Implementierung von Penetration Tests für Ruby-on-Rails-Anwendungen

Diplomarbeit, September 2009

Das Internet hält heute eine Vielzahl interaktiver Seiten und Anwendungen bereit. Da diese vielen potenziellen Angreifern ausgesetzt sind, sollten Sicherheitslücken be- reits während der Entwicklung vermieden werden. Ziel dieser Diplomarbeit war die Analyse verschiedenster Schwachstellen und die Implementierung einer Lösung, welche Entwickler bei der Vermeidung solcher Fehler unterstützt. Ein noch recht junges Werk- zeug zur Webentwicklung stellt das Framework Ruby on Rails dar. Bei der Entwicklung von Rails-Anwendungen wird stark auf Test-Driven Development (TDD) gesetzt, weshalb eine Bibliothek entwickelt wurde, welche Methoden für Tests bereitstellt, durch die ver- schiedene Sicherheitslücken aufgedeckt werden können.
Zum besseren Verständnis werden in dieser Arbeit Grundlagen von Webanwendung- en und Ruby on Rails sowie verschiedene Angriffsmöglichkeiten auf Webapplikationen vorgestellt und erläutert. Nach einer Betrachtung unterschiedlicher Konzepte zur Erken- nung von Sicherheitslücken wird die im Laufe der Arbeit entwickelte Lösung „Hades“ im Detail vorgestellt sowie auf die Implementierung der unterschiedlichen Angriffsfor- men eingegangen.