Web-Security - Cheatsheet.pdf

Web-Security - Cheatsheet
Web-Security - Cheatsheet Einführung in Bedrohungsmodelle und Sicherheitsstrategien Definition: Bedrohungsmodelle identifizieren und bewerten potenzielle Sicherheitsrisiken; Sicherheitsstrategien entwickeln Maßnahmen zur Risikominderung. Details: Ziel: Identifizieren und Klassifizieren von Bedrohungen. Ansätze: STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, El...

© StudySmarter 2024, all rights reserved.

Web-Security - Cheatsheet

Einführung in Bedrohungsmodelle und Sicherheitsstrategien

Definition:

Bedrohungsmodelle identifizieren und bewerten potenzielle Sicherheitsrisiken; Sicherheitsstrategien entwickeln Maßnahmen zur Risikominderung.

Details:

  • Ziel: Identifizieren und Klassifizieren von Bedrohungen.
  • Ansätze: STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) und DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability).
  • Sicherheitsstrategien: Prävention, Detektion, Reaktion.
  • TOFU: Trust On First Use.

Verwendung sicherer Programmiersprachen und Bibliotheken

Definition:

Verwenden von sicheren Programmiersprachen und Bibliotheken zur Reduktion von Sicherheitslücken.

Details:

  • Sichere Programmiersprachen: Sprachen mit eingebauten Sicherheitsmechanismen (z.B. Java, Rust).
  • Sichere Bibliotheken: Verwende gut getestete, regelmäßig aktualisierte Bibliotheken.
  • Best Practices: Regelmäßige Updates, statische Code-Analyse, Überprüfung auf bekannte Schwachstellen.
  • Vermeidung typischer Fehler: Pufferüberläufe, SQL-Injection, Cross-Site Scripting (XSS).

OWASP Top 10: Injection-Angriffe und Verteidigungsstrategien

Definition:

Injection-Angriffe passieren, wenn bösartiger Code in ein System eingeschleust wird. Häufig über SQL, LDAP, XPath oder Betriebssystembefehle. Ziel ist es, unerlaubten Zugriff auf Daten zu erlangen oder das System zu kompromittieren.

Details:

  • Verteidigungsstrategien: Eingaben validieren und bereinigen (Whitelist-Ansatz), parametrisierte Abfragen, Verwendung sicherer APIs, Prinzip der minimalen Rechtevergabe, Überwachung und Logging von Eingaben.
  • Wichtige Schutzmaßnahmen: OWASP bietet spezifische Leitlinien zur Prävention von Injection-Angriffen, z.B. Verwendung von ORM (Object-Relational Mapping) anstatt direkter SQL-Abfragen.
  • Anzeichen für Injection: Unerwartete Systemverhalten, unautorisierte Datenmanipulation, Sicherheitswarnungen in Logs.

Übersicht über Authentifizierungsprotokolle wie OAuth, JWT und SAML

Definition:

Authentifizierungsprotokolle sicherstellen, dass nur autorisierte Benutzer auf Ressourcen zugreifen können.

Details:

  • OAuth: Delegiertes Zugriffsberechtigungsprotokoll, OAuth 2.0 weit verbreitet.
  • JWT: JSON Web Tokens, kompakte, url-sichere Tokens zur Informationsübertragung zwischen Parteien.
  • SAML: Security Assertion Markup Language, XML-basierender Standard für Austausch von Authentifizierungs- und Autorisierungsdaten.

Grundlagen der symmetrischen und asymmetrischen Kryptografie

Definition:

Grundlagen der symmetrischen und asymmetrischen Kryptografie - befasst sich mit den grundlegenden Konzepten und Unterschieden zwischen symmetrischer und asymmetrischer Verschlüsselung.

