bg_image
header

Directory Traversal

Directory Traversal (auch Path Traversal genannt) ist eine Sicherheitslücke in Webanwendungen, bei der ein Angreifer Zugriff auf Dateien oder Verzeichnisse außerhalb des beabsichtigten Verzeichnisses erhält. Dabei nutzt der Angreifer manipulierte Pfadangaben, um sich durch das Dateisystem des Servers zu bewegen.

Wie funktioniert ein Directory Traversal Angriff?

Eine unsichere Webanwendung verarbeitet Dateipfade oft direkt aus Benutzereingaben, z. B. in einer URL wie:

https://example.com/getFile?file=report.pdf

Wenn der Server die Eingabe nicht ausreichend überprüft, könnte ein Angreifer sie manipulieren:

https://example.com/getFile?file=../../../../etc/passwd

Hierbei nutzt der Angreifer ../ (die Parent-Directory-Notation), um sich aus dem vorgesehenen Verzeichnis herauszubewegen und eine Systemdatei wie /etc/passwd (unter Linux) auszulesen.

Gefahren eines erfolgreichen Angriffs

  • Auslesen sensibler Daten (Konfigurationsdateien, Quellcode, Benutzerlisten)
  • Kompromittierung des Servers (wenn z. B. SSH-Keys oder Passwort-Hashes gestohlen werden)
  • Ausführung von Schadcode, falls die Datei modifiziert oder ausgeführt werden kann

Schutzmaßnahmen

  • Eingabevalidierung: Nutzerinput filtern und nur erlaubte Zeichen zulassen
  • Verwendung sicherer Pfade: Keine direkte Verwendung von Benutzereingaben für Dateioperationen
  • Least Privilege Prinzip: Webserver sollten nur minimale Rechte für den Zugriff auf Dateien haben
  • Whitelisting von Dateipfaden: Nur bekannte und erlaubte Dateien abrufen lassen

Erstellt vor 2 Monaten

SonarQube

SonarQube ist ein Open-Source-Tool zur kontinuierlichen Analyse und Qualitätssicherung von Quellcode. Es hilft Entwicklern und Teams, die Codequalität zu bewerten, Schwachstellen zu identifizieren und Best Practices in der Softwareentwicklung zu fördern.

Hauptfunktionen:

  1. Codequalität prüfen:

    • SonarQube analysiert Quellcode und bewertet Aspekte wie Lesbarkeit, Wartbarkeit und Architekturqualität.
    • Es erkennt potenzielle Probleme wie Code-Duplikate, nicht genutzte Variablen oder komplexe Methoden.

  2. Sicherheitslücken aufdecken:

  3. Technische Schulden bewerten:

    • Technische Schulden sind die Aufwände, die nötig wären, um den Code auf einen optimalen Zustand zu bringen.
    • SonarQube visualisiert diese Schulden, um Priorisierungen zu erleichtern.

  4. Unterstützung für viele Programmiersprachen:

    • Es unterstützt mehr als 20 Sprachen, darunter Java, Python, JavaScript, C#, C++, PHP und viele mehr.

  5. Integration in CI/CD-Pipelines:

    • SonarQube lässt sich leicht in Tools wie Jenkins, GitLab CI/CD oder Azure DevOps integrieren.
    • Dadurch kann Code bei jedem Commit oder vor einem Release geprüft werden.

  6. Berichte und Dashboards:

    • Es bietet übersichtliche Dashboards mit Metriken, Trends und Detailanalysen.
    • Entwickler können leicht erkennen, wo Verbesserungen nötig sind.

Einsatzbereiche:

  • Unternehmen: Zur Sicherstellung der Codequalität und Einhaltung von Sicherheitsstandards in großen Softwareprojekten.
  • Teams: Für eine kontinuierliche Verbesserung des Codes und zur Förderung guter Entwicklungspraktiken.
  • Einzelentwickler: Als Lernwerkzeug, um besseren Code zu schreiben.

