Headers, Websockets & more: Webserver- / Webapp-Sicherheit im Jahre > 2014

Mit dem Siegeszug von HTML5, CDNs und modernen Applicationserver-Technologien wie Rails, Node.js, Django/Flask, Websockets oder Java-basierten Appservern wie JBOSS und Tomcat hat sich die Webserver-Landschaft massiv verändert. Der Vortrag beleuchtet, inwieweit der Einsatz dieser Technologien die Informationsgewinnung aus Angreifersicht erleichtert, und mit welchen Maßnahmen sich die serverseitige Sicherheit erhöhen läßt. Live-Beispiele und ein fast-Live-Einbruch, der via Header-Analyse vorbereitet wurde, sollen das trockene Thema etwas anschaulicher gestalten.

Als nächsten Schwerpunkt werden Websockets erklärt, demonstriert und aufgezeigt, welche sicherheitskritischen Fragen unweigerlich aufkommen, wenn auf diese Technik gesetzt wird.

Im Zuge von HTML5 und dem weit verbreiteten Einsatz von CDNs ist der Inhalt einer Webapplikation häufig aus unterschiedlichen Quellen zusammengesetzt. In Zusammenhang mit diesen Techniken haben sich einiger Header durchgesetzt, die vornehmlich dem Userschutz dienen und Schadcode im Browser an der Ausführung hindern oder Session-Hijacking unterbinden sollen. Der Vortrag erläutert den Einsatz von CORS (Cross Object Resource Sharing) CSP (Content Security Policy) und weiterer Header, die genau für diese Zwecke als Standards definiert wurden, anhand von Livebeispielen.

Ein kurzer Abriß der momentan verfügbaren WebApplicationFirewalls im Open-Source-Umfeld gibt einen kurzen Vergleich der Features und möglicher Einsatzszenarien und ein paar Beispiele von Live-Einsätzen. So noch Zeit bleibt wird auf den momentanen Stand von SSL/TLS eingegangen.

  • Webserver-Header
  • vom geleakten Header zum root-Access ( ein fast-Live-Beispiel)
  • Webserver-Header Best Practices
  • Reverse-Proxy: Gateway und Schaltzentrale am Beispiel von Nginx
  • Websockets: kurze Einführung in das Thema, DOs, DONTs und ein einfacher DoS
  • CORS/CSP et al: neue Userschutz-Technologien
  • WebApplicationFirewalls: ein kurzer Überblick und Vergleich der populären Open-Source-Lösungen
  • SSL/TSL Best Practices (wenn noch Zeit bleibt)

Referent:

Markus Manzke konzipiert, betreut, schütz und hackt seit 1998 Webserver-Infrastrukturen von klein bis mittelgroß. Als aktives Mitglied der Naxsi- und OSSEC-Community entwicklet er in Rahmen seiner Arbeit bei MARE system aktuelle Regelsätze für WAFs und OSSEC (Doxi-Rules) und ist als technischer Lead für die Entwicklung von Nginx-Modulen verantwortlich.

Download Größe
Webserver- und Webapp-Sicherheit.pdf 2.91 MB
Externes Video