Autor: Stefan
-
Race Conditions Teil 3 – Reale Beispiele und Auswirkungen
Von der Theorie zur Praxis Race Conditions sind nicht nur ein theoretisches Problem aus Lehrbüchern. Immer wieder sorgen sie in der Praxis für erhebliche Schäden – von doppelten Banküberweisungen bis hin zu Millionenverlusten in E-Commerce-Systemen. Besonders spannend: Viele der bekanntesten Fälle wurden in Bug-Bounty-Programmen entdeckt, was zeigt, wie real und aktuell das Problem ist. Beispiel…
-
Race Conditions Teil 4 – Schutzmaßnahmen und Best Practices
Das Problem an der Wurzel packen Race Conditions entstehen, wenn mehrere Prozesse oder Requests gleichzeitig auf dieselbe Ressource zugreifen – ohne klare Koordination. Die Lösung liegt also darin, solche kritischen Abläufe synchron und atomar zu gestalten. Das klingt abstrakt, lässt sich aber mit ein paar erprobten Methoden konkret umsetzen. Locking-Mechanismen Eine klassische Methode ist das…
-
Race Conditions Teil 5 – Ausblick und weiterführende Ressourcen
Race Conditions – ein Problem der Zukunft Race Conditions sind kein altes „Low-Level-Problem“ mehr. Mit der zunehmenden Verlagerung in Cloud, APIs und Microservices werden sie sogar noch relevanter. Denn je mehr Systeme parallel laufen, desto größer wird die Gefahr von gleichzeitigen Zugriffen auf dieselben Ressourcen. Warum Race Conditions bleiben werden 1. Microservices und APIs In…
-
Teil 2 – Was ist Prototype Pollution?
Rückblick: Prototypen Im ersten Teil haben wir gelernt: Damit haben wir das Fundament gelegt. Nun schauen wir uns an, wie Angreifer genau das ausnutzen. Die kurze Definition Prototype Pollution ist eine Sicherheitslücke, bei der Angreifer es schaffen, den Prototypen von Objekten zu verändern, indem sie unkontrollierte Eingaben einschleusen. Ergebnis: Plötzlich tauchen neue Eigenschaften in allen…
-
Teil 3 – Reale Beispiele und Auswirkungen von Prototype Pollution
Warum dieser Teil wichtig ist Bis jetzt haben wir uns angeschaut, wie Prototype Pollution technisch funktioniert: Angreifer nutzen Schlüssel wie __proto__ oder constructor.prototype, um den Prototypen von Objekten zu manipulieren.Doch was heißt das praktisch? Welche Schäden entstehen dadurch in echten Anwendungen?In diesem Teil gehen wir Schritt für Schritt durch reale Szenarien, Vorfälle und Bug-Bounty-Reports. 1.…
-
Teil 4 – Prototype Pollution finden und nachvollziehen
Warum das Testen so tricky ist Prototype Pollution ist keine Schwachstelle, die man wie SQL Injection mit einem ‚ OR 1=1—Payload sofort sieht. Sie ist subtiler: Umso wichtiger: zu verstehen, wie man selbst systematisch prüft. Schritt 1 – Code-Smells im Review Bevor du überhaupt Requests abfeuerst, lohnt sich ein Blick in den Code (falls du…
-
Teil 5 – Schutzmaßnahmen und Best Practices gegen Prototype Pollution
Warum Vorbeugung so entscheidend ist Prototype Pollution ist tückisch: Der beste Schutz ist nicht, Pollution nachträglich „aufzuräumen“, sondern sie gar nicht erst entstehen zu lassen. In diesem Beitrag gehen wir Schritt für Schritt durch die wichtigsten Abwehrstrategien. 1. Schlüssel validieren (Blockliste & Positivliste) Prototype Pollution passiert fast immer, weil Anwendungen ungeprüfte Eingaben direkt in Objekte…
-
DNS-Reconnaissance (passiv) – Informationen aus NS, MX und TXT-Records
Einleitung Das Domain Name System (DNS) ist das „Telefonbuch des Internets“. Es sorgt dafür, dass wir statt IP-Adressen einfache Domainnamen wie example.com nutzen können.Für die Passive Reconnaissance ist DNS besonders spannend: Schon ohne direkten Zugriff auf Zielsysteme lassen sich aus den öffentlichen Records viele wertvolle Informationen ableiten – etwa über Infrastruktur, Mailserver oder Sicherheitskonfigurationen. Welche…
-
Bilderkennung & Reverse Image Search – Versteckte Spuren in Fotos
Einleitung „Ein Bild sagt mehr als tausend Worte“ – in der Cybersecurity und besonders in der Passive Reconnaissance kann ein Bild aber noch viel mehr verraten.Fotos enthalten oft versteckte Metadaten oder zeigen unbewusst sensible Informationen. Mit Hilfe von Reverse Image Search lassen sich Bilder zudem quer durchs Internet zurückverfolgen und in neue Kontexte setzen. Welche…
-
Robots.txt & Sitemaps – Welche ungewollten Hinweise Webmaster selbst geben
Einleitung Webmaster nutzen Dateien wie robots.txt und Sitemaps, um Suchmaschinen-Crawlern mitzuteilen, welche Bereiche einer Website indexiert werden dürfen und welche nicht.Für die Passive Reconnaissance sind genau diese Dateien eine unterschätzte, aber wertvolle Informationsquelle – denn oft verraten sie ungewollt interne Strukturen oder sensible Verzeichnisse. Was ist die robots.txt? 👉 Für Passive Recon bedeutet das: ein…