Skip to content

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 12

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie

Fehlerhafte Passwortprüfungen

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 12" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 11

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery-" oder "Remember me"-Funktion können zur Gefahr werden. Genauso wie eine

Unsichere "User Impersonation"

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 11" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 10

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery-Funktion" können zur Gefahr werden. Genauso wie eine

Unsichere "Remember me"-Funktion

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 10" vollständig lesen

Microsofts März-Patchday 2017 bringt uns 18 Security Bulletins, 14 0-Day-Schwachstellen und 3 0-Day-Exploits

Am März-Patchday hat Microsoft die ausgefallenen Februar-Patches nachgeholt und damit nicht nur mal wieder besonders viele Security Bulletins (18 Stück!) auf einmal veröffentlicht, sondern auch etliche 0-Day-Schwachstellen mit und ohne Exploit bekannt gemacht: 14 Schwachstellen waren bereits vor der Veröffentlichung der Patches öffentlich bekannt, weitere 3 werden bereits für Angriffe ausgenutzt.

Internet Explorer: Fünf 0-Day-Schwachstellen plus ein 0-Day-Exploit

"Microsofts März-Patchday 2017 bringt uns 18 Security Bulletins, 14 0-Day-Schwachstellen und 3 0-Day-Exploits" vollständig lesen

Drucksache: Windows Developer 4.17 - Auf in die Cloud?

Im windows.developer 4.17 ist ein Artikel über Sicherheit in der Cloud erschienen.

Auf in die Cloud?
Aber wenn schon, dann so sicher wie möglich!
Denn Sie wissen ja: "Die Cloud" ist nur eine schöne Marketing-Umschreibung für den Computer eines Fremden. Meist eines sehr großen Computers, auf dem außer Ihren Programmen und/oder Daten auch noch die von mehr oder weniger vielen anderen Fremden laufen bzw. verarbeitet und gespeichert werden.

"Drucksache: Windows Developer 4.17 - Auf in die Cloud?" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 9

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset kann zur Gefahr werden. Ebenso wie eine

Unsichere "Recovery-Funktion"

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 9" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 8

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der

Passwort-Reset muss sicher sein

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 8" vollständig lesen