17 April 2012 ASP.NET, Security Robert Muehsig

Böse Hacker lauern überall und die meisten Web-Anwendung sind anfällig oder verraten “zu viel” für den Angreifer.

Ein schnellen (ersten!) Überblick kann man sich mit dem Tool “ASafaWeb” machen. Die Seite macht eigentlich nur einige wenige Requests und erstellt daraufhin eine kleine Analyse samt Problembehebung – dauerhafte Schäden (böse Requests / DoS Attacken etc.) führt die Seite nicht aus.

image

Beispiel: KnowYourStack.com

image

Jeder einzelne Test wird kurz beschrieben samt Problemlösung:

image

Der letzte Test empfiehlt zudem, dass die Informationen bezüglich der verwendeten ASP.NET Version / IIS etc. abzuschalten. Wie das geht, habe ich hier schonmal beschrieben:

Security-Tipp: X-Powered-By Header und Server Header bei ASP.NET MVC & IIS entfernen

Damit nicht genug!

Der Test macht nur sehr simple tests – Eingabenvalidierung z.B. wird allerdings gar nicht berücksichtig. Hier muss besonders vorsichtig vorgangen werden!

Wer sonst noch gute Tipps hat, immer her damit!

Top 10 Sicherheitslücken vermeiden!

Philip Proplesch hatte vor einiger Zeit auf die sehr gute Blogreihe von Troy Hunt aufmerksam gemacht: OWASP Top 10 for .NET developers part 1: Injection
Lesen!


Written by Robert Muehsig

Software Developer - from Dresden, Germany, now living & working in Switzerland. Microsoft MVP & Web Geek.
Other Projects: KnowYourStack.com | ExpensiveMeeting | EinKofferVollerReisen.de

If you like the content and want to support me you could buy me a beer or a coffee via Litecoin or Bitcoin - thanks for reading!