Bachelorarbeit
Sicherheitsanalyse der Konfiguration und Integration des Software-Stacks des
Webservers der TU Chemnitz
Completion
2023/01
Research Area
Students
Florian Werner
Advisers
Description (German)
Im Rahmen einer bereits gefundenen und behobenen Directory Traversal Sicherheitslücke im Webserver der TU Chemnitz mit anschließend möglicher Command Injection und Zugriff auf geschützte Bereiche wurden weitere Probleme mit Software-Komponenten und deren Konfiguration entdeckt. Der betroffenen Webserver wird für eine große Anzahl zentraler Webdienste und die meisten Fakultäts- und Professur-Webseiten genutzt und ist damit ein wesentliches Ziel für verschiedene Arten von Angriffen. Da die zuvor genannte Sicherheitslücke und die daraus entstandenen weiteren potenziellen Angriffsziele ohne großen Aufwand und ohne systematischen Ansatz gefunden wurden, ist durch eine genauere Untersuchung mit weiteren Mängeln und Sicherheitslücken zu rechnen.
Die eingesetzte Software auf den betroffenen Linux-Servern besteht aus einer Vielzahl von Open Source Software, welche entsprechend der Anwendungsfälle konfiguriert wurden. Hinzu kommt eine Reihe von selbstentwickelten Software-Komponenten, welche die Nutzung der Dienste für Ersteller und Betreuer einzelner Webseiten unterstützen und vereinfachen soll. Hauptbestandteil dieser ist das Autoren- und Layoutsystem TUCAL, eine Sammlung von PHP-Scripten zur Generierung der HTMLStruktur und des Corporate Designs. Außerdem existieren weitere sicherheitsrelevante Hilfsfunktionen, z.B. zur sicheren Nutzung von Datenbank-Passwörtern, die untersucht werden sollen. Die einzelnen Software-Komponenten sind über einen langen Zeitraum entstanden und fortlaufend durch verschiedene Personen bearbeitet worden, mit dem Ziel, neue Funktionen hinzuzufügen. Dadurch ist davon auszugehen, dass die Software noch nie grundlegend auf Sicherheit geprüft wurde. Neben den selbstentwickelten Software-Komponenten sind bereits einige Mängel in der Konfiguration des eingesetzten Apache-Webservers und der nutzbaren PHP-Umgebung aufgefallen. Hauptproblem ist die Nutzung des Apache-Modules mod_php, welches PHP im Kontext des Webservers ausführt. Das ermöglicht u.a. Denial of Service Angriffe auf den Webserver, außerdem stellen in diesem Zusammenhang die erzeugten Log-Dateien teilweise ein Datenschutzproblem dar. Schließlich entstehen noch Probleme durch die Umsetzung der Webseiten-Struktur. Da alle Seiten unter derselben Domain zur Verfügung gestellt werden, teilen sich alle ¨ Webseiten einen Sicherheits-Kontext in Bezug auf den Zugriff mittels Browser. Fehlende Isolation zwischen den Seiten lässt eine Vielzahl von möglichen Angriffen zu, um Manipulationen über Webseiten hinweg durchzuführen. Durch die Same-Origin Policy kann mittels Cross-Site-Scripting der Inhalt einer zugriffsbeschränkten Seite vollständig ausgelesen werden und unter Umständen auch Daten verändert werden. Außerdem besteht die Möglichkeit, dass das Corporate Designs böswillig verändert wird, sodass ein normaler Benutzer dem bekannten Layout vertraut, dabei aber auf manipulierte Webseiten weitergeleitet wird.
Ziel dieser Arbeit ist die Konzipierung und Durchführung einer Security Analyse zur Lösung des skizzierten Problems, welche zur Lösung der genannten Problembereiche durch Veranschaulichung beiträgt. Dies umfasst insbesondere die Untersuchung des Stands der Technik hinsichtlich existierender Ansätze mittels strukturierter Methodiken aktuellen Security Anforderungen durch Analyse der vorhandenen Systeme gerecht zu werden. Die Demonstration der Umsetzbarkeit des Verfahrens durch Anwendung auf den Software-Stack des Webservers der TU Chemnitz und Evaluation des Lösungsansatzes durch Validierung gegen einen Anforderungskatalog sind ein wichtiger Bestandteil der Zielsetzung dieser Arbeit.