Unhöflicherweise schreibe ich analog zur Blackhat während der Vorträge der OWASP Appsec Germany ein wenig mit. Die Vorträge sind/werden noch auf der Konferenz-Webseite verlinkt.
Vorstellung des Open Web Application Security Project (OWASP)
Nach einer kurzen Begrüßung des German Chapter Board Members Georg Heß hat Boris Heitkamp einen guten Überblick über die OWASP Struktur und Projekte gegeben. Erwähnenswert sind aus meiner Sicht noch nicht so bekannte Projekte (neben der Top 10 natürlich):
- owasp.tv (Videos von Appsec Konferenzen)
- OWASP ESAPI Project (zentrale Sicherheits-„Toolbox“ für Webanwendungen in verschiedenen Sprachen)
- Moderated RSS Feed (gutes RSS-Feed rund um die OWASP und Web-Application Security)
OWASP Education Project
Martin Knobloch hat in der ihm eigenen Mischung aus holländischem und heidelberger Akzent das Projekt vorgestellt und um Mithilfe gebeten. Ziel sind einheitliche und gute Schulungsunterlagen, die jeder frei verwenden kann. In jedem Fall einen Blick wert.
Praktische Erfahrung mit dem Secure Software Lifecycle
Ziel des Vortrags war ein Praxisbericht über verschiedene SDLC in vier Firmen. Anfangs wurde z. B. CLASP vorgestellt, allerdings die Praxisrelevanz in Frage gestellt, vor allem aufgrund der Komplexität. Und ich hab nochmal eine andere Bedeutung der Abkürzung BSI gelernt. Build Security In vor National Cyber Security Division. Im Gegensatz zu CLASP oder dem Microsoft Vorgehensmodell ist es nicht prozessgetrieben, sondern eine Sammlung von Best Practices. Interessanter Ansatz in einer mehr und mehr prozessgetriebenen Welt.
Der Ansatz von Bruce Sams ist quasi nach dem KISS-Prinzip: Möglichst einfach, nah an den Entwicklern, auf der anderen Seite muss auch die Security-Abteilung abgeholt werden, also meist „Compliance“ nachgewiesen werden.
Kernaussage: Einen Secure Software Development Lifecycle muss man sich in jeder Firma erarbeiten und existierender Ansätze ständig anpassen und optimieren.
Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen
Sehr spannendes Thema: SAP-Security. Sebastian Schinzel stellte diverse Frameworks, die für SAP bestehen vor und zeigte Schwachstellen auf. Auf der anderen Seite ging er auf Aspekte der sicheren Entwicklung in SAP-Umgebungen ein. Insbesondere beim Customizing gibt es hier viele Probleme und Schwachstellen, die man von den „normalen“ Webanwendungen kennt. Interessant: Bei einer Kurzumfrage gab es niemand, der die Meinung vertrat, dass es zwei identische SAP-Installationen gibt.
Interessant waren die Ausführungen über den SAP Web Server, der von Haus aus schon einen Blacklist-Filter für einige wenige Angriffewie XSS, die leicht umgangen werden können.
Die Abbildung der OWASP Top 10 auf die SAP Business Server Pages zeigt, dass bis auf A7 Broken Authentication und Session Management eigentlich alles geht. Sebastian hat XSS und Injection Flaws vorgestellt und Gegenmaßnahmen skizziert.
Der Vortrag war sehr angenehm präsentiert und spannend, vor allem, wenn man nicht in der SAP-Welt zu Hause ist. Also: Auf jeden Fall den Vortrag herunterladen!
Adaptive Sicherheit durch Anomalieerkennung
Ein wunderschöner Titel muss ich sagen 🙂 Die Idee ist eine „Next Generation WAF“, die mittels Anomalie-Erkennung mehr erkennen soll, als eine klassiche WAF. Aus Sicht des Referenten Hartmut Keil bieten die statischen Regelwerke (Black- und Whitelisting) keinen realistischen Ansatz mehr dar. Der Ansatz der Anomalie-Erkennung kennt man z. B. aus Spam-Filtern oder heuristischen Modulen in Virenschutzprogrammen. Es gibt nun also einen ersten Proof-of-Concept, der mit einer Learning-Phase automatische Regeln generiert, für Antworten des Webservers und Anfragen von Clients. Dabei werden auch Beziehungen zwischen Requests/Response-Paaren gelernt. Die Diskussion im Anschluss des Vortrags war sehr kontrovers und zeigte diverse Probleme des Modells auf.
