Coders Conquer Security: Share & Learn-Serie — Ungenügender Schutz der Transportebene
Selbst wenn Sie einen Anwendungsserver und die von ihm verwendeten Backend-Systeme vollständig gesichert haben, kann die Kommunikation dennoch anfällig für Schnüffeln sein, wenn Sie über einen unzureichenden Schutz auf der Transportebene verfügen. In der physischen Welt besteht der Grund dafür, dass harte Währungen mit gepanzerten Autos bewegt werden, darin, sie während des Transports zu schützen. Es spielt wirklich keine Rolle, wie sicher ein Geschäft oder eine Bank ist, wenn das Geld, das damit generiert wird, für eine Fahrt durch die Stadt in einen Golfwagen geladen wird.
Das Gleiche gilt für Transportschichten im Cyberbereich. Selbst wenn eine Anwendung sicher ist, besteht immer noch eine kritische Sicherheitslücke, wenn die in sie eingehenden Informationen ungeschützt gesendet werden. Und bei einigen Apps gibt es eine zweite Sicherheitslücke, wenn sie zusätzlich Informationen an andere Server oder eine Datenbank senden. Diese Informationen könnten Insidern zugänglich gemacht werden, die nichts damit zu tun haben, diese Transaktionen auszuspionieren.
Um Benutzer und Daten vollständig zu schützen, muss die Transportebene geschützt werden. Nur so können Sie eine gesamte Transaktion von Anfang bis Ende vollständig sichern.
In dieser Episode werden wir lernen:
- Wie Hacker den unzureichenden Schutz der Transportschicht ausnutzen können
- Warum ist es so gefährlich, die Transportschicht nicht zu schützen
- Was kann getan werden, um den Transport aller Daten, die in und durch eine Anwendung oder einen Server übertragen werden, zu sichern?
Wie nutzen Angreifer einen unzureichenden Schutz auf der Transportebene aus?
Ein unzureichender Schutz auf der Transportebene kann Angriffe an zwei Stellen in Ihrem Datenstrom ermöglichen. Die am häufigsten ausgenutzte Stelle befindet sich zwischen einem Benutzer und dem Anwendungsserver. Wenn Informationen unverschlüsselt oder mit schwacher Verschlüsselung gesendet werden, können Hacker diese Informationen überwachen, stehlen und möglicherweise ändern. Dies könnte es Hackern ermöglichen, die Kreditkarte eines Benutzers, seine Anmeldeinformationen oder alles andere, was an den Anwendungsserver gesendet wurde, zu stehlen. Selbst wenn der Server selbst sicher ist, kann ein Hacker, der den unsicheren Kanal zwischen ihm und den Benutzern überwacht, nahezu uneingeschränkten Zugriff auf viele Informationen erhalten.
Der zweite Punkt, der oft ungeschützt bleibt, ist die Transportschicht zwischen einer Anwendung und dem Rest des Netzwerks. Beispielsweise kann ein Anwendungsserver Online-Bestellungen verarbeiten und sie dann an ein Fulfillment-System weiterleiten, oder Daten könnten einfach zur Speicherung in eine Datenbank ausgelagert werden. Wenn diese internen Kanäle ungeschützt sind, können interne Benutzer diese Informationen möglicherweise sehen.
Es ist zwar schön zu glauben, dass alle internen Benutzer gute Menschen sind, aber Tatsache ist, dass Insider-Bedrohungen in vielen Branchen zunehmen. Insider wurden dabei erwischt, wie sie im Gegenzug für das Sammeln vertraulicher Informationen für Angreifer oder Konkurrenten Bestechungsgelder annahmen. Und der Zugang zu so etwas wie Tausenden von gültigen Kreditkarten könnte für manche Menschen einfach zu verlockend sein, um sie zu ignorieren.
Was die Angriffstechniken angeht, ist es nicht sehr schwierig, ungeschützte Kommunikation abzufangen. Selbst Hacker auf niedriger Ebene wissen, wie man Man-in-the-Middle-Angriffe gegen unverschlüsselte Datenströme durchführt. Wenn sie es nicht tun, gibt es Videos im Internet, mit denen sie in weniger als einer halben Stunde geschult werden können.
