Der RSS-Feed von SearchSecurity - alle aktuellen Beiträge im Überblick

| Sitemap

Sie sind noch nicht angemeldet. Registrieren | Zum Login

Fachportal für IT-Security und Compliance

Erweiterte Suche

SPECIALS > Security-Tools > Schwachstellen-Management

Security-Tools – Das Metasploit-Framework (Teil 2)

Exploits für Client- und Server-Applikationen entwickeln und anwenden

07.01.2010 | Autor: Marcell Dietl

Metasploit ermöglicht es, Server und Clients mittels eigens entwickelter Exploits zu kompromittieren.

Betriebssysteme werden immer umfangreicher, ihre Quellcodes komplexer und das Angebot an Software zusehends größer. Für einen Kriminellen sind all dies mögliche Angriffspunkte, um einzelne Computer oder ganze Netzwerke erfolgreich zu kompromittieren. In diesem Beitrag widmet sich SearchSecurity.de den Funktionen Metasploits zum Aufdecken und Ausnutzen von Schwachstellen.

Laut einer Studie von NCSP aus dem Jahre 2005 tauchten Fehler im Code kommerzieller Applikationen mindestens alle 1000 Zeilen auf; oftmals auch häufiger. Das US Unternehmen Coverity veröffentlichte etwa zeitgleich eine Analyse des Linux-Kernels. In mehr als fünf Millionen Zeilen Code (Lines of Code, LoC) konnte hier nur etwa alle 5000 Zeilen ein Fehler nachgewiesen werden.

Für die Verfechter quelloffener Systeme war dies ein Beweis für deren Sicherheit. Ein Hacker verfügt damit dennoch über mehrere hundert Stellen, die ein System verwundbar machten. Ob nun kommerziell oder quelloffen: Der Sicherheit fremder Software – besonders in kritischen Umgebungen – sollte niemals blind vertraut werden.

Um diesem Defizit beizukommen, bietet Metasploit eine Reihe von Ruby-Modulen, die besonders gut für den Einsatz in Fuzzern geeignet sind. Fuzzer sind simple Programme und Tools, mit deren Hilfe man die Robustheit einer Applikation durch das Senden vieler verschiedener Daten testen kann.

Kommt es dabei zum Absturz des Dienstes, gilt es die genaue Ursache zu untersuchen. Mit Hilfe von fertigen Skripten lässt sich anschließend ein individueller Exploit realisieren, der gut portierbar ist und als Beweis gegenüber anderen Verantwortlichen verwendet werden kann.

Seite 2: Mithilfe von Fuzzing schnell konkrete Ergebnisse erzielen

1 | 2 | 3 | weiter

Redakteur: Stephan Augsten

Nur mit Anmeldung möglich !

Bewerten Sie diesen Artikel

WEITERE INHALTE ZUM THEMA

Security-Tools – Das Metasploit-Framework (Teil 1): Hacker-Angriffe mit Exploit-Framework Metasploit simulieren

Zwischen dem Bekanntwerden einer Schwachstelle und dem Erscheinen des ersten Exploits vergehen oft weniger als 24 Stunden (Zero-Day-Exploit). Auf anschließende Angriffe seitens Krimineller ist heutzutage fast immer Verlass. In dieser Artikelreihe zeigt SearchSecurity.de, wie man den Angreifern dank des Exploit-Frameworks Metasploit einen Schritt voraus bleiben kann. weiter

Security-Tools – Das Metasploit-Framework (Teil 3): Metasploit als Remote-Control-Tool und Backdoor einsetzen

Moderne Spionage über das Internet kostet Unternehmen und Regierungen jährlich mehrere Milliarden Euro. Um wertvolle Informationen zu sammeln, versuchen Angreifer möglichst unentdeckt zu bleiben. Mit Metasploit lassen sich derartige Szenarien realistisch simulieren, um gezielt Strategien zur Abwehr zu entwickeln. weiter

Notfall-Patch für Internet Explorer: Exploit-Code für 0-Day-Schwachstelle erzwingt Microsoft-Patch

Mit einem außerplanmäßigen Patch schließt Microsoft derzeit eine Zero-Day-Schwachstelle in Internet Explorer 6 und 7, die das externe Ausführen von Codesequenzen ermöglicht. Darüber hinaus behebt das Sicherheitsupdate neun weitere Anfälligkeiten im Internet Explorer, die eigentlich für den Patchday am 13. April 2010 vorgesehen waren. weiter

weitere News

weitere Fachartikel

weitere Interviews

Finjan´s Q4 Web Security Trends Report

Der neueste Web Security Trends Report berichtet über dynamische Code-Verschleierung weiter...

Malware-Bedrohungen Kein Konzept zur Malware-Erkennung gleicht dem anderen

Das Internet ist für Malware-Bedrohungen längst Verbreitungsherd Nummer 1 geworden. Neueste Zahlen aus den SophosLabs sprechen Bände: alle fünf Sekunden wird eine neu infizierte Webseite entdeckt. weiter...

Sicherheitsvision von McAfee Avert Labs Analyse globaler Sicherheitsbedrohungen

Die erfahrensten Malware-Forscher von McAfee zeigen, wie sich Malware gegenwärtig verändert. Autoren, Zielgruppen und Techniken sind andere als vor wenigen Jahren. weiter...

weitere Whitepaper

weitere Webcasts

weitere Software-Downloads

weitere Firmen

Aus unserem Forum: Hacker-Angriffe mit Exploit-Framework Metasploit simulieren
von nicht registrierter User (08.01.2010 10:23) zum Beitrag

weitere Forumsbeiträge

KOMMENTAR ZU DIESEM ARTIKEL

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de .

LESERBEWERTUNG:

Das finden Sie in diesem Special:

Willkommen im Special Security-Tools

Peter Schmitz, Chefredakteur SearchSecurity.de Sehr geehrte Leserinnen und Leser,

herzlich willkommen in unserem Special zum Thema "Security-Tools". In diesem Special haben wir für die besten Tools für eine effiziente Security-Administration herausgesucht, die Ihre tägliche Arbeit entshceidend erleichtern können.

Erfahren Sie alles Wissenswerte zu den besten Tools aus den Bereichen „Netzwerksicherheit“, „Netzwerk-Monitoring“, „Schwachstellen-Management“, „Plattformsicherheit“ und „Datensicherheit“. Im Bereich „Know-how“ erfahren Sie außerdem näheres zum Hackerparagraphen § 202c StGB, zu Hackertechniken und zur Einbruchserkennung.

Ich hoffe, unser Special trifft Ihre Bedürfnisse und wünsche Ihnen viel Spaß beim Stöbern.

Peter Schmitz
Chefredakteur SearchSecurity.de

SearchSecurity ist eine Marke von Vogel Business Media. Unser gesamtes Portfolio finden Sie hier

Das TechTarget Deutschland Network: SearchNetworking.de | SearchStorage.de | SearchDataCenter.de | SearchSoftware.de