:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wapiti, W3af und Arachni Web Application Security mit Open Source
Mit den drei Open Source-Tools Wapiti, W3af und Arachni lässt sich die Sicherheit von Webanwendungen überprüfen und verbessern. Die drei Tools stehen kostenlos zur Verfügung und bieten unterschiedliche Funktionen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
In diesem Beitrag zeigen wir die Möglichkeiten der drei Sicherheits-Tools Wapiti web-application vulnerability scanner, W3af - Web Application Attack and Audit Framework und Arachni Web application security scanner framework. Alle drei Tools helfen dabei Webanwendungen sicherer zur Verfügung zu stellen. Die drei Tools werden auf einem Linux-Rechner installiert, oder lassen sich über die Sicherheits-Live-DVD Kali nutzen.
:quality(80)/images.vogel.de/vogelonline/bdb/1612300/1612302/original.jpg "Einige Tools, wie zum Beispiel Arachni brauchen einen eigenen Weberserver, mit dem die Verwaltungsoberfläche zur Verfügung gestellt wird. Das ermöglicht den Betrieb auf Windows-Rechnern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1612300/1612303/original.jpg "Arachni kann über eine Weboberfläche gesteuert werden. Hier lassen sich auch Scans starten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1612300/1612304/original.jpg "Über den Assistenten zum Starten eines Scans wird die URL eingegeben, die auf Sicherheitslücken untersucht werden soll.")
:quality(80)/images.vogel.de/vogelonline/bdb/1612300/1612305/original.jpg "Arachni zeig das Scanergebnis in seiner Weboberfläche an.")
Wapiti web-application vulnerability scanner
Waipiti kann Angriffe und Schwachstellen von Webanwendungen testen, bevor diese über das Internet zur Verfügung gestellt werden. Es ist schwer für Entwickler Sicherheitslücken ohne Tools zu erkennen. Über Anwendungen wie Wapiti wir dagegen schnell erkannt gegenüber welchen Angreifern eine Webanwendung anfällig ist.
Es handelt sich bei Wapiti um eine einfache Befehlszeilenanwendung, mit der die Webseiten der Webanwendung auf Sicherheitslücken überprüft werden kann. Das Tool untersucht also nicht den Quellcode, sondern analysiert den Betrieb der Webanwendung. Im Fokus von Wapiti steht das Entdecken von folgenden Angriffen:
- Offenlegung von Dateien (Lokale und entfernte Includes/Anforderungen und andere Aufgaben)
- Datenbankinjektion (PHP/JSP/ASP und mehr)
- XSS (Cross Site Scripting)
- SSL-Zertifikatsverifizierung.
Es werden aber auch andere Angriffe untersucht und die Schwachpunkte der Webanwendung angezeigt. Das Tool kann einen Bericht erstellen, der die verschiedenen Schwachstellen der Anwendung enthält. Dabei kann es sich um eine HTML-Seite oder eine XML-Datei handeln. Auch JSON-Dateien und Textdokumente können als Bericht erstellt werden.
Wapiti benötigt Python 2.x und python-requests v1.2.3 oder neuer auch BeautifulSoup wird benötigt. Nach der Installation von Wapiti besteht der einfachste Weg einen Scan auszuführen darin den folgenden Befehl einzugeben: wapiti -u <URL>. Eine ausführliche Liste aller Optionen ist auf der Seite des Projektes in der Hilfe zu finden.
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400474/original.jpg "Kali Linux ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. In dem vierteiligen Workshop zeigen wir, welche Möglichkeiten Kali bietet. Mit den Pfeiltasten (← / →) oder den Schaltflächen oben können Sie durch die Sammlung navigieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400475/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 1</big><br> <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Kali Linux installieren und Hacking-Lab aufsetzen</strong></big></big></a><br> Angehende Sicherheitsexperten, Pentester und IT-Verantwortliche finden in Kali eine umfangreiche Plattform, um digitale Attacken zu planen und durchzuführen. Warum sollte man dies tun? Zum einen um sich mit potentiellen Angriffen auf die eigenen Systeme auseinanderzusetzen und zum zweiten um interne oder externe Schwachstellentests besser zu verstehen. Im ersten Teil dieses Workshops stellen wir Kali genauer vor und erklären, wie sich ein Hacking-Lab aufzusetzen lässt. <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400476/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 2</big><br> <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Informationen sammeln mit Kali Linux</strong></big></big></a><br> Kali Linux bietet Sicherheitsexperten, Pentestern und neugierigen Nutzern eine umfangreiche Sammlung an Werkzeugen. Das kann auf den ersten Blick etwas zu viel sein. Unsere Artikelserie stellt sinnvolle Tools vor – im zweiten Teil des Workshops dreht sich alles um das Thema Informationen übers Netzwerk sammeln. <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400477/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 3</big><br> <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Schwachstellenanalyse mit Kali Linux</strong></big></big></a><br> Kali Linux eignet sich ideal, um Server auf Schwachstellen zu überprüfen. Die Linux-Distribution bringt alle notwendigen Applikationen mit, um eigene Server auf potentielle Angriffsmöglichkeiten hin zu checken. Im dritten Teil des Workshops stellen wir einige Tools vor, die einfach zu nutzen sind und relevante Informationen liefern. <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
W3af - Web Application Attack and Audit Framework
Das Sicherheitstool “W3af - Web Application Attack and Audit Framework” findet ebenfalls Sicherheitslücken in Webanwendungen. Das Tool ist auch auf der bekannten Kali-DVD vertreten. W3af kann auch in macOS installiert werden. Die Vorgehensweise dazu beschreiben die Entwickler auf ihrer Webseite. Wer eine Microservices-Umgebung mit Containern betreibt kann W3af auch in Docker als Container installieren.