Warum sind Sicherheitslücken beim unzureichenden Schutz der Transportebene so gefährlich?
Ein unzureichender oder nicht vorhandener Schutz auf den Transportebenen ist gefährlich, da es Hackern so extrem leicht fällt, vertrauliche Informationen zu sammeln. Sie müssen nicht in Ihren App-Server einbrechen oder Ihr Netzwerk hacken. Sie richten einfach einen Man-in-the-Middle-Angriff ein und lesen alles, was von Benutzern an einen Server gesendet wird. Dazu können Benutzernamen und Passwörter gehören, mit denen die Sicherheit in Zukunft mithilfe gültiger Anmeldeinformationen umgangen werden kann. Je nach Anwendung können dazu auch Kreditkarteninformationen oder andere persönliche Daten von Benutzern gehören.
Und es ist wichtig zu beachten, dass all dieses Schnüffeln außerhalb Ihres Netzwerks stattfindet. Wenn Sie unsichere Transportkanäle verwenden, können Sie nicht feststellen, ob jemand diese Informationen erfasst. Normalerweise ist das erste Anzeichen, wenn viele Benutzer anfangen, kompromittierte Konten oder Kreditkartenkäufe zu melden, und der gemeinsame Faktor ist, dass Ihre Bewerbung "kein guter Ort dafür ist. Hacker können auch Informationen ändern, sobald sie sie haben. So können sie beispielsweise die Lieferadresse ändern oder sogar bösartige Skripte in die Serverantwort einfügen, bevor sie sie an die Benutzer weitergeben.
Im Backend werden Daten durch das Versäumnis, die Transportebene zu sichern, Insidern zugänglich gemacht. Es ist wahrscheinlich viel weniger wahrscheinlich, dass ein Insider die Transportebene ausspioniert als Hacker von außen, die dasselbe tun. Aber es ist auch gefährlicher, wenn es passiert, da die Insider-Bedrohung nicht nur die Benutzerdaten, sondern auch alle vom App-Server hinzugefügten proprietären Informationen sehen kann, bevor sie diese Pakete versendet.
Beseitigung unzureichender Sicherheitslücken beim Schutz der Transportebene
So gefährlich ein unzureichender Schutz der Transportschicht auch sein mag, es ist auch nicht unglaublich schwierig, alle Transportkanäle ordnungsgemäß abzusichern. Es beginnt mit der Backend-Infrastruktur. Dies sollte ausschließlich HTTPS sein. Achten Sie darauf, HTTPS und HTTP auf einer Website nicht zu vermischen. Schließlich sollten Sie ein gültiges SSL-Zertifikat mit einer Mindestschlüsselgröße von 2048 Bit beibehalten und gleichzeitig alle Benutzer dazu zwingen, über gesicherte Browser mit HTTP Strict Transport Security (HSTS) zu interagieren.
Sobald die Infrastruktur eingerichtet ist, sollten Entwickler ein starkes Protokoll verwenden, um die Transportschicht zu schützen. Idealerweise sollte TLS 1.2 verwendet werden, obwohl TLS 1.1 und 1.0 auch akzeptabel sind, wenn dies unbedingt erforderlich ist. Sobald dies geschehen ist, sollten schwache Protokolle wie SSLv2 vollständig deaktiviert und niemals unterstützt werden.
Es sollte auch darauf geachtet werden, dass kryptografische Chiffren im Backend ausreichend leistungsfähig sind. Idealerweise sollte die Mindestgröße des Sitzungsschlüssels 128 Bit betragen. Wie bei Protokollen sollte die Unterstützung für schwache kryptografische Algorithmen wie DES und RC4-40 deaktiviert werden. Und schließlich sollten Sie eine Anwendung erst dann als wirklich sicher betrachten, wenn sowohl der Server selbst als auch alle Datenpfade, die in ihn hinein und aus ihm heraus führen, ausreichend geschützt sind.
