====== Angriffe auf Webapplikationen ====== Angriffe auf Webapplikationen sind ohne spezielle Gegenmaßnahmen (Eingaben prüfen, ein WEB-[[ids:IDS]] wie mod_security, ...) von keiner Firewall aufzuhalten, da der Abruf von Webseiten erwünscht ist. Daraus ergibt sich eine hohe Gefährdung, insbesondere durch Angriffe wie [[Angriffsmethoden und Gegenmaßnahmen#XSS (Cross-Site_Scripting)|XSS]], [[Angriffsmethoden und Gegenmaßnahmen#SQL injection|SQL-Injection]], [[Angriffsmethoden und Gegenmaßnahmen#XSRF / CSRF (Cross-Site Request Forgery)]] usw. ===== Links ===== * [[http://entropia.de/wiki/images/8/8a/Gpn6-websec.pdf|Websecurity (PDF]] * [[http://www.xssnews.com/|XSS News]] * [[http://www.dragoslungu.com/2007/05/12/my-favorite-10-web-application-security-fuzzing-tools/|My favorite 10 Web Application Security Fuzzing Tools]] ==== Dummy-Software (zum testen der Scanner) ==== * [[http://owasp.net/forums/63/ShowPost.aspx|HacmeBank]] / HacmeBooks * [[http://www.owasp.org/index.php/OWASP_WebGoat_Project|WebGoat]] * [[http://www.owasp.org/index.php/Owasp_SiteGenerator|SiteGenerator]] ===== Scanner ===== * [[http://www.heise.de/newsticker/meldung/Web-Security-Scanner-von-Google-959931.html|Web-Security-Scanner von Google]] bei [[http://code.google.com/p/skipfish/|Google Code]] * [[http://dmoz.org/Computers/Security/Internet/Products_and_Tools/Security_Scanners/|Security Scanners (dmoz)]] * [[http://www.cirt.net/code/nikto.shtml|Nikto]] * [[http://wapiti.sourceforge.net/|Wapiti]] * [[wpde>Nessus_(Software)|Nessus]] * [[http://www.immunitysec.com/resources-freesoftware.shtml|Spike]] (siehe [[http://media.blackhat.com/presentations/bh-usa-02/bh-us-02-aitel-spike.ppt|An Introduction to SPIKE, the Fuzzer Creation Kit]]) * [[http://www.parosproxy.org/index.shtml|Paros Proxy]] * [[http://sourceforge.net/project/showfiles.php?group_id=64424&package_id=61823|WebScarab]] * [[http://www.portswigger.net/intruder/|Burp Intruder]] ===== Frameworks ===== * [[http://www.darknet.org.uk/2006/10/beef-browser-exploitation-framework/|BeEF]] * [[http://www.gnucitizen.org/backframe/application.htm|Backframe]] * [[http://xss-proxy.sourceforge.net/|XSS Proxy]]