Kategorie: Cyber Security
-
OWASP Top 10 – Teil 7: Identification and Authentication Failures
Was bedeutet „Identification and Authentication Failures“? Hier geht es um Fehler bei Login-Mechanismen und der Verwaltung von Benutzeridentitäten.Wenn eine Anwendung nicht zuverlässig prüft, wer sich anmeldet und wie sicher diese Anmeldung ist, können Angreifer Konten übernehmen oder Sicherheitsbarrieren umgehen. Früher war dieser Punkt als „Broken Authentication“ bekannt – die neue Bezeichnung verdeutlicht, dass sowohl Identifizierung…
-
OWASP Top 10 – Teil 8: Software and Data Integrity Failures
Was bedeutet „Software and Data Integrity Failures“? Hier geht es um Probleme, wenn Software oder Daten nicht zuverlässig geschützt werden und Angreifer unbemerkt Änderungen einschleusen können. Im Klartext:Wenn eine Anwendung nicht sicherstellt, dass Code, Updates oder Daten echt und unverändert sind, besteht das Risiko, dass Schadcode ausgeführt wird oder manipulierte Informationen ins System gelangen. Typische…
-
OWASP Top 10 – Teil 9: Security Logging and Monitoring Failures
Was bedeutet „Security Logging and Monitoring Failures“? Damit sind Fehler bei der Protokollierung und Überwachung von sicherheitsrelevanten Ereignissen gemeint. Einfach gesagt:Wenn eine Anwendung Angriffe nicht erkennt oder nicht meldet, können Angreifer ungestört Schaden anrichten – manchmal über Monate oder Jahre. Typische Beispiele aus der Praxis Warum ist das so gefährlich? Wie schützt man sich?
-
OWASP Top 10 – Teil 10: Server-Side Request Forgery (SSRF)
Was bedeutet „SSRF“? Bei einem Server-Side Request Forgery (SSRF) wird ein Server dazu gebracht, unerwartete oder ungewollte Anfragen zu verschicken – oft innerhalb des eigenen Netzwerks. Das Besondere:Der Angreifer schickt seine Anfrage nicht direkt an das Ziel, sondern nutzt den verwundbaren Server als Proxy. So kann er Systeme erreichen, die von außen eigentlich nicht zugänglich…
-
OWASP Top 10 – Teil 5: Security Misconfiguration
Was bedeutet „Security Misconfiguration“? Unter „Security Misconfiguration“ versteht man falsch eingestellte oder unzureichend abgesicherte Systeme, Server oder Anwendungen.Oft entstehen diese Schwachstellen nicht durch Programmierfehler, sondern durch menschliche Fehler bei der Einrichtung. Beispiel:Ein Webserver läuft mit Standard-Admin-Passwort oder gibt unnötig viele technische Fehlermeldungen preis. Typische Beispiele aus der Praxis Warum ist das so gefährlich? Wie schützt…
-
Was ist OWASP?
OWASP steht für Open Web Application Security Project. Es handelt sich um eine weltweite Non-Profit-Organisation, die sich der Verbesserung der Sicherheit von Software verschrieben hat.Das bekannteste Projekt von OWASP sind die OWASP Top 10: eine regelmäßig aktualisierte Liste der zehn größten Sicherheitsrisiken für Webanwendungen. Warum sind die OWASP Top 10 wichtig? Die aktuellen OWASP Top…
-
Teil 4 – Wie man sich gegen IDOR schützt
Das Grundprinzip: Autorisierung auf Objektebene Die wichtigste Verteidigung gegen IDOR ist, dass der Server nicht nur prüft, ob ein Nutzer eingeloggt ist, sondern auch, ob er wirklich berechtigt ist, auf genau dieses Objekt zuzugreifen.Ein Login allein reicht nicht. Ein Nutzer kann authentifiziert sein und trotzdem fremde Daten anfragen. Darum braucht es eine zusätzliche Autorisierungsprüfung: Nur…
-
SSRF verstehen – Teil 4: SSRF in der Cloud (AWS, Azure & GCP)
Rückblick: Warum SSRF in der Cloud so kritisch ist In klassischen Rechenzentren kann SSRF „nur“ interne Dienste wie Datenbanken, Admin-Panels oder Monitoring-Systeme treffen.In der Cloud kommt eine neue Dimension hinzu: AWS – Instance Metadata Service (IMDS) Endpoint Wichtige Pfade: Beispiel (ohne Schutz) Schutz Azure – Instance Metadata Service (IMDS) Endpoint Besonderheit Azure verlangt zwingend den…
-
OWASP Top 10 – Teil 4: Insecure Design
Was bedeutet „Insecure Design“? „Insecure Design“ beschreibt grundlegende Schwächen in der Architektur oder Planung einer Anwendung.Es geht also nicht nur um einen Programmierfehler im Code, sondern darum, dass Sicherheit von Anfang an nicht richtig berücksichtigt wurde. Ein Beispiel:Wenn ein Online-Shop keine Zwei-Faktor-Authentifizierung für Admin-Accounts vorsieht, ist das kein Bug im Code, sondern ein Designproblem. Typische…
-
Subdomain-Erkennung durch passive Quellen – Listen, Indizes und Open Data
Einleitung Subdomains sind oft die vergessenen Türen einer Web-Infrastruktur. Neben der Hauptdomain (example.com) existieren häufig Dutzende oder Hunderte Subdomains wie mail.example.com, dev.example.com oder test.example.com.Für die Passive Reconnaissance sind Subdomains eine Goldgrube, da sie Einblicke in interne Systeme, Testumgebungen oder ungeschützte Dienste geben können – ganz ohne aktives Scannen. Warum Subdomains wichtig sind Passive Quellen für…