Sicherheitsrisiken der Deserialisierung

Questions and Answers

Welches der folgenden Szenarien ist ein gutes Beispiel für die sichere Verwendung der Deserialisierung?

• Ein Webserver akzeptiert serialisierte Daten und verarbeitet diese, nachdem er sie mit einer digitalen Signatur verifiziert hat. (correct)
• Ein Webshop verwendet Deserialisierung, um Kundeninformationen aus einem Formular auf dem Server zu speichern.
• Ein Webserver akzeptiert serialisierte Daten von einer externen Quelle und verwendet eine Whitelist, um nur vertrauenswürdige Daten zu akzeptieren.
• Ein Webserver akzeptiert serialisierte Daten von einer externen Quelle und verarbeitet diese, ohne die Daten zu validieren.

Wie kann man die Gefahr von "Insecure Deserialization" im Zusammenhang mit einem Webserver minimieren?

• Durch die Verwendung von CSRF-Schutzmechanismen.
• Durch die Verwendung von Session Fixation.
• Durch die Verwendung von XML-Signaturen.
• Durch die Verwendung von XXE (XML External Entity) Protection.
• Durch die Verwendung von vertrauenswürdigen Quellen für die serielle Daten und die Validierung des Inputs. (correct)

Was ist der Hauptgrund, warum "Insecure Deserialization" so gefährlich ist?

• Es kann zu XSS-Angriffen führen.
• Es kann zu einer Codeausführung führen. (correct)
• Es kann zu Datenlecks führen.
• Es kann zu einer Überlastung des Servers führen.
• Es kann zu Denial-of-Service-Angriffen führen.

Welche Sicherheitslücke wird im Text als Hauptursache für den Equifax-Hack genannt?

Insecure Deserialization (E)

Was ist die Hauptaufgabe der Deserialisierung in der Softwareentwicklung?

Daten aus einem bestimmten Format in ein Objekt in der Anwendung zu konvertieren. (C)

Welche der folgenden Sicherheitslücken kann durch fehlerhafte Deserialisierung ausgelöst werden?

Cross-Site Scripting (XSS) (C)

Welche der folgenden Aussagen zu Insecure Deserialization ist falsch?

Insecure Deserialization ist ein Problem, das nur in Java-Anwendungen auftritt. (A)

Welche der folgenden Maßnahmen ist NICHT geeignet, um das Risiko von "Insecure Deserialization" zu mindern?

Session Fixation verwenden. (B)

Welche Sicherheitsmaßnahme ist nicht für die Authentifizierung und Sitzungsverwaltung in Webanwendungen notwendig?

Sicherheitsmaßnahmen (A)

Welcher Angriff nutzt eine nicht authentifizierte Session-ID, um die Sicherheit einer Webanwendung zu umgehen?

Session Fixation (A)

Warum werden Standards wie SAML, OAuth und OpenID Connect für Single Sign-On empfohlen?

Sie vereinfachen die Authentifizierung und verbessern die Sicherheit. (A)

Was ist ein typisches Beispiel für einen Session Fixation Angriff?

Ein Angreifer verwendet eine bereits vorhandene Session-ID, um sich als ein anderer Benutzer auszugeben. (B)

Wie kann der Session Fixation-Angriff in einem Webshop verhindert werden?

Indem die Session-ID nach jeder Authentifizierung geändert wird. (B)

Welche der folgenden Maßnahmen ist keine wirksame Methode, um Cross-Site-Scripting (XSS) zu verhindern?

Fügen Sie allen Cookies das "HttpOnly"-Flag hinzu. (B)

Welche der folgenden OWASP Top 10 Sicherheitsrisiken aus dem Jahr 2017 befasst sich nicht direkt mit der Gefahr von Cross-Site-Scripting (XSS)?

A3: Sensitive Data Exposure (C)

Welche Aussage zu XSS-Schutzmaßnahmen ist falsch?

Es ist ausreichend, nur Benutzer-Eingaben in Formularen zu validieren. (C)

Was ist der Hauptzweck des "HttpOnly"-Flags für Cookies?

Verhindert, dass Cookies von Client-seitigen Skripten gelesen werden. (D)

Welche der folgenden Techniken ist nicht mit Cross-Site-Scripting (XSS) verbunden?

Überprüfen der SSL/TLS-Zertifikate auf Schwachstellen. (A)

Wie können XSS-Angriffe in Certificate Signing Requests (CSRs) stattfinden?

Durch Einbetten von bösartigem JavaScript in das CSR-Feld "Subject Alternative Names". (B)

Welche der folgenden Aussagen zu XML External Entities (XXE) ist richtig?

XXE-Angriffe ermöglichen es Angreifern, auf externe Ressourcen wie Dateien oder Webservices zuzugreifen. (A)

Welche der folgenden Maßnahmen ist am effektivsten, um XXE-Angriffe zu verhindern?

Schalten Sie die Verarbeitung externer Entities in Ihrem XML-Parser vollständig aus. (D)

Welche der folgenden Aussagen beschreibt am besten, wie XML External Entities (XXE) Angriffe funktionieren?

Ein Angreifer nutzt eine Schwachstelle in der XML-Parser-Bibliothek aus, um auf lokale Dateien oder das Netzwerk zuzugreifen. (A)

Wie können XML Signature Wrapping-Angriffe am besten verhindert werden?

Durch die Implementierung einer Validierung der XML-Signatur vor dem Verarbeiten der Nutzdaten. (A)

Welche der folgenden Maßnahmen hilft am effektivsten, Cross-Site Scripting (XSS) Angriffe zu verhindern?

Die Verwendung von HTML-Encodern, um Benutzereingaben vor dem Anzeigen auf der Webseite zu entschärfen. (A)

Welche der folgenden Aussagen beschreibt am besten, wie Session Fixation Angriffe funktionieren?

Ein Angreifer erzwingt die Verwendung einer bestimmten Session-ID durch ein Opfer, um dessen Identität anzunehmen. (D)

Welche der folgenden Sicherheitsmaßnahmen hilft am besten, um Session Fixation Angriffe zu verhindern?

Die Verwendung von sicheren, zufällig generierten Session-IDs. (C)

Welche der folgenden Techniken ist besonders hilfreich, um Cross-Site Request Forgery (CSRF) Angriffe zu verhindern?

Verwendung von CSRF Tokens, die nur für eine bestimmte Anfrage gültig sind. (A)

Welche Aussage trifft auf die OWASP Top 10 – 2017 Liste zu?

Es handelt sich um eine Liste der zehn häufigsten Sicherheitsrisiken für Webanwendungen. (D)

Welche der folgenden Aussagen beschreibt am besten den Zweck des OWASP Top 10?

Eine Liste der zehn häufigsten Sicherheitsrisiken für Webanwendungen, die als Grundlage für die Entwicklung sicherer Anwendungen dienen kann. (A)

Welche der folgenden Maßnahmen ist NICHT direkt mit der Prävention von SQL-Injection-Angriffen verbunden?

Die Validierung von XML-Signaturen vor dem Verarbeiten der Nutzdaten. (C)

Was sind die wichtigsten Argumente für die Verwendung des Prinzips ‚Defense in Depth‘?

Erhöhte Widerstandsfähigkeit gegen Angriffe durch die Kombination verschiedener Sicherheitsmaßnahmen. (B)

Was ist ein Billion Laughs Attack?

Ein Angriff, der versucht, einen Server mit einem speziell gestalteten XML-Dokument zum Absturz zu bringen. (D)

Welche Gegenmaßnahmen können gegen einen Billion Laughs Attack eingesetzt werden?

Begrenzung des Speichers, der dem Parser für die Verarbeitung von Entitäten zur Verfügung steht. (A), Verwendung von XML-Parsern, die keine Entitäten auswerten. (C)

Welche Aussage über XXE-Angriffe ist falsch?

XXE-Angriffe sind eine Form von Cross-Site-Scripting. (B)

Welche der folgenden Optionen ist keine wirksame Gegenmaßnahme gegen XXE-Angriffe?

Verwendung von XML-Parsern, die keine Entities auswerten, sondern sie als Symbole behandeln. (A)

Welche Sicherheitsmaßnahme sollte bei der Verwendung von XML-Parsern priorisiert werden, um XXE-Angriffen vorzubeugen?

Deaktivieren der Unterstützung für DTDs (A)

Welche Aussage über JSON im Vergleich zu XML ist hinsichtlich XXE-Angriffen korrekt?

JSON ist weniger anfällig für XXE-Angriffe, weil es keine Möglichkeit bietet, externe Entitäten zu laden. (C)

Was ist die Hauptgefahr von XXE-Angriffen?

Die Möglichkeit, sensibler Daten auszulesen. (A)

Welche der folgenden Optionen ist eine empfohlene Vorgehensweise zur Vermeidung von XXE-Angriffen?

Verwenden Sie einen XML-Parser, der keine externen Entitäten verarbeitet. (A), Überprüfen Sie alle XML-Daten vor dem Verarbeiten. (C), Setzen Sie einen Sicherheitsfilter ein, der alle XML-Daten vor dem Verarbeiten überprüft. (D)

Was ist eine XML-Entität?

