Skip to content

XML-Sicherheit, Teil 1: XXE-Angriffe, zum ersten!

XML wird meist für den Austausch von Daten verwendet. Werden die XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer darüber eigenen XML-Code einschleusen. Meist kommt es dann zu XML External Entity (XXE) Angriffen, die in den aktuellen OWASP Top 10 einen eigenen Eintrag haben: Sie stehen auf Platz 4. Aber auch andere Angriffe sind über XML möglich.

OWASP Top 10, 2017, Platz 4: XML External Entities (XXE)

"XML-Sicherheit, Teil 1: XXE-Angriffe, zum ersten!" vollständig lesen

DevOps-Sicherheit, Teil 2: Fallstricke und Vorteile

Wie es mit der sicheren Entwicklung in Theorie und Praxis aussieht, sowohl Allgemein als auch im Fall von DevOps, habe ich bereits im ersten Teil beschrieben. DevOps führt zu zusätzlicher Kommunikation zwischen Entwicklung und Betrieb, außerdem werden möglichst viele Aufgaben automatisiert, um menschliche Fehler zu reduzieren und die Qualität und Konsistenz der Ergebnisse zu verbessern.

Vorsicht, Gefahr!

"DevOps-Sicherheit, Teil 2: Fallstricke und Vorteile" vollständig lesen

DevOps-Sicherheit, Teil 1: Sichere Entwicklung in Theorie und Praxis

In DevOps steht bekanntlich das "Dev" für "Development" und das "Ops" für "Operations" - also Entwicklung und Betrieb. Sicherheit kommt darin nicht vor, obwohl sie doch so wichtig ist. Und obwohl sie sich gerade mit DevOps verbessern lässt, wenn man das denn möchte. Und wer möchte das schon nicht?

Theoretisch sicher

"DevOps-Sicherheit, Teil 1: Sichere Entwicklung in Theorie und Praxis" vollständig lesen

Identitätsdiebstahl Teil 5 - Was muss man tun, wenn man zum Opfer wird?

Dass der "Identitätsdiebstahl" ja eigentlich gar keine Diebstahl ist habe ich im ersten Teil erklärt. Im zweiten und dritten Teil ging es um verschiedene Möglichkeiten, Identität zu "stehlen". Und im vierten Teil habe ich dann einige echte Fälle von Identitätsdiebstahl vorgestellt. Jetzt geht es um die Frage, was die Opfer eines Identitätsdiebstahls tun müssen.

Opfer eines Identitätsmissbrauchs - was nun?

"Identitätsdiebstahl Teil 5 - Was muss man tun, wenn man zum Opfer wird?" vollständig lesen

Identitätsdiebstahl Teil 4 - Beispiele aus der Praxis

Dass der "Identitätsdiebstahl" ja eigentlich gar keine Diebstahl ist habe ich im ersten Teil erklärt. Im zweiten Teil ging es um drei Möglichkeiten, Identität zu "stehlen": Phishing, Ködern und kompromittierte (Web-)Server. Und im dritten Teil kamen mit Spyware und einfachem Anmelden zwei weitere Möglichkeiten dazu. Außerdem gab es erste Beispiele dafür, wie ein Identitätsmissbrauch erkannt werden kann. In dieser Folge gibt es einige Beispiele aus der Praxis.

Identitätsmissbrauch - Beispiele aus der Praxis

"Identitätsdiebstahl Teil 4 - Beispiele aus der Praxis" vollständig lesen

WebAssembly - Ist das sicher oder kann das weg?

Schon wieder eine neue Technologie für aktive Inhalte – muss das denn wirklich sein? Als hätten wir mit Flash und Java nicht schon genug Ärger gehabt.

Beides wurde wahrscheinlich öfter für Angriffe als für wirklich nützliche Anwendungen verwendet. Jedenfalls wenn man mal von Spielen und in der Websteinzeit dem Wiedergeben von Videos durch Flash absieht. HTML5 und die dazugehörenden JavaScript-APIs decken doch schon alle möglichen und unmöglichen Anwendungsfälle ab. Wieso also noch was Neues erfinden? Vor allem, wo doch jede neue Funktionalität immer auch die Angriffsfläche erhöht, die man doch eigentlich möglichst klein halten möchte.

Die Antwort ist ganz einfach: Wieso nicht? Vielleicht ist das Neue ja besser als alles Alte. Ob das so ist erfahren Sie in meinem Artikel auf entwickler.de.

Carsten Eilers

Identitätsdiebstahl Teil 3 - Noch mehr Identitäten einsammeln

Dass der "Identitätsdiebstahl" ja eigentlich gar keine Diebstahl ist habe ich im ersten Teil erklärt. Im zweiten Teil ging es um drei Möglichkeiten, Identität zu "stehlen": Phishing, Ködern und und kompromittierte (Web-)Server. Und in dieser Folge geht es um weitere Möglichkeiten wie die Cyberkriminellen die nötigen Informationen für den Identitätsmissbrauch erhalten können.

Spyware liefert jede Menge Daten

"Identitätsdiebstahl Teil 3 - Noch mehr Identitäten einsammeln" vollständig lesen

Single Sign-on und die Sicherheit

Single Sign-on (kurz SSO), das bedeutet, man muss sich nur einmal einloggen und schon ist man überall drin. Das ist praktisch. Aber auch gefährlich. Denn das SSO erspart Ihnen das Merken von Zugangsdaten für etliche Dienste – und einem Angreifer das Knacken dieser vielen Zugangsdaten. Der muss auch nur den SSO-Zugang knacken und kommt in Ihrem Namen überall rein.

Wie es mit der Sicherheit von Single Sign-on aussieht erfahren Sie in meinem Artikel auf entwickler.de.

Carsten Eilers

Identitätsdiebstahl Teil 2 - Identitäten einsammeln

Dass der "Identitätsdiebstahl" ja eigentlich gar keine Diebstahl sondern ein Missbrauch ist habe ich im ersten Teil erklärt. Im Grund ist es aber egal ob man es nun "Identitätsdiebstahl" oder "Identitätsmissbrauch" nennt. Denn alles, was der Cyberkriminelle in Ihrem Namen tut, fällt auf Sie zurück. Und das ist ja das eigentliche Problem.

In dieser Folge schauen wir uns an, wie die Cyberkriminellen die Identitäten "stehlen".

Phishing

"Identitätsdiebstahl Teil 2 - Identitäten einsammeln" vollständig lesen

Heute wg. Feiertag geschlossen! ;-)

Aus aktuellen Anlass: Wie angekündigt erscheint der nächste Grundlagenartikel erst am 6. Juni.

Wenn Sie heute unbedingt hier etwas lesen möchten können Sie sich ja z.B. aus der Übersicht der Grundlagenartikel etwas raussuchen.

Ich gebe zu, die muss ich auch mal wieder aktualisieren. Aber dafür muss ich mir erst eine neue Struktur dafür überlegen, die Seite ist jetzt schon zu lang und etwas unübersichtlich. Und bisher ist mir noch keine wirklich zufrieden stellende Lösung eingefallen.

Carsten Eilers