Security-Tools – Das Metasploit-Framework (Teil 2)

Exploits für Client- und Server-Applikationen entwickeln und anwenden

07.01.2010 | Autor / Redakteur: Marcell Dietl / Stephan Augsten

Metasploit ermöglicht es, Server und Clients mittels eigens entwickelter Exploits zu kompromittieren.
Metasploit ermöglicht es, Server und Clients mittels eigens entwickelter Exploits zu kompromittieren.

Betriebssysteme werden immer umfangreicher, ihre Quellcodes komplexer und das Angebot an Software zusehends größer. Für einen Kriminellen sind all dies mögliche Angriffspunkte, um einzelne Computer oder ganze Netzwerke erfolgreich zu kompromittieren. In diesem Beitrag widmet sich Security-Insider.de den Funktionen Metasploits zum Aufdecken und Ausnutzen von Schwachstellen.

Laut einer Studie von NCSP aus dem Jahre 2005 tauchten Fehler im Code kommerzieller Applikationen mindestens alle 1000 Zeilen auf; oftmals auch häufiger. Das US Unternehmen Coverity veröffentlichte etwa zeitgleich eine Analyse des Linux-Kernels. In mehr als fünf Millionen Zeilen Code (Lines of Code, LoC) konnte hier nur etwa alle 5000 Zeilen ein Fehler nachgewiesen werden.

Für die Verfechter quelloffener Systeme war dies ein Beweis für deren Sicherheit. Ein Hacker verfügt damit dennoch über mehrere hundert Stellen, die ein System verwundbar machten. Ob nun kommerziell oder quelloffen: Der Sicherheit fremder Software – besonders in kritischen Umgebungen – sollte niemals blind vertraut werden.

Um diesem Defizit beizukommen, bietet Metasploit eine Reihe von Ruby-Modulen, die besonders gut für den Einsatz in Fuzzern geeignet sind. Fuzzer sind simple Programme und Tools, mit deren Hilfe man die Robustheit einer Applikation durch das Senden vieler verschiedener Daten testen kann.

Kommt es dabei zum Absturz des Dienstes, gilt es die genaue Ursache zu untersuchen. Mit Hilfe von fertigen Skripten lässt sich anschließend ein individueller Exploit realisieren, der gut portierbar ist und als Beweis gegenüber anderen Verantwortlichen verwendet werden kann.

Seite 2: Mithilfe von Fuzzing schnell konkrete Ergebnisse erzielen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2042713 / Schwachstellen-Management)