Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 19. August 2013, 17:21

Software::Web

Sicherheit: FuzzDB verbessert Testen von Webanwendungen

FuzzDB ist eine freie Datenbank mit Mustern und Ressourcen für Angriffe auf Webseiten. Ihr Hauptzweck ist es, Sicherheitsexperten das Suchen und Beheben von Schwachstellen in den eigenen Anwendungen zu erleichtern.

Mirko Lindner

FuzzDB wurde in einem Beitrag im Mozilla Security Blog von Adam Muntner vorgestellt. Die freie Datenbank, die auf Google Code zu finden ist, enthält nach Angaben des Autors Angriffsmuster, die Namen von verbreitet vorhandenen Ressourcen (Dateien), reguläre Ausdrücke zur Auswertung der Antworten angegriffener Server und Dokumentations-Ressourcen. Der Datenbestand könnte durch die Hilfe der Gemeinschaft schnell wachsen und bald den Umfang proprietärer Sicherheitstestwerkzeuge übertreffen, die ihre Daten geheim halten.

Webanwendungen gibt es in immer großerer Zahl, und Programmierfehler in diesen führen leicht zu Sicherheitslücken. Umso wichtiger ist es, die Anwendungen umfassend und möglichst automatisiert testen zu können. Dabei ist es für diejenigen, die die Tests durchführen, von großem Vorteil, wenn sie auf eine Bibliothek von bekannten Angriffsmustern zugreifen können und über gute Testfälle verfügen.

Proprietäre Testwerkzeuge haben diesen Punkten nach den Erkenntnissen von Adam Muntner viel Aufmerksamkeit gewidmet und sind freien Programmen weit voraus. Die freien Werkzeuge, soweit Muntner sie kennt, seien beklagenswert unvollständig oder unpassend. Jedoch kann man auch bei den proprietären Werkzeugen nicht abschätzen, wie vollständig sie sind und was sie genau testen. Eine offene Lösung musste her, und so entstand FuzzDB aus den Erfahrungen von Muntner, der seine Daten unter die Creative Commons-Lizenz CC-BY (Nennung des Autors genügt) stellte. Der Autor hofft nun, dass FuzzDB zu sichereren Webanwendungen führt, und die Datenbank auf kreative Weise neuen Nutzungen zugeführt wird.

In FuzzDB befinden sich umfangreiche Listen von Dateipfaden, die für Angriffe interessant sind. Viele dieser Pfade sind in allen Installation gleich oder auf wenige Möglichkeiten beschränkt. Dazu gehören Logdateien, Administrationsverzeichnisse und vieles mehr. Die nach Plattform, Sprache und Angriffstyp kategorisierten Angriffsmuster stellen nichts anderes als URLs mit bekannten bösartigen oder fehlerhaften Eingaben dar. Mit diesen URLs können bei passender Verwendung auf verwundbaren Systemen Betriebssystem-Kommandos ausgeführt, Verzeichnisse aufgelistet, Quellcode angezeigt, Dateien hochgeladen, Authentifikationen umgangen oder Code in Http-Header eingeschleust werden, und noch einiges mehr. Der Download von FuzzDB muss daher mit Bedacht erfolgen, um Viren- und Malware-Scanner nicht anspringen zu lassen.

Desweiteren enthält FuzzDB auch reguläre Ausdrücke, mit denen sich die Antworten der Server zerlegen lassen, so dass die interessanten Informationen direkt zur Verfügung stehen. Auch häufig genutzte Namen von Session-Cookies sind Bestandteil der Datenbank. Zusätzlich bringt FuzzDB einige Dokumentation mit, die aus dem Web zusammengeklaubt wurde, sowie weitere Hilfen wie zum Beispiel Web-Shells, Listen häufiger Benutzernamen und Passwörter sowie Wortlisten.

Werbung
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung