turingsecure. Top 10 Sicherheitsschwachstellen

Unsere Top 10 Schwachstellen, die auf der turingsecure. Plattform durch manuelle Penetrationstests gefunden wurden:

Erratbare Benutzerkonten

Guessable User Accounts, auch bekannt als CWE-259, ist eine Schwachstelle im Identitätsmanagement, die auftritt, wenn Benutzerkonten mit leicht erratbaren Benutzernamen oder Passwörtern konfiguriert sind. Diese Schwachstelle kann in Web- und API-Anwendungen auftreten und von Angreifern ausgenutzt werden, um unbefugten Zugriff auf Ressourcen zu erhalten. Laut dem OWASP-Testleitfaden lassen sich erratbare Benutzerkonten am einfachsten aufspüren, indem man im Quellcode der Anwendung, in den Konfigurationsdateien oder in den vom Benutzer generierten Daten nach schwachen Anmeldeinformationen sucht. Diese Schwachstelle kann auch als Authentifizierungsschwäche (CWE-287) eingestuft werden.

Unzulässige Zugriffskontrolle

Unsachgemäße Zugriffskontrolle ist eine IT-Schwachstelle, die es einer Person ermöglicht, Zugang zu nicht autorisierten Informationen oder Ressourcen zu erhalten. Diese Schwachstelle ist der Kategorie Authentifizierung zuzuordnen und kann in Web- und API-Anwendungen gefunden werden. Laut dem Common Weakness Enumeration (CWE)-Verzeichnis ist Improper Access Control definiert als "eine Schwachstelle, die sich auf die Fähigkeit eines Systems bezieht, den nicht autorisierten Zugriff auf Ressourcen oder Funktionen zu beschränken oder zu verhindern" (CWE-284). Der Open Web Application Security Project (OWASP) Testing Guide umreißt eine Reihe von Tests, die zur Aufdeckung von unzulässiger Zugriffskontrolle verwendet werden können, wie z. B. Authentifizierungs-, Autorisierungs- und Sitzungsmanagementtests (OWASP Testing Guide v4).

Unsichere direkte Objektreferenzen

Bei unsicheren direkten Objektverweisen (CWE-639) handelt es sich um eine Art von Authentifizierungsschwachstelle, die auftritt, wenn eine Webanwendung oder API auf der Grundlage von Benutzereingaben direkten Zugriff auf Objekte gewährt. Laut dem OWASP Testing Guide kann eine unsichere direkte Objektreferenz auftreten, wenn eine Anwendung einen "nicht validierten Parameter, wie eine vom Benutzer bereitgestellte Eingabe, für den direkten Zugriff auf ein Backend-Objekt oder eine Ressource" verwendet. Diese Art von Schwachstelle kann es Angreifern ermöglichen, die Authentifizierung zu umgehen und unbefugten Zugriff auf sensible Informationen zu erlangen.

Unsichere Kennwortrücksetzung

Das unsichere Zurücksetzen von Passwörtern ist eine Sicherheitslücke (CWE-309), die in Identitätsmanagement-Systemen gefunden wird. Sie ermöglicht es einem Angreifer, das System auszunutzen und das Passwort eines Benutzerkontos ohne dessen Wissen oder Zustimmung zurückzusetzen. Diese Art von Angriff kann sowohl über Web- und API-Schnittstellen als auch über Infrastrukturkomponenten wie Server und Datenbanken erfolgen. Laut dem OWASP Testing Guide kann diese Art von Angriff mit einer Vielzahl verschiedener Methoden durchgeführt werden, darunter Social Engineering, Brute-Force-Angriffe, Erraten und Ausnutzung von anfälligem Code.

JWT-HMAC-Verschlüsselung

JWT HMAC Encryption ist eine Art von Verschlüsselungsschwachstelle, die Web- und Anwendungsprogrammierschnittstellen (APIs) betrifft. Laut dem Common Weakness Enumeration Directory (CWE) ist JWT HMAC Encryption eine Schwachstelle, die auftritt, wenn ein Softwaresystem digitale Token, die mit kryptografischen Algorithmen mit symmetrischem Schlüssel signiert sind, nicht ordnungsgemäß validiert (CWE-327). Wie im OWASP Testing Guide beschrieben, kann JWT HMAC Encryption ausgenutzt werden, um Zugang zu sensiblen Daten wie Benutzernamen, Passwörtern und anderen vertraulichen Informationen zu erhalten (OWASP).

