AA_14043452_123rf_Galina_Peshkova.jpg

© Galina Peshkova, 123RF

Kali Linux Workshop, Teil 4: Webserver absichern

Schau genau

Webserver lassen sich häufig durch unachtsame Programmierung der Inhalte kapern. Kali Linux hilft mit Tools wie Nikto und Vega, solche Schwachstellen zu finden und zu beseitigen.

Im letzten Teil unseres Workshops zu Kali Linux [1] dreht sich alles um die Sicherheit von Webservern. Insbesondere bei kommerziellen Webseiten ist der Internetauftritt in aller Regel nicht nur optisch attraktiv aufbereitet, sondern ermöglicht auch den direkten Kontakt zum jeweiligen Unternehmen. Dazu kommen meist verschiedene Backends wie Datenbanken oder Anbindungen an ERP-Systeme zum Einsatz, mit deren Hilfe der Kunde Waren bestellt oder bezahlt.

Kriminelle interessieren sich insbesondere für die in Shop-Systemen hinterlegten persönlichen Daten von Anwendern; als Einfallstor in diese Systeme dient der Zugang über den Webbrowser. Daher gehört es zu den Pflichtaufgaben jedes Entwicklers und Administrators, Webserver und Webseiten gegen unterschiedlichste Angriffsszenarien abzusichern. Kali Linux bietet auch in diesen Fällen eine wertvolle Hilfestellung, indem es verschiedene Tools bereitstellt, mit deren Hilfe Sie Webseiten automatisiert auf Sicherheitslücken und Schwachstellen hin abklopfen.

Nikto

Der in Perl programmierte Webseiten-Scanner Nikto [2] gilt als eines der leistungsfähigsten Tools zum Untersuchen von Webservern. Dabei beschränkt sich die Software nicht nur auf offensichtliche Fehlkonfigurationen, sondern lokalisiert auch überalterte Software-Installationen und problematische Skripte. Das Kommandozeilenwerkzeug wartet mit beeindruckenden Leistungen auf: Es erkennt über 1250 Server-Versionen und informiert daher zuverlässig über veraltete und daher meist sicherheitskritische Varianten. Außerdem listet das Programm rund 6700 problematische Dateien und Programme auf und informiert den Admin über rund 270 versionsspezifische Lecks bei Webservern.

Dank seines modularen Aufbaus ergänzen und erweitern die Entwickler die Software permanent durch weitere Plugins. Beachten Sie aber, dass Nikto in der Grundeinstellung nicht als Stealth-Tool arbeitet: Da die Software viele HTTP-GET-Anfragen und somit auch Log-Einträge auf dem Zielserver verursacht, hinterlassen Sie dort eine kaum übersehbare Spur. Andererseits lässt sich auf diesem Weg auch festzustellen, ob ein installiertes IDS korrekt funktioniert.

Sie starten die Software in Kali Linux über den Menüpunkt Anwendungen | 02 - Schwachstellenanalyse | nikto. Es öffnet sich ein Terminal, das die Optionen der Software anzeigt. Anschließend geben Sie am Prompt den Befehl nikto -h Host ein, wobei sich sowohl die IP- als auch die HTTP(S)-Adresse als Hostname eignet. Danach listet die Software im Terminalfenster untereinander alle ermittelten Daten über das Zielsystem auf. Es folgt eine detaillierte Testreihe, die je nach Komplexität der verwendeten Konfiguration eine halbe Stunde und länger dauern kann. Den benötigten Zeitaufwand und die Anzahl der Requests listet die Software am Ende der Testreihe ebenfalls auf (Abbildung 1).

Abbildung 1: In diesem Testlauf spürte Nikto eine Reihe von Schwachstellen auf.

Um die von Nikto angezeigten Daten zu interpretieren, nutzen Sie am einfachsten die Webseite der Open Source Vulnerability Database, kurz OSVDB [3], die detaillierte Informationen zu aktuellen wie auch älteren entdeckten Schwachstellen in verschiedensten Softwarepaketen enthält. Zu vielen Problemen, die Nikto ermittelt, gibt sie eine entsprechende Kennnummer am Zeilenanfang der Auflistung aus. Diese weist auf eine in der OSVDB-Datenbank gelistete Schwachstelle hin, wo Sie diese problemlos nachschlagen.

Um nähere Informationen zu einzelnen von Nikto gefundenen Schwachstellen und Lösungsvorschläge für deren Beseitigung zu erhalten, geben Sie auf der Webseite der OSVDB-Datenbank im Eingabefeld OSVDB ID Lookup die Ziffern der entsprechenden Kennung ein und klicken anschließend auf Go. Sie erhalten dann in Tabellenform die benötigten Informationen (Abbildung 2). Die Zeile Solution zeigt Problemlösungen, mit deren Hilfe Sie die Schwachstelle in der Webserverkonfiguration beheben.

Abbildung 2: Die OSVDB-Datenbank listet viele sicherheitskritische Schwachstellen auf und erlaubt es Ihnen, von Nikto gefundene Probleme zu identifizieren.

Vega

Ein weiteres, äußerst nützliches Tool zum Aufspüren von Konfigurationsmängeln in Webservern heißt Vega [4] und bringt eine grafische Oberfläche mit. Sie starten die Software im Kali-Menü unter Anwendungen | 03 - Webapplikationen | vega.

