WhiteHat Matt Johansen en Johnathan Kuskos hebben een gedetailleerd overzicht van de top 10 hacking technieken van 2013 gepubliceerd, beschikbaar via dit webinar. Peleus Uhley, Lead Security Strategist bij Adobe, gaat in zijn blog dieper in op een aantal notaties.

1. XML-gebaseerde aanvallen zullen meer aandacht krijgen

Twee van de top 15 aanvallen waren XML-gebaseerde aanvallen. Aangezien XML vaak wordt gebruik als formaat voor data-overdacht, bijvoorbeeld bij SOAP, is het een interessant studieobject. (XML is een data-formaat, Dit is XML. HTML is een speciale versie van XML. Het wordt vaak gebruik als je informatie uitwisselt omdat het “makkelijk” te parsen is.)

De onderzoekers richtten zich op XML External Entities. Vorige maand nog gaf Facebook hun grootste beloning ooit uit voor een XML External Entity aanval. De aanval demonstreerde dat willekeurige bestanden gelezen konden worden. Later werd de aanval geclassificeerd als een potentieel Remote Code Execution probleem.

Met name het gebruiken van geavanceerde features zoals XML External Entities of XSLT transformaties is potentieel gevaarlijk. Het is belangrijk dat de XML parsers met een minimale ‘feature set’ geconfigureerd worden, om de attack surface te minalizeren. In de Certified Secure Basic Web application Audit checklist vind je dit terug onder item 8.1 en 8.2.

2 . SSL komt drie keer voor de top 10

In zowel 2011 als 2012 stond SSL op de eerste plaats. In de top 10 van 2013 zijn 3 SSL aanvallen opgenomen: Lucky 13, BREACH, en kwetsbaarheden in RC4. Ook in 2014 is het eerste probleem al gesignaleerd.

De drie noteringen onderstrepen de noodzaak om crypto vaardigheden binnen kritieke infrastructuren te verbeteren. Zo moeten ontwikkelaars en beheerders in ieder geval beginnen met het gereedmaken van hun omgevingen voor TLS v1.2 support. De meeste browsers ondersteunen TLS v1.2. De OWASP Transport Layer Protection Cheat Sheet geeft meer informatie omtrent TLS implementatie.

3. XSS blijft een zorg voor Security Professionals

Binnen de security gemeenschap is Cross Site Scripting (XSS) al ruim tien jaar bekend. Er verschijnen echter nog steeds nieuwe varianten en nieuwe manieren om XSS te detecteren.

Met name het feit dat browsers steeds vaker proberen om “slechte” HTML/JavaScript code te “corrigeren” maakt het lastig om geautomatiseerd XSS kwetsbaarheden op te sporen. Wat in de code staat is niet noodzakelijk wat de browser uitvoert.

Dat is mede de reden waarom HTML5 beveiligingstechnologieën als Content Security Policies (CSP) en iframe sandboxes steeds belangrijker worden. Hiermee kan de impact van de XSS kwetsbaarheden beperkt worden.