Hacken von Webservern und Webanwendungssicherheit | Kapitel 10 | Ep. 10.2023

Ursprünglicher Autor：Joseph H.Schuessler

Originalquelle：https://www.youtube.com/embed/qAL_egZc4JM

Wenn Sie über die Identifizierung offener Ports hinausgehen, beginnt der Prozess des Hackens von Webanwendungen. In dieser Folge werfen wir einen Blick auf die dynamischen Komponenten, die das moderne Web antreiben – von PHP und JavaScript bis hin zur Datenbankkonnektivität über ODBC/ADO. Wir analysieren, wie die Designentscheidungen der Entwickler, wie dynamische Formulare und serverseitiges Scripting, unbeabsichtigt die Schwachstellen schaffen, die Angreifer ausnutzen, und wir stellen eine Roadmap zum Testen und Sichern dieser kritischen Schnittstellen bereit. Beschäftigen Sie sich direkt mit dem Quellmaterial und testen Sie Ihr Wissen mit unserem KI-gestützten Lerntool: https://notebooklm.google.com/notebook/af9194f8-c109-4c4f-b913-5cb992a1cfdc Dr. Joseph H. Schuessler | Professor für Informationssysteme, Tarleton State University | Qualitätsangelegenheiten (QM) Master Reviewer | ACUE Advanced-Zertifizierung für effektiven Unterricht. Lehrbuchreferenz: Wilson, RS, Simpson, MT und Antill, N. (2022). Praktisches ethisches Hacken und Netzwerkverteidigung (4. Aufl.). Engagieren. https://www.cengage.com/c/hands-on-ethical-hacking-and-network-defense-4e-wilson-simpson-antill/9780357509753/ Besprochene Ressourcen: OWASP Top Ten Project: https://owasp.org/www-project-top-ten/ Burp Suite: https://portswigger.net/burp Zed Attack Proxy (ZAP): https://www.zaproxy.org/ Was Sie in dieser Episode lernen werden: 0:00 – Das Webformular-Paradoxon: Perimeter vs. Anwendung 1:33 – Anwendungssicherheit (AppSec): Das übersehene mittlere Kind 4:22 – Die Entwicklung des Webs: Statisch vs. dynamisch 7:40 – Architektur: CGI, Webformulare und Server-Frameworks 12:06 – Das Lieferkettenrisiko von Drittanbieter-Frameworks 14:10 – Webserver Rivalität: IIS vs. Apache 18:16 – Skriptsprachen: PHP, Cold Fusion und JavaScript 21:36 – Die Gefahr der clientseitigen Ausführung (JavaScript) 23:51 – Datenbank-Interkonnektivität: ODBC, OLE DB und ADO 27:39 – Die Anatomie einer ADO-Verbindung 30:19 – Die Auswirkungen von Webserver-Kompromissen 32:15 – Das OWASP Top 10: Kartierung der Bedrohungslandschaft 34:12 – WebGoat: Sicheres Sandboxing für Sicherheitstester 36:18 – Testmethoden: SAST, DAST und IAST 39:07 – Informationsbeschaffung und Architekturzuordnung 40:29 – Authentifizierung vs. Autorisierungstests 41:39 – Eingabevalidierung: Die SQL-Injection-Aufschlüsselung 46:04 – Blinde SQL-Injection und Fehlerbehandlungsrisiken 48:25 – Fehler bei der kryptografischen Implementierung 49:14 – Geschäftslogiktests: Untergraben sequenzieller Abläufe 51:00 – Clientseitige Kontrollen: Die Bequemlichkeitsfalle 52:14 – Das Web-App-Analyse-Toolkit 54:19 – Burp Suite: Der Schwergewichts-Proxy 56:36 – Fuzzing mit Wapiti: Chaos Engineering für Web-Apps 58:52 – Fazit: Denken wie ein Adversary AI-Assisted Learning Transparency: Dieser Inhalt wurde mit Unterstützung von Google Gemini und NotebookLM entwickelt. Diese Tools wurden genutzt, um Kurskonzepte zu organisieren, technische Dokumentation zu synthetisieren und interaktive Lernmaterialien für Studenten zu erstellen.