Weitere Informationen zu Sicherheitslücken beim unzureichenden Schutz der Transportebene
Für weitere Informationen können Sie sich die OWASP ansehen Leitfaden zum Schutz Transportschichten. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Selbst wenn Sie einen Anwendungsserver und die von ihm verwendeten Backend-Systeme vollständig gesichert haben, kann die Kommunikation dennoch anfällig für Schnüffeln sein, wenn Sie über einen unzureichenden Schutz auf der Transportebene verfügen.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Selbst wenn Sie einen Anwendungsserver und die von ihm verwendeten Backend-Systeme vollständig gesichert haben, kann die Kommunikation dennoch anfällig für Schnüffeln sein, wenn Sie über einen unzureichenden Schutz auf der Transportebene verfügen. In der physischen Welt besteht der Grund dafür, dass harte Währungen mit gepanzerten Autos bewegt werden, darin, sie während des Transports zu schützen. Es spielt wirklich keine Rolle, wie sicher ein Geschäft oder eine Bank ist, wenn das Geld, das damit generiert wird, für eine Fahrt durch die Stadt in einen Golfwagen geladen wird.
Das Gleiche gilt für Transportschichten im Cyberbereich. Selbst wenn eine Anwendung sicher ist, besteht immer noch eine kritische Sicherheitslücke, wenn die in sie eingehenden Informationen ungeschützt gesendet werden. Und bei einigen Apps gibt es eine zweite Sicherheitslücke, wenn sie zusätzlich Informationen an andere Server oder eine Datenbank senden. Diese Informationen könnten Insidern zugänglich gemacht werden, die nichts damit zu tun haben, diese Transaktionen auszuspionieren.
Um Benutzer und Daten vollständig zu schützen, muss die Transportebene geschützt werden. Nur so können Sie eine gesamte Transaktion von Anfang bis Ende vollständig sichern.
In dieser Episode werden wir lernen:
- Wie Hacker den unzureichenden Schutz der Transportschicht ausnutzen können
- Warum ist es so gefährlich, die Transportschicht nicht zu schützen
- Was kann getan werden, um den Transport aller Daten, die in und durch eine Anwendung oder einen Server übertragen werden, zu sichern?
Wie nutzen Angreifer einen unzureichenden Schutz auf der Transportebene aus?
Ein unzureichender Schutz auf der Transportebene kann Angriffe an zwei Stellen in Ihrem Datenstrom ermöglichen. Die am häufigsten ausgenutzte Stelle befindet sich zwischen einem Benutzer und dem Anwendungsserver. Wenn Informationen unverschlüsselt oder mit schwacher Verschlüsselung gesendet werden, können Hacker diese Informationen überwachen, stehlen und möglicherweise ändern. Dies könnte es Hackern ermöglichen, die Kreditkarte eines Benutzers, seine Anmeldeinformationen oder alles andere, was an den Anwendungsserver gesendet wurde, zu stehlen. Selbst wenn der Server selbst sicher ist, kann ein Hacker, der den unsicheren Kanal zwischen ihm und den Benutzern überwacht, nahezu uneingeschränkten Zugriff auf viele Informationen erhalten.
Der zweite Punkt, der oft ungeschützt bleibt, ist die Transportschicht zwischen einer Anwendung und dem Rest des Netzwerks. Beispielsweise kann ein Anwendungsserver Online-Bestellungen verarbeiten und sie dann an ein Fulfillment-System weiterleiten, oder Daten könnten einfach zur Speicherung in eine Datenbank ausgelagert werden. Wenn diese internen Kanäle ungeschützt sind, können interne Benutzer diese Informationen möglicherweise sehen.
Es ist zwar schön zu glauben, dass alle internen Benutzer gute Menschen sind, aber Tatsache ist, dass Insider-Bedrohungen in vielen Branchen zunehmen. Insider wurden dabei erwischt, wie sie im Gegenzug für das Sammeln vertraulicher Informationen für Angreifer oder Konkurrenten Bestechungsgelder annahmen. Und der Zugang zu so etwas wie Tausenden von gültigen Kreditkarten könnte für manche Menschen einfach zu verlockend sein, um sie zu ignorieren.