SonarQube ist in einer kostenlosen Community-Edition und in kommerziellen Versionen mit erweiterten Funktionen verfügbar (z. B. für größere Teams oder spezielle Sicherheitsanalysen).

 


Erstellt vor 5 Monaten

Static Site Generator - SSG

Ein statischer Website-Generator (Static Site Generator, SSG) ist ein Tool, das eine statische Website aus Rohdaten wie Textdateien, Markdown-Dokumenten oder Datenbanken und Vorlagen (Templates) erstellt. Hier sind einige wichtige Aspekte und Vorteile von SSGs:

Merkmale von Static Site Generators:

  1. Statische Dateien: SSGs erzeugen reine HTML-, CSS- und JavaScript-Dateien, die direkt von einem Webserver ausgeliefert werden können, ohne dass eine serverseitige Verarbeitung erforderlich ist.

  2. Trennung von Inhalt und Präsentation: Inhalt und Design werden getrennt behandelt. Der Inhalt wird oft in Form von Markdown, YAML oder JSON gespeichert, während das Design durch Templates definiert wird.

  3. Bauzeit: Die Generierung der Website findet zur Entwicklungszeit statt, nicht zur Laufzeit. Das bedeutet, dass der gesamte Inhalt beim Erstellen der Website in statische Dateien kompiliert wird.

  4. Keine Datenbank erforderlich: Da die Website statisch ist, wird keine Datenbank benötigt, was die Sicherheit und Leistung verbessert.

  5. Performance und Sicherheit: Statische Websites sind in der Regel schneller und sicherer als dynamische Websites, da sie weniger anfällig für Angriffe sind und keine serverseitigen Skripte ausgeführt werden müssen.

Vorteile von Static Site Generators:

  1. Schnelligkeit: Da nur statische Dateien ausgeliefert werden, sind Ladezeiten und Serverreaktionen sehr schnell.

  2. Sicherheit: Ohne serverseitige Skripte und Datenbanken gibt es weniger Angriffsvektoren für Hacker.

  3. Einfaches Hosting: Statische Websites können auf jedem Webserver oder Content Delivery Network (CDN) gehostet werden, einschließlich kostenloser Hosting-Dienste wie GitHub Pages oder Netlify.

  4. Skalierbarkeit: Statische Websites können problemlos sehr große Besucherzahlen bewältigen, da keine komplexe Backend-Verarbeitung erforderlich ist.

  5. Versionierung und Kontrolle: Da Inhalte oft in einfachen Textdateien gespeichert werden, können sie leicht mit Versionskontrollsystemen wie Git verfolgt und verwaltet werden.

Beliebte Static Site Generators:

  1. Jekyll: Entwickelt von GitHub und integriert in GitHub Pages. Sehr beliebt für Blogs und Dokumentationsseiten.
  2. Hugo: Bekannt für seine Geschwindigkeit und Flexibilität. Unterstützt eine Vielzahl von Inhaltstypen und Templates.
  3. Gatsby: Ein auf React basierender SSG, der sich gut für moderne Webanwendungen und Progressive Web Apps (PWAs) eignet.
  4. Eleventy: Ein einfacher, aber leistungsfähiger SSG, der sich durch seine Flexibilität und Anpassungsfähigkeit auszeichnet.

Static Site Generators sind besonders geeignet für Blogs, Dokumentationsseiten, persönliche Portfolios und andere Websites, bei denen der Inhalt nicht häufig aktualisiert werden muss und wo schnelle Ladezeiten und hohe Sicherheit wichtig sind.

 


Erstellt vor 9 Monaten

Remote Code Execution - RCE

Remote Code Execution (RCE) ist eine schwerwiegende Sicherheitslücke, bei der ein Angreifer in der Lage ist, bösartigen Code auf einem entfernten Computer oder Server auszuführen. Dies kann passieren, wenn ein System Schwachstellen in der Software hat, die es einem Angreifer ermöglichen, beliebigen Code einzuschleusen und auszuführen. RCE-Angriffe können schwerwiegende Folgen haben, da sie dem Angreifer die Kontrolle über das betroffene System geben können.

