AS400-Webserver ins Internet

[andreaspr@aon.at]

Hallo Michi,

Wir haben z.B. einen vorgelagerten WebServer/Proxy der nur die erlaubten URLs zum eigentlichen WebServer weiterleitet.
Zusätzlich bin ich noch die httpd.conf (samt allen include Files) durchgegangen um sicher zu gehen, dass "versteckte" URLs nicht öffentlich zugänglich sind bzw. eine eigene Authentifizierung erfordern.
Dabei kann es schon vorkommen, dass grobe Sicherheitslücken gefunden werden können.

lg Andreas

[AG1965_2]

Wenn die Anwendung im Internet verfügbar ist, muss man sich auch vor Angreifern schützen.
Dazu einerseits sehr fleißig die PTFs für den http-Server installieren und andererseits prüfen, ob die Anwendung ausreichend abgesichert ist.
Das fängt bei der Authentifizierung an und geht dann über die Parameter weiter.
Beispielsweise kann man per Methode GET übergebene Parameter sehr leicht abändern - evtl. kann man so auf Kunden / Konten / etc. zugreifen, für die man eigentlich nicht berechtigt ist.

Man sollte DTW_DEFAULT_ERROR_MESSAGE setzen, denn in Fehlermeldungen offenbart Net.Data hin und wieder zu viel über sich selbst, was Angreifer ausnutzen können und es gibt den Input zurück, was böse Leute auf ganz anderen websiten ausnützen können (das ist in den beiden links beschrieben). http://www.securiteam.com/securitynews/5YP0L2ABPM.html
http://www.securitytracker.com/id?1008845

Mir persönlich noch wichtiger, der breiten Security-Öffentlichkeit aber unbekannt ist DTW_INTERPRET_HTTP_INPUT, das unbedingt auf NO gesetzt werden muss.
Manche seltsamen Anwendungen funktionieren dann aber nicht mehr; die Wahrscheinlichkeit, dass Ihr sowas habt, ist aber sehr gering.
http://www.dtwdude.com/forum/view.ph...2513001&NRL=18

Ansonsten würde ich auf http://dtwdude.com/forum.html lesen und vielleicht auch fragen.

Nadir K. Amra war und ist sehr rege in der Pflege dieses eigentlich toten Produktes.