Was die Angriffstechniken angeht, ist es nicht sehr schwierig, ungeschützte Kommunikation abzufangen. Selbst Hacker auf niedriger Ebene wissen, wie man Man-in-the-Middle-Angriffe gegen unverschlüsselte Datenströme durchführt. Wenn sie es nicht tun, gibt es Videos im Internet, mit denen sie in weniger als einer halben Stunde geschult werden können.
Warum sind Sicherheitslücken beim unzureichenden Schutz der Transportebene so gefährlich?
Ein unzureichender oder nicht vorhandener Schutz auf den Transportebenen ist gefährlich, da es Hackern so extrem leicht fällt, vertrauliche Informationen zu sammeln. Sie müssen nicht in Ihren App-Server einbrechen oder Ihr Netzwerk hacken. Sie richten einfach einen Man-in-the-Middle-Angriff ein und lesen alles, was von Benutzern an einen Server gesendet wird. Dazu können Benutzernamen und Passwörter gehören, mit denen die Sicherheit in Zukunft mithilfe gültiger Anmeldeinformationen umgangen werden kann. Je nach Anwendung können dazu auch Kreditkarteninformationen oder andere persönliche Daten von Benutzern gehören.
Und es ist wichtig zu beachten, dass all dieses Schnüffeln außerhalb Ihres Netzwerks stattfindet. Wenn Sie unsichere Transportkanäle verwenden, können Sie nicht feststellen, ob jemand diese Informationen erfasst. Normalerweise ist das erste Anzeichen, wenn viele Benutzer anfangen, kompromittierte Konten oder Kreditkartenkäufe zu melden, und der gemeinsame Faktor ist, dass Ihre Bewerbung "kein guter Ort dafür ist. Hacker können auch Informationen ändern, sobald sie sie haben. So können sie beispielsweise die Lieferadresse ändern oder sogar bösartige Skripte in die Serverantwort einfügen, bevor sie sie an die Benutzer weitergeben.
Im Backend werden Daten durch das Versäumnis, die Transportebene zu sichern, Insidern zugänglich gemacht. Es ist wahrscheinlich viel weniger wahrscheinlich, dass ein Insider die Transportebene ausspioniert als Hacker von außen, die dasselbe tun. Aber es ist auch gefährlicher, wenn es passiert, da die Insider-Bedrohung nicht nur die Benutzerdaten, sondern auch alle vom App-Server hinzugefügten proprietären Informationen sehen kann, bevor sie diese Pakete versendet.
Beseitigung unzureichender Sicherheitslücken beim Schutz der Transportebene
So gefährlich ein unzureichender Schutz der Transportschicht auch sein mag, es ist auch nicht unglaublich schwierig, alle Transportkanäle ordnungsgemäß abzusichern. Es beginnt mit der Backend-Infrastruktur. Dies sollte ausschließlich HTTPS sein. Achten Sie darauf, HTTPS und HTTP auf einer Website nicht zu vermischen. Schließlich sollten Sie ein gültiges SSL-Zertifikat mit einer Mindestschlüsselgröße von 2048 Bit beibehalten und gleichzeitig alle Benutzer dazu zwingen, über gesicherte Browser mit HTTP Strict Transport Security (HSTS) zu interagieren.
Sobald die Infrastruktur eingerichtet ist, sollten Entwickler ein starkes Protokoll verwenden, um die Transportschicht zu schützen. Idealerweise sollte TLS 1.2 verwendet werden, obwohl TLS 1.1 und 1.0 auch akzeptabel sind, wenn dies unbedingt erforderlich ist. Sobald dies geschehen ist, sollten schwache Protokolle wie SSLv2 vollständig deaktiviert und niemals unterstützt werden.
Es sollte auch darauf geachtet werden, dass kryptografische Chiffren im Backend ausreichend leistungsfähig sind. Idealerweise sollte die Mindestgröße des Sitzungsschlüssels 128 Bit betragen. Wie bei Protokollen sollte die Unterstützung für schwache kryptografische Algorithmen wie DES und RC4-40 deaktiviert werden. Und schließlich sollten Sie eine Anwendung erst dann als wirklich sicher betrachten, wenn sowohl der Server selbst als auch alle Datenpfade, die in ihn hinein und aus ihm heraus führen, ausreichend geschützt sind.