Im Gegensatz zu Wapiti verfügt W3af auch über eine grafische Oberfläche, kann aber auch in der Befehlszeile genutzt werden. Das Tool wird mit Plugins erweitert, mit denen die einzelnen Webangriffe durchgeführt werden, mit der die entsprechende Anwendung getestet werden soll. Auch W3af benötigt Python. Die Installation wird in der Dokumentation umfassend beschrieben.
Die Verwaltungskonsole von W3af wird mit „w3af_console gestartet“. Danach steht das Tool zur Verfügung. Mit dem Befehl „help“ kann in der Konsole eine Hilfe angezeigt werden, wie W3af genutzt werden kann. Alle Funktionen und Möglichkeiten des Tools sind auf der Hilfe-Seite zu finden.
| w3af>>> help |------------------------------------------------------------------| | start | Start the scan. | | plugins | Enable and configure plugins. | | exploit | Exploit the vulnerability. | | profiles | List and use scan profiles. | | cleanup | Cleanup before starting a new scan. | |------------------------------------------------------------------| | help | Display help. Issuing: help [command] , prints | | | more specific help about "command" | | version | Show w3af version information. | | keys | Display key shortcuts. | |------------------------------------------------------------------| | http-settings | Configure the HTTP settings of the framework. | | misc-settings | Configure w3af misc settings. | | target | Configure the target URL. | |------------------------------------------------------------------| | back | Go to the previous menu. | | exit | Exit w3af. | |------------------------------------------------------------------| | kb | Browse the vulnerabilities stored in the | | | Knowledge Base | |------------------------------------------------------------------| w3af>>> w3af>>> help target Configure the target URL. w3af>>> |
Arachni Web application security scanner framework
Arachni Web application security scanner framework steht für Linux, Windows und macOS zur Verfügung. Wie die anderen Tools in diesem Beitrag kann Arachni auch in Kali eingebunden werden, lässt sich aber problemlos auch in Windows 10 betreiben. Interessant ist in diesem Bereich natürlich auch, dass Kali über das Windows Subsystem für Linux (WSL) auch direkt in Windows 10 integriert werden kann. Das ist natürlich dann sinnvoll, wenn von einer Arbeitsstation aus häufiger Webanwendungen auf Sicherheitslücken hin überprüft werden sollen.
Wer in Windows 10 mit Arachni arbeiten will braucht natürlich kein Kali, sondern kann das Tool direkt herunterladen und extrahieren. Danach befindet sich im Verzeichnis „bin“ die Batchdatei „arachni_web.bat“. Die Datei muss über das Kontextmenü mit Administratorrechten gestartet werden. Danach kann das Tool über sein Webinterface verwaltet werden. Die Adresse und der Port werden in der Befehlszeile angezeigt. In den meisten Fällen wird das Webinterface mit http://localhost:9292 geöffnet. Der standardmäßige Benutzer ist admin@admin.admin. Das Kennwort für den Benutzer lautet „administrator“. Danach steht die Weboberfläche zur Verfügung.
Nach dem Start kann mit „Scans\New“ ein neuer Scanvorgang in Windows gestartet werden. Auf dem gleichen Web funktioniert das auch in Linux und macOS. Zusätzlich kann hier auch ein Scanvorgang geplant werden. Teilweise erscheinen Warnungen, dass der Zugriff über die Firewall erst gestattet werden muss. Danach scannt das Tool den entsprechenden Webserver und zeigt das Ergebnis und die erforderlichen Maßnahmen auch gleich im Fenster an.
(ID:46122673)
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962619/original.jpg "Der Azure AD-Anwendungsproxy kann Anfragen aus dem Internet annehmen und an interne Server weiterleiten. Dadurch werden Zugriffe sicherer und unkomplizierter, ohne dass Firewalls im Unternehmen angepasst werden müssen. (ra2 studio - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952500/1952573/original.jpg "CloudComputing-Insider ist Mitveranstalter der CCX II/22 Cloud Computing Virtual Conference CCX II/22. (Vogel IT-Akademie)")