Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, behandelt sicherheitsrelevante Fehlkonfigurationen. Sicherheitsrelevante Fehlkonfigurationen umfassen einen großen Bereich an Sicherheitslücken, die sowohl bei der Installation und Konfiguration als auch bei Administration und Wartung einer Webapplikation entstehen können. Dabei können alle Ebenen der Anwendung inklusive der zugrundeliegenden Web- und Datenbankserver betroffen […]
IT-Sicherheit
IT-Sicherheit
Again password of the year: 123456
Was wäre ein Jahreswechsel ohne Jahresrückblick. Nicht nur in Politik, Kultur, Sport und Boulevard, sondern auch in datenschutzrechtlichen Themen nutzen wir die Gelegenheit und lassen das vergangene Jahr Revue passieren. Wie in jedem Januar darf ein Überblick über die am häufigsten verwendeten Passwörter nicht fehlen. 2014 Wissen Sie noch, wer es in die Top 15 […]
OWASP Top Ten: A4 – Unsichere direkte Objektreferenzen
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erklären wir das Gefahrenpotential von sogenannten direkten Objektreferenzen (engl. „Insecure direct object references“). Dabei handelt es sich um eine simple, häufig übersehene Sicherheitslücke mit großen Auswirkungen. Sie kann überall dort auftreten, wo verschiedene Benutzer mit verschiedenen horizontalen Berechtigungsstufen auf die […]
Wann sind E-Mails „sicher“?
E-Mails begleiten uns durch unser alltägliches Leben und werden zur Kommunikation in verschiedensten Situationen verwendet, z.B. mit Freunden und Familie, Bestellungen von Artikeln und Dienstleistungen oder auch Anfragen an Unternehmen und Ämter. Häufig werden dabei auch sensible Informationen weitergegeben, die sicher transportiert und aufbewahrt werden sollen. Schutz von E-Mails – was ist zu beachten? Versandte […]
Rowhammer.js – Absturz per JavaScript
Die Sicherheitsforscher Clémentine Maurice und Daniel Gruss haben auf dem 32. Chaos Communication Congress in ihrem Vortrag „Rowhammer.js – Root privileges for web apps?“ ihre JavaScript-Umsetzung des Rowhammer-Angriffs vorgestellt. Rowhammer? Rowhammer ist eine Hardware-Sicherheitslücke, die es erlaubt, im Arbeitsspeicher eines Computers bestimmte Speicherstellen zu manipulieren. Die Lücke basiert darauf, dass Arbeitsspeicher, der auf physikalischer Ebene […]
Unsicherheit von App-basierten TAN-Verfahren
Auf dem 32c3 zeigte Vincent Haupert in seinem Vortrag, wie unsicher App-basierten TANs im Online-Banking sind. Nachdem der Kunde in der Banking-App eine Überweisung initiiert hat, wird in der TAN-App auf dem selben Smartphone die zugehörige TAN angezeigt. Durch die Nutzung von zwei Apps auf dem selben Endgerät unterläuft das Verfahren den Vorteil der 2-Faktor-Authentisierung […]
Backdoors in Hardware
In ihrem Vortrag „Hardware-Trojaner in Security-Chips“ auf dem 32. Chaos Communication Congress in Hamburg richteten die Sicherheitsforscher Peter Laackmann und Markus Janke die Aufmerksamkeit auf bösartige Hardwaremanipulationen und mögliche Gegenmaßnahmen. Bösartige Hintertüren Während Softwaretrojaner weithin bekannt, einfach zu entwickeln und relativ leicht aufzudecken und zu bekämpfen sind, sind sowohl die Erkennung als auch die Bekämpfung […]
PLC-Blaster – Der Virus im Industrienetz
Der Wurm Auf dem diesjährigen 32c3-Kongress des Chaos Computer Club in Hamburg haben Ralf Spenneberg und Kollegen gezeigt, wie sie mit einfachen Mitteln einen Virus (eigentlich einen Wurm) schreiben konnten, der die verbreiteten Siemens S7-Controller infizieren und sich dann selbständig auf andere S7 weiterverbreiten kann. Der Wurm bietet auch Möglichkeiten, sich vor dem TIA-Portal zu […]
Die Weihnachts-App, die alles weiß
In der Vorweihnachtszeit lohnt sich ein Blick in den App-Store des Smartphones. So finden sich dort verschiedenste, auf das Weihnachtsfest zugeschnittene Applikationen. Von Rabattaktionen in Form von verschiedenen Adventskalendern, über Rezepte-Apps mit Weihnachtsgebäck, bis hin zu diversen Spielen mit besonderen Weihnachts-Themes ist alles vertreten. Diese besinnliche Phase des Jahres ruft jedoch offenbar vermehrt Betrüger auf […]
OWASP Top Ten: A3 – Cross-Site Scripting (XSS)
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (kurz XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
OWASP Top Ten: A2 – Fehler in Authentifizierung und Session-Management
Dieser Beitrag unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Authentifizierung und dem Session-Management. Webapplikationen, die benutzerbezogene Dienste anbieten (z.B. Social-Media-Webseiten) sind darauf angewiesen, dass sich der Benutzer gegenüber der Webapplikation authentifiziert. Dies geschieht in den meisten Fällen per Benutzername und Passwort. Hat sich der Benutzer […]
Online ausgeraubt beim Weihnachtsshopping
Mit dem Ziel noch eben schnell ein Geschenk zu kaufen, werden aktuell und insbesondere an den Tagen vor Weihnachten viele Leute unterwegs sein. Da trifft es sich doch, dass die passende E-Mail mit „Blitzangeboten“ von Amazon und anderen namhaften Online-Shops direkt an die eigene E-Mail-Adresse gesendet wird und sofort eine Fülle an überwältigenden Angeboten zur […]
Verschlüsselt! Oder nicht?
Spätestens seit der NSA-Affäre ist den Benutzern die Geheimhaltung bei der Kommunikation, z.B. über E-Mail, immer wichtiger geworden. Daher ist die Verschlüsselung von E-Mails mittlerweile ein wichtiges Werbemerkmal für die E-Mail-Provider. Allerdings zeigt sich immer wieder, dass die Werbebotschaften der Unternehmen zur sicheren Verschlüsselung hinterfragt werden sollten. Aktuelles Beispiel dafür sind die Anbieter von „E-Mail […]
OWASP Top Ten: A1 – Injection
In diesem Beitrag aus unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigen wir uns mit Injections, also „Injektionen“. Injection-Sicherheitslücken nutzen eine ungesicherte Verarbeitung von Nutzereingaben aus, z.B. in Eingabefeldern für Namen und Adressen. Statt die vorgesehenen Daten einzugeben, kann ein Angreifer z.B. Programmcode oder Datenbankbefehle in das Feld eingeben. Eine unsichere […]
Kennt Google auch dein WLAN-Passwort?
Dass WLAN-Verbindungen grundsätzlich verschlüsselt werden sollten, ist unumstritten – nicht erst seit der Diskussion um öffentliche WLAN-Zugänge und Störerhaftung. Kaum jemand von Ihnen wird sein eigenes WLAN-Netz zu Hause unverschlüsselt haben (von Freifunkern abgesehen). Firmen ist naturgemäß noch mehr daran gelegen, ihr WLAN zu schützen. Soweit so gut. Doch was viele Nutzer von Android-Geräten nicht […]