Direktor für Kundenstrategie. Chef Singh und Mitbegründer.
Jaap Karan Singh
Jaap Karan Singh ist Direktor für Kundenstrategie, Chief Singh und Mitbegründer von Secure Code Warrior. Nach Sicherheitstests bei BAE Systems in Australien wechselte Jaap vom Hacken von Webanwendungen zur Schulung von Entwicklern, wie sie ihre eigenen Anwendungen schützen können. Jaap entwirft und implementiert die gesamte Kundenstrategie, die Kundenerfolg, Verlängerungen, Support, Betrieb und Kundenmarketing umfasst.
Jaap mit Sitz in Sydney hat Schulungen zu Softwaresicherheitskonzepten abgehalten und Workshops bei führenden Finanz- und Telekommunikationsorganisationen auf der ganzen Welt durchgeführt. Er ist spezialisiert auf Javascript-Technologien wie HTML5, Node, Express und Mongo.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
If your web app available to many information, can make it can make a simple to access. In diesem Beitrag werden wir erläutern, was eine Offenlegung von Informationen ist, warum sie gefährlich ist und wie sie verhindern können.
Eine große Mehrheit der Websites verwendet XML-Datenbanken, um wichtige Funktionen wie das Speichern von Benutzeranmeldedaten, Kundeninformationen, persönlichen Identitätsinformationen und vertraulichen oder sensiblen Daten auszuführen, sodass XQuery-Angriffe einen ziemlich großen Angriffsfußabdruck haben.
Code-Injection-Angriffe gehören zu den häufigsten und auch gefährlichsten Angriffen, denen viele Websites und Anwendungen ausgesetzt sind. Sie decken das gesamte Spektrum ab, sowohl in Bezug auf ihre Raffinesse als auch in Bezug auf die von ihnen ausgehende Gefahr, aber fast jede Website oder App, die Benutzereingaben akzeptiert, könnte anfällig sein.
Im Gegensatz zu vielen Sicherheitslücken erfordert das Ausnutzen lokaler Dateieinschluss- und Pfaddurchquerungsprozesse für schändliche Zwecke einen ausreichend erfahrenen Angreifer, eine angemessene Menge an Zeit und vielleicht ein bisschen Glück.
Es ist üblich, dass Websites und Anwendungen es Benutzern ermöglichen, Feedback und verschiedene andere Informationen über eine Anwendung per E-Mail zu senden. Und die meisten Menschen denken nicht einmal darüber nach, ob es sich um ein potenzielles Sicherheitsrisiko handelt.
Probleme können auftreten, wenn böswillige Benutzer eine LDAP-Abfrage manipulieren können. Auf diese Weise kann der Empfangsserver dazu verleitet werden, ungültige Abfragen auszuführen, die normalerweise nicht zulässig wären, oder sogar Benutzern mit eingeschränkter Sicherheit ohne Passwort Zugriff auf hohe Ebenen oder Administratorrechte zu gewähren.
Angreifer verwenden SQL Injection — eine der ältesten (seit 1998!) und die lästigsten Datenlücken, die es gibt — um vertrauliche Informationen zu stehlen und zu verändern, die in Millionen von Datenbanken auf der ganzen Welt verfügbar sind.
In vielerlei Hinsicht ist die Sicherheitslücke bezüglich Remote-Dateieinschluss viel gefährlicher und auch einfacher auszunutzen als ihr Gegenstück zu lokalen Dateien. Daher sollte sie so schnell wie möglich gefunden und behoben werden.
Sitzungen sind der Schlüssel zu einer guten Benutzererfahrung bei der Nutzung des Webs. Eine falsche Verwaltung von Sitzungen kann jedoch zu Sicherheitslücken führen, die Angreifer ausnutzen können.
Eine unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung auftreten können. Wenn diese Sicherheitslücke oder dieser Zustand besteht, wird fast jeder fortgeschrittene Angriff, der dagegen unternommen wird, irgendwann erfolgreich sein.
Vertrauliche Daten werden immer dann offengelegt, wenn Informationen, die nur zur autorisierten Ansicht bestimmt sind, unverschlüsselt, ungeschützt oder schwach geschützt einer unbefugten Person zugänglich gemacht werden.
Selbst wenn Sie einen Anwendungsserver und die von ihm verwendeten Backend-Systeme vollständig gesichert haben, kann die Kommunikation dennoch anfällig für Schnüffeln sein, wenn Sie über einen unzureichenden Schutz auf der Transportebene verfügen.
Wenn Sie eine Geschäftsanwendung erstellen, sei es für den internen oder externen Gebrauch durch Ihre Kunden, lassen Sie wahrscheinlich nicht jeden Benutzer jede einzelne Funktion ausführen. Wenn Sie dies tun, sind Sie möglicherweise anfällig für eine unterbrochene Zugriffskontrolle.
