Böse Hacker lauern überall und die meisten Web-Anwendung sind anfällig oder verraten “zu viel” für den Angreifer.
Ein schnellen (ersten!) Überblick kann man sich mit dem Tool “ASafaWeb” machen. Die Seite macht eigentlich nur einige wenige Requests und erstellt daraufhin eine kleine Analyse samt Problembehebung – dauerhafte Schäden (böse Requests / DoS Attacken etc.) führt die Seite nicht aus.
Beispiel: KnowYourStack.com
Jeder einzelne Test wird kurz beschrieben samt Problemlösung:
Der letzte Test empfiehlt zudem, dass die Informationen bezüglich der verwendeten ASP.NET Version / IIS etc. abzuschalten. Wie das geht, habe ich hier schonmal beschrieben:
Security-Tipp: X-Powered-By Header und Server Header bei ASP.NET MVC & IIS entfernen
Damit nicht genug!
Der Test macht nur sehr simple tests – Eingabenvalidierung z.B. wird allerdings gar nicht berücksichtig. Hier muss besonders vorsichtig vorgangen werden!
Wer sonst noch gute Tipps hat, immer her damit!
Top 10 Sicherheitslücken vermeiden!
Philip Proplesch hatte vor einiger Zeit auf die sehr gute Blogreihe von Troy Hunt aufmerksam gemacht: OWASP Top 10 for .NET developers part 1: Injection
Lesen!
