Web-Security - Cheatsheet
Einführung in Bedrohungsmodelle und Sicherheitsstrategien
Definition:
Bedrohungsmodelle identifizieren und bewerten potenzielle Sicherheitsrisiken; Sicherheitsstrategien entwickeln Maßnahmen zur Risikominderung.
Details:
- Ziel: Identifizieren und Klassifizieren von Bedrohungen.
- Ansätze: STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) und DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability).
- Sicherheitsstrategien: Prävention, Detektion, Reaktion.
- TOFU: Trust On First Use.
Verwendung sicherer Programmiersprachen und Bibliotheken
Definition:
Verwenden von sicheren Programmiersprachen und Bibliotheken zur Reduktion von Sicherheitslücken.
Details:
- Sichere Programmiersprachen: Sprachen mit eingebauten Sicherheitsmechanismen (z.B. Java, Rust).
- Sichere Bibliotheken: Verwende gut getestete, regelmäßig aktualisierte Bibliotheken.
- Best Practices: Regelmäßige Updates, statische Code-Analyse, Überprüfung auf bekannte Schwachstellen.
- Vermeidung typischer Fehler: Pufferüberläufe, SQL-Injection, Cross-Site Scripting (XSS).
OWASP Top 10: Injection-Angriffe und Verteidigungsstrategien
Definition:
Injection-Angriffe passieren, wenn bösartiger Code in ein System eingeschleust wird. Häufig über SQL, LDAP, XPath oder Betriebssystembefehle. Ziel ist es, unerlaubten Zugriff auf Daten zu erlangen oder das System zu kompromittieren.
Details:
- Verteidigungsstrategien: Eingaben validieren und bereinigen (Whitelist-Ansatz), parametrisierte Abfragen, Verwendung sicherer APIs, Prinzip der minimalen Rechtevergabe, Überwachung und Logging von Eingaben.
- Wichtige Schutzmaßnahmen: OWASP bietet spezifische Leitlinien zur Prävention von Injection-Angriffen, z.B. Verwendung von ORM (Object-Relational Mapping) anstatt direkter SQL-Abfragen.
- Anzeichen für Injection: Unerwartete Systemverhalten, unautorisierte Datenmanipulation, Sicherheitswarnungen in Logs.
Übersicht über Authentifizierungsprotokolle wie OAuth, JWT und SAML
Definition:
Authentifizierungsprotokolle sicherstellen, dass nur autorisierte Benutzer auf Ressourcen zugreifen können.
Details:
- OAuth: Delegiertes Zugriffsberechtigungsprotokoll, OAuth 2.0 weit verbreitet.
- JWT: JSON Web Tokens, kompakte, url-sichere Tokens zur Informationsübertragung zwischen Parteien.
- SAML: Security Assertion Markup Language, XML-basierender Standard für Austausch von Authentifizierungs- und Autorisierungsdaten.
Grundlagen der symmetrischen und asymmetrischen Kryptografie
Definition:
Grundlagen der symmetrischen und asymmetrischen Kryptografie - befasst sich mit den grundlegenden Konzepten und Unterschieden zwischen symmetrischer und asymmetrischer Verschlüsselung.
Details:
- Symmetrische Kryptografie: Ein einzelner geheimer Schlüssel wird sowohl zum Verschlüsseln als auch zum Entschlüsseln verwendet.
- Asymmetrische Kryptografie: Ein Schlüsselpaar besteht aus einem öffentlichen Schlüssel zum Verschlüsseln und einem privaten Schlüssel zum Entschlüsseln.
- Symmetrische Verschlüsselung: schneller, aber Schlüsselverteilung ist problematisch (z.B. AES, DES).
- Asymmetrische Verschlüsselung: sicherer Schlüsselwechsel, langsamer (z.B. RSA, ECC).
- Hybride Systeme: Kombination von symmetrischen und asymmetrischen Methoden zur Verbesserung der Effizienz und Sicherheit (z.B. TLS/SSL).
- Mathematische Grundlagen: Zahlentheorie, Primfaktorzerlegung, diskrete Logarithmen.
Implementierung von Validierung und Sanitization von Eingaben
Definition:
Validierung: Überprüfung, ob Eingaben den erwarteten Format- und Inhaltsanforderungen entsprechen.Sanitization: Bereinigung der Eingaben, um schädliche Inhalte zu entfernen oder nutzbares Format zu gewährleisten.
Details:
- Client-side vs. Server-side: Validierung und Sanitization müssen auf beiden Seiten erfolgen.
- Regex: Verwenden von regulären Ausdrücken zur Mustererkennung bei Validierung.
- Whitelist: Definiere erlaubte Werte/Formate für Eingaben.
- Library Tools: Nutze Bibliotheken wie OWASP ESAPI für Sanitization.
- SQL Injection & XSS: Schütze vor Angriffen durch proper Sanitization.
- Fehlermeldungen: Gebe präzise und sichere Fehlermeldungen aus, ohne sensible Information preiszugeben.
- Best Practices: Kombiniere Validierung und Sanitization für maximale Sicherheit.
Best Practices zur Minimierung von Sicherheitsrisiken
Definition:
Maßnahmen zur Reduktion von Schwachstellen und zur Verhinderung von Sicherheitslücken in Webanwendungen.
Details:
- Regelmäßige Aktualisierungen: Betriebssysteme, Software, Bibliotheken halten
- Eingabewerte validieren: SQL-Injection, XSS verhindern
- HTTPS verwenden: verschlüsselte Übertragung
- Starke Authentifizierung: Multi-Faktor-Authentifizierung (MFA) einführen
- Rechte- und Rollenmanagement: Prinzip der geringsten Privilegien
- Sicheres Session-Management: Sitzungs-Timeouts, sichere Cookies
- Schwachstellen-Scans: regelmäßige Sicherheitsüberprüfungen
- Code Reviews: Peer-Reviews und automatisierte Tests
- Log-Management: Erkennung und Reaktion auf Sicherheitsvorfälle
Multi-Faktor-Authentifizierung (MFA)
Definition:
Authentifizierungsverfahren mit mehreren unabhängigen Faktoren zur Erhöhung der Sicherheit.
Details:
['
', '- Faktoren: Wissen (z.B. Passwort), Besitz (z.B. Token), Inhärenz (z.B. Fingerabdruck)
', '- Reduziert Risiko von Passwort-Diebstahl und Phishing
', '- Typische Anwendungen: Online-Banking, Unternehmensnetzwerke, persönliche E-Mails
', '- Implementierungsformen: SMS-Codes, Authenticator-Apps, biometrische Daten
', '- Kombination von mindestens zwei Faktoren erforderlich
', '- Einhaltung von Sicherheitsstandards und Datenschutzverordnungen beachten
', '
']
Schule 
Studium 
Ausbildung 
Karteikarten 
StudySmarter AI 
Notizen 
Lernplan 
Spaced Repetition 
Lernsets 
Finde einen Job 
Ausbildungen 
Magazine 
Mobile App 
Für Unternehmen