Nach Authentifizierung Webanwendungen scannen mit OWASP ZAP
15.04.2024, 00:00 Uhr
Erst einloggen, dann attackieren
Mit OWASP ZAP lassen sich Webanwendungen automatisch auf Sicherheitslücken scannen. Eine Authentifizierung ist dabei keine unüberwindbare Hürde.
Bereits in der vorangangenen Ausgabe der dotnetpro haben wir das Tool OWASP ZAP [1], kurz für Open Web Application Security Project Zed Attack Proxy, vorgestellt [2]. Hier noch einmal im Schnelldurchlauf, was es zu sehen gab: Mit dem Open-Source-Werkzeug konnten wir niederschwellig eine Webapplikation auf Sicherheitslücken überprüfen. Dieser Vorgang erfolgte in zwei Schritten: Zunächst sorgte ein „Spider“ dafür, dass rekursiv alle Seiten und Endpunkte einer Website erfasst werden. Der zweite Schritt ist der eigentliche Scan: Hier werden alle zuvor gefundenen Ziele mit diversen Angriffen „beschossen“ und anschließend versucht, auf Basis der HTTP-Antworten der Anwendungen auf den Erfolg oder Misserfolg des Angriffsversuchs zu schließen. Das klappt mal besser und mal schlechter. Insofern gibt es auch noch einen dritten Schritt, der dann aber eher vom menschlichen Faktor abhängt als vom Tool: Es gilt die teilweise sehr lange Liste der Funde zu überprüfen, um aus Vermutungen Gewissheit zu schaffen: Was ist tatsächlich eine Sicherheitslücke und was nicht?
Und auch wenn dieses Vorgehen recht gut funktioniert hat, lässt es sich nicht auf jede Art von Webanwendung übertragen. Wie sieht es beispielsweise aus, wenn ein Log-in erfolgen muss, bevor der Zugriff auf bestimmte Endpunkte möglich ist? ZAP kann Credentials nicht erraten. Es ist also möglich, den unautorisiert verfügbaren Bereich einer Website zu prüfen und natürlich auf potenzielle Probleme im Log-in-Prozess zu schauen, aber für weitere Tätigkeiten bedarf es einer eingehenderen Konfiguration des Tools. Um diesen Prozess etwas flapsig zu beschreiben: ZAP kann (fast) alles, aber der Weg dorthin ist teilweise etwas steinig und erfordert unerwartete Richtungsänderungen und Umwege. In diesem Artikel beschreiben wir deshalb das Vorgehen anhand einer entsprechend präparierten ASP.NET-Core-Anwendung.
Jetzt 1 Monat kostenlos testen!
Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt dotnetpro-plus-Kunde.
- + Digitales Kundenkonto,
- + Zugriff auf das digitale Heft,
- + Zugang zum digitalen Heftarchiv,
- + Auf Wunsch: Weekly Newsletter,
- + Sämtliche Codebeispiele im digitalen Heftarchiv verfügbar