Weitere Informationen zu Sicherheitslücken beim unzureichenden Schutz der Transportebene
Für weitere Informationen können Sie sich die OWASP ansehen Leitfaden zum Schutz Transportschichten. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Selbst wenn Sie einen Anwendungsserver und die von ihm verwendeten Backend-Systeme vollständig gesichert haben, kann die Kommunikation dennoch anfällig für Schnüffeln sein, wenn Sie über einen unzureichenden Schutz auf der Transportebene verfügen. In der physischen Welt besteht der Grund dafür, dass harte Währungen mit gepanzerten Autos bewegt werden, darin, sie während des Transports zu schützen. Es spielt wirklich keine Rolle, wie sicher ein Geschäft oder eine Bank ist, wenn das Geld, das damit generiert wird, für eine Fahrt durch die Stadt in einen Golfwagen geladen wird.
Das Gleiche gilt für Transportschichten im Cyberbereich. Selbst wenn eine Anwendung sicher ist, besteht immer noch eine kritische Sicherheitslücke, wenn die in sie eingehenden Informationen ungeschützt gesendet werden. Und bei einigen Apps gibt es eine zweite Sicherheitslücke, wenn sie zusätzlich Informationen an andere Server oder eine Datenbank senden. Diese Informationen könnten Insidern zugänglich gemacht werden, die nichts damit zu tun haben, diese Transaktionen auszuspionieren.
Um Benutzer und Daten vollständig zu schützen, muss die Transportebene geschützt werden. Nur so können Sie eine gesamte Transaktion von Anfang bis Ende vollständig sichern.
In dieser Episode werden wir lernen:
- Wie Hacker den unzureichenden Schutz der Transportschicht ausnutzen können
- Warum ist es so gefährlich, die Transportschicht nicht zu schützen
- Was kann getan werden, um den Transport aller Daten, die in und durch eine Anwendung oder einen Server übertragen werden, zu sichern?
Wie nutzen Angreifer einen unzureichenden Schutz auf der Transportebene aus?
Ein unzureichender Schutz auf der Transportebene kann Angriffe an zwei Stellen in Ihrem Datenstrom ermöglichen. Die am häufigsten ausgenutzte Stelle befindet sich zwischen einem Benutzer und dem Anwendungsserver. Wenn Informationen unverschlüsselt oder mit schwacher Verschlüsselung gesendet werden, können Hacker diese Informationen überwachen, stehlen und möglicherweise ändern. Dies könnte es Hackern ermöglichen, die Kreditkarte eines Benutzers, seine Anmeldeinformationen oder alles andere, was an den Anwendungsserver gesendet wurde, zu stehlen. Selbst wenn der Server selbst sicher ist, kann ein Hacker, der den unsicheren Kanal zwischen ihm und den Benutzern überwacht, nahezu uneingeschränkten Zugriff auf viele Informationen erhalten.
Der zweite Punkt, der oft ungeschützt bleibt, ist die Transportschicht zwischen einer Anwendung und dem Rest des Netzwerks. Beispielsweise kann ein Anwendungsserver Online-Bestellungen verarbeiten und sie dann an ein Fulfillment-System weiterleiten, oder Daten könnten einfach zur Speicherung in eine Datenbank ausgelagert werden. Wenn diese internen Kanäle ungeschützt sind, können interne Benutzer diese Informationen möglicherweise sehen.
Es ist zwar schön zu glauben, dass alle internen Benutzer gute Menschen sind, aber Tatsache ist, dass Insider-Bedrohungen in vielen Branchen zunehmen. Insider wurden dabei erwischt, wie sie im Gegenzug für das Sammeln vertraulicher Informationen für Angreifer oder Konkurrenten Bestechungsgelder annahmen. Und der Zugang zu so etwas wie Tausenden von gültigen Kreditkarten könnte für manche Menschen einfach zu verlockend sein, um sie zu ignorieren.
Was die Angriffstechniken angeht, ist es nicht sehr schwierig, ungeschützte Kommunikation abzufangen. Selbst Hacker auf niedriger Ebene wissen, wie man Man-in-the-Middle-Angriffe gegen unverschlüsselte Datenströme durchführt. Wenn sie es nicht tun, gibt es Videos im Internet, mit denen sie in weniger als einer halben Stunde geschult werden können.
