1

Inleiding

• Statistieken en evolutie van web-gerelateerde zwakke plekken volgens IBM X-Force en OWASP.
• Evolutie van protocol- en applicatieaanvallen.
• De wereld van hackers: wie zijn ze? Wat zijn hun motieven, hun middelen?

2

Componenten van een webapplicatie

• De elementen van een N-tier applicatie.
• De HTTP front-end server, zijn rol en zwakke punten.
• De intrinsieke risico's van deze componenten.
• De belangrijkste spelers op de markt.

3

Het HTTP-protocol in detail

• Herhalingen TCP, HTTP, persistance en pipelining.
• De PDU's GET, POST, PUT, DELETE, HEAD en TRACE.
• Headervelden, statuscodes 1xx tot 5xx.
• Redirection, virtual host, proxy cache en tunneling.
• Cookies, attributen, bijbehorende opties.
• Authenticaties (Basic, Improved Digest...).
• HTTP-versnelling, proxy, web balancing.
• Protocolaanvallen HTTP Request Smuggling en HTTP Response splitting.

4

Zwakke plekken van webapplicaties

• Waarom lopen webapplicaties meer gevaar?
• De voornaamste risico's van webapplicaties volgens OWASP (Top Ten 2017).
• "Cross Site Scripting"- of XSS-aanvallen - Waarom zijn ze in opmars? Hoe kun je ze vermijden?
• Injectie-aanvallen (commando-injectie, SQL-injectie, LDAP-injectie...).
• Aanvallen op sessies (cookie poisoning, session hijacking...).
• Misbruik van zwakke plekken in de HTTP front-end (Nimda-worm, Unicode-fout...).
• Aanvallen op de standaardconfiguraties (Default Password, Directory Transversal...).

5

De netwerkfirewall in de bescherming van HTTP-toepassingen

• De netwerk-firewall, zijn rol en functies.
• Hoeveel DMZ's voor een N-Tier architectuur?
• Waarom is een netwerkfirewall niet in staat een webapplicatie te beschermen?

6

Beveiliging van de stromen met SSL/TLS

• Herhaling van de cryptografische technieken die in SSL en TLS worden gebruikt.
• Uw servercertificaten beheren, de X509-standaard.
• Wat brengt het nieuwe X509 EV-certificaat bij?
• Welke certificeringsinstantie moet ik kiezen?
• Technieken voor het vastleggen en analyseren van SSL-stromen.
• De belangrijkste gebreken van X509-certificaten.
• Gebruik van een reverse proxy voor de SSL-acceleratie.
• Het belang van HSM crypto hardwarekaarten.

7

Systeem- en softwareconfiguratie

• De standaardconfiguratie, het grootste risico.
• Regels voor het installeren van een besturingssysteem.
• Linux of Windows. Apache of IIS?
• Hoe Apache en IIS configureren voor een optimale beveiliging?
• Middleware en de database. V.D.S. (Vulnerability Detection System).

8

Principe van beveiligde ontwikkeling

• Beveiliging van de ontwikkeling, welk budget?
• Beveiliging in de ontwikkelingscyclus.
• De rol van client-side code, beveiliging of ergonomie?
• Controle van door de client verzonden gegevens.
• Bestrijding van "Buffer Overflow" aanvallen.
• De ontwikkelingsregels die moeten worden nageleefd.
• Hoe de restrisico's aanpakken: Headers, misvormde URL, Cookie Poisoning... ?

9

Authenticatie van de gebruikers

• Authenticatie via HTTP: Basic Authentication en Digest Authentication of door de applicatie (HTML form).
• Sterke authenticatie: X509 client certificaat, Token SecurID, ADN digital Mobilegov...
• Andere software-authenticatietechnieken: CAPTCHA, Keypass, enz.
• Aanval op wachtwoorden: sniffing, brute force, phishing, keylogger.
• Aanval op sessienummers (session hijacking) of op cookies (cookie poisoning).
• Aanval op HTTPS-authenticatie (fake server, sslsniff, X509 certificate exploit...).

10

De "applicatiefirewall"

• Reverse proxy en applicatiefirewall, details van de functies.
• Wat zijn de voordelen van de applicatiefirewall voor de beveiliging van websites?
• Een applicatiefirewall invoegen op een systeem in productie. De marktspelers.