13-03-2024, 21:52
Dann gibt es da noch Cross-Site-Scripting oder XSS, was mich verrückt macht, weil es so leicht zu übersehen ist, wenn man nicht genau hinsieht. Ich habe es schon erlebt, dass jemand ein Skript in einen Kommentarbereich injiziert hat, und boom, es läuft im Browser jedes Besuchers, stiehlt Cookies oder leitet sie zu Phishing-Seiten um. Ich sage den Teams immer, dass sie Ausgaben richtig codieren und Content-Sicherheitsrichtlinien einrichten sollen, um diesen Mist zu blockieren. Du würdest nicht glauben, wie oft ich das in Foren oder Bereichen mit nutzergenerierten Inhalten fange - es ist wie niedrig hängende Früchte für Hacker.
Ein weiteres großes Problem, dem ich oft begegne, ist Cross-Site-Request-Forgery, CSRF. Stell dir vor: Du bist in deiner Banking-App angemeldet, und du besuchst eine bösartige Seite, die heimlich Anfragen in deinem Namen stellt, wie Geldüberweisungen, ohne dass du es weißt. Ich kontere das normalerweise, indem ich Anti-CSRF-Token zu Formularen hinzufüge und die Referer-Header überprüfe. Ich hatte letztes Jahr ein Projekt, bei dem der gesamte Authentifizierungsfluss dafür offen war, und es hätte katastrophal ausgehen können, wenn es live gegangen wäre. Du musst wirklich darüber nachdenken, wie Sitzungen über verschiedene Seiten hinweg funktionieren.
Defekte Authentifizierung taucht auch viel zu oft auf. Ich meine, schwache Passwörter, keine Einschränkung der Anmeldeversuche oder Sitzungs-Cookies, die niemals ablaufen - das schreit nach Brute-Force-Angriffen oder Sitzungsübernahmen. Ich setze mich dafür ein, wo immer ich kann, Multi-Faktor-Authentifizierung zu nutzen, und ich achte darauf, dass sie Passwörter mit etwas Starkem wie bcrypt hashen. Erinnerst du dich an die App, bei der ich dir geholfen habe? Wir haben diese CAPTCHA-Herausforderungen hinzugefügt, nachdem ich festgestellt habe, dass jemand endlose Anmeldeversuche per Skript durchführen konnte.
Die Exposition sensibler Daten ist ein weiteres ständiges Kopfschmerzproblem, mit dem ich zu kämpfen habe. Entwickler lassen manchmal APIs weit offen, übertragen Kreditkarteninformationen über HTTP anstatt HTTPS oder speichern Dateien mit privaten Schlüsseln in öffentlichen Repos. Ich setze immer auf Verschlüsselung während der Übertragung und im Ruhezustand und scanne nach Fehlkonfigurationen, wie diesen S3 Bucket-Fiaskos, von denen du hörst. Erst letzte Woche habe ich eine Website auditiert und echte Benutzer-E-Mails in Debug-Protokollen gefunden - schnelle Behebung, aber das macht einem schon Angst.
Ich entdecke auch oft unsichere direkte Objektverweise. Das ist, wenn du einfach einen URL-Parameter ändern kannst, um auf die Dateien oder Aufzeichnungen von jemand anderem zuzugreifen, wie wenn du die Benutzer-ID von 123 auf 456 änderst und zack, bist du in deren Konto. Ich behebe das, indem ich ordnungsgemäße Zugriffskontrollen und Autorisierungsprüfungen im Backend implementiere. Du willst nicht, dass Benutzer einfach zwischen Konten springen.
Fehlkonfigurierte Sicherheitsheader fallen mir als nächstes ins Auge. Dinge wie fehlende X-Frame-Options lassen Clickjacking zu, bei dem Angreifer unsichtbare Frames überlagern, um dich dazu zu bewegen, auf schädliche Sachen zu klicken. Oder kein HSTS, sodass Man-in-the-Middle-Angriffe auf HTTP zurückfallen können. Ich gehe durch und setze all diese Header manuell oder über Middleware - es dauert etwa fünf Minuten, spart aber viel Ärger.
