Kontinuierliche und automatisierte Pentests

Kontinuierliche und
automatisierte Pentests
!"#$%&'#(!)*#+",
-./'0")(1"'#2
3'4")%4"5
3'4")%4"5
3'4")%4"5
3'4")%4"5
©iteratec
SQLInjections?
©iteratec
Injection bedeutet...
…DieApplikationauszutricksen.
©iteratec
SiesollunsereBefehleaneinenInterpreter
weiterleiten,derdiesedannausführt
Interpreterbedeutet...
©iteratec
…EinProgramm,dasseinenString
entgegennimmtundihnalsKommando
interpretiert.
LästigeAuthentifizierung
mitSQL-Injection umgehen
©iteratec
String query =
"SELECT id FROM users " +
"WHERE name = '" + req.getParameter("username") + "'" +
"AND password = '" + req.getParameter("password") + "'";
LästigeAuthentifizierung
mitSQL-Injection umgehen
SELECT id FROM users WHERE name = 'benjamin' AND password = 'rüdiger'
©iteratec
String query =
"SELECT id FROM users " +
"WHERE name = '" + req.getParameter("username") + "'" +
"AND password = '" + req.getParameter("password") + "'";
LästigeAuthentifizierung
mitSQL-Injection umgehen
PW-Checkdeaktivieren(bekannterUser)
SELECT id FROM users WHERE name = 'benjamin'-- ' AND password = '?'
SELECT id FROM users WHERE name = '' or 1=1-- ' AND password = '?'
©iteratec
PW-Checkdeaktivieren(unbekannterUser)
3'4")%4"5
/012
3'4")%4"5
3'4")%4"5
©iteratec
Die Angriffsfläche für Cyber-Kriminalität steigt explosionsartig
©iteratec
Testen Ihr eure Systeme regelmäßig
auf Sicherheitslücken?
Angreifer haben 365 Tage Zeit im Jahr!
Kontinuierliches Deployment erfordert Automatisierung
©iteratec
18
3&45(+6(5
17&8(99(5$
:(-*$;A=>?@B
C(5*(+D+4(5
3'4")%4"5
17&8(99(5$
:(-*$;<=>?@<
!"#$%#&"&' ()*&+),-).%/)+0
F!(5G+)(-
(*:##)+
5;<=89
#B:3
(3%4)+
5%$)+:$)*9
(*:##)+
56789
C,C,C
=)3"+$%#>
5?%@:#:9
A"@,($)&)+&#>,5!:B&#4:9
6#49(
T"242
G%24(
T"242
()*&+%$012)'$'
!()85+*E
:(-*-
L7#4'#*7*2 ;",'M")S
-","%2"
3'4")%4"5
!*',/
(3%4)+
56789
©iteratec
Werkzeugeder
Angreifer
nutzen
3'4")%4"5
Low hanging fruits finden
3'4")%4"5
... bevor es jemand anderes tut!
©iteratec
3'4")%4"5
©iteratec
Penetrationstest ?
©iteratec
Mit der Anwendung vertraut machen
3'4")%4"5
©iteratec
3'4")%4"5
3'4")%4"5
3'4")%4"5
©iteratec
/012
3'4")%4"5
!()85(I,D(J,K
©iteratec
Lessons learned
3'4")%4"5
https://www.ssllabs.com/ssltest/
3'4")%4"5
Was kann ich ab morgen tun?
Kontakt
Benjamin Brunzel | Rüdiger Heins
@asciijungle
@therockinbear
[email protected] | Rü[email protected]
Am Sandtorkai 73
20457 Hamburg
BBB9'4")%4"59/"
U4A"&"#U2"5*)"L7/"!7V