:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tool-Tipp: Burp Suite Mit Burp Suite Schwachstellen in Web applications finden
Mit der Burp Suite können Administratoren den HTTP/HTTPS-Verkehr zu Webanwendungen abfangen und manipulieren, bevor er an den Server geschickt wird. Dadurch lassen sich Sicherheitslücken in Webanwendungen schnell und effektiv entdecken.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Webanwendungen müssen regelmäßig auf Sicherheitslücken hin getestet werden. Hier ist eine gewisse Automatisierung sinnvoll, da dadurch ein laufender Prozess für das Absichern der Anwendungen geschaffen wird. Mit der Burp Suite vom Unternehmen Portswigger lassen sich die bekanntesten Schwachstellen in Webanwendungen auffinden. Dazu gehören auch SQL-Injection oder Cross-Site-Scripting (XSS). Mehr zu den Möglichkeiten ist im Video zu diesem Artikel zu finden.
Das Tool lässt sich auf Windows-Rechnern installieren und ist daher sehr schnell einsatzbereit. Zusätzlich steht das Tool auch in der Sicherheits-Live-DVD Kali zur Verfügung. Auch hier kann die Suite mit wenigen Mausklicks gestartet werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1339400/1339468/original.jpg "Beim Starten wird zunächst ein neues Projekt angelegt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1339400/1339469/original.jpg "Die Scankonfigurationen lassen sich beim Starten aus einer Konfigurationsdatei laden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1339400/1339470/original.jpg "Nach dem Start des Projektes ist die grafische Oberfläche der Burp Suite zu sehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1339400/1339471/original.jpg "Die Einstellungen für den internen Proxy lassen sich an interne Anforderungen passen.")
Wie man mit der Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.
Kostenlos oder Professionell testen
Burp Suite steht als kostenlose Version zur Verfügung, die aber deutlich eingeschränkt ist. Wer dauerhaft seine Webanwendungen testen will, sollte mit der Professional-Edition arbeiten. Diese kostet 329 Euro pro Jahr und Benutzer. Die Entwickler stellen die Professional-Edition 14-Tage als kostenlose Testversion zur Verfügung. Die verschiedenen Editionen unterstützen unterschiedliche Scan-Geschwindigkeiten und Tester können für jedes zu untersuchende Gerät genau festlegen.
Burp Suite einrichten
Die Installation ist schnell abgeschlossen. Nach der Installation kann ein erstes Projekt gestartet werden. Die Scaneinstellungen werden entweder aus der Standardkonfiguration geladen, oder Tester laden beim Erstellen eines neuen Projektes die Einstellungen aus einer Konfigurationsdatei.
Nach dem Start der Oberfläche sollte zunächst über die Registerkarte „Proxy“ überprüft werden, ob der interne Proxy eingeschaltet ist und Daten abfängt. Mit „Options“ lassen sich Einstellungen für den Proxy vornehmen. Hier kann zum Beispiel festgelegt werden, welchen lokalen Port der Burp-Proxy nutzt. Über die Registerkarte „Intercept“ wird festgelegt, ob Burp die Daten weitersenden- oder den Datenverkehr zur Untersuchung unterbrechen soll.
Wird jetzt auf einem PC der Rechner mit der gestarteten Burp Suite als Proxy im Browser eingetragen, wird der komplette Datenverkehr über den Proxy geleitet. Standardmäßig arbeitet der Proxy im „Intercept“-Modus. In diesem Modus werden die Daten nur abgefangen aber nicht weitergeleitet. Wird auf der Registerkarte „Proxy“ und dann auf „Intercept“ geklickt, kann der Intercept-Modus ausgeschaltet werden. In diesem Fall leitet der Burp-Proxy alle Daten zum Ziel weiter. Auch diese Daten sind auf der Registerkarte „HTTP history“ zu sehen und lassen sich auf Schwachstellen hin testen. Das ist auch daran zu sehen, dass auf der Registerkarte „Proxy“ und dann auf „HTTP history“ der Datenverkehr zu sehen ist.
Wie man mit der Burp Suite HTTP- und HTTPS-Traffic analysiert und damit Sicherheitslücken in Webanwendungen finden kann, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.
Scans durchführen
Wenn die Umgebung vorbereitet ist, können erste Scanvorgänge gestartet werden. Dazu wird in einem Browser der die Burp Suite als Proxy-Server nutzt die Webanwendung aufgerufen, in der nach Schwachstellen gesucht werden soll. Die Module, mit denen die Burp Suite arbeitet und nach Schwachstellen suchen kann, sind im oberen Bereich des Fensters zu sehen.
Über die Registerkarte „Proxy“ und dann auf „HTTP history“ ist der Datenverkehr zu sehen, den Clients über die Burp Suite starten. Über das Kontextmenü eines Eintrags kann eine Verbindung mit einem Modul hergestellt werden. Dazu die Option „Send to <Modul>“ ausgewählt.
Wird zum Beispiel über das Kontextmenü die Option „Send to Sequencer“ ausgewählt, markiert Burp das Modul „Sequencer“ und mit „Start live capture“ kann eine Live-Untersuchung gestartet werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1256000/1256024/original.jpg "Welche Möglichkeiten und Tools Kali Linux für Sicherheitsüberprüfungen bietet, zeigen wir in diesem Tool-Tipp und in 90 Sekunden im Video. (cendeced - stock.adobe.com)")
Tool-Tipp: Kali Linux
Mit Kali Pentests durchführen und Sicherheitslücken finden
(ID:45083055)
:quality(80)/images.vogel.de/vogelonline/bdb/1954300/1954348/original.jpg "Microsoft Defender schützt Windows-Systeme inzwischen sehr zuverlässig und kostenlos vor Malware. Wer aber lieber auf eine kostenfreie Alternative setzen will, dem zeigen wir ein paar Möglichkeiten. (Skórzewiak - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962619/original.jpg "Der Azure AD-Anwendungsproxy kann Anfragen aus dem Internet annehmen und an interne Server weiterleiten. Dadurch werden Zugriffe sicherer und unkomplizierter, ohne dass Firewalls im Unternehmen angepasst werden müssen. (ra2 studio - stock.adobe.com)")