Die XXE-Angriffe stehen auf Platz 4 der aktuellen OWASP Top 10. Worum es
dabei generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und davon gibt es noch viel mehr.
Noch zwei XXE-Schwachstellen...
"XML-Sicherheit, Teil 2: XXE-Angriffe, zum zweiten!" vollständig lesen
XML wird meist für den Austausch von Daten verwendet. Werden die
XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer
darüber eigenen XML-Code einschleusen. Meist kommt es dann zu XML
External Entity (XXE) Angriffen, die in den aktuellen OWASP Top 10 einen
eigenen Eintrag haben: Sie stehen auf
Platz 4.
Aber auch andere Angriffe sind über XML möglich.
OWASP Top 10, 2017, Platz 4: XML External Entities (XXE)
"XML-Sicherheit, Teil 1: XXE-Angriffe, zum ersten!" vollständig lesen
Wie es mit der sicheren Entwicklung in Theorie und Praxis aussieht, sowohl
Allgemein als auch im Fall von DevOps, habe ich bereits
im ersten Teil
beschrieben. DevOps führt zu zusätzlicher Kommunikation zwischen
Entwicklung und Betrieb, außerdem werden möglichst viele
Aufgaben automatisiert, um menschliche Fehler zu reduzieren und die
Qualität und Konsistenz der Ergebnisse zu verbessern.
Vorsicht, Gefahr!
"DevOps-Sicherheit, Teil 2: Fallstricke und Vorteile" vollständig lesen
In DevOps steht bekanntlich das "Dev" für
"Development" und das "Ops" für
"Operations" - also Entwicklung und Betrieb. Sicherheit kommt
darin nicht vor, obwohl sie doch so wichtig ist. Und obwohl sie sich gerade
mit DevOps verbessern lässt, wenn man das denn möchte. Und wer
möchte das schon nicht?
Theoretisch sicher
"DevOps-Sicherheit, Teil 1: Sichere Entwicklung in Theorie und Praxis" vollständig lesen