Mann in der Mitte Angriff
Einer der möglichen Angriffe auf ABRA Flexi ist der Man-In-The-Middle-Angriff, bei dem sich der Angreifer als ABRA-Flexi-Server ausgibt und der Benutzer ihm Autorisierungsdaten zur Verfügung stellt, mit denen sich der Angreifer dann gegen die echten Server autorisieren und so den Verlauf der Kommunikation analysieren kann.
Standardmäßig erzeugt ABRA Flexi ein sogenanntes selbstsigniertes Zertifikat. Das SSL-Zertifikat kann ersetzt werden.
Um dies zu verhindern, verfügt ABRA Flexi über mehrere Funktionen, die dieses Problem beseitigen:
ABRA Flexi lädt das Zertifikat beim Start herunter und verifiziert es bei der Arbeit mit dem Server. Daher ist es nicht möglich, das Zertifikat zur Laufzeit zu ersetzen.
DANE - Speichern des Zertifikats im DNS
$ ./swede --insecure create --port 5434 --certificate certificate.pem --selector 1 --output rfc demo.flexibee.eu _5434._tcp.demo.flexibee.eu. IN TLSA 1 0 1 85b928d1cab396d8e632d15d57b3a97ebbc2769ab74a292040dc4fc340153973
Anstelle des SWEDE-Tools ist es auch möglich, die Konfiguration von einem laufenden ABRA-Flexi-Server unter /certificate/tlsa
zu erhalten.
Fügen Sie dann diesen Eintrag zum DNS hinzu:
_5434._tcp.demo.flexibee.eu. IN TXT TLSA 1 0 1 85b928d1cab396d8e632d15d57b3a97ebbc2769ab74a292040dc4fc340153973
D.h. die gesamte "TLSA 1 0 1 85b928d1cab396d8e632d15d57b3a97ebbc2769ab74a292040dc4fc340153973" wird als Wert gespeichert
Die Suche ist in dieser Sendung im Gange:
5434._tcp.demo.flexibee.eu. _tcp.demo.flexibee.eu. 5434._tcp.flexibee.eu. _tcp.flexibee.eu.
Achtung: Wenn Sie nicht auch DNSSec verwenden, ist die Sicherheit der DNS-Serverantwort nicht gewährleistet.
Achtung: der ABRA-Flexi-Client unterstützt zur Zeit auch nicht das komplette DANE, sondern nur die folgenden Parameter: -selector 1, -mtype 1, -usage 0
CSRF
ABRA Flexi verfügt über einen eingebauten Schutz gegen Cross Site Request Forgery und muss in dieser Hinsicht nicht konfiguriert werden.
SQL-Injektion und XSS
Während des Designprozesses haben wir uns sehr bemüht, SQL Injection Cross Site Scripting (XSS) zu verhindern. Daher treten diese Arten von Fehlern nicht auf.
Passwortspeicherung
Zuvor verwendete ABRA Flexi die MD5-Chiffre zum Speichern von Passwörtern. Jetzt wird SHA256 verwendet und Salt angewendet. Alte Passwörter werden nur neu codiert, wenn sie geändert werden.