Kategorie: Websecurity

Was bedeutet „Software and Data Integrity Failures“? Hier geht es um Probleme, wenn Software oder Daten nicht zuverlässig geschützt werden und Angreifer unbemerkt Änderungen einschleusen können. Im Klartext:Wenn eine Anwendung nicht sicherstellt, dass Code, Updates oder Daten echt und unverändert sind, besteht das Risiko, dass Schadcode ausgeführt wird oder manipulierte Informationen ins System gelangen. Typische…

Was bedeutet „Security Logging and Monitoring Failures“? Damit sind Fehler bei der Protokollierung und Überwachung von sicherheitsrelevanten Ereignissen gemeint. Einfach gesagt:Wenn eine Anwendung Angriffe nicht erkennt oder nicht meldet, können Angreifer ungestört Schaden anrichten – manchmal über Monate oder Jahre. Typische Beispiele aus der Praxis Warum ist das so gefährlich? Wie schützt man sich?

Was bedeutet „SSRF“? Bei einem Server-Side Request Forgery (SSRF) wird ein Server dazu gebracht, unerwartete oder ungewollte Anfragen zu verschicken – oft innerhalb des eigenen Netzwerks. Das Besondere:Der Angreifer schickt seine Anfrage nicht direkt an das Ziel, sondern nutzt den verwundbaren Server als Proxy. So kann er Systeme erreichen, die von außen eigentlich nicht zugänglich…

Was bedeutet „Security Misconfiguration“? Unter „Security Misconfiguration“ versteht man falsch eingestellte oder unzureichend abgesicherte Systeme, Server oder Anwendungen.Oft entstehen diese Schwachstellen nicht durch Programmierfehler, sondern durch menschliche Fehler bei der Einrichtung. Beispiel:Ein Webserver läuft mit Standard-Admin-Passwort oder gibt unnötig viele technische Fehlermeldungen preis. Typische Beispiele aus der Praxis Warum ist das so gefährlich? Wie schützt…

OWASP steht für Open Web Application Security Project. Es handelt sich um eine weltweite Non-Profit-Organisation, die sich der Verbesserung der Sicherheit von Software verschrieben hat.Das bekannteste Projekt von OWASP sind die OWASP Top 10: eine regelmäßig aktualisierte Liste der zehn größten Sicherheitsrisiken für Webanwendungen. Warum sind die OWASP Top 10 wichtig? Die aktuellen OWASP Top…

Was bedeutet „Insecure Design“? „Insecure Design“ beschreibt grundlegende Schwächen in der Architektur oder Planung einer Anwendung.Es geht also nicht nur um einen Programmierfehler im Code, sondern darum, dass Sicherheit von Anfang an nicht richtig berücksichtigt wurde. Ein Beispiel:Wenn ein Online-Shop keine Zwei-Faktor-Authentifizierung für Admin-Accounts vorsieht, ist das kein Bug im Code, sondern ein Designproblem. Typische…

Was bedeutet „Injection“? Eine Injection-Schwachstelle entsteht, wenn ein Angreifer fremden Code einschleusen kann, der dann von der Anwendung ausgeführt wird. Am bekanntesten ist die SQL-Injection, bei der Angreifer Befehle in eine Datenbank einschleusen. Aber es gibt viele Varianten: z. B. OS Command Injection, LDAP Injection oder NoSQL Injection. Kurz gesagt: Immer wenn Daten von außen…