Mit diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den zehn häufigsten Sicherheitslücken in Webapplikationen, sind wir auf Platz 10 angekommen. Dabei geht es um ungeprüfte Um- und Weiterleitungen. Um- und Weiterleitungen werden in Webapplikationen häufig eingesetzt, um den Nutzer automatisch auf die gewünschte Zieladresse zu navigieren. Hierbei wird zwischen externen und internen Weiterleitungen […]
pb-penetrationstest
OWASP Top Ten: A9 – Nutzung von Komponenten mit bekannten Schwachstellen
Dieser Beitrag aus unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Platz 9: Nutzung von Komponenten mit bekannten Schwachstellen. Webapplikationen wie Onlineshops, Portale oder Content Management Systeme haben mittlerweile einen großen Funktionsumfang und damit eine hohe Komplexität. In der Entwicklung wird daher auf fertige Komponenten zurückgegriffen, die allenfalls noch […]
33c3: Sicherheit und Hackability des Amazon Dash Buttons
Zur Einführung von Amazons Dash Button in Deutschland hatten wir bereits zu Aspekten des Daten- und Verbraucherschutzes des Produkts berichtet. Mit der Sicherheit und der “Hackability” des kleinen Geräts hat sich der Hardware-Hacker hunz beschäftigt und in seinem Vortrag “Shining some light on the Amazon Dash Button” im Rahmen des 33. Chaos Communication Congress seine […]
OWASP Top Ten: A8 – Cross-Site-Request-Forgery
In diesem Beitrag aus unserer OWASP Top Ten Reihe, welche die 10 größten Sicherheitsrisiken für Webapplikationen sowie entsprechende Gegenmaßnahmen näher erläutert, geht es um sogenannte Cross-Site-Request-Forgery-Angriffe (kurz CSRF). Ein Cross-Site-Request-Forgery (zu deutsch seitenübergreifende Aufrufmanipulation) führt eine – meist sicherheitskritische – Funktion einer Webanwendung im Kontext eines gerade angemeldeten Nutzers aus. Sofern wir CSRF-Schwachstellen im Rahmen […]
OWASP Top Ten: A7 – Fehlerhafte Autorisierung auf Anwendungsebene
Welche Auswirkungen eine fehlerhafte Autorisierung auf Anwendungsebene haben kann und was Sie dagegen unternehmen können, zeigt unser heutiger Beitrag aus der OWASP Top Ten Reihe. Grundsätzlich entsteht eine fehlerhafte Autorisierung auf Anwendungsebene durch eine fehlende oder unzureichende serverseitige Überprüfung von Zugriffsberechtigungen. Die Sicherheitslücke tritt weiterhin auf, wenn die Berechtigungsprüfung ausschließlich auf Parametern basiert, welche durch […]
Zur Sicherheit von PINs
Im Internet ist eine Liste mit allen vergebenen EC-Karten PINs aufgetaucht: 0000 0001 0002 0003 0004 … Auch wenn es sich dabei nur um einen Witz handelt, bleibt dennoch die Frage, welche PINs häufiger verwendet werden. Mit diesem Wissen ist es für einen Kriminellen deutlich leichter, bei einem Angriff die richtige PIN zu finden. Auf […]
OWASP Top Ten: A6 – Verlust der Vertraulichkeit sensibler Daten
Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erläutert die Gefahr der Preisgabe von sensiblen Daten und wie Sie Ihre Anwendung sowie deren Benutzer davor schützen können. Bei sensiblen Daten handelt es sich beispielsweise um Gesundheits-, Kreditkarten- oder auch Zugangsdaten, deren Vertraulichkeit sowohl bei der Speicherung als auch bei […]
OWASP Top Ten: A4 – Unsichere direkte Objektreferenzen
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erklären wir das Gefahrenpotential von sogenannten direkten Objektreferenzen (engl. „Insecure direct object references“). Dabei handelt es sich um eine simple, häufig übersehene Sicherheitslücke mit großen Auswirkungen. Sie kann überall dort auftreten, wo verschiedene Benutzer mit verschiedenen horizontalen Berechtigungsstufen auf die […]
OWASP Top Ten: A3 – Cross-Site Scripting (XSS)
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (kurz XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
OWASP Top Ten: A2 – Fehler in Authentifizierung und Session-Management
Dieser Beitrag unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Authentifizierung und dem Session-Management. Webapplikationen, die benutzerbezogene Dienste anbieten (z.B. Social-Media-Webseiten) sind darauf angewiesen, dass sich der Benutzer gegenüber der Webapplikation authentifiziert. Dies geschieht in den meisten Fällen per Benutzername und Passwort. Hat sich der Benutzer […]
OWASP Top Ten: A1 – Injection
In diesem Beitrag aus unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigen wir uns mit Injections, also „Injektionen“. Injection-Sicherheitslücken nutzen eine ungesicherte Verarbeitung von Nutzereingaben aus, z.B. in Eingabefeldern für Namen und Adressen. Statt die vorgesehenen Daten einzugeben, kann ein Angreifer z.B. Programmcode oder Datenbankbefehle in das Feld eingeben. Eine unsichere […]
Sicherheit im World Wide Web: Die OWASP Top 10
Webapplikationen sind allgegenwärtig: Online-Banking und -Shopping, soziale Netzwerke und Mails, aber auch spezielle Anwendungen wie Vereinsverwaltung, Foren oder kollaborative Dokumentenbearbeitung finden hauptsächlich im Webbrowser statt. Wie jede andere Software müssen auch Webapplikationen programmiert werden. Sie werden danach je nach genutzer Architektur ganz oder teilweise auf dem Webserver, teilweise auf dem Client (Browser) ausgeführt. Programmierfehler können […]
Neue Herausforderungen für Webseitenbetreiber
Im Sommer wurde viel über das IT-Sicherheitsgesetz diskutiert, doch scheinbar ist nur wenigen Lesern aufgefallen, dass es auch eine Änderung im TMG gegeben hat, die alle Betreiber von Webseiten betrifft. In §13 „Pflichten des Diensteanbieters“ wurde ein neuer 7. Absatz eingefügt: (7) Diensteanbieter haben (…) durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff […]
Bußgelder bei unsicherem Betrieb von Webseiten?
Wer künftig für geschäftsmäßige Webseiten keine ausreichenden technisch-organisatorischen Sicherheitsmaßnahmen umsetzt, nimmt nicht nur gehackte Web-Server und Imageverluste, sondern seit 25. Juli dieses Jahres auch Bußgelder in Höhe von 50.000 € in Kauf. Standen bislang weitgehend Betreiber so genannter kritischer Infrastrukturen (u.a. Energieversorger, Krankenhäuser, Logistikunternehmen) im Fokus des kürzlich in Kraft getretenen IT-Sicherheitsgesetzes, so spricht sich […]
Das Internet der Dinge – die zehn häufigsten Sicherheitsrisiken
Vor kurzem ging in Berlin die IFA, die führende Messe für Consumer Electronics und Home Appliance zu Ende. Ein großes Thema war das sogenannte Smart Home. Eine Vielzahl neuer Geräte, etwa Heizung, Fernseher, Kühlschrank oder Kaffeemaschine werden sich künftig mit dem Internet verbinden lassen, per App steuerbar sein und untereinander agieren können – Willkommen im […]