Das Programm öffnet ein übersichtlich aufgebautes Fenster, in dem Sie neben einer kleinen Menü- und einer ebenfalls sehr spartanisch gehaltenen Schalterleiste am oberen Rand drei große Anzeigebereiche finden: Die vertikale Leiste links mit der Bezeichnung Website View listet die Seitenstruktur der jeweils gescannten Webseite auf. Im großen Bereich Scan Info rechts zeigt die Software gefundene Schwachstellen an, die sie nach Schweregraden unterteilt; im Fensterbereich darunter zeigt Vega die Identities an.

Um einen Webserver auf Schwachstellen hin abzuklopfen, klicken Sie zunächst oben links im Fenster auf den Button in Form einer Zielscheibe namens Start New Scan. Die Software öffnet daraufhin ein neues Fenster, in dem Sie die Adresse des Webservers eingeben. Vega ermittelt in den Standardeinstellungen auf dem Zielsystem eine Vielzahl von möglichen Schwachstellen. Die Palette reicht dabei von Header-Injections über URL-Injections bis hin zu XSS-Injections.

Nach Eingabe der URL klicken Sie unten rechts auf Next. Im folgenden Dialog definieren Sie, welche Typen von Schwachstellen der Scanner berücksichtigen soll. Die Software bietet in den beiden Unterkategorien Injection Modules und Response Processing Modules mehrere Dutzend Schwachstellenscanner an, von denen es die meisten bereits in der Grundeinstellung aktiviert (Abbildung 3).

Abbildung 3: Bereits in der Grundeinstellung aktiviert der Security-Scanner Vega die meisten der integrierten Scan-Module.

Beachten Sie, dass ein solcher Scan aufgrund der Vielzahl der möglichen Schwachstellen sehr viel Zeit in Anspruch nimmt. Nach Auswahl der gewünschten Module und einem neuerlichen Klick auf Next fordert Sie der nächste Dialog auf, eventuell nötige Authentifizierungen für einen automatisierten Scan festzulegen. Im nächsten Dialog schließen Sie bestimmte Parameter vom Scan aus, die das Ergebnis beeinträchtigen könnten. Nach einem Klick auf Finish beginnt Vega mit der Prüfung. Währenddessen erscheint ein Fortschrittsbalken im Hauptfenster.

Darüber hinaus informiert Sie das Programm permanent über bereits gefundene Schwachstellen, indem Sie im Bereich Scan Alerts auf das kleine Dreieck vor der aktuellen, per Datum, Uhrzeit und dem Hinweis [Auditing] angezeigten Protokollliste klicken. Die Software listet anschließend die gefundenen Schwachstellen in einer Übersicht auf, welche es in die Kategorien High, Medium und Info einteilt.

Nach vollzogenem Audit fasst die Rubrik Scan Alerts die Ergebnisse zusammen. Sofern Sie mehrere Webserver untersucht haben, trennt das Tool die Ergebnisse entsprechend. Sie können sich dort die von Schwachstellen betroffenen Pfade und Dateinamen anzeigen lassen, wobei Vega diese wiederum in Kategorien wie beispielsweise Cross-Site Script Include aufteilt.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Vielseitig talentiert
    Mitte August stellten die Entwickler Version 2.0 der auf System- und Netzwerksicherheit spezialisierten Distribution Kali Linux vor. Sie beschränkt sich nicht auf kosmetische Veränderungen, sondern bringt viele wichtige Innovationen mit.
  • Alles sauber?
    Ohne Kenntnis über den Aufbau eines Netzwerks stochern Sie in Sachen Sicherheit im Dunkeln. Mit den in Kali Linux integrierten Werkzeugen gelangen Sie schnell und relativ einfach an die notwendigen Informationen.
  • Sicher?
    Das Aufspüren von Schwachstellen und problematischen Konfigurationen im Intranet stellt meist einen erheblichen Aufwand dar. OpenVAS und Nmap bieten hier dank sorgfältiger Integration in Kali Linux eine echte Hilfe.
  • Aufmerksamer Drache
    Linux eignet sich dank der vielen verfügbaren Security-Tools bestens zum Absichern heterogener Netze. Mit einer spezialisierten Distribution wie Kali Linux lokalisieren und beseitigen Sie Sicherheitslücken schnell.
  • Hersteller der Steam-Machines sind bekannt geworden
    Valve baut seine auf Linux basierenden Videospielkonsolen nicht selbst, sondern überlässt dies Partnern. Jetzt sind die Namen der ersten zwölf Hardwarehersteller durchgesickert.
Kommentare

Infos zur Publikation

Lu07/2016: GIMP FÜR PROFIS

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Aktuelle Fragen

Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...
thema ändern
a b, 29.05.2016 16:34, 0 Antworten
Hallo Linuxer zuerst alle eine schönen Sonntag, bevor ich meine Frage stelle. Ich habe Ubuntu 1...
Ideenwettbewerb
G.-P. Möller, 28.05.2016 10:57, 0 Antworten
Liebe User, im Rahmen eines großen Forschungsprojekts am Lehrstuhl für Technologie- und Innova...
Welche Drucker sind Linux-mint kompatibel?
Johannes Nacke, 20.05.2016 07:32, 6 Antworten
Hallo Ihr Lieben, ich bitte um mitteilung welche Drucker Kompatibel sind mit Linux-Mint. LG Joh...