computerwoche.de
Newsletter  |   CW-TV  |   Bilder-Galerien  |   Blogs & Forum  |   CW mobil  |   RSS  |   Aboshop
 
Premium/Vorteile 


Security

IT-Sicherheit: Die zehn gefährlichsten Schwachstellen in Web-Anwendungen



10. Uneingeschränkter Zugriff auf URLs

Das Problem: Manche Web-Seiten sollen lediglich für eine kleine Gruppe privilegierter Nutzer - etwa Administratoren ? zugänglich sein. Doch häufig verfügen diese Sites über keine echte Zugangskontrolle, so dass versierte Hacker die URLs ausfindig machen können. Die primäre Angriffsmethode, die diese Art von Schwäche ausnutzt, nennt sich "Forced Browsing" und beinhaltet das Erraten von Links sowie Brute-Force-Techniken zum Aufspüren ungeschützter Seiten, so der Report.

Beispiel: Über eine solche Schwachstelle auf der Web-Seite der diesjährigen Macworld Conference & Expo haben sich Nutzer kostenlos "Platinum"-Tickets im Wert von 1.700 Dollar sowie speziellen Zugriff auf eine Keynote von Steve Jobs verschafft. Der Fehler lag im Code, der Privilegien auf dem Client, nicht aber auf dem Server überprüfte.

Basis-Schutz: Laut Owasp sollten Unternehmen nicht davon ausgehen, dass Nutzer verborgene URLs oder APIs nicht bemerken. Sämtliche URLs und Business-Funktionen müssten demnach durch einen effektiven Zugangskontrollmechanismus geschützt sein, der Rollen und Privilegien der Nutzer verifiziert. (kf)

Links zum Thema




Seite: 1 2 3 4 5 6 7 8 9 10 11


Drucken Empfehlen Kommentar als PDF in mein Archiv
Link setzen bei:
Wie geht das?
Leserkommentare 
(0 Beiträge), 
Kommentieren

Beitrag schreiben

Noch kein Forums-Mitglied?
Dann gleich hier anmelden.

INHALT DIESES ARTIKELS
Mehr zum Thema

Energieeffizienz in der IT
Best of IT-Solutions - Energieeffizienz in der IT
Der Einsatz von stromsparenden Technologien ist en Vogue. Im neuen Best of IT-Solutions-Blogs diskutieren Experten über die wahren Werte und Zielsetzungen grüner IT-Technologien und ihr Einsparpotential für die Unternehmens-IT.

Zum Best of IT-Solutions-Blog
SECURITY: CW-REDAKTEURE EMPFEHLEN
Virtuell sicher? Virtuell sicher? Virtualisierung ist kein Allheilmittel für Sicherheitsprobleme. Hacker suchen bereits gezielt nach Lücken in Produkten wie VMware ESX. weiter
Studie zur Datensicherheit Studie zur Datensicherheit Verteilte Arbeitsumgebungen begünstigen Fehler von Mitarbeitern und damit den Verlust sensibler Firmendaten. Die zehn gröbsten Vergehen. weiter
Überteuerter Virenschutz Überteuerter Virenschutz Security-Anbieter tun zu wenig, um mit ständig wechselnden Web-Bedrohungen mitzuhalten. Sicherheits-Software ist zu teuer, moniert Gartner. weiter
Verraten und verkauft Verraten und verkauft Das Fraunhofer-Institut für Sichere Informationstechnologie hat den Datenschutz beliebter sozialer Netze untersucht. Das Ergebnis ist ernüchternd. weiter
Die besten Antiviren-Programme Die besten Antiviren-Programme Das Magdeburger Testlabor hat 28 Antivirus-Programme unter die Lupe genommen. Wir präsentieren Ihnen die Ergebnisse der ausführlichen Tests. weiter
Virtuell sicher? Studie zur Datensicherheit Überteuerter Virenschutz Verraten und verkauft Die besten Antiviren-Programme
  • CW Risk Board
  • Top geklickt
  • Top verlinkt
Analysen Malware Spam Phishing Viren"Kontaktfreudig": Im Oktober missbrauchten Spammer und Phisher mit Vorliebe Social Networks für ihre Zwecke.

CW Risk Board
 
Aktuelle Umfrage

Wie viele Tage haben Sie im vergangenen Jahr blau gemacht?

  • Whitepaper
Mehr Whitepaper
Security-Expertenrat
sec
Security Glossar
FEATURED LINKS

Virtual Data Center
Virtual Data Center
Schon der kleinste Fehler im Rechenzentrum kann unmittelbar zum Stillstand führen. Daher genießt die physikalische IT-Sicherheit einen hohen Stellenwert.

Raumsysteme im Rechenzentrum
KOSTENLOSE NEWSLETTER VON COMPUTERWOCHE
Nachrichten morgens
Whitepaper
Nachrichten mittags
CW-Mittelstand
Highlights der Woche
Hardware
Neu: SAP-Newsletter
Software
Job + Karriere
Open-Source
Stellenmarkt
Produkte + Techn.
Freiberufler
Security