Warum sind Sicherheitslücken beim unzureichenden Schutz der Transportebene so gefährlich?
Ein unzureichender oder nicht vorhandener Schutz auf den Transportebenen ist gefährlich, da es Hackern so extrem leicht fällt, vertrauliche Informationen zu sammeln. Sie müssen nicht in Ihren App-Server einbrechen oder Ihr Netzwerk hacken. Sie richten einfach einen Man-in-the-Middle-Angriff ein und lesen alles, was von Benutzern an einen Server gesendet wird. Dazu können Benutzernamen und Passwörter gehören, mit denen die Sicherheit in Zukunft mithilfe gültiger Anmeldeinformationen umgangen werden kann. Je nach Anwendung können dazu auch Kreditkarteninformationen oder andere persönliche Daten von Benutzern gehören.
Und es ist wichtig zu beachten, dass all dieses Schnüffeln außerhalb Ihres Netzwerks stattfindet. Wenn Sie unsichere Transportkanäle verwenden, können Sie nicht feststellen, ob jemand diese Informationen erfasst. Normalerweise ist das erste Anzeichen, wenn viele Benutzer anfangen, kompromittierte Konten oder Kreditkartenkäufe zu melden, und der gemeinsame Faktor ist, dass Ihre Bewerbung "kein guter Ort dafür ist. Hacker können auch Informationen ändern, sobald sie sie haben. So können sie beispielsweise die Lieferadresse ändern oder sogar bösartige Skripte in die Serverantwort einfügen, bevor sie sie an die Benutzer weitergeben.
Im Backend werden Daten durch das Versäumnis, die Transportebene zu sichern, Insidern zugänglich gemacht. Es ist wahrscheinlich viel weniger wahrscheinlich, dass ein Insider die Transportebene ausspioniert als Hacker von außen, die dasselbe tun. Aber es ist auch gefährlicher, wenn es passiert, da die Insider-Bedrohung nicht nur die Benutzerdaten, sondern auch alle vom App-Server hinzugefügten proprietären Informationen sehen kann, bevor sie diese Pakete versendet.
Beseitigung unzureichender Sicherheitslücken beim Schutz der Transportebene
So gefährlich ein unzureichender Schutz der Transportschicht auch sein mag, es ist auch nicht unglaublich schwierig, alle Transportkanäle ordnungsgemäß abzusichern. Es beginnt mit der Backend-Infrastruktur. Dies sollte ausschließlich HTTPS sein. Achten Sie darauf, HTTPS und HTTP auf einer Website nicht zu vermischen. Schließlich sollten Sie ein gültiges SSL-Zertifikat mit einer Mindestschlüsselgröße von 2048 Bit beibehalten und gleichzeitig alle Benutzer dazu zwingen, über gesicherte Browser mit HTTP Strict Transport Security (HSTS) zu interagieren.
Sobald die Infrastruktur eingerichtet ist, sollten Entwickler ein starkes Protokoll verwenden, um die Transportschicht zu schützen. Idealerweise sollte TLS 1.2 verwendet werden, obwohl TLS 1.1 und 1.0 auch akzeptabel sind, wenn dies unbedingt erforderlich ist. Sobald dies geschehen ist, sollten schwache Protokolle wie SSLv2 vollständig deaktiviert und niemals unterstützt werden.
Es sollte auch darauf geachtet werden, dass kryptografische Chiffren im Backend ausreichend leistungsfähig sind. Idealerweise sollte die Mindestgröße des Sitzungsschlüssels 128 Bit betragen. Wie bei Protokollen sollte die Unterstützung für schwache kryptografische Algorithmen wie DES und RC4-40 deaktiviert werden. Und schließlich sollten Sie eine Anwendung erst dann als wirklich sicher betrachten, wenn sowohl der Server selbst als auch alle Datenpfade, die in ihn hinein und aus ihm heraus führen, ausreichend geschützt sind.
