Kategorie: Cyber Security
-
Teil 1 – Was sind Cryptographic Failures?
Wenn der Tresor nutzlos wird Stell dir vor, ein Unternehmen bewahrt Millionen Kundendaten in einem Tresor auf – aber der Schlüssel liegt direkt daneben oder der Tresor hat gar keine Tür. Genau so verhält es sich in der IT, wenn Verschlüsselung falsch eingesetzt oder ganz vergessen wird.Das Ergebnis: sensible Daten liegen offen, auch wenn eigentlich…
-
Teil 3 – Fehler bei der Speicherung sensibler Daten
Wenn Daten im Schrank statt im Tresor landen Verschlüsselung ist wie ein Tresor: Sie schützt Daten, selbst wenn jemand in den Raum eindringt. Leider werden viele sensible Informationen nicht im Tresor abgelegt, sondern einfach im Schrank – leicht zugänglich für jeden, der vorbeikommt. Genau das passiert, wenn Anwendungen Daten im Klartext oder mit schwacher Kryptografie…
-
Teil 4 – Schlüsselmanagement und organisatorische Fehler
Der Schlüssel neben dem Tresor Ein Tresor ist nur so sicher wie die Art, wie man den Schlüssel aufbewahrt. Wenn der Schlüssel direkt daneben hängt, nützt die beste Tür nichts. Genauso verhält es sich mit Kryptografie: Selbst die stärkste Verschlüsselung ist wertlos, wenn Schlüsselmanagement versagt. Harcoded Keys im Quellcode Einer der häufigsten Fehler: Entwickler speichern…
-
Cryptographic Failures Teil 5 – Ausblick und weiterführende Ressourcen
Kryptografie als Fundament Kryptografie ist eines der zentralen Fundamente moderner IT-Sicherheit. Sie schützt Passwörter, Kommunikationswege, Zahlungsinformationen und vertrauliche Daten. Doch sie ist kein Selbstläufer: Schon kleine Fehler im Einsatz oder Management machen selbst starke Algorithmen wertlos. Genau das sind Cryptographic Failures. Warum Cryptographic Failures bleiben werden Auch 2025 gehören kryptografische Fehler zu den OWASP Top…
-
Teil 2 – Wie Race-Condition-Angriffe funktionieren
Der Kampf um Millisekunden Race Conditions entstehen nicht durch klassische „Fehler im Code“, sondern durch Zeitabläufe. Angreifer nutzen gezielt die winzigen Lücken zwischen Prüfung und Nutzung aus. Schon Millisekunden entscheiden darüber, ob eine Aktion einmal oder mehrfach ausgeführt wird. TOCTOU – Time of Check to Time of Use Das bekannteste Muster ist TOCTOU (Time of…
-
Race Conditions Teil 3 – Reale Beispiele und Auswirkungen
Von der Theorie zur Praxis Race Conditions sind nicht nur ein theoretisches Problem aus Lehrbüchern. Immer wieder sorgen sie in der Praxis für erhebliche Schäden – von doppelten Banküberweisungen bis hin zu Millionenverlusten in E-Commerce-Systemen. Besonders spannend: Viele der bekanntesten Fälle wurden in Bug-Bounty-Programmen entdeckt, was zeigt, wie real und aktuell das Problem ist. Beispiel…
-
Race Conditions Teil 5 – Ausblick und weiterführende Ressourcen
Race Conditions – ein Problem der Zukunft Race Conditions sind kein altes „Low-Level-Problem“ mehr. Mit der zunehmenden Verlagerung in Cloud, APIs und Microservices werden sie sogar noch relevanter. Denn je mehr Systeme parallel laufen, desto größer wird die Gefahr von gleichzeitigen Zugriffen auf dieselben Ressourcen. Warum Race Conditions bleiben werden 1. Microservices und APIs In…
-
Teil 2 – Was ist Prototype Pollution?
Rückblick: Prototypen Im ersten Teil haben wir gelernt: Damit haben wir das Fundament gelegt. Nun schauen wir uns an, wie Angreifer genau das ausnutzen. Die kurze Definition Prototype Pollution ist eine Sicherheitslücke, bei der Angreifer es schaffen, den Prototypen von Objekten zu verändern, indem sie unkontrollierte Eingaben einschleusen. Ergebnis: Plötzlich tauchen neue Eigenschaften in allen…
-
Race Conditions Teil 4 – Schutzmaßnahmen und Best Practices
Das Problem an der Wurzel packen Race Conditions entstehen, wenn mehrere Prozesse oder Requests gleichzeitig auf dieselbe Ressource zugreifen – ohne klare Koordination. Die Lösung liegt also darin, solche kritischen Abläufe synchron und atomar zu gestalten. Das klingt abstrakt, lässt sich aber mit ein paar erprobten Methoden konkret umsetzen. Locking-Mechanismen Eine klassische Methode ist das…
-
Teil 3 – Reale Beispiele und Auswirkungen von Prototype Pollution
Warum dieser Teil wichtig ist Bis jetzt haben wir uns angeschaut, wie Prototype Pollution technisch funktioniert: Angreifer nutzen Schlüssel wie __proto__ oder constructor.prototype, um den Prototypen von Objekten zu manipulieren.Doch was heißt das praktisch? Welche Schäden entstehen dadurch in echten Anwendungen?In diesem Teil gehen wir Schritt für Schritt durch reale Szenarien, Vorfälle und Bug-Bounty-Reports. 1.…