Wie funktioniert Remote Code Execution?

RCE tritt auf, wenn ein Angreifer Schwachstellen in einer Anwendung, einem Betriebssystem oder einer Netzwerkkomponente ausnutzt, um Code in das System einzuschleusen und auszuführen. Solche Schwachstellen können sich in verschiedenen Teilen einer Anwendung befinden, wie z.B.:

  1. Webanwendungen: Unsichere Eingabevalidierung, SQL-Injection, unsichere Deserialisierung, oder andere Schwachstellen in Webanwendungen können zu RCE führen.
  2. Server-Software: Schwachstellen in Webservern, Datenbankservern oder anderen Serveranwendungen können ausgenutzt werden.
  3. Netzwerkdienste: Dienste, die über das Netzwerk erreichbar sind und Schwachstellen aufweisen, können Ziel von RCE-Angriffen sein.

Beispiel eines RCE-Angriffs:

Ein häufiges Beispiel ist eine unsichere Webanwendung, die Benutzereingaben nicht richtig validiert. Wenn ein Angreifer bösartigen Code in ein Eingabefeld eingibt und die Anwendung diese Eingabe ohne ausreichende Überprüfung verarbeitet, kann der Code auf dem Server ausgeführt werden.

# Ein einfaches Beispiel in Python
import os

def execute_command(user_input):
    os.system(user_input)

# Angreifer gibt ein: "ls; rm -rf /"
execute_command("ls; rm -rf /")

Mögliche Auswirkungen von RCE:

  • Komplettübernahme des Systems: Der Angreifer kann volle Kontrolle über das betroffene System erlangen.
  • Datenverlust oder -diebstahl: Sensible Daten können gestohlen oder gelöscht werden.
  • Weiterverbreitung von Malware: Der Angreifer kann Malware installieren und verbreiten.
  • Ausspähen und Ausnutzen weiterer Systeme: Der kompromittierte Server kann als Ausgangspunkt für Angriffe auf andere Systeme im Netzwerk verwendet werden.

Schutzmaßnahmen gegen RCE:

  1. Eingabevalidierung: Alle Benutzereingaben sollten gründlich validiert und gefiltert werden.
  2. Aktualisierungen und Patches: Regelmäßige Updates und Patches für alle Softwarekomponenten sollten durchgeführt werden, um bekannte Schwachstellen zu schließen.
  3. Least Privilege Principle: Anwendungen sollten nur die minimal notwendigen Berechtigungen haben, um ihre Aufgaben auszuführen.
  4. Verwendung sicherer Kodierungspraktiken: Sichere Programmiertechniken und -bibliotheken sollten verwendet werden, um Schwachstellen zu vermeiden.
  5. Intrusion Detection Systems (IDS): Systeme zur Erkennung und Abwehr von Eindringlingen sollten implementiert werden, um verdächtige Aktivitäten zu erkennen und zu verhindern.

Durch die Implementierung dieser Maßnahmen kann das Risiko eines RCE-Angriffs erheblich reduziert werden.

 


Erstellt vor 11 Monaten

CSRF Token

Ein CSRF-Token (Cross-Site Request Forgery-Token) ist eine Sicherheitsmaßnahme, die verwendet wird, um Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. CSRF ist eine Art von Angriff, bei dem ein Angreifer einen Benutzer dazu bringt, ungewollte Aktionen in einer Webanwendung durchzuführen, während dieser Benutzer bereits bei der Anwendung angemeldet ist.

Das CSRF-Token ist ein zufällig generierter Wert, der jedem Benutzer während seiner Sitzung zugewiesen wird. Dieses Token wird typischerweise in Form eines versteckten Feldes in Webformularen oder als Teil von URL-Parametern bei AJAX-Anfragen verwendet. Wenn der Benutzer eine Aktion ausführt, überprüft die Webanwendung, ob das übermittelte CSRF-Token mit dem erwarteten Token übereinstimmt. Wenn die Token übereinstimmen, wird die Anfrage als legitim angesehen und verarbeitet. Andernfalls wird die Anfrage abgelehnt.