Obwohl Codierungsprobleme Teil des Problems sein können, sind Fehler in der Geschäftslogik am häufigsten auf Designfehler oder falsche logische Annahmen bei der ersten Erstellung einer App zurückzuführen.
Cross-Site Scripting (XSS) nutzt das Vertrauen der Browser und die Unwissenheit der Benutzer, um Daten zu stehlen, Konten zu übernehmen und Websites zu verunstalten. Es handelt sich um eine Sicherheitslücke, die sehr schnell sehr hässlich werden kann. Schauen wir uns an, wie XSS funktioniert, welcher Schaden angerichtet werden kann und wie man ihn verhindern kann.
Das Codieren einer Website oder Anwendung mit der Fähigkeit, nicht validierte Umleitungen und Weiterleitungen zu verarbeiten, kann sowohl für Ihre Benutzer als auch für Ihr Unternehmen äußerst gefährlich sein.
NoSQL-Datenbanken werden immer beliebter. Es ist schwer zu leugnen, dass sie schnell und einfach mit unstrukturierten Daten umgehen können, aber mit zunehmender Nutzung kommen unweigerlich weitere Sicherheitslücken zum Vorschein.
Eine direkte Objektreferenz liegt vor, wenn in einer Anwendung auf einen bestimmten Datensatz (das „Objekt“) verwiesen wird. Es hat normalerweise die Form einer eindeutigen Kennung und kann in einer URL erscheinen.
Eine unsichere Deserialisierung kann immer dann auftreten, wenn eine Anwendung Daten, die deserialisiert werden, als vertrauenswürdig behandelt. Wenn ein Benutzer in der Lage ist, die neu rekonstruierten Daten zu ändern, kann er alle Arten bösartiger Aktivitäten wie Codeinjektionen, Denial-of-Service-Angriffe oder die Erweiterung seiner Rechte ausführen.
Wir werden eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.
XML-Injection-Angriffe sind fiese kleine Exploits, die von Hackern erfunden wurden, um ihnen zu helfen, Systeme zu kompromittieren, die XML-Datenbanken hosten. Dazu gehören Dinge, die einem in den Sinn kommen, wenn man an herkömmliche Datenbanken denkt — detaillierte Informationsspeicher über alles, von Medikamenten bis hin zu Filmen.
Da ich auf beiden Seiten des Zauns war, weiß ich nur zu gut, welche Spannungen zwischen dem Entwicklungsteam und den AppSec-Spezialisten entstehen können, wenn es darum geht, bewährte Sicherheitsverfahren aufrechtzuerhalten. Es gibt jedoch einen besseren Ansatz.
CSRF-Angriffe sind ziemlich komplex und basieren auf mehreren Ebenen, um erfolgreich zu sein. Mit anderen Worten, viele Dinge müssen zugunsten des Angreifers kaputt gehen, damit es funktioniert. Trotzdem sind sie ein äußerst beliebter, lukrativer Angriffsvektor.
Wenn ein Angreifer einen CR- oder LF-Code in eine bestehende Anwendung einfügen kann, kann er manchmal deren Verhalten ändern. Die Auswirkungen sind im Vergleich zu den meisten Angriffen weniger leicht vorherzusagen, können aber für die Zielorganisation nicht weniger gefährlich sein.
Wenn eine Anwendung über unzureichende Antiautomatisierungsprüfungen verfügt, können Angreifer Passwörter einfach weiter erraten, bis sie eine Übereinstimmung finden. Hier erfahren Sie, wie Sie sie aufhalten können.
OS-Command-Injection-Angriffe können von Anfängern und weniger erfahrenen Hackern ausgeführt werden, was sie zu einer der häufigsten Schwachstellen von Sicherheitsteams macht. Zum Glück gibt es einige sehr effektive Möglichkeiten, um zu verhindern, dass sie erfolgreich sind.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und nervenaufreibende Videoschulungen angewiesen sind, um ihre Besten und Intelligentesten in neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training.
Da alle Anwendungen Komponenten verwenden, von denen Sie die meisten nicht geschrieben haben, können Sicherheitslücken in den von Ihnen verwendeten Komponenten zu Verbindlichkeiten werden. Lassen Sie uns besprechen, was es bedeutet, Komponenten mit bekannten Sicherheitslücken zu verwenden, wie gefährlich sie ist und wie sie behoben werden können.
Sehen Sie sich das Video auf Abruf an, um zu erfahren, wie Sie AppSec-Manager durch einen praktischen Ansatz, bei dem das Training an erster Stelle steht, zu KI-Unterstützern statt zu Blockern machen können. Wir zeigen Ihnen, wie Sie Secure Code Warrior (SCW) nutzen können, um Ihre AppSec-Strategie strategisch an das Zeitalter der KI-Programmierassistenten anzupassen.
.avif)