AA_14043452_123rf_Galina_Peshkova.jpg

© Galina Peshkova, 123RF

Kali Linux Workshop, Teil 4: Webserver absichern

Schau genau

Webserver lassen sich häufig durch unachtsame Programmierung der Inhalte kapern. Kali Linux hilft mit Tools wie Nikto und Vega, solche Schwachstellen zu finden und zu beseitigen.

Im letzten Teil unseres Workshops zu Kali Linux [1] dreht sich alles um die Sicherheit von Webservern. Insbesondere bei kommerziellen Webseiten ist der Internetauftritt in aller Regel nicht nur optisch attraktiv aufbereitet, sondern ermöglicht auch den direkten Kontakt zum jeweiligen Unternehmen. Dazu kommen meist verschiedene Backends wie Datenbanken oder Anbindungen an ERP-Systeme zum Einsatz, mit deren Hilfe der Kunde Waren bestellt oder bezahlt.

Kriminelle interessieren sich insbesondere für die in Shop-Systemen hinterlegten persönlichen Daten von Anwendern; als Einfallstor in diese Systeme dient der Zugang über den Webbrowser. Daher gehört es zu den Pflichtaufgaben jedes Entwicklers und Administrators, Webserver und Webseiten gegen unterschiedlichste Angriffsszenarien abzusichern. Kali Linux bietet auch in diesen Fällen eine wertvolle Hilfestellung, indem es verschiedene Tools bereitstellt, mit deren Hilfe Sie Webseiten automatisiert auf Sicherheitslücken und Schwachstellen hin abklopfen.

Nikto

Der in Perl programmierte Webseiten-Scanner Nikto [2] gilt als eines der leistungsfähigsten Tools zum Untersuchen von Webservern. Dabei beschränkt sich die Software nicht nur auf offensichtliche Fehlkonfigurationen, sondern lokalisiert auch überalterte Software-Installationen und problematische Skripte. Das Kommandozeilenwerkzeug wartet mit beeindruckenden Leistungen auf: Es erkennt über 1250 Server-Versionen und informiert daher zuverlässig über veraltete und daher meist sicherheitskritische Varianten. Außerdem listet das Programm rund 6700 problematische Dateien und Programme auf und informiert den Admin über rund 270 versionsspezifische Lecks bei Webservern.

Dank seines modularen Aufbaus ergänzen und erweitern die Entwickler die Software permanent durch weitere Plugins. Beachten Sie aber, dass Nikto in der Grundeinstellung nicht als Stealth-Tool arbeitet: Da die Software viele HTTP-GET-Anfragen und somit auch Log-Einträge auf dem Zielserver verursacht, hinterlassen Sie dort eine kaum übersehbare Spur. Andererseits lässt sich auf diesem Weg auch festzustellen, ob ein installiertes IDS korrekt funktioniert.

Sie starten die Software in Kali Linux über den Menüpunkt Anwendungen | 02 - Schwachstellenanalyse | nikto. Es öffnet sich ein Terminal, das die Optionen der Software anzeigt. Anschließend geben Sie am Prompt den Befehl nikto -h Host ein, wobei sich sowohl die IP- als auch die HTTP(S)-Adresse als Hostname eignet. Danach listet die Software im Terminalfenster untereinander alle ermittelten Daten über das Zielsystem auf. Es folgt eine detaillierte Testreihe, die je nach Komplexität der verwendeten Konfiguration eine halbe Stunde und länger dauern kann. Den benötigten Zeitaufwand und die Anzahl der Requests listet die Software am Ende der Testreihe ebenfalls auf (Abbildung 1).

Abbildung 1: In diesem Testlauf spürte Nikto eine Reihe von Schwachstellen auf.

Um die von Nikto angezeigten Daten zu interpretieren, nutzen Sie am einfachsten die Webseite der Open Source Vulnerability Database, kurz OSVDB [3], die detaillierte Informationen zu aktuellen wie auch älteren entdeckten Schwachstellen in verschiedensten Softwarepaketen enthält. Zu vielen Problemen, die Nikto ermittelt, gibt sie eine entsprechende Kennnummer am Zeilenanfang der Auflistung aus. Diese weist auf eine in der OSVDB-Datenbank gelistete Schwachstelle hin, wo Sie diese problemlos nachschlagen.

Um nähere Informationen zu einzelnen von Nikto gefundenen Schwachstellen und Lösungsvorschläge für deren Beseitigung zu erhalten, geben Sie auf der Webseite der OSVDB-Datenbank im Eingabefeld OSVDB ID Lookup die Ziffern der entsprechenden Kennung ein und klicken anschließend auf Go. Sie erhalten dann in Tabellenform die benötigten Informationen (Abbildung 2). Die Zeile Solution zeigt Problemlösungen, mit deren Hilfe Sie die Schwachstelle in der Webserverkonfiguration beheben.

Abbildung 2: Die OSVDB-Datenbank listet viele sicherheitskritische Schwachstellen auf und erlaubt es Ihnen, von Nikto gefundene Probleme zu identifizieren.

Vega

Ein weiteres, äußerst nützliches Tool zum Aufspüren von Konfigurationsmängeln in Webservern heißt Vega [4] und bringt eine grafische Oberfläche mit. Sie starten die Software im Kali-Menü unter Anwendungen | 03 - Webapplikationen | vega.

