HTTP angriffsziel java

[caliror]

moin,

in letzder Zeit kommt es verstärkt zu schlimmen Hackerangriffen. windows,linux, XAMPP, pdfs etc

nun stellte ich mir die Frage was kann man anrichten wenn man java beherrscht??
sowohl im desktop als auch im serverbereich?? was ist da alles möglich??


greetz caliror

 

[Gast2]

Klassiker wie sql injection z.b. sind natürlich auch im J2EE Umfeld möglich wenn man als Entwickler nicht aufpasst.
Worauf genau willst du denn hinaus? Vllt auf Angriffe auf die JVM?

 

[caliror]

ich möchte einfach mal eine komplette Auflistung was da heutzutage so möglich ist. und wie man sich dagegen schützt.

 

[TheDarkRose]

XAMPP

Das wundert mich auch nicht, da man XAMPP einfach nicht auf Produktivsystemen einsetzt.

 

[caliror]

hätte der ZOLL wohl besser aufpassen müssen ^^

 

[XHelp]

ich möchte einfach mal eine komplette Auflistung was da heutzutage so möglich ist

Die wirst du nicht bekommen. Du hast natürlich deinen Teil, wo du Fehler einbauen kannst. Aber drumherum sind noch 10000000 andere Sachen. Du kannst natürlich auf Seiten wie SecurityFocus mal stöbern, aber die Listen sind auch bei weitem nicht komplett.

Da kannst du dir ja noch so viel Mühe geben alles richtig zu schreiben, dann läuft es vlt in einer älteren VM und der fieser Fiesling macht: "Accept-Language: en-us;q=2.2250738585072012e-308"
Oder einfach mal Lücken des Betriebsystems ausnutzen, oder oder oder.

 

[tagedieb]

Wir haben auf unseren Apache servern die Module mod_evasive (DoS) und mod_security2 (OWASP) installiert, damit kannst du schon eine ganze Menge abfangen und damit quasi einen Securiylayer um 'ungesicherte' Web-Applikationen legen.

Ansonsten gibt es wie gesagt 1000000 Moeglichkeiten in ein System einzudringen. Daher gilt auch die Regel, je weniger Informationen der Angreifer ueber das System herausfinden kann, desto schwieriger wird es fuer ihn. Wenn z.B. auf der Defaultseite schon zu lesen ist "Tomcat Server auf Debian x.y", dann kann der Hacker gezielt die bekannten Schwachstenn angreifen..

 

[caliror]

interessanter Artikel über j2ee

Gravierende Schwachstelle in SAP NetWeaver | heise Security

 

[Wildcard]

nun stellte ich mir die Frage was kann man anrichten wenn man java beherrscht??

Die Formulierung der Frage ist ungünstig. Java ist eine Sprache und eine Sprache kann schlecht Sicherheitslücken haben. Das gleiche bei C, C als Sprache hat keine Sicherheitslücken, C Programme allerdings sehr wohl.
Wenn es dir um den Kontext einer Java Anwendung geht, musst du geziehlt nach der Anwendung fragen. Wenn dich interessiert inwieweit zum Beispiel ein Applet Schaden anrichten kann ohne signiert zu sein und vorher nach erhöhten Rechten zu fragen, dann musst du dich nach Sicherheitslücken in verschiedenen JVM Implementierungen erkundigen.
Die meisten JVMs sind übrigens in C++ geschrieben, und ja, sie haben Sicherheitslücken.