Ein Platzhalter für ein Stück Text oder ein anderes XML-Dokument. (A)

Wie unterscheiden sich XXE-Angriffe vom typischen Cross-Site-Scripting?

XXE-Angriffe zielen auf die Verarbeitung von XML-Dokumenten ab, Cross-Site-Scripting auf die Ausführung von JavaScript-Code in einem Browser. (B), XXE-Angriffe richten sich an Server-seitig ausgeführten Code, Cross-Site-Scripting an Client-seitig ausgeführten Code. (C), XXE-Angriffe nutzen externe Entitäten aus, Cross-Site-Scripting nutzt fehlerhafte Eingabevalidierung aus. (D)

Flashcards

Injection

Eingaben, die interpretiert werden, können schädlich sein.

Whitelist-Validierung

Eingaben müssen mit einer strengen Whitelist validiert werden.

Prepared Statements

Bevorzugte Methode zur Vermeidung von SQL-Injections.

Escaping

Der Prozess, um gefährliche Zeichen in Eingaben zu neutralisieren.

Rechtemanagement

Einschränkungen, um die Berechtigungen von Benutzern zu steuern.

Defense in Depth

Die Verwendung mehrerer Sicherheitsebenen zur Erhöhung des Schutzes.

Sensitive Data Exposure

Sensibler Datenmissbrauch aufgrund unzureichender Schutzmaßnahmen.

Broken Authentication

Schwachstellen, die es Angreifern ermöglichen, Benutzerkonten zu übernehmen.

Cross-Site Scripting (XSS)

Schadhafter Code wird in Webseiten eingebettet und ausgeführt.

Insufficient Logging & Monitoring

Unzureichende Überwachung, die Angriffe nicht registriert.

XSS

Cross-Site Scripting; eine Sicherheitsanfälligkeit, bei der Angreifer Skripte in Webseiten einschleusen können.

Validierung von Eingaben

Sicherstellen, dass alle Benutzereingaben korrekt und sicher sind, bevor sie verarbeitet werden.

Output-Escaping

Das Anpassen von Ausgaben, um gefährliche Zeichen zu neutralisieren und XSS zu verhindern.

HttpOnly-Flag

Ein Cookie-Attribut, das den Zugriff auf Cookies über JavaScript verhindert, um XSS zu bekämpfen.

OWASP Top 10

Eine Liste der häufigsten Sicherheitsanfälligkeiten in Webanwendungen laut OWASP.

DOM-basiertes XSS

Eine spezielle XSS-Variante, die direkt im Dokumentenobjektmodell (DOM) ausgeführt wird.

Insecure Deserialization

Eine Anfälligkeit, die durch unsichere Verarbeitung von Daten während der Deserialisierung entsteht.

Sensible Datenexposition

Wenn sensible Informationen ungeschützt in Webanwendungen offengelegt werden.

Unsichere Deserialisierung

Ein Sicherheitsrisiko, wo unerwartete Objekte aus nicht vertrauenswürdigen Quellen geladen werden können.

Serialisierung

Der Prozess der Umwandlung von Daten in ein bestimmtes Format zum Speichern oder Übertragen.

Deserialisierung

Der Prozess der Umwandlung eines serialisierten Datenformats zurück in ein ursprüngliches Objekt.

JSON

Ein textbasiertes Datenformat, das in der Webentwicklung häufig für die Datenübertragung verwendet wird.

XSS (Cross-Site Scripting)

Eine Art von Sicherheitsanfälligkeit, die es Angreifern ermöglicht, Schadcode in Webseiten einzuschleusen.

Sichere Quellen für Objekte

Bezieht sich auf die Verwendung von vertrauenswürdigen Ursprüngen für die Daten, die verarbeitet werden.

Datenformat mit primitiven Datentypen

Formate, die einfache und grundlegende Datentypen verwenden, wie Zahlen und Strings.

Signierung von Objekten

Der Prozess, bei dem Objekte überprüfbar gemacht werden, um Manipulationen zu erkennen.

Equifax Hack Beispiel

Ein Beispiel für unsichere Deserialisierung, die zu Datenverlust führte.

Single Sign-On (SSO)

Eine Authentifizierungsmethode, die es Nutzern ermöglicht, sich mit einem Konto bei mehreren Anwendungen anzumelden.

Identity Provider

Ein Dienst, der für die Authentifizierung von Benutzern verantwortlich ist und Anmeldedaten bereitstellt.

SAML

Ein Standardprotokoll, das für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien verwendet wird.

Session Fixation Angriff

Eine Angriffsmethode, bei der ein Angreifer eine Session-ID erlangt und missbraucht, um unauthentifizierte Benutzer zu identifizieren.