Durch die Verwendung von CSRF-Token können Webanwendungen sicherstellen, dass die durchgeführten Aktionen tatsächlich vom autorisierten Benutzer stammen und nicht von einem Angreifer, der versucht, die Sitzung eines Benutzers auszunutzen. Dies hilft, die Integrität und Sicherheit der Anwendung zu gewährleisten.

 


Erstellt vor 1 Jahr

Web Application Firewall - WAF

Eine Web Application Firewall (WAF) ist eine Sicherheitslösung, die speziell für den Schutz von Webanwendungen entwickelt wurde. Sie überwacht den Datenverkehr zwischen Webbrowsern und Webanwendungen, um potenziell schädliche oder unerwünschte Aktivitäten zu erkennen und zu blockieren. Im Wesentlichen fungiert eine WAF als Schutzschild, das Webanwendungen vor einer Vielzahl von Angriffen schützt, darunter:

  1. SQL-Injection: Eine Angriffstechnik, bei der Angreifer bösartige SQL-Abfragen einschleusen, um auf die Datenbank zuzugreifen oder sie zu manipulieren.

  2. Cross-Site-Scripting (XSS): Eine Angriffsmethode, bei der Angreifer Skripte in Webseiten einschleusen, um Benutzer zu kompromittieren, z. B. indem sie Sitzungscookies stehlen oder bösartige Aktionen im Namen des Benutzers ausführen.

  3. Cross-Site-Request-Forgery (CSRF): Ein Angriff, bei dem ein Angreifer eine betrügerische Anfrage im Namen eines authentifizierten Benutzers stellt, um unerwünschte Aktionen auszuführen.

  4. Brute-Force-Angriffe: Wiederholte Versuche, sich mit gestohlenen oder geratenen Anmeldeinformationen in ein System einzuloggen.

  5. Distributed Denial of Service (DDoS): Angriffe, bei denen eine große Anzahl von Anfragen an eine Webanwendung gesendet wird, um sie zu überlasten und unzugänglich zu machen.

Eine WAF analysiert den HTTP- und HTTPS-Verkehr und wendet spezifische Regeln und Filter an, um verdächtige Aktivitäten zu identifizieren und zu blockieren. Sie kann sowohl auf Serverebene als auch als Cloud-basierte Lösung implementiert werden und ist ein wichtiger Bestandteil einer umfassenden Sicherheitsstrategie für Webanwendungen.

 


Erstellt vor 1 Jahr

Browser Exploit Against SSL TLS - BEAST

BEAST (Browser Exploit Against SSL/TLS) war eine Sicherheitslücke, die im September 2011 entdeckt wurde. Diese Schwachstelle betraf vor allem das TLS (Transport Layer Security) Protokoll, speziell die CBC (Cipher Block Chaining) Verschlüsselungsmodus in Kombination mit dem SSLv3 und TLS 1.0 Protokoll.

BEAST ermöglichte es einem Angreifer, den verschlüsselten Datenverkehr zwischen einem Webbrowser und einem Server abzuhören und zu entschlüsseln. Dies wurde durch die Ausnutzung einer Schwäche in der Art und Weise erreicht, wie CBC-Verschlüsselung in SSL/TLS implementiert wurde.

Um sich vor BEAST-Angriffen zu schützen, wurde empfohlen, auf neuere Versionen von TLS zu aktualisieren und alternative Verschlüsselungsmethoden zu verwenden, die nicht anfällig für diese Schwachstelle waren. Viele Webserver und Browser haben auch Patches implementiert, um die Auswirkungen von BEAST zu mindern.

