Als nächstes sollten Sie das Betriebssystem, sämtliche Datenbanken und die Anwendung selbst prüfen. Dabei sollten Sie vor allem auf Gast-Accounts, Accounts mit Standard-Passwörtern oder schwachen Passwörtern und nicht benötigte User-IDs achten. Dies ist notwendig, weil die meisten Standard-Konfigurationen zahlreichen Lücken aufweisen, da sie zahlreiche Standard-Accounts einrichten, die zum Eindringen in das System genutzt werden können. Dies ist vor allem bei Datenbanksystemen wie Oracle oder Webservern wie Microsoft Internet Information Services (IIS) der Fall.
Ich habe mich schon häufig bei Routern, Datenbanken und Anwendungen angemeldet, indem ich User-IDs und Passwörter verwendete, die es entweder gar nicht geben durfte oder die deaktiviert sein sollten. So habe ich beispielsweise vor einigen Jahren beim Testen einer einfachen Web-Anwendung mit der User-ID „Gast“ und einem Null-Passwort einen Login in das System versucht. Zu meiner Überraschung akzeptierte die Anwendung ohne Probleme „Gast“ als gültigen Benutzernamen und erlaubte mir die Anmeldung. Daraufhin probierte ich mit Erfolg noch mehrere andere Kombinationen aus, wobei ich als User-IDs und Passwörter zum Beispiel Leerstellen oder „admin“ eingab.
Aufgrund dieser Erfahrungen empfehle ich stets eine Kontrolle der Standard-Accounts und -Passwörter in den Setup-Handbüchern aller Software-Komponenten der Architektur. Ich fasse diese Einstellungen in einer Liste zusammen, um so alle gefundenen Standardoptionen einzeln testen zu können. Dasselbe mache ich dann mit der Anwendung selbst, indem ich eine Liste der von den Entwicklern angelegten Test-Accounts erstelle und auch diese überprüfe.
Diese Tests helfen beim Auffinden von System-Schwachstellen. Durch das Deaktivieren oder Entfernen nicht benötigter Accounts lassen sich die ermittelten Lücken beseitigen. Auch hier gilt wie bei den Übertragungsports: Alle nicht für die Systemfunktion relevanten User-IDs löschen! Wenn dies nicht möglich ist, sollten Sie zumindest das Standard-Passwort durch ein sicheres Passwort ersetzen.
Sie fragen sich nun, wie ein sicheres Passwort aussieht? Es sollte mindestens sechs bis acht Zeichen lang sein, darunter mindestens ein Sonderzeichen. Passwörter sollten so lang sein, dass sie nicht einfach geknackt werden können, und dennoch so kurz, dass man sie sich gut merken kann. Ich weiß, es ist nicht ganz einfach, hierfür einen Mittelweg zu finden. Mir persönlich gefallen da vor allem Abkürzungen oder Eselsbrücken. Verwenden Sie nie leicht zu erratende oder offensichtliche Passwörter – dies ist ein weiterer häufiger Fehler bei der Passwortauswahl. Außerdem sollten Sie darauf achten, keine einzelnen Wörter zu benutzen. Mein Lieblingsbeispiel für ein schlechtes Passwort ist ROLLTIDE. Ich fand dieses Passwort auf einem Rechner in einem mit Utensilien der University of Alabama vollgestopften Raum. (Der Spitzname des Sportteams dieser Universität lautet Crimson Tide und Rolltide.com ist der Name der Sport-Website der Universität).
Neueste Kommentare
Noch keine Kommentare zu Lücken schließen: Sicherheitstests für rundum sichere Anwendungen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.