Details:

  • Symmetrische Kryptografie: Ein einzelner geheimer Schlüssel wird sowohl zum Verschlüsseln als auch zum Entschlüsseln verwendet.
  • Asymmetrische Kryptografie: Ein Schlüsselpaar besteht aus einem öffentlichen Schlüssel zum Verschlüsseln und einem privaten Schlüssel zum Entschlüsseln.
  • Symmetrische Verschlüsselung: schneller, aber Schlüsselverteilung ist problematisch (z.B. AES, DES).
  • Asymmetrische Verschlüsselung: sicherer Schlüsselwechsel, langsamer (z.B. RSA, ECC).
  • Hybride Systeme: Kombination von symmetrischen und asymmetrischen Methoden zur Verbesserung der Effizienz und Sicherheit (z.B. TLS/SSL).
  • Mathematische Grundlagen: Zahlentheorie, Primfaktorzerlegung, diskrete Logarithmen.

Implementierung von Validierung und Sanitization von Eingaben

Definition:

Validierung: Überprüfung, ob Eingaben den erwarteten Format- und Inhaltsanforderungen entsprechen.Sanitization: Bereinigung der Eingaben, um schädliche Inhalte zu entfernen oder nutzbares Format zu gewährleisten.

Details:

  • Client-side vs. Server-side: Validierung und Sanitization müssen auf beiden Seiten erfolgen.
  • Regex: Verwenden von regulären Ausdrücken zur Mustererkennung bei Validierung.
  • Whitelist: Definiere erlaubte Werte/Formate für Eingaben.
  • Library Tools: Nutze Bibliotheken wie OWASP ESAPI für Sanitization.
  • SQL Injection & XSS: Schütze vor Angriffen durch proper Sanitization.
  • Fehlermeldungen: Gebe präzise und sichere Fehlermeldungen aus, ohne sensible Information preiszugeben.
  • Best Practices: Kombiniere Validierung und Sanitization für maximale Sicherheit.

Best Practices zur Minimierung von Sicherheitsrisiken

Definition:

Maßnahmen zur Reduktion von Schwachstellen und zur Verhinderung von Sicherheitslücken in Webanwendungen.

Details:

  • Regelmäßige Aktualisierungen: Betriebssysteme, Software, Bibliotheken halten
  • Eingabewerte validieren: SQL-Injection, XSS verhindern
  • HTTPS verwenden: verschlüsselte Übertragung
  • Starke Authentifizierung: Multi-Faktor-Authentifizierung (MFA) einführen
  • Rechte- und Rollenmanagement: Prinzip der geringsten Privilegien
  • Sicheres Session-Management: Sitzungs-Timeouts, sichere Cookies
  • Schwachstellen-Scans: regelmäßige Sicherheitsüberprüfungen
  • Code Reviews: Peer-Reviews und automatisierte Tests
  • Log-Management: Erkennung und Reaktion auf Sicherheitsvorfälle

Multi-Faktor-Authentifizierung (MFA)

Definition:

Authentifizierungsverfahren mit mehreren unabhängigen Faktoren zur Erhöhung der Sicherheit.

Details:

['

    ', '
  • Faktoren: Wissen (z.B. Passwort), Besitz (z.B. Token), Inhärenz (z.B. Fingerabdruck)
  • ', '
  • Reduziert Risiko von Passwort-Diebstahl und Phishing
  • ', '
  • Typische Anwendungen: Online-Banking, Unternehmensnetzwerke, persönliche E-Mails
  • ', '
  • Implementierungsformen: SMS-Codes, Authenticator-Apps, biometrische Daten
  • ', '
  • Kombination von mindestens zwei Faktoren erforderlich
  • ', '
  • Einhaltung von Sicherheitsstandards und Datenschutzverordnungen beachten
  • ', '
']
Sign Up

Melde dich kostenlos an, um Zugriff auf das vollständige Dokument zu erhalten

Mit unserer kostenlosen Lernplattform erhältst du Zugang zu Millionen von Dokumenten, Karteikarten und Unterlagen.

Kostenloses Konto erstellen

Du hast bereits ein Konto? Anmelden