Erweiterung und Evaluierung eines bestehenden Sicherheitstestwerkzeuges im Bezug auf XML-Security für sicherheitskritische Webservices

Abstract

In den letzten Jahren ist eine anhaltende Entwicklung zu beobachten, dass immer mehr sensible Daten über Webservices im Internet verarbeitet werden. In diesen sicherheitskritischen Umgebungen müssen Schutzziele wie Vertraulichkeit, Integrität oder Nachvollziehbarkeit garantiert werden können.<br />XML-Security ist ein XML-basierter Standard, der es ermöglicht diese Sicherheitsaspekte sicherzustellen.<br />Da auch Webservices in der Regel XML-basiert sind, wird dieser Standard häufig eingesetzt.<br />Neben dem Einsatz von geeigneten Sicherheitsstandards ist im Bereich von sicherheitskritischen Umgebungen auch das Auffinden und Schließen von Sicherheitslücken ein zentraler Aspekt um Datensicherheit garantieren zu können. Umfassendes Testen dieser Anwendungen ist daher unerlässlich.<br />Im Rahmen dieser Arbeit werden verschiedene Verfahren vorgestellt, um Schwächen in Designdokumenten, im Programmcode oder in der Konfiguration von Applikationen zu finden. Dabei werden sowohl statische als auch dynamische Verfahren, Whitebox- sowie Blackbox-Verfahren vorgestellt, die jeweils Vor- und Nachteil im Bezug auf das Auffinden gewisser Klassen von Software-Fehlern aufweisen. Als Schwerpunkt der vorliegenden Arbeit werden sicherheitskritischer Anwendungen mittels Fuzzing getestet. Dazu wird ein bestehendes Fuzzing-Framework um Funktionen für XML-Security erweitert und an einer realen Applikation angewandt.<br />Abschließend wird eine Evaluierung der prototypischen Implementierung durchgeführt, die die Anwendbarkeit der XML-Erweiterung an einer realen Applikation bestätigt.

In the last years there has been an continuing trend to process more and more sensible data over the internet. In this safety-critical environment it must be possible to guarantee safety objectives like confidentiality, integrity or confirmability. XML security is an XML based standard that offers the possiblity to ensure this safety aspects.<br />As web services are XML based too in general, this standard is applied frequently.<br />Beside the application of suitable security standards finding and fixing security vulnerabilities is a central aspect to ensure data security.<br />Extensive testing is therefore essential.<br />In this paper several techniques for finding flaws in design documents, program code or application configurations are presented. Thereby static and dynamic techniques, as well as white box and black box techniques are presented. Each of them having their assets and drawbacks relating to discovery of different classes of software defects. This paper focusses on testing of safety-critical applications with fuzzing. For this purpose an existing fuzzing framework is extended with functions for XML security and applied to an actual application.