Autor: Stefan
-
Teil 2 – Die Grundlagen: Commits, Branches und Merges
Warum die Grundlagen so wichtig sind Git hat viele mächtige Features. Aber am Kern stehen drei Konzepte, die jeder verstehen muss: Wer diese Bausteine versteht, hat schon 80 % des Git-Wissens in der Tasche. Commits – Schnappschüsse deiner Arbeit Was ist ein Commit? Ein Commit ist eine Art „Foto“ deines Projekts zu einem bestimmten Zeitpunkt.…
-
Teil 3 – Arbeiten mit Remote-Repositories (GitHub, GitLab, etc.)
Warum Remote-Repositories wichtig sind Bisher haben wir Git lokal genutzt: Repository anlegen, Dateien committen, Branches anlegen, Merges durchführen.Aber in der Praxis arbeitet man fast nie allein. Teams wollen: Hier kommen Remote-Repositories ins Spiel: zentrale Orte, an denen der Code liegt, damit alle darauf zugreifen können. Beliebte Plattformen Alle diese Plattformen nutzen Git, unterscheiden sich aber…
-
Teil 4 – Fortgeschrittene Techniken und Werkzeuge
Warum fortgeschrittene Features wichtig sind Mit Commits, Branches und Merges kann man schon sehr viel erreichen. Aber in echten Projekten tauchen Situationen auf, in denen man flexibler sein muss: Hier kommen die fortgeschrittenen Techniken ins Spiel. Rebase – eine aufgeräumte Historie Was ist Rebase? git rebase verschiebt deine Commits auf einen anderen Branch, als wären…
-
Teil 5 – Fehler beheben und Best Practices
Warum Fehler unvermeidbar sind Selbst erfahrene Entwickler machen in Git Fehler: Die gute Nachricht: Git ist wie eine Zeitmaschine – fast alles lässt sich wiederherstellen. In diesem Teil lernst du die wichtigsten Rettungsanker und Strategien. Typische Fehler und ihre Lösungen 1. Falsche Dateien committet Du hast versehentlich secret.txt oder eine temporäre Datei committed. Lösung: Commit…
-
CVE und Exploit-DB – das Lexikon der Schwachstellen
Warum wir ein Register für Schwachstellen brauchen Jeden Tag werden neue Sicherheitslücken entdeckt: in Betriebssystemen, Webframeworks, Datenbanken oder sogar in Druckern und IoT-Geräten. Ohne einheitliche Benennung wäre es unmöglich, den Überblick zu behalten. Stell dir vor, jeder Hersteller würde eine kritische Lücke im selben Produkt anders benennen – Chaos wäre vorprogrammiert. Genau hier kommen CVE…
-
SSRF verstehen – Teil 2: Praktische Beispiele aus der Praxis
Rückblick aus Teil 1 Wir haben gelernt: SSRF bedeutet, dass der Server Netzwerk-Requests im Auftrag des Angreifers ausführt.Das macht die Schwachstelle so gefährlich, weil der Server: Jetzt gehen wir ins Praktische. Beispiel 1: PHP – Bilder laden von einer URL Ein Entwickler möchte Bilder aus dem Internet einbinden: Angriff Der Angreifer ruft auf: 👉 Gefährlich,…
-
SSRF verstehen – Teil 3: Fortgeschrittene Techniken & sichere Python-Demo
Filter-Umgehungen: wie simple Checks ausgetrickst werden 1) Filter-Umgehungen in der Praxis Viele Abwehrversuche scheitern an Kleinigkeiten: a) Varianten von „localhost“ Merke: Ein String-Vergleich auf „localhost“ reicht nicht. Du musst auflösen → in IP verwandeln → IP-Ranges prüfen. b) Offene Umleitungen (Open Redirects) Selbst wenn du „nur example.com erlaubst“, aber https://example.com/go?to=http://169.254.169.254 zurück auf eine interne IP…
-
Teil 2 – Typische Beispiele für Broken Access Control
Mehr als nur IDOR Im ersten Teil haben wir gesehen, dass Broken Access Control (BAC) entsteht, wenn eine Anwendung nicht zuverlässig prüft, ob ein Nutzer für eine bestimmte Aktion berechtigt ist. Ein Spezialfall davon ist IDOR – aber BAC umfasst noch viele weitere Szenarien. In diesem Artikel schauen wir uns die typischen Formen an, die…
-
Teil 3 – Wie man Broken Access Control entdeckt
Der erste Schritt: Rollen verstehen Bevor man testet, muss man die Rollen und Berechtigungen der Anwendung kennen. Typische Rollen sind Gast, eingeloggter Nutzer, Moderator, Admin.Ein guter Test beginnt damit, alle Rollen durchzuspielen und zu notieren, welche Aktionen eigentlich erlaubt sein sollten.Das Ziel: Abweichungen finden zwischen dem, was die App vorgibt, und dem, was technisch tatsächlich…
-
Broken Access Control Teil 4 – Schutzmaßnahmen und Best Practices
Das Fundament: Zugriffskontrolle ernst nehmen Broken Access Control (BAC) zählt nicht umsonst zu den gefährlichsten Schwachstellen in den OWASP Top 10. Die gute Nachricht: Mit klaren Regeln und Best Practices lassen sich die meisten Probleme vermeiden. Entscheidend ist, Zugriffskontrolle als zentrales Thema in der Architektur zu behandeln, nicht als nachträgliches Detail. Autorisierung auf Server-Seite Die…