Sicherheitsmaßnahmen

Techniken und Protokolle, die Schutz bieten, um die Sicherheit von Benutzerdaten und -sitzungen zu gewährleisten.

XML External Entities (XXE)

Ein Sicherheitsproblem, das auftritt, wenn XML-Parser externe Entitäten laden.

DoS Angriff: Billion Laughs Attack

Ein Angriff, bei dem ein XML-Parser eine große Menge Daten durch rekursive Entitäten erzeugt.

Gegenmaßnahmen für XXE

Strategien, um XXE-Angriffe zu verhindern, wie die Verwendung von JSON.

XML-Whitelisting

Diese Methode erlaubt nur bestimmte, definierte XML-Entitäten.

Speicherbegrenzung für Parser

Eine Maßnahme, um den Speicher, den ein XML-Parser nutzen kann, zu limitieren.

Aktuelle XML-Parser

Verwendung von neuen XML-Parser-Versionen, die sicherer sind.

Behandlung von Entitäten als Symbole

Entitäten nicht auswerten, sondern als Zeichen behandeln.

OWASP XML XXE Prevention Cheat Sheet

Eine Ressource mit Best Practices zur Vermeidung von XXE-Angriffen.

Serielle Entitäten

Entitäten, die andere Entitäten auflösen können, was Missbrauch ermöglicht.

XML-Definitionen

Ein strukturiertes Format, das Daten beschreibt, aber sicherheitssensibel ist.

Study Notes

Allgemeines

• Die Präsentation behandelt Grundlagen der sicheren Softwareentwicklung.
• Der Fokus liegt auf der Analyse und Prävention von Schwachstellen in Software.
• Das Thema Sicherheit steht im Mittelpunkt, insbesondere im Kontext von Webseiten und Webanwendungen.

Lernziele

• Sensibilisierung für das Thema Sicherheit in der Softwareentwicklung
• Verständnis gängiger Software-Schwachstellen
• Anwendung von Sicherheitsmaßnahmen in der Praxis
• Erkennen und Vermeiden von Angriffen

Organisatorisches

• Die Vorlesung folgt einem Modulsystem (SoSe 2024).
• Die Agenda beinhaltet organisatorische Details, Themenübersicht und Lernziele.
• Die Themen basieren auf OWASP Top 10 Listen.
• Die Veranstaltung wird wahrscheinlich in zwei Wochen stattfinden.
• Die Veranstaltung kann parallel zum Praktikum „Sichere Software-Entwicklung" (PSSWE) belegt werden.

Literatur

• OWASP Projekt (OWASP Top 10)
• Schäfers, Tim Philipp: Hacking im Web
• Howard, Michael; Le Blanc, David; Viega, John: 24 Deadly Sins of Software Security

Motivation: Heartbleed

• Schwerwiegender Sicherheitsfehler in der OpenSSL-Bibliothek
• Die Schwachstelle blieb 27 Monate unentdeckt (Januar 2012 – März 2014).
• Schwere Auswirkungen auf das Internet (betraf ca. 24 bis 55% der HTTPS-Server der Alexa Top 1 Million Liste)
• Die Schwachstelle ermöglichte Angreifern, große Datenmengen im Speicher von Servern auszuleesen (z. B. Passwörter, kryptographische Schlüssel).

Motivation: Wie geht ein Angreifer vor?

• Ein erfolgreicher Angriff besteht aus 4 Schritten
• 1. Informationsgewinnung (z.B. Social Engineering, Netzwerkscanner)
• 2. Ausnutzen von gefundenen Schwachstellen (z.B. „weakest link“ Prinzip)
• 3. Aufrechterhaltung des Zugriffs (z.B. zusätzliche Accounts, Backdoors)
• 4. Verwischen von Spuren (z.B. Logmanipulation, Rootkit-Installation)

HTTP

• HTTP ist ein IETF-Standard und das Protokoll des WWW.
• verschiedene Versionen existieren (z.B. HTTP/1.0, HTTP/1.1, HTTP/2)
• HTTP nutzt TCP für die Kommunikation zwischen Client und Server
• Jede Nachricht besteht aus Header und Body.
• Es gibt spezifische HTTP-Methoden wie GET, POST, PUT, DELETE, TRACE, OPTIONS und CONNECT.
• HTTP-Statuscodes geben den Erfolg oder den Fehler bei einer Anfrage an.

Cookies

• Cookies sind kleine Textdateien, die vom Server an den Client gesendet werden.
• Sie ermöglichen die Speicherung von Informationen auf dem Client-Gerät.
• Der Browser speichert diese auf dem Client, jedoch muss die Serverseite den Cookie widerrufen.

