Gruyere - Löcher in Webanwendungen finden und stopfen

Die bereitgestellte Webanwendung Gruyere - der löchrige Käse - zeigt durch den eigenen Angriff und die Quelltext-Analyse viele Schwachstellen. In dem Kurs der Google Code Universität sind die Aufgaben aus der Sicht eines Angreifers zu lösen. Spielerisch geht es mit dem Lesen von Quellprogrammen und den Werkzeugen (für mich curl und WebScarab) zum Aha-Effekt beim Finden des nächsten Sicherheitslochs. So macht Lernen einfach Spass und die gelösten Probleme bleiben gut in Erinnerung.

Parallel zum Kurs habe ich gleich meine eigene Webanwendung zitat-service.de (Zitate für Webseiten) analysiert und einige Löcher stopfen können:

• XSS beim Suchen nach Zitaten durch JavaScript im Suchbegriff,
• 6 Stellen an denen durch die Modifizierung der GET-Parameter administrative Rechte erlangt werden konnten und
• 3 Stellen an denen ausgerechnet das Löschen von Objekten durch einen GET- und nicht durch einen POST-Aufruf erfolgte.

Einschließlich dem Stopfen meiner eigenen Lücken, aber ohne die Ajax-Aufgaben, habe ich zwei Tage für den Kurs gebraucht:

• XSS - Cross-Site Scripting
• XSRF - Cross-side Request Fogery
• XSSI - Cross Site Script Inclusion
• Path Traversal
• DoS - Denial of Service
• Code Execution
• Configuration Vulnerabilities
• Buffer Overflow
• SQL Injection

Artikel zu Gruyere in den Computer-Zeitschriften:

• c’t 12 / 2010, S. 38
• iX 8 / 2010, S. 72 ff.