Kontinuierliche und automatisierte Pentests
Werbung
Kontinuierliche und automatisierte Pentests !"#$%&'#(!)*#+", -./'0")(1"'#2 3'4")%4"5 3'4")%4"5 3'4")%4"5 3'4")%4"5 ©iteratec SQLInjections? ©iteratec Injection bedeutet... …DieApplikationauszutricksen. ©iteratec SiesollunsereBefehleaneinenInterpreter weiterleiten,derdiesedannausführt Interpreterbedeutet... ©iteratec …EinProgramm,dasseinenString entgegennimmtundihnalsKommando interpretiert. LästigeAuthentifizierung mitSQL-Injection umgehen ©iteratec String query = "SELECT id FROM users " + "WHERE name = '" + req.getParameter("username") + "'" + "AND password = '" + req.getParameter("password") + "'"; LästigeAuthentifizierung mitSQL-Injection umgehen SELECT id FROM users WHERE name = 'benjamin' AND password = 'rüdiger' ©iteratec String query = "SELECT id FROM users " + "WHERE name = '" + req.getParameter("username") + "'" + "AND password = '" + req.getParameter("password") + "'"; LästigeAuthentifizierung mitSQL-Injection umgehen PW-Checkdeaktivieren(bekannterUser) SELECT id FROM users WHERE name = 'benjamin'-- ' AND password = '?' SELECT id FROM users WHERE name = '' or 1=1-- ' AND password = '?' ©iteratec PW-Checkdeaktivieren(unbekannterUser) 3'4")%4"5 /012 3'4")%4"5 3'4")%4"5 ©iteratec Die Angriffsfläche für Cyber-Kriminalität steigt explosionsartig ©iteratec Testen Ihr eure Systeme regelmäßig auf Sicherheitslücken? Angreifer haben 365 Tage Zeit im Jahr! Kontinuierliches Deployment erfordert Automatisierung ©iteratec 18 3&45(+6(5 17&8(99(5$ :(-*$;A=>?@B C(5*(+D+4(5 3'4")%4"5 17&8(99(5$ :(-*$;<=>?@< !"#$%#&"&' ()*&+),-).%/)+0 F!(5G+)(- (*:##)+ 5;<=89 #B:3 (3%4)+ 5%$)+:$)*9 (*:##)+ 56789 C,C,C =)3"+$%#> 5?%@:#:9 A"@,($)&)+&#>,5!:B&#4:9 6#49( T"242 G%24( T"242 ()*&+%$012)'$' !()85+*E :(-*- L7#4'#*7*2 ;",'M")S -","%2" 3'4")%4"5 !*',/ (3%4)+ 56789 ©iteratec Werkzeugeder Angreifer nutzen 3'4")%4"5 Low hanging fruits finden 3'4")%4"5 ... bevor es jemand anderes tut! ©iteratec 3'4")%4"5 ©iteratec Penetrationstest ? ©iteratec Mit der Anwendung vertraut machen 3'4")%4"5 ©iteratec 3'4")%4"5 3'4")%4"5 3'4")%4"5 ©iteratec /012 3'4")%4"5 !()85(I,D(J,K ©iteratec Lessons learned 3'4")%4"5 https://www.ssllabs.com/ssltest/ 3'4")%4"5 Was kann ich ab morgen tun? Kontakt Benjamin Brunzel | Rüdiger Heins @asciijungle @therockinbear [email protected] | Rü[email protected] Am Sandtorkai 73 20457 Hamburg BBB9'4")%4"59/" U4A"&"#U2"5*)"L7/"!7V
