Autor: Stefan
-
Teil 1 – Einführung in Git und Versionskontrolle
Warum Versionskontrolle unverzichtbar ist Stell dir vor, du arbeitest an einem Textdokument. Jeden Tag speicherst du eine neue Kopie: Irgendwann weißt du nicht mehr, welche Version die richtige ist. Genau dieses Problem hatten Programmierer früher bei Quellcode. Mehrere Leute arbeiteten gleichzeitig am selben Projekt, verschickten Dateien per E-Mail oder FTP und überschrieben versehentlich Änderungen. Die…
-
Teil 3 – Arbeiten mit Remote-Repositories (GitHub, GitLab, etc.)
Warum Remote-Repositories wichtig sind Bisher haben wir Git lokal genutzt: Repository anlegen, Dateien committen, Branches anlegen, Merges durchführen.Aber in der Praxis arbeitet man fast nie allein. Teams wollen: Hier kommen Remote-Repositories ins Spiel: zentrale Orte, an denen der Code liegt, damit alle darauf zugreifen können. Beliebte Plattformen Alle diese Plattformen nutzen Git, unterscheiden sich aber…
-
Teil 5 – Fehler beheben und Best Practices
Warum Fehler unvermeidbar sind Selbst erfahrene Entwickler machen in Git Fehler: Die gute Nachricht: Git ist wie eine Zeitmaschine – fast alles lässt sich wiederherstellen. In diesem Teil lernst du die wichtigsten Rettungsanker und Strategien. Typische Fehler und ihre Lösungen 1. Falsche Dateien committet Du hast versehentlich secret.txt oder eine temporäre Datei committed. Lösung: Commit…
-
Teil 4 – Fortgeschrittene Techniken und Werkzeuge
Warum fortgeschrittene Features wichtig sind Mit Commits, Branches und Merges kann man schon sehr viel erreichen. Aber in echten Projekten tauchen Situationen auf, in denen man flexibler sein muss: Hier kommen die fortgeschrittenen Techniken ins Spiel. Rebase – eine aufgeräumte Historie Was ist Rebase? git rebase verschiebt deine Commits auf einen anderen Branch, als wären…
-
CVE und Exploit-DB – das Lexikon der Schwachstellen
Warum wir ein Register für Schwachstellen brauchen Jeden Tag werden neue Sicherheitslücken entdeckt: in Betriebssystemen, Webframeworks, Datenbanken oder sogar in Druckern und IoT-Geräten. Ohne einheitliche Benennung wäre es unmöglich, den Überblick zu behalten. Stell dir vor, jeder Hersteller würde eine kritische Lücke im selben Produkt anders benennen – Chaos wäre vorprogrammiert. Genau hier kommen CVE…
-
SSRF verstehen – Teil 2: Praktische Beispiele aus der Praxis
Rückblick aus Teil 1 Wir haben gelernt: SSRF bedeutet, dass der Server Netzwerk-Requests im Auftrag des Angreifers ausführt.Das macht die Schwachstelle so gefährlich, weil der Server: Jetzt gehen wir ins Praktische. Beispiel 1: PHP – Bilder laden von einer URL Ein Entwickler möchte Bilder aus dem Internet einbinden: Angriff Der Angreifer ruft auf: 👉 Gefährlich,…
-
Teil 2 – Typische Beispiele für Broken Access Control
Mehr als nur IDOR Im ersten Teil haben wir gesehen, dass Broken Access Control (BAC) entsteht, wenn eine Anwendung nicht zuverlässig prüft, ob ein Nutzer für eine bestimmte Aktion berechtigt ist. Ein Spezialfall davon ist IDOR – aber BAC umfasst noch viele weitere Szenarien. In diesem Artikel schauen wir uns die typischen Formen an, die…
-
SSRF verstehen – Teil 3: Fortgeschrittene Techniken & sichere Python-Demo
Filter-Umgehungen: wie simple Checks ausgetrickst werden 1) Filter-Umgehungen in der Praxis Viele Abwehrversuche scheitern an Kleinigkeiten: a) Varianten von „localhost“ Merke: Ein String-Vergleich auf „localhost“ reicht nicht. Du musst auflösen → in IP verwandeln → IP-Ranges prüfen. b) Offene Umleitungen (Open Redirects) Selbst wenn du „nur example.com erlaubst“, aber https://example.com/go?to=http://169.254.169.254 zurück auf eine interne IP…
-
Broken Access Control Teil 4 – Schutzmaßnahmen und Best Practices
Das Fundament: Zugriffskontrolle ernst nehmen Broken Access Control (BAC) zählt nicht umsonst zu den gefährlichsten Schwachstellen in den OWASP Top 10. Die gute Nachricht: Mit klaren Regeln und Best Practices lassen sich die meisten Probleme vermeiden. Entscheidend ist, Zugriffskontrolle als zentrales Thema in der Architektur zu behandeln, nicht als nachträgliches Detail. Autorisierung auf Server-Seite Die…
-
Teil 3 – Wie man Broken Access Control entdeckt
Der erste Schritt: Rollen verstehen Bevor man testet, muss man die Rollen und Berechtigungen der Anwendung kennen. Typische Rollen sind Gast, eingeloggter Nutzer, Moderator, Admin.Ein guter Test beginnt damit, alle Rollen durchzuspielen und zu notieren, welche Aktionen eigentlich erlaubt sein sollten.Das Ziel: Abweichungen finden zwischen dem, was die App vorgibt, und dem, was technisch tatsächlich…