel Arbeit beim Hacking abnimmt.
3.Tag
Nach bisschen weiterem Hacking, wie Shell-Injection, Nullbyte, HTTP Response Splitting (Cache Poison) und Kryptographie mit Smartcards und UBS-Tokens, sicheres Programmieren, sind wir dann heute auf einige Schutzmaßnahmen gekommen, wie Anpassung der php.ini, Härtung von PHP mit Sohusin, Aufspüren von Einbruchsversuchen mit PHP IDS uns das Secuirty Modul mod_security für Apache2
4.Tag
Heute haben wir uns mal die Google Hacking Database und Capability angschaut , welches einem erlaubt root-Rechte unter Linux zu unterteilen. Dieses ist aber erst seitdem Kernel 2.6.24 verfügbar. Der wesentlich Teil bezieht sich aber auf den Modul mod_security (chroot, rules usw.). Man das Modul ist ganz schön mächtig und schreibt auch sehr fleißig in Log-Files, so das man diese Modul sehr schön an seine Webapplication anpassen kann und einen sehr hohen Schutz hat. Auch wenn der Entwickler schlampig programmiert hat.
5.Tag
Heute haben wir uns hauptsächlich mit mod_security beschäftigt. Ein interessantes Thema war auch XSS in PDF und der Schutz davor mit mod_security. Zum anderen habe wir mlogc und die ModSecurity Console installiert. Diese ist zwar kostenlos, aber es können nur bis zu 3 Apache-Server intergriert werden. Ich denke das ist aber halb so wild. Insgesamt macht die Konsole einen sehr schön Eindruck. Zum Abschluß gab es noch ein kleine Diskussion zu diversen Themen.
Fazit
Also auch wenn ich mit einigem Vorwissen in diese Schulung gegangen bin, muß ich sagen, das ich ein Menge dazu gelernt habe. Die Schulung von Ralf war sehr schön gestaltet und auch der praktische Teil ist nicht zu kurz gekommen. Ich kann nur jedem, der sich für die Sicherheit seiner Webapplication interessiert und dort noch ein bisschen Wissen anhäufen möchte, diese Schulung wärmsten empfehlen.