Öffentlich gemeldete Sicherheitslücken

Öffentlich gemeldete Schwachstellen sind Sicherheitsmängel, die von Dritten oder öffentlich zugänglichen Quellen wie dem CVE-Verzeichnis (Common Vulnerabilities and Exposures) gemeldet werden. Diese Schwachstellen können Web- und API-, Infrastruktur- und mobile App-Systeme betreffen. Sie werden gemäß dem Common Weakness Enumeration (CWE)-Verzeichnis und dem OWASP Testing Guide identifiziert und klassifiziert.

Reflektiertes Cross-Site-Scripting

Reflektiertes Cross-Site-Scripting (XSS) ist eine Art von Computer-Sicherheitslücke, die typischerweise in Webanwendungen auftritt. Sie tritt auf, wenn Benutzereingaben nicht ordnungsgemäß bereinigt werden und in der Antwort der Anwendung an den Benutzer zurückgegeben werden. Diese Art von Angriff kann dazu verwendet werden, bösartige clientseitige Skripte in eine von anderen Benutzern angezeigte Webseite einzuschleusen. Laut dem Common Weakness Enumeration (CWE)-Verzeichnis ist Reflected XSS definiert als "eine Art von Injektionsangriff, bei dem ein Angreifer Eingaben injiziert oder manipuliert, die von der Webanwendung oder dem Server in der Antwort an den Benutzer zurückgespiegelt werden". Der OWASP Testing Guide bietet weitere Anleitungen, wie man diese Art von Schwachstelle identifiziert und testet.

SQL-Injection

SQL Injection (CWE-89) ist eine Art von Schwachstelle bei der Eingabevalidierung, bei der der Angreifer über die Benutzeroberfläche bösartigen Code in eine Webanwendung oder API einspeist. Dieser bösartige Code wird dann verwendet, um beliebigen Code auszuführen oder die Daten der Anwendung zu verändern. Laut dem CWE-Verzeichnis wird SQL Injection als einer der 25 gefährlichsten Programmierfehler eingestuft (CWE-2022). Darüber hinaus enthält der OWASP Testing Guide weitere Informationen über diese Schwachstelle und gibt Beispiele, wie man sie verhindern kann.

Stack Traces

Stack Traces (CWE-209) ist eine Art von Schwachstelle in der Fehlerbehandlung, die in Web- und API-Anwendungen auftritt. Es handelt sich um einen Softwarefehler, der den internen Zustand einer Anwendung offenlegt, während diese läuft. Dadurch kann ein Angreifer durch Ausnutzung des offengelegten internen Zustands Zugriff auf die Anwendung und ihre Daten erlangen.

Stack Traces werden häufig durch Dynamic Application Security Testing (DAST) oder durch manuelle Überprüfung des Anwendungscodes identifiziert. Der OWASP Testing Guide empfiehlt Entwicklern, Logging-Frameworks zu verwenden, die Stack Traces verschleiern und die Art der protokollierten Daten einschränken.

Verwendung von fest kodierten Anmeldeinformationen

Die Verwendung von fest kodierten Anmeldeinformationen (CWE-798) ist eine Art von Schwachstelle im Identitätsmanagement, die auftritt, wenn Anmeldeinformationen wie Kennwörter, Benutzernamen oder Schlüssel fest in Anwendungen oder Dienste kodiert sind. Diese Art von Schwachstelle ist häufig in Web- und API-Anwendungen zu finden und wird als eine der CWE Top 25 (2022) aufgeführt. Fest kodierte Anmeldeinformationen können von einem Angreifer leicht entdeckt und für einen nicht autorisierten Zugriff auf die Anwendung oder den Dienst verwendet werden. Laut dem OWASP Testing Guide kann ein Angreifer durch die Verwendung von fest kodierten Anmeldeinformationen Zugriff auf die Anwendung erlangen.