Passend zum Titelthema “Web” bespricht das Linux-Magazin ein Buch über die Sicherheit von Webanwendungen. Der zweite Band behandelt Penetrationstests mit dem Ruby-Framework Metasploit.

Einbrüche in Websites samt Diebstahl von Benutzer- und Kreditkartendaten tauchen mittlerweile regelmäßig in den Nachrichten auf. Das Buch “Web-Sicherheit” aus dem Mitp-Verlag erläutert, was Webanwendungen verletzbar macht und wie man sie schützt.

Web-Sicherheit

Der EDV-Berater und Autor Sebastian Kübeck beginnt mit einem einführenden Abschnitt. Auf die Historie der Computerkriminalität hätte er zwar verzichten dürfen, doch gleich danach vermittelt er wichtige Grundkenntnisse, etwa über Brute-Force-Attacken, Authentifizierung mit Passwörtern und Tokens sowie symmetrische und asymmetrische Verschlüsselungsverfahren.

Der zweite Abschnitt – rund 90 Seiten – widmet sich den häufigsten Schwachstellen von Webanwendungen im Detail. Hier erklärt Kübeck, wie SQL- und Command-Injection, Cross-Site-Scripting und Clickjacking funktionieren und was der Anwendungsentwickler dagegen tun kann. Leicht verständliche Codebeispiele in SQL, Java und Javascript begleiten die Ausführungen. Weitere Problemfelder sind Authentifizierung, Session-Management, Pufferüberläufe und unsichere Konfigurationen. Die Kapitel schließen mit praktischen Übungsaufgaben.

Der letzte Teil dieses Buches widmet sich dem Testen und Absichern von Webanwendungen. Dabei kommen spezielle Scanner wie der OWASP-Webscarab oder Nikto zum Einsatz – selbstverständlich mit der Warnung, fremde oder produktive Systeme zu verschonen. Anschließend gibt der Autor einige praktische Ratschläge zur sicheren Webentwicklung mit JSP-Seiten und Java-Servlets.

Dieser Band eignet sich für Leser, die einen Einstieg in die Sicherheitstechnik von Webanwendungen suchen. Den ersten Abschnitt können Junior-Programmierer genauso mit Gewinn lesen wie Projektleiter, danach wird der Text kleinteiliger und sprachspezifischer, aber auch konkreter und anschaulicher. Vor allem Entwickler sollten die Lektüre noch durch ein gutes Programmierbuch zur Sprache ihrer Wahl ergänzen.

Penetrationstests

Das englischsprachige Buch “Metasploit” aus dem Verlag No Starch Press richtet sich an Penetration-Tester, die mit dem gleichnamigen Framework arbeiten möchten. Nach einer kurzen Vermittlung von Grundlagen erfährt der Leser, wie er mit gängigen Werkzeugen wie Whois und Nmap Informationen über das zu prüfende System sammelt. Darauf folgen zwei Kapitel über das Scannen nach Sicherheitslücken, die auch schildern, wie Metasploit diese ausnutzen kann. Hierbei kommen hauptsächlich Nexpose und Nessus im Zusammenspiel mit dem Framework zum Einsatz.

Danach beschreiben die Autoren, wie man mit der Programmiersprache Ruby eigene Erweiterungen für Metasploit schreibt. Anhand des Moduls »mssql_exec« für Microsofts SQL Server erklären sie zunächst den generellen Aufbau eines Moduls. Im nächsten Schritt entwickeln sie anspruchsvollen Shellcode für die Windows Powershell als neues Modul. Ein Kapitel über den Meterpreter erläutert die Grundlagen zur Automatisierung von Metasploit mit Skripten. Dort ist auch das API genau beschrieben, inklusive der Ruby-Mixins. Das letzte Kapitel präsentiert einen kompletten Penetrationstest mit Metasploit im Detail.

Dieses Buch erklärt ausführlich, meist in Form von Schritt-für-Schritt-Anleitungen, wie Metasploit-Benutzer Scans und Attacken durchführen. Damit ist es sehr nützlich für Leser, die das Framework kennenlernen möchten. Auch Metasploit-Profis finden in diesem Buch das eine oder andere versteckte Feature, insbesondere wenn es um das Erweitern der Software geht.

Leider verfallen die Autoren oft in die aus der Windows-Welt bekannte “Klick hier, klick dort”-Schreibweise, die für professionelle Linux-Anwender unangenehm oberflächlich wirkt. Daneben demonstriert das Buch zwar zahlreiche Attacken, erklärt aber nur selten die technischen Hintergründe. Ein an Security-Know-how interessierter Leser wird damit also wenig glücklich werden. Zusammenfassend hält das Buch aber, was es verspricht: Es ist eine detaillierte Metasploit-Dokumentation für Anwender.