security:angriffe-auf-webapplikationen

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

security:angriffe-auf-webapplikationen [2008/03/02 21:30] – angelegt stsecurity:angriffe-auf-webapplikationen [2010/03/22 23:57] (aktuell) st
Zeile 1: Zeile 1:
 +====== Angriffe auf Webapplikationen ======
 +Angriffe auf Webapplikationen sind ohne spezielle Gegenmaßnahmen (Eingaben prüfen, ein WEB-[[ids:IDS]] wie mod_security, ...) von keiner Firewall aufzuhalten, da der Abruf von Webseiten erwünscht ist. Daraus ergibt sich eine hohe Gefährdung, insbesondere durch Angriffe wie [[Angriffsmethoden und Gegenmaßnahmen#XSS (Cross-Site_Scripting)|XSS]], [[Angriffsmethoden und Gegenmaßnahmen#SQL injection|SQL-Injection]], [[Angriffsmethoden und Gegenmaßnahmen#XSRF / CSRF (Cross-Site Request Forgery)]] usw. 
 +
 +
 +===== Links =====
 +  * [[http://entropia.de/wiki/images/8/8a/Gpn6-websec.pdf|Websecurity (PDF]]
 +  * [[http://www.xssnews.com/|XSS News]]
 +  * [[http://www.dragoslungu.com/2007/05/12/my-favorite-10-web-application-security-fuzzing-tools/|My favorite 10 Web Application Security Fuzzing Tools]]
 +
 +==== Dummy-Software (zum testen der Scanner) ====
 +  * [[http://owasp.net/forums/63/ShowPost.aspx|HacmeBank]] / HacmeBooks
 +  * [[http://www.owasp.org/index.php/OWASP_WebGoat_Project|WebGoat]]
 +  * [[http://www.owasp.org/index.php/Owasp_SiteGenerator|SiteGenerator]]
 +
 +
 +===== Scanner =====
 +
 +
 +  * [[http://www.heise.de/newsticker/meldung/Web-Security-Scanner-von-Google-959931.html|Web-Security-Scanner von Google]] bei [[http://code.google.com/p/skipfish/|Google Code]]
 +  * [[http://dmoz.org/Computers/Security/Internet/Products_and_Tools/Security_Scanners/|Security Scanners  (dmoz)]]
 +  * [[http://www.cirt.net/code/nikto.shtml|Nikto]]
 +  * [[http://wapiti.sourceforge.net/|Wapiti]]
 +  * [[wpde>Nessus_(Software)|Nessus]]
 +  * [[http://www.immunitysec.com/resources-freesoftware.shtml|Spike]] (siehe [[http://media.blackhat.com/presentations/bh-usa-02/bh-us-02-aitel-spike.ppt|An Introduction to SPIKE, the Fuzzer Creation Kit]])
 +  * [[http://www.parosproxy.org/index.shtml|Paros Proxy]]
 +  * [[http://sourceforge.net/project/showfiles.php?group_id=64424&package_id=61823|WebScarab]]
 +  * [[http://www.portswigger.net/intruder/|Burp Intruder]]
 +
 +
 +===== Frameworks =====
 +  * [[http://www.darknet.org.uk/2006/10/beef-browser-exploitation-framework/|BeEF]]
 +  * [[http://www.gnucitizen.org/backframe/application.htm|Backframe]]
 +  * [[http://xss-proxy.sourceforge.net/|XSS Proxy]]
 +