 


Erstellt vor 1 Jahr

Padding Oracle On Downgraded Legacy Encryption - POODLE

POODLE (Padding Oracle On Downgraded Legacy Encryption) war eine Sicherheitslücke in der SSLv3 (Secure Sockets Layer version 3) Verschlüsselung, die im Oktober 2014 entdeckt wurde. Diese Schwachstelle ermöglichte es einem Angreifer, den verschlüsselten Datenverkehr zwischen einem Webbrowser und einem Server abzuhören und zu manipulieren. Der Angriff nutzte eine Schwäche in der Art und Weise aus, wie SSLv3 Blöcke von verschlüsselten Daten mit Padding (Auffüllung) verarbeitet. Durch Ausnutzung dieser Schwachstelle konnte ein Angreifer unter bestimmten Umständen sensible Informationen wie Cookies stehlen.

Aufgrund der Schwere der Schwachstelle empfahlen Sicherheitsexperten, die Verwendung von SSLv3 zu deaktivieren und auf neuere und sicherere Verschlüsselungsprotokolle wie TLS (Transport Layer Security) zu aktualisieren. Viele Webserver und Browser haben SSLv3-Unterstützung entfernt oder deaktiviert, um sich vor POODLE-Angriffen zu schützen.

 


Erstellt vor 1 Jahr

Obfuscation

Obfuscation ist ein Prozess, bei dem der Quellcode eines Programms so verändert wird, dass er für Menschen schwer zu verstehen ist, während er seine Funktionalität beibehält. Dies wird oft angewendet, um den Quellcode vor Reverse Engineering zu schützen oder um ihn kompakter zu machen, ohne die Funktionalität zu beeinträchtigen. Dabei werden Techniken wie das Umbenennen von Variablen und Funktionen, das Hinzufügen von unnötigem Code oder das Verändern der Programmstruktur verwendet. Obfuscation wird häufig in der Softwareentwicklung eingesetzt, insbesondere bei der Entwicklung von kommerziellen Softwareprodukten oder bei der Bereitstellung von Software als Service (SaaS), um das geistige Eigentum zu schützen und unerwünschte Manipulationen zu erschweren.


Erstellt vor 1 Jahr

Intrusion Detection Systems - IDS

Intrusion Detection Systems (IDS) sind Sicherheitslösungen, die entworfen wurden, um Netzwerke oder Computersysteme kontinuierlich zu überwachen und nach potenziellen Sicherheitsverletzungen oder Angriffen zu suchen. Der Zweck eines Intrusion Detection Systems besteht darin, verdächtige Aktivitäten zu erkennen, die auf ein Eindringen in ein Netzwerk oder System hinweisen könnten, und daraufhin Alarme auszulösen oder Maßnahmen zu ergreifen, um die Sicherheit zu gewährleisten.

Es gibt zwei Hauptarten von Intrusion Detection Systems:

  1. Netzwerk-basierte Intrusion Detection Systems (NIDS): Diese Systeme überwachen den Datenverkehr innerhalb eines Netzwerks und suchen nach Anomalien oder bekannten Angriffsmustern. Sie analysieren Pakete, die über das Netzwerk übertragen werden, um verdächtige Aktivitäten zu erkennen, die auf einen Angriff oder eine Sicherheitsverletzung hinweisen könnten.

  2. Host-basierte Intrusion Detection Systems (HIDS): Im Gegensatz zu NIDS überwachen HIDS die Aktivitäten auf einzelnen Hosts oder Computern. Sie überwachen die Systemprotokolle, Dateisysteme und andere Systemressourcen nach Anzeichen von Angriffen oder ungewöhnlichem Verhalten, das auf eine Sicherheitsverletzung hinweisen könnte.

Ein Intrusion Detection System kann entweder signaturbasiert oder verhaltensbasiert sein:

  • Signaturbasierte IDS: Diese erkennen Angriffe anhand vordefinierter Muster oder Signaturen von bekannten Angriffen. Sie vergleichen den Netzwerkverkehr oder das Systemverhalten mit einer Datenbank bekannter Angriffssignaturen und lösen einen Alarm aus, wenn Übereinstimmungen gefunden werden.

