WebSecurity -Tuning IDS/IPS

Aus THM-Wiki
Wechseln zu: Navigation, Suche
Dokumentation
Arbeitstitel WebSecurity -Tuning IDS/IPS
Kurs Web-Security
Semester WS 10/11
Teilnehmer Mariusz Homeniuk, Daniel Legner, Maksymilian Wiesolek


Einführung

Dieser Artikel widmet sich hauptsächlich den Zusatzaufgaben, die im Zuge des WebSecurity-Kurses von dem Team "Tuning IPS/IDS" durchgeführt wurden. Die eigentlichen Verbesserungen des IDS/IPS wurden aus Gründen der besseren Übersicht in den schon dafür vorhanden Artikel WebSecurity-eStudy eingepflegt.

Ist-Analyse

Probleme bei der aktuellen lokalen Nutzung

  • Bannen eines Nutzers nicht möglich, da Datenbankstruktur unvollständig (Bsp: Spalte "num_kicks_by_ips" in der Tabelle "user" nicht vorhanden
  • Dadurch können gebannte Nutzer sich weiterhin einloggen und das Portal wie gewohnt verwenden
  • Cookie im Browser "MOODLE ID_" verursacht bei jedem Request einen Impact von 8 -> Sollte auf die Whitelist gesetzt werden
  • Warnungen/EMails können nicht per E-Mail an den Root gesendet werden -> Kein Mailserver vorhanden


Auffälligkeiten

  • "POST: password" wird generell nicht vom IDS überprüft


Nächste Schritte

  • Ticket schreiben, dass Datenbanktabelle unvollständig ist. Dementsprechend aus fixen!!!
  • Überlegen welche Tags es in die Whitelist schafft, besonders den Inhalt beachten der mit TinyMCE zusammengestellt wurde
  • Logschwelle überprüfen
  • Generell die Loglevels überschauen
  • Die Ansicht der Impactliste überarbeiten
  • Suhosin Regeln definieren und dem Install-Team zu Verfügung stellen
  • Klassendiagramm
  • Zend Enviroment Framework – Test fuer PHPIDS,
  • Apache jMeter

Security-Audits

Secure-Upload für das Mosaik-Modul

(Autor: Homeniuk)

Aufgabe

Upload von Bildern im Mosaikmodul sicher machen.

Implementierung

  • Zugelassene Dateiendungen: gif, jpg, jpeg, bmp, png, tif
  • Fünf Sicherheitschecks durch die SecureUpload-Klasse
    • SecureUpload::changeFileName()
    • SecureUpload::checkFileSize()
    • SecureUpload::checkFileExtensions()
    • SecureUpload::checkImageExtension()
    • SecureUpload::upload()

Secure-Upload für das im Fotoforum

(Autor: Wiesolek)

Aufgabe

Upload von Bildern im Mosaikmodul sicher machen.

Implementierung

  • Zugelassene Dateiendungen: jpg, gif, jpeg, tiff, bmp, pdf, doc, xla, xlc, xlm, xls, xlt, xlw
  • Zwei Sicherheitschecks durch die SecureUpload-Klasse
    • SecureUpload :: upload()
    • SecureUpload :: checkFileExtensions()

Team

  • Legner, Daniel
  • Wiesiolek, Maksymilian
  • Homeniuk, Mariusz