Während diverse Standardheader meist Informationspreisgabe zur Folge haben, können falsch konfigurierte Header unnötige Sicherheitsrisiken wie Cross-Site Scripting entstehen lassen oder die Auswirkung einer erfolgreichen Ausnutzung verschlimmern. Außerdem sind in modernen Browsern zahlreiche clientseitigen Schutzmechanismen implementiert, die aber nicht standardmäßig aktiv sind – der Browser muss explizit vom Server dazu angewiesen werden.
Anhand mehrerer Real-World-Beispiele aus vergangenen Penetration Tests sollen die Risiken aufgezeigt werden und insbesondere auch, wie die vorhandenen Schutzmechanismen sinnvoll bei modernen Webapplikationen implementiert werden können.
Vorkenntnisse
Grundverständnis von HTTP(S); Kenntnis gängiger Angriffsvektoren gegen Webapplikationen von Vorteil aber optional
Lernziele
Die Teilnehmer sollen sensibilisiert werden, dass Befunde vom OWASP-Top10-Typ „Security Misconfiguration“ – die bei Audits zwar meist mit niedrigem Risiko bewertet werden – im Security-Gesamtkonzept von Webapplikationen doch eine zentrale Rolle einnehmen können. Es soll ein Grundverständnis der möglichen Probleme vermittelt werden und insbesondere die Fähigkeit, die Sicherheitsmechanismen in eigenen Projekten sinnvoll umzusetzen.
//
Simon Metzler
hat an der Fachhochschule Oberösterreich in Hagenberg im Bachelor und Master Sichere Informationssysteme studiert. Als Berater der cirosec GmbH hat er zahlreiche Audits und Penetration Tests sowohl bei Webapplikationen und Web Services als auch bei sehr spezifischen Anwendungen mit besonderen Anforderungen durchgeführt. Er setzt sich hierfür verstärkt mit den Themen Kryptografie und Exploit-Techniken sowie deren Schutzmechanismen auseinander. Konträr dazu hat er mehrere forensische Untersuchungen durchgeführt und teilt seinen Erfahrungsschatz als Trainer der von cirosec angebotenen Schulungen "Hacking Extrem" und "Forensik Extrem".