Weitere Informationen zu Sicherheitslücken beim unzureichenden Schutz der Transportebene
Für weitere Informationen können Sie sich die OWASP ansehen Leitfaden zum Schutz Transportschichten. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Selbst wenn Sie einen Anwendungsserver und die von ihm verwendeten Backend-Systeme vollständig gesichert haben, kann die Kommunikation dennoch anfällig für Schnüffeln sein, wenn Sie über einen unzureichenden Schutz auf der Transportebene verfügen. In der physischen Welt besteht der Grund dafür, dass harte Währungen mit gepanzerten Autos bewegt werden, darin, sie während des Transports zu schützen. Es spielt wirklich keine Rolle, wie sicher ein Geschäft oder eine Bank ist, wenn das Geld, das damit generiert wird, für eine Fahrt durch die Stadt in einen Golfwagen geladen wird.
Das Gleiche gilt für Transportschichten im Cyberbereich. Selbst wenn eine Anwendung sicher ist, besteht immer noch eine kritische Sicherheitslücke, wenn die in sie eingehenden Informationen ungeschützt gesendet werden. Und bei einigen Apps gibt es eine zweite Sicherheitslücke, wenn sie zusätzlich Informationen an andere Server oder eine Datenbank senden. Diese Informationen könnten Insidern zugänglich gemacht werden, die nichts damit zu tun haben, diese Transaktionen auszuspionieren.
Um Benutzer und Daten vollständig zu schützen, muss die Transportebene geschützt werden. Nur so können Sie eine gesamte Transaktion von Anfang bis Ende vollständig sichern.
In dieser Episode werden wir lernen:
- Wie Hacker den unzureichenden Schutz der Transportschicht ausnutzen können
- Warum ist es so gefährlich, die Transportschicht nicht zu schützen
- Was kann getan werden, um den Transport aller Daten, die in und durch eine Anwendung oder einen Server übertragen werden, zu sichern?
Wie nutzen Angreifer einen unzureichenden Schutz auf der Transportebene aus?
Ein unzureichender Schutz auf der Transportebene kann Angriffe an zwei Stellen in Ihrem Datenstrom ermöglichen. Die am häufigsten ausgenutzte Stelle befindet sich zwischen einem Benutzer und dem Anwendungsserver. Wenn Informationen unverschlüsselt oder mit schwacher Verschlüsselung gesendet werden, können Hacker diese Informationen überwachen, stehlen und möglicherweise ändern. Dies könnte es Hackern ermöglichen, die Kreditkarte eines Benutzers, seine Anmeldeinformationen oder alles andere, was an den Anwendungsserver gesendet wurde, zu stehlen. Selbst wenn der Server selbst sicher ist, kann ein Hacker, der den unsicheren Kanal zwischen ihm und den Benutzern überwacht, nahezu uneingeschränkten Zugriff auf viele Informationen erhalten.
Der zweite Punkt, der oft ungeschützt bleibt, ist die Transportschicht zwischen einer Anwendung und dem Rest des Netzwerks. Beispielsweise kann ein Anwendungsserver Online-Bestellungen verarbeiten und sie dann an ein Fulfillment-System weiterleiten, oder Daten könnten einfach zur Speicherung in eine Datenbank ausgelagert werden. Wenn diese internen Kanäle ungeschützt sind, können interne Benutzer diese Informationen möglicherweise sehen.
Es ist zwar schön zu glauben, dass alle internen Benutzer gute Menschen sind, aber Tatsache ist, dass Insider-Bedrohungen in vielen Branchen zunehmen. Insider wurden dabei erwischt, wie sie im Gegenzug für das Sammeln vertraulicher Informationen für Angreifer oder Konkurrenten Bestechungsgelder annahmen. Und der Zugang zu so etwas wie Tausenden von gültigen Kreditkarten könnte für manche Menschen einfach zu verlockend sein, um sie zu ignorieren.
Was die Angriffstechniken angeht, ist es nicht sehr schwierig, ungeschützte Kommunikation abzufangen. Selbst Hacker auf niedriger Ebene wissen, wie man Man-in-the-Middle-Angriffe gegen unverschlüsselte Datenströme durchführt. Wenn sie es nicht tun, gibt es Videos im Internet, mit denen sie in weniger als einer halben Stunde geschult werden können.
