Reply to comment

Bei meinem morgendlichen Streifzug durch die beobachteten RSS-Feeds fand ich diesen Blogeintrag. Dieser Angriff auf die Applikationslogik zeigt perfekt dass man bei Webapplikationen nicht nur die typischen OWASP Top 10 Schwachstellen vorfindet sondern auch die wesentlich interessanteren Schwachstellen die direkt die Arbeitsweise der Applikation kompromittieren.

Viele Sicherheitsanalysen von Webapplikationen beruhen mittlerweile auf automatisierten Tools wie IBM Appscan oder Acunetix WVS und erleichtern die Arbeit des Auditors ungemein. Im Normalfalls sind diese Tools auch sehr gut im Auffinden von beispielsweise XSS Schwachstellen oder verschiedene anderen OWASP Top 10 Schwachstellen, aber die eigentliche Applikationslogik bleibt ihnen verborgen. Angriffe die auf dem Verständnis der Applikationslogik beruhen dementsprechend auch.

Kompromittiert ein Angreifer die Anwendungslogik kann er häufig enormen Schaden anrichten und wie in dem ausgehenden Blogeintrag dargestellt ist wird können unter Umständen auch sensitive Daten eingesehen werden.

Wenn ihr einen Pentest einer Webapplikation durchführen lasst, erkundigt euch vorab ob dieser Test rein automatisiert durchgeführt wird oder ob auch händisch getestet wird. Fragt welche Tools eingesetzt werden, findet sich auf dieser Liste kein Proxytool wie beispielsweise Webscarab dann ist der händische Teil sehr einfach abzuschätzen ...

Fix your Webapp ...