  • Verhaltensbasierte IDS: Diese analysieren das normale Verhalten des Netzwerks oder Systems und suchen nach Abweichungen oder Anomalien, die auf potenzielle Angriffe hinweisen könnten. Sie basieren auf dem Prinzip, dass Angriffe oft ungewöhnliche Aktivitäten verursachen, die von normalem Betriebsverhalten abweichen.

Intrusion Detection Systems spielen eine wichtige Rolle bei der Überwachung und Sicherung von Netzwerken und Computersystemen, indem sie frühzeitig auf potenzielle Bedrohungen reagieren und Sicherheitsverletzungen erkennen, um geeignete Gegenmaßnahmen zu ergreifen.

 


Erstellt vor 1 Jahr
Kategorien
Objektorientierte Programmierung 25 Anwendungen 56 Design Patterns 20 Strategien 117 Kontinuierliche Integration - CI 2 Testing 11 Merkmale 52 Protokolle 20 Kommunikation 9 Datenstruktur 5 Versionsverwaltung 6
PHP 51 Python 4 Ruby 1 TypeScript 3 JavaScript 23 Erlang 2 Java 3 Allgemein 4 Python 0 Go 3 Perl 2 Swift 1
NoSQL 9 Relationale Datenbanken 16 Konzepte 8 Allgemein 5 Data Warehouse 2 Zeitreihendatenbanken 1 Datentypen 1
Terraform 1 Cloud Computing 13 Server 4 Netzwerk 26 Virtualisierung 3 Ansible 1 Architektur 7 Merkmale 4
Cascading Style Sheets - CSS 3 Leaner Style Sheets - LESS 1 Syntactically Awesome Stylesheets - Sass 1
Angriffsmethoden 18 Sicherheitsmechanismen 12 Organisationen 1 Beruehmte Sicherheitsluecken 3
HTML 3 XML 6 Extensible Hypertext Markup Language - XHTML 1 Markdown 1
CSS 1
Kuenstliche Intelligenz 5
SCRUM 5 Allgemein 1 Kanban 1 Extreme Programming - XP 1 Crystal 5 Dynamic Systems Development Method - DSDM 1 Feature Driven Development - FDD 1
Anwendungen 2
Merkmale 3 Strategien 2 Anwendungen 2
Tags
Amazon Aurora 1 Anzahl der Einträge mit diesem Tag Factory Methode 1 Anzahl der Einträge mit diesem Tag Syntactic Sugar 1 Anzahl der Einträge mit diesem Tag Deadlock 4 Anzahl der Einträge mit diesem Tag Solr 1 Anzahl der Einträge mit diesem Tag Dynamic Systems Development Method - DSDM 1 Anzahl der Einträge mit diesem Tag PHPmetrics 1 Anzahl der Einträge mit diesem Tag Softwarearchitektur 155 Anzahl der Einträge mit diesem Tag Composer Require Checker 1 Anzahl der Einträge mit diesem Tag Second Level Domain - SLD 1 Anzahl der Einträge mit diesem Tag Partial Mock 1 Anzahl der Einträge mit diesem Tag Allgemeine HTTP Header 4 Anzahl der Einträge mit diesem Tag TYPO3 1 Anzahl der Einträge mit diesem Tag PSR-1 1 Anzahl der Einträge mit diesem Tag Quellcode-Verwaltung 18 Anzahl der Einträge mit diesem Tag
Neuester Artikel

Cronjob

in Kategorie

EntwicklungInfrastrukturMerkmale

Erstellt vor 1 Tag 4 Stunden
Zufalls-Artikel

IP-Adresse

in Kategorie

EntwicklungInfrastrukturNetzwerk

Erstellt vor 1 Jahr
Zufalls-Technologie

Algolia

Algolia-logo-blue.png