Enhancement of a tool for comprehensive security scanning

Abstract

The demand for web applications is rapidly increasing worldwide. Since the world wide web is accessible to everyone with a connection to the internet, web-based systems are especially vulnerable to attacks. This is why cybersecurity is getting increased attention. While it is difficult to defend a system from sophisticated attacks it is rather easy to find and fix insecure system configurations. Since web applications and their infrastructure are rapidly changing, it is hard to manually detect security breaches. Therefore advanced testing software is needed to detect security leaks automatically. The present work describes several extensions of an automated security scanning tool called yesses. The yesses tool was originally designed to scan web servers for basic security properties like open ports, insecure HTTP methods and missing cookie security features. The tool is accessible open-source on GitHub. Within the scope of this work, the yesses tool was extended by seven modules. Hereby the following three main topics were investigated: Transportation Layer Security (TLS), Domain Name System Security Extensions (DNSSEC) and information leakages. Within the TLS topic, TLS scans of the TLS settings of a server are performed and the differences compared to a Mozilla TLS profile were analyzed. Among other things this gives important insights into possible insecure encryption algorithms. In the scope of DNSSEC, the DNSSEC configuration of a domain name was scanned. Hereby the tool can detect possible misconfigurations, e.g. a missing signature for a DNS resource record. Concerning information leakages, the yesses tool was extended in such a way, that it detects sensitive data exposures which are very useful for potential adversaries. The described extensions do not only make the yesses tool more powerful, they also enable it to detect security leaks that could not have been detected beforehand.

Die Nachfrage nach Webanwendungen ist in den letzten Jahren weltweit stark gestiegen. Da für den Zugriff auf das World Wide Web lediglich ein Internetzugang erforderlich ist, sind Webanwendungen durch eine Vielzahl von Angriffen besonders gefährdet. Während der Schutz von Computersystemen vor ausgeklügelten Angriffen sehr schwierig ist, stellt das Finden und Beheben falscher Konfigurationen ein vergleichsweise einfaches Unterfangen dar. Da sich Webanwendungen jedoch ständig verändern, ist es sehr zeitaufwändig, die gesamte Infrastruktur regelmäßig manuell auf Sicherheitslücken zu überprüfen. Daher werden fortschrittliche Softwarelösungen zum automatischen Finden von Sicherheitslücken benötigt. Diese Arbeit beschreibt die Erweiterung der Sicherheits-Scanning Software yesses. Die yesses Software wurde dafür entwickelt, eine Server Infrastruktur auf grundlegende Sicherheitseigenschaften zu überprüfen, wie zum Beispiel auf offene Ports, unsichere HTTP-Methoden und fehlende Cookie-Sicherheitsfunktionen. Die Software ist open-source verfügbar und kann von GitHub heruntergeladen werden. Im Rahmen dieser Arbeit wurden sieben Module für yesses neu entwickelt oder erweitert. Dabei wurden die sicherheitsrelevanten Themen Transportation Layer Security (TLS), Domain Name System Security Extensions (DNSSEC) und Information-Leakages untersucht. Bei dem TLS-Thema ging es darum, die TLS-Einstellungen eines Servers zu ermitteln und mit einem vorgegebenen Mozilla-TLS-Profil zu vergleichen. Dadurch lassen sich unsichere Verschlüsselungsalgorithmen finden. Im Rahmen von DNSSEC wurden die DNSSEC-Konfigurationen von Domain-Namen gescannt und mögliche Fehler in diesen gemeldet. Die Software kann unter anderem fehlerhafte oder fehlende Signaturen erkennen. Für das Information-Leakage Thema wurde yesses so erweitert, dass es in einer Webanwendung die Offenlegung von sensiblen und für Angreifer sehr nützlichen Daten erkennen kann. Die hier beschriebenen Erweiterungen machen yesses nicht nur leistungsfähiger, sondern ermöglichen auch das Auffinden von Sicherheitslücken, die vorher nicht erkannt werden konnten.