Design Bugs
Nach kleinen Zeitproblemen aufgrund eines kurzfristig einberufenen Beamer-Streiks hat Alexios Fakos in der ihm eigenen Vortragsweise anhand der OWASP Top 10 (A6 bis A9) klasissche Design-Fehler vorgestellt. Eingangs durch den Referent erwähnt: Keine technisch allzu anspruchsvolle Darbietung, da u. A. die Marketing-Abteilung die Zielgruppe darstellt. Die angeführten Beispiele waren IMHO nicht ganz optimal, z. B. wurde als schlecht dargestellt, dass sofern der Benutzername bei einem Forum bereits vergeben ist, dem Nutzer dies dargestellt wird. Das liegt nunmal in der Natur der Sache, dass man einen Benutzernamen nicht doppelt registrieren kann und der Benutzer dies auch angezeigt bekommen muss. Nun gut, hat mich persönlich jetzt nicht umgerissen, viele Beispiele mit bedingter Aussagekraft.
JavaScript from Hell – advanced client side injection techniques of tomorrow
Einer der wenigen technischen Voträge am heutigen Tag, ich war im Vorfeld sehr gespannt auf die JS-Injection von morgen. Zunächst gabs eine kleine Geschichtsstunde, im Anschluss einige Obfuscation-Beispiele. Sehr nett war das Firebug-Beispiel, in dem mit der Funktion toSource sehr stark verschleierter JS-Code im Klartext angezeigt wird. Logisch: Was der Browser ausführen soll, muss man auch im Klartext anzeigen lassen können. Schlussfolgerung: Ohne Sandboxing ist eine WAF eigentlich geliefert, wobei auch die Sandbox einem DoS ausgeliefert werden kann. Im Anschluss kamen sehr ausgefallene Obfuscation-Beispiele, z. B. aus der ASCII-Tabelle eines chinesischens Zeichen die hohe Zahl zu extrahieren, zu slicen und neu zusammenzusetzen.
Auf jeden Fall also ein Vortrag, der die Hoffnung erfüllte, auch wenn die Payload-Übergabe an eine Webanwendung im beliebten Fall persistententes XSS schwierig scheint. Insbesondere geht es also darum, bösen Code durch Dritte eingeschleust zu bekommen, z. B. in Frameworks.
Sehr nett ist der Verweis auf den Hackvertor, mit dem man mit verschiedenen Methoden seine Payload obfuskieren kann.
Wir hängen nun übrigens knapp eine Stunde im Zeitplan 🙂
Projektierung der Sicherheitsprüfung von Webanwendungenen
Zu meinem eigenen Vortrag kann ich natürlich nicht sonderlich viel sagen (außer vielleicht, dass er vorgezogenwurde), daher einfach nur der Verweis auf das Whitepaper.
Pentestvorbereitung: Sitemap für Webanwendungen (Tools)
Sitemaps von komplexen Webanwendungen zu erstellen ist sehr schwierig, Achim Hoffmann hat sich des Themas angenommen, wie man am Besten die „Schuhgröße“ einer Prüfung im Vorfeld bewerten kann. Es wurden noch einige Tools vorgestellt, mit denen man rasch ans Ziel kommt. Aus dem Auditorium kam der Hinweis, dass ein Mitarbeiter der Fachabteilung und ein Techniker wohl die besten Tools darstellen 🙂
Fazit
Scheh wars, die Vorabendveranstaltung war sehr nett, wir haben uns gut unterhalten und das Essen war auch lecker 🙂 Die Vorträge dieses Jahr waren meist untechnisch, dennoch auch für mich interessant. Allerdings hoffe ich ehrlich gesagt für das kommende Jahr wieder auf zwei Tracks. Wir werden sehen..
/gt