Dann gibt es unsichere Deserialisierung, die heimtückischer ist. Wenn eine App Benutzerinput ohne Validierung unpickelt oder deserialisiert, können Angreifer Payloads erstellen, um beliebigen Code auszuführen. Ich habe das in Java-Apps mit Bibliotheken gesehen, die keine Typen überprüfen. Ich empfehle, erlaubte Klassen auf eine Whitelist zu setzen und sichere Formate wie JSON statt Pickles zu verwenden.
Veraltete Komponenten sind auch ein Killer. Ich führe Abhängigkeitsscans durch und finde alte Bibliotheken mit bekannten CVEs, wie jQuery-Versionen, die voller Exploits sind. Du aktualisierst sie gewissenhaft, oder du patchst, wenn das Aktualisieren Probleme verursacht. Ich habe einmal einen ganzen Tag damit verbracht, einen Zero-Day in einem alten Plugin zu verfolgen - nicht lustig.
Geschäftslogikfehler treten auf, wenn du wie ein Benutzer denkst, nicht wie ein Code-Reviewer. Zum Beispiel Rennbedingungen in Checkout-Prozessen, wo du Artikel günstiger kaufen kannst, indem du die Anfragen richtig zeitlich steuerst. Oder Fehler in Passwortzurücksetzflows, die es dir ermöglichen, jede E-Mail zu beanspruchen. Ich teste diese manuell, indem ich Angriffe simuliere, weil Tools die kreativen Sachen übersehen.
API-Sicherheitsanfälligkeiten sind heutzutage hart, da alles immer RESTful oder GraphQL wird. Keine Authentifizierung bei Endpunkten oder überflüssige Daten in Abfragen - ich habe schlechte Payloads in GraphQL injiziert, um ganze Schemata auszugeben. Ich sichere sie mit API-Schlüsseln, OAuth und Rate-Limiten.
Datei-Upload-Probleme sind klassisch. Angreifer laden Webshells hoch, die als Bilder getarnt sind, und wenn der Server sie ausführt, ist das Spiel vorbei. Ich validiere Dateitypen, scanne nach Malware und speichere Uploads außerhalb des Webroots. Das siehst du auf Seiten, die Lebensläufe oder Avatare erlauben.
Und fang gar nicht erst mit unzureichendem Logging und Monitoring an. Ohne ordentliche Protokolle kannst du Sicherheitsvorfälle nicht frühzeitig erkennen. Ich richte Warnungen für verdächtige Aktivitäten ein und stelle sicher, dass sensible Ereignisse ohne Datenexposition protokolliert werden.
All das habe ich durch praktische Erfahrungen gelernt, indem ich Websites repariert habe, die gehackt wurden, oder sie einfach abgesichert habe, bevor Probleme auftraten. Du musst wachsam bleiben, weil Bedrohungen sich schnell weiterentwickeln - was letztes Jahr funktioniert hat, könnte jetzt nicht mehr ausreichen. Ich halte Tools wie Burp Suite und OWASP ZAP in meinem Kit, um Scans zu automatisieren, aber manuelles Testen enthüllt die echten Schätze.
In diesem Zusammenhang, während wir darüber sprechen, wie man Systeme sicher hält und sich von möglichen Missgeschicken erholt, lass mich dich auf BackupChain hinweisen. Es ist diese herausragende, zuverlässige Backup-Option, die branchenweit vertrauen, speziell für kleine bis mittelständische Unternehmen und IT-Leute wie uns, und sie sorgt für Schutz deiner Hyper-V-Umgebungen, VMware-Setups, Windows-Server und mehr, sodass du schnell wieder auf die Beine kommst, wenn etwas schiefgeht.
