Dafydd Stuttard, Marcus Pinto: The Web Application Hacker’s Handbook. 2. Auflage 2011, Verlag John Wiley & Sons, Inc. Indiapolis, Indiana

Die beiden Autoren Dafydd Stuttard und Marcus Pinto beweisen mit den insgesamt 878 Seiten, dass sie ein wichtiges Thema sehr gewichtig angehen. Nach einem umfangreichen und detaillierten Inhaltsverzeichnis sowie einer Einführung startet das erste Kapitel mit einem Überblick über die IT-Sicherheit von Webanwendungen. Unter anderem wir eine Statistik von unzähligen Penetrationstests von Webanwendungen zitiert, aus der hervorgeht, dass 62% der Webseiten eine fehlerhafte Authentifizierung haben.

Gegen Ende des Buches kommt die Motivation für das Buch dezidiert zum Ausdruck: Korrekte Authentifizierung ist von automatischen Tools für Penetrationstests nicht überprüfbar. Darüber hinaus bestehen weitere Bereiche in einer Webanwendung, die prinzipbedingt nicht von automatischer Software getestet werden können (siehe Seite 775).

Im zweiten Kapitel führen die Autoren den Leser mit „Core Defense Mechanisms“, also so etwas wie allgemeiner Sicherheit in der IT, an das Thema IT-Sicherheit bei Webanwendungen heran. Das dritte Kapitel liefert eine Übersicht von Technologien wie HTTP/HTTPS, Cookies, Status Codes und Encodings (Verschlüsselungen) und ein paar weiteren. Das HTTP/HTTPS-Protokoll wird in der Tiefe erklärt und damit bietet dieses Kapitel auch einen guten und kompakten Einstieg in das Thema für Neulinge.

Im Kapitel 4 „Mapping the Application“ wird auf 41 Seiten die Erkundung der Webanwendung erörtert. Welche Funktionalität hat die Anwendung, wie sehen die Anmeldungen und das Rechtemanagement aus uvm. Folgende Fragen werden beantwortet: Wie kann mit der Webanwendung interagiert werden? Wo existieren Möglichkeiten zur Dateneingabe? Welche HTTP-Optionen bietet das System? Die verschiedenen Möglichkeiten des Spidering der Anwendungen werden aufgelistet.

In den nächsten 14 Kapiteln geht es um die Angriffe der einzelnen Bereiche einer Webanwendung:

• Bypassing Client-Side Controls
• Attacking Authentication
• Attacking Session Management
• Attacking Access Controls
• Attacking Data Stores
• Attacking Back-End Components
• Attacking Application Logic
• Attacking Users: Cross-Site Scripting
• Attacking Users: Other Techniques
• Automating Customized Attacks
• Exploiting Information Disclosure
• Attacking Native Compiled Applications
• Attacking Application Architecture
• Attacking the Application Server

In den nächsten Kapiteln wird das Thema „Code Review, Finding Vulnerabilities in Source Code“ behandelt, Tools für den Penetrationstest werden vorgestellt und eine umfassende Methodology für Penetrationstest von Webanwendungen wird erstellt. Diese darf getrost als Art Referenz angesehen werden, denn nicht einmal im OWASP Testing Guide for Web-Applications wird die Methodik derart strukturiert ausgebaut.

Als Beispiel für den Informationsreichtum des Buches seien die praktischen Details angeführt, wie Angriffspunkte gefunden und ausgenutzt werden können:

• Client-side validation
• Database interaction
• File uploading and downloading
• Display of user-supplied data
• Dynamic redirects
• Social networking features
• Login
• Multistage Login
• Session state
• Access controls
• User impersonation function
• Use of cleartext communications
• Off-site links
• Interface to external systems
• Error messages
• E-mail interaction
• Native code components or interaction
• Use of third-party application components
• Identifiable web server software

Jedes Kapitel beinhaltet umfangreiche Beispiele, „Hack Steps“, Howtos (wie die Webanwendungssoftware richtig sein sollte, um die Angriffe zu vermeiden) und Fragen zur Selbstkontrolle.

Insbesondere von den Howtos (Handlungsanweisungen) zum jeweiligen Thema und den kurzen und knackigen sogenannten „Hack Steps“ kann ein Penetrationstester sehr profitieren, denn im Vergleich z.B. mit dem OWASP Testing Guide für Web-Applications sind dort die Informationen oft etwas holprig und sperrig zu lesen. Auch wird im Testing Guide für Hintergrundinformationen häufig auf Sekundärliteratur verwiesen.

Stuttard ist selbst Penetrationstester und Inhaber eines Unternehmens, das Burp (von Portswigger), einen Proxy für Penetrationstests entwickelt. Pinto ist Unternehmens-Partner von Stuttard und ebenso Penetrationstester. Im vorliegenden Buch kommt Burp oft zum Einsatz, vieles wird damit demonstriert, aber genauso gut könnte z.B. der freie OWASP ZED Attack Proxy herangezogen werden. Bis auf den Vergleich von Softwaretools hälft sich die Werbung für Burp dezent im Hintergrund. Die Beispiele können mit der 14-tägigen Testversion von Burp nachvollzogen werden.

Jedes Kapitel wird mit einem Abschnitt „Questions“ also Überprüfungsfragen abgeschlossen, die der Leser für sich beantworten kann.

Nachteilig erscheint die etwas offensive Bewerbung der Online-Labs über „Try IT!“-Abschnitte fast nach jedem Thema. Diese Dienste sind gegen einen Obolus von 7 US-Dollar pro Stunde nutzbar. Die Idee der Online-Labs ist genial, da Sicherheitslücken an einem verwundbaren System ausgetestet werden können. Fünf Stunden sind hier jedoch als Minimum vorgeschrieben. Ein Nutzer des Dienstes bekommt seinen eigenen – vermutlich virtuellen – Server zur Verfügung gestellt, was den Preis in Summe rechtfertigt.

Fazit von „The Web Application Hacker’s Handbook. Finding and Exploiting Security Flaws.“

Zusammenfassend kann das Buch getrost als Referenz für Penetrationstests von Webanwendungen angesehen werden. Die Information ist detailliert, gut gegliedert und gut aufgebaut, die Kapitel lesen sich zügig. Die einzelnen Abschnitte weisen praktische Howto-Zusammenfassungen auf und liefern Tipps und Tricks auch für passionierte Penetrationstester und Experten.

Dafydd Stuttard, Marcus Pinto: The Web Application Hacker’s Handbook. 2. Auflage 2011, Verlag John Wiley & Sons, Inc. Indiapolis, Indiana