Warum sind Sicherheitslücken beim unzureichenden Schutz der Transportebene so gefährlich?
Ein unzureichender oder nicht vorhandener Schutz auf den Transportebenen ist gefährlich, da es Hackern so extrem leicht fällt, vertrauliche Informationen zu sammeln. Sie müssen nicht in Ihren App-Server einbrechen oder Ihr Netzwerk hacken. Sie richten einfach einen Man-in-the-Middle-Angriff ein und lesen alles, was von Benutzern an einen Server gesendet wird. Dazu können Benutzernamen und Passwörter gehören, mit denen die Sicherheit in Zukunft mithilfe gültiger Anmeldeinformationen umgangen werden kann. Je nach Anwendung können dazu auch Kreditkarteninformationen oder andere persönliche Daten von Benutzern gehören.
Und es ist wichtig zu beachten, dass all dieses Schnüffeln außerhalb Ihres Netzwerks stattfindet. Wenn Sie unsichere Transportkanäle verwenden, können Sie nicht feststellen, ob jemand diese Informationen erfasst. Normalerweise ist das erste Anzeichen, wenn viele Benutzer anfangen, kompromittierte Konten oder Kreditkartenkäufe zu melden, und der gemeinsame Faktor ist, dass Ihre Bewerbung "kein guter Ort dafür ist. Hacker können auch Informationen ändern, sobald sie sie haben. So können sie beispielsweise die Lieferadresse ändern oder sogar bösartige Skripte in die Serverantwort einfügen, bevor sie sie an die Benutzer weitergeben.
Im Backend werden Daten durch das Versäumnis, die Transportebene zu sichern, Insidern zugänglich gemacht. Es ist wahrscheinlich viel weniger wahrscheinlich, dass ein Insider die Transportebene ausspioniert als Hacker von außen, die dasselbe tun. Aber es ist auch gefährlicher, wenn es passiert, da die Insider-Bedrohung nicht nur die Benutzerdaten, sondern auch alle vom App-Server hinzugefügten proprietären Informationen sehen kann, bevor sie diese Pakete versendet.
Beseitigung unzureichender Sicherheitslücken beim Schutz der Transportebene
So gefährlich ein unzureichender Schutz der Transportschicht auch sein mag, es ist auch nicht unglaublich schwierig, alle Transportkanäle ordnungsgemäß abzusichern. Es beginnt mit der Backend-Infrastruktur. Dies sollte ausschließlich HTTPS sein. Achten Sie darauf, HTTPS und HTTP auf einer Website nicht zu vermischen. Schließlich sollten Sie ein gültiges SSL-Zertifikat mit einer Mindestschlüsselgröße von 2048 Bit beibehalten und gleichzeitig alle Benutzer dazu zwingen, über gesicherte Browser mit HTTP Strict Transport Security (HSTS) zu interagieren.
Sobald die Infrastruktur eingerichtet ist, sollten Entwickler ein starkes Protokoll verwenden, um die Transportschicht zu schützen. Idealerweise sollte TLS 1.2 verwendet werden, obwohl TLS 1.1 und 1.0 auch akzeptabel sind, wenn dies unbedingt erforderlich ist. Sobald dies geschehen ist, sollten schwache Protokolle wie SSLv2 vollständig deaktiviert und niemals unterstützt werden.
Es sollte auch darauf geachtet werden, dass kryptografische Chiffren im Backend ausreichend leistungsfähig sind. Idealerweise sollte die Mindestgröße des Sitzungsschlüssels 128 Bit betragen. Wie bei Protokollen sollte die Unterstützung für schwache kryptografische Algorithmen wie DES und RC4-40 deaktiviert werden. Und schließlich sollten Sie eine Anwendung erst dann als wirklich sicher betrachten, wenn sowohl der Server selbst als auch alle Datenpfade, die in ihn hinein und aus ihm heraus führen, ausreichend geschützt sind.
Weitere Informationen zu Sicherheitslücken beim unzureichenden Schutz der Transportebene
Für weitere Informationen können Sie sich die OWASP ansehen Leitfaden zum Schutz Transportschichten. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Índice
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
