Alles, was ein Admin zur Verwaltung eines Rechners oder Netzes verwendet,
ist für einen Angreifer von besonderem Interesse. Zum einen, weil
diese Tools im Allgemeinen mit erhöhten Rechten laufen – und die
möchten die Angreifer natürlich auch haben. Zum anderen, weil
sie für genau die Aufgaben zuständig sind, die die Angreifer
benötigen, um die vollständige Kontrolle über System
und/oder Netzwerk zu erlangen.
Dass diese Tools von besonderem Interesse für Angreifer sind, wissen
natürlich auch die Sicherheitsforscher, weshalb sie immer wieder
prüfende Blicke auf diese Tools werfen.
Was sie dabei herausgefunden haben erfahren Sie in meinem Artikel
auf entwickler.de!
Dank des Security Development Lifecycle, kurz SDL, konnte Microsoft die
Anzahl an nach der Veröffentlichung einer Software entdeckten
Schwachstellen drastisch reduzieren. Und das ist eigentlich gar nicht so
schwer, wie es auf den ersten Blick scheint.
In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline
(Security Policy) für das Beispielunternehmen "Bratkartoffel
KG" weiter.
Die technischen Schutzmaßnahmen für Web-,
Application- und Datenbankserver haben wir bereits
festgelegt,
ebenso die dazu gehörenden
organisatorischen Schutzmaßnahmen
sowie der Schutz der internen Server. Jetzt ist der Schutz des restlichen
Netzes an der Reihe.
In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline
(Security Policy) für das in der
vorherigen Folge
vorgestellte Beispielunternehmen weiter.
Die technischen Schutzmaßnahmen für Web-,
Application- und Datenbankserver haben wir bereits
festgelegt,
jetzt sind die dazu gehörenden organisatorischen und administrativen
Schutzmaßnahmen an der Reihe.
Wie
angekündigt
werde ich ab dieser Woche die Entwicklung einer Sicherheitsrichtlinie
(Security Policy) an einem Beispiel beschreiben. Da das ein sehr komplexer
Vorgang ist werde ich jedoch "nur" das Netzwerk betrachten, und auch kann
ich nur Teilaspekte berücksichtigen.
Im
PHP Magazin 1.2019
ist der fünfte und letzte Artikel einer kleinen Serie zu den OWASP Top 10, den 10
gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und
darin geht es um Platz 9 und 10 der Top 10: "Using Components with Known Vulnerabilities"
und "Insufficient Logging".
Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine
Top 10 der größten Bedrohungen für Webanwendungen
veröffentlicht. In diesem Artikel im PHP Magazin lernen Sie den neunten und zehnten
Platz kennen.
Die in der
vorherigen Folge
vorgestellten technischen Möglichkeiten zum Schutz eines Netzwerks
sind ziemlich nutzlos ohne ein passendes organisatorisches Konzept: Die
Sicherheitsrichtlinie (Security Policy).