Das Programm öffnet ein übersichtlich aufgebautes Fenster, in dem Sie neben einer kleinen Menü- und einer ebenfalls sehr spartanisch gehaltenen Schalterleiste am oberen Rand drei große Anzeigebereiche finden: Die vertikale Leiste links mit der Bezeichnung Website View listet die Seitenstruktur der jeweils gescannten Webseite auf. Im großen Bereich Scan Info rechts zeigt die Software gefundene Schwachstellen an, die sie nach Schweregraden unterteilt; im Fensterbereich darunter zeigt Vega die Identities an.

Um einen Webserver auf Schwachstellen hin abzuklopfen, klicken Sie zunächst oben links im Fenster auf den Button in Form einer Zielscheibe namens Start New Scan. Die Software öffnet daraufhin ein neues Fenster, in dem Sie die Adresse des Webservers eingeben. Vega ermittelt in den Standardeinstellungen auf dem Zielsystem eine Vielzahl von möglichen Schwachstellen. Die Palette reicht dabei von Header-Injections über URL-Injections bis hin zu XSS-Injections.

Nach Eingabe der URL klicken Sie unten rechts auf Next. Im folgenden Dialog definieren Sie, welche Typen von Schwachstellen der Scanner berücksichtigen soll. Die Software bietet in den beiden Unterkategorien Injection Modules und Response Processing Modules mehrere Dutzend Schwachstellenscanner an, von denen es die meisten bereits in der Grundeinstellung aktiviert (Abbildung 3).

Abbildung 3: Bereits in der Grundeinstellung aktiviert der Security-Scanner Vega die meisten der integrierten Scan-Module.

Beachten Sie, dass ein solcher Scan aufgrund der Vielzahl der möglichen Schwachstellen sehr viel Zeit in Anspruch nimmt. Nach Auswahl der gewünschten Module und einem neuerlichen Klick auf Next fordert Sie der nächste Dialog auf, eventuell nötige Authentifizierungen für einen automatisierten Scan festzulegen. Im nächsten Dialog schließen Sie bestimmte Parameter vom Scan aus, die das Ergebnis beeinträchtigen könnten. Nach einem Klick auf Finish beginnt Vega mit der Prüfung. Währenddessen erscheint ein Fortschrittsbalken im Hauptfenster.

Darüber hinaus informiert Sie das Programm permanent über bereits gefundene Schwachstellen, indem Sie im Bereich Scan Alerts auf das kleine Dreieck vor der aktuellen, per Datum, Uhrzeit und dem Hinweis [Auditing] angezeigten Protokollliste klicken. Die Software listet anschließend die gefundenen Schwachstellen in einer Übersicht auf, welche es in die Kategorien High, Medium und Info einteilt.

Nach vollzogenem Audit fasst die Rubrik Scan Alerts die Ergebnisse zusammen. Sofern Sie mehrere Webserver untersucht haben, trennt das Tool die Ergebnisse entsprechend. Sie können sich dort die von Schwachstellen betroffenen Pfade und Dateinamen anzeigen lassen, wobei Vega diese wiederum in Kategorien wie beispielsweise Cross-Site Script Include aufteilt.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Vielseitig talentiert
    Mitte August stellten die Entwickler Version 2.0 der auf System- und Netzwerksicherheit spezialisierten Distribution Kali Linux vor. Sie beschränkt sich nicht auf kosmetische Veränderungen, sondern bringt viele wichtige Innovationen mit.
  • Alles sauber?
    Ohne Kenntnis über den Aufbau eines Netzwerks stochern Sie in Sachen Sicherheit im Dunkeln. Mit den in Kali Linux integrierten Werkzeugen gelangen Sie schnell und relativ einfach an die notwendigen Informationen.
  • Sicher?
    Das Aufspüren von Schwachstellen und problematischen Konfigurationen im Intranet stellt meist einen erheblichen Aufwand dar. OpenVAS und Nmap bieten hier dank sorgfältiger Integration in Kali Linux eine echte Hilfe.
  • Aufmerksamer Drache
    Linux eignet sich dank der vielen verfügbaren Security-Tools bestens zum Absichern heterogener Netze. Mit einer spezialisierten Distribution wie Kali Linux lokalisieren und beseitigen Sie Sicherheitslücken schnell.
  • Hersteller der Steam-Machines sind bekannt geworden
    Valve baut seine auf Linux basierenden Videospielkonsolen nicht selbst, sondern überlässt dies Partnern. Jetzt sind die Namen der ersten zwölf Hardwarehersteller durchgesickert.
Kommentare

Infos zur Publikation

LU 09/2016: Ciao, Windows!

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

NOKIA N900 einziges Linux-Smartphone? Kein Support mehr
Wimpy *, 28.08.2016 11:09, 1 Antworten
Ich habe seit vielen Jahren ein Nokia N900 mit Maemo-Linux. Es funktioniert einwandfrei, aber ich...
Scannen nicht möglich
Werner Hahn, 19.08.2016 22:33, 3 Antworten
Laptop DELL Latitude E6510 mit Ubuntu 16,04, Canon Pixma MG5450. Das Drucken funktioniert, Scann...
Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...