Clientseitige Sprachen

• HTML/CSS, XML, JavaScript/ECMAScript, Asynchronous JavaScript and XML (AJAX), JavaScript Object Notation (JSON), VBScript sind Beispiele für clientseitige Sprachen.

Serverseitige Sprachen

• PHP, ASP.NET, Ruby, Java, Scala, JavaScript, static files, Python, ColdFusion, Perl und Erlang sind Beispiele für serverseitige Skriptsprachen.

URL

• Uniform Resource Locator (URL) definiert den logischen Ort einer Ressource.
• Der Aufbau einer URL enthält Protokoll, Login, Hostname, Port, Pfad usw.
• URLs können in verschiedenen Formaten vorkommen, was die Sicherheit erschwert.

Document Object Model (DOM)

• Spezifikation einer Schnittstelle, die den Zugriff auf HTML und XML-Dokumente ermöglicht.
• Wird häufig mit JavaScript eingesetzt.
• Wichtige DOM-Eventhandler: document.head, document.body, document.cookie, document.referer.

Same Origin Policy (SOP)

• Sicherheitskonzept für clientseitige Skripte.
• Ein Skript kann nur auf Ressourcen zugreifen, die denselben Ursprung (Protokoll, Domäne, Port) haben.
• SOP verhindert unerwünschte Interaktionen zwischen Quellen.

Codierung/Decodierung

• Verschiedene Codierungen existieren, um Daten anders darzustellen.
• Codieren: Klartext in ein anderes Format (z.B. BASE64) umwandeln.
• Decodieren: Codierte Daten in Klartext umwandeln.
• Wichtig: Codierungen allein sind kein Sicherheitsfeature.

OWASP Top 10 (2017)

• Die Liste beschreibt die wichtigsten Webanwendungs-Schwachstellen, basierend auf einer Datenerhebung.

A1: Injection

• Ein Angreifer kann bösartigen Code in die Anwendung einfügen, der als Befehl ausgeführt wird.
• Gefährliche Konsequenzen, wie Datenverlust oder Systemeinschränkungen.

A2: Broken Authentication

• Sicherheitslücken im Authentifizierungsprozess ermöglichen den Zugriff auf Accounts durch Angreifer.
  • Besonders schädlich, wenn der Account Zugriff auf sensible Daten hat.

A3: Sensitive Data Exposure

• Sensible Daten werden nicht ausreichend verschlüsselt oder geschützt gespeichert.
• Besonders gefährdet im „Data at Rest“ und im „Data in Motion“.

A4: XML External Entities (XXE)

• Schwachstelle im XML-Parser, die es Angreifern ermöglicht, bösartigen Code auszuführen.

A5: Broken Access Control

• Zugriffsrechte sind nicht korrekt implementiert.
• Autorisierungslücken ermöglichen den Zugriff auf ungeschützte Daten.

A6: Security Misconfiguration

• Fehlende oder schlecht konfigurierte Sicherheitsfeatures (z. B. Firewall, SSL).

A7: Cross-Site Scripting (XSS)

• Angreifer fügen bösartigen Code in die Website ein, der im Webbrowser des Opfers ausgeführt wird.
• Schwachstellen in der Input-Validierung können XSS ermöglichen.

A8: Insecure Deserialization

• Serialisierte Objekte werden ohne Sicherheitsüberprüfung in der Anwendung wiederhergestellt.

A9: Using Components with Known Vulnerabilities

• Verwendung von Komponenten mit bekannten Schwachstellen.

A10: Insufficient Logging & Monitoring

• Fehlende oder unvollständige Protokollierung und Überwachung von kritischen Aktionen.

Session Management

• Die Verwaltung von Benutzersitzungen ist wichtig, um nicht autorisierte Aktionen zu verhindern.

HTTP-Statuscodes

• verschiedene Statuscodes geben Auskunft über den Zustand einer HTTP Response (z.B. 200 OK, 404 Not Found).

Weitere Themen

• Weitere behandelt Themen (z. B. verschiedene Angriffe, wie man diese findet oder Sicherheitsrichtlinien) sind je nach Präsentationsplan unterschiedlich.

Description

Dieser Quiz behandelt die Risiken und Sicherheitsmaßnahmen im Zusammenhang mit der Deserialisierung in der Softwareentwicklung. Teste dein Wissen über Insecure Deserialization und die damit verbundenen Angriffsmöglichkeiten sowie Methoden zur Risikominderung. Erkunde die relevanten Sicherheitsstandards und deren Anwendungen.