Schlüsseltechnologie

STP080: Common Weakness Enumeration (Teil 2)

Listen Later

Im zweiten Teil zu üblichen Schwachstellen hören wir neben einigen Querverweisen auch Xyrills Meinung zu seiner favorisierten Verwundbarkeit.

Shownotes

  • Platz 9: CWE-862; fehlende Autorisierung

    • siehe Besprechung von Authentifizierung und Autorisierung in STP039
    • Lösung: Just do it! :)
    • passend dazu Platz 14 und 18: CWE-287 und CWE-863; fehlerhafte Authentifizierung bzw. Autorisierung
    • außerdem Platz 15: CWE-269; unzureichende Privilegienkontrolle
    • als Sonderfall Platz 25: CWE-306; fehlende Authentifizierung an kritischer Stelle
    • daraus folgend Platz 17: CWE-200; Preisgabe sensitiver Informationen an nicht Zugriffsberechtigte

    • Platz 10: CWE-434; Unbeschränktes Hochladen von Dateien des falschen Typs

      • und dadurch z.B. Einschleusung von Schadcode (Xyrill fühlt sich an den "OpenOffice kann dienstags nicht drucken"-Bug erinnert)
      • Lösung: nur bekannte Formate akzeptieren
      • passend dazu Platz 16: CWE-502; Deserialisieren unvertrauenswürdiger Daten
      • Lösung: unbekannte Daten mit sicheren Parsern validieren

      • Platz 21: CWE-476; Zugriff auf Nullzeiger

        • besprochen in STP045

        • Platz 22: CWE-798; Zugriff mit hartkodierten Anmeldedaten

          • In wieviele Plasterouter kommt man wohl immer noch mit Username admin und Passwort letmein rein? :)
          • tatsächlich auch bei Enterprise-Hardware oftmals Standardpasswörter voreingestellt, die dann beim Einrichten (versehentlich?) nicht geändert werden

          • Platz 23: CWE-190; Ganzzahlüberlauf ("Integer Overflow or Wraparound")

            • besprochen in STP003 (Überlauf in Logikgattern) und STP037 (berühmte Überlauffehler)

            • Platz 24: CWE-400; unkontrollierter Ressourcenverbrauch

              • Rückbezug zu STP079 (Komplexitätsattacke in Hashmaps)

              • außerdem noch Xyrills Favorit: CWE-655; unzureichende psychologische Akzeptabilität :)

                ...more
                View all episodesView all episodes
                Download on the App Store
                SchlüsseltechnologieBy Xyrillian Noises

                More shows like Schlüsseltechnologie

                View all
                Freak Show by Metaebene Personal Media - Tim Pritlove

                Freak Show

                11 Listeners

                Methodisch inkorrekt! by Methodisch inkorrekt!

                Methodisch inkorrekt!

                16 Listeners

                Lage der Nation - der Politik-Podcast aus Berlin by Philip Banse & Ulf Buermeyer

                Lage der Nation - der Politik-Podcast aus Berlin

                228 Listeners

                c’t uplink - der IT-Podcast aus Nerdistan by c’t Magazin

                c’t uplink - der IT-Podcast aus Nerdistan

                9 Listeners

                Chaosradio by Chaos Computer Club Berlin

                Chaosradio

                7 Listeners

                heiseshow by heise online

                heiseshow

                3 Listeners

                Logbuch:Netzpolitik by Metaebene Personal Media - Tim Pritlove

                Logbuch:Netzpolitik

                6 Listeners

                Jung & Naiv by Tilo Jung

                Jung & Naiv

                44 Listeners

                Holger ruft an by Übermedien

                Holger ruft an

                2 Listeners

                Die Wochendämmerung - Der stabile Wochenrückblick by Katrin Rönicke und Holger Klein (hauseins)

                Die Wochendämmerung - Der stabile Wochenrückblick

                14 Listeners

                Sicherheitshalber by Der Podcast zur sicherheitspolitischen Lage in Deutschland, Europa und der Welt.

                Sicherheitshalber

                46 Listeners

                Bit-Rauschen: Der Prozessor-Podcast von c’t by c't Magazin

                Bit-Rauschen: Der Prozessor-Podcast von c’t

                0 Listeners

                Legion by rbb | NDR | Undone

                Legion

                7 Listeners

                Haken dran – das Social-Media-Update der c't by Gavin Karlmeier

                Haken dran – das Social-Media-Update der c't

                2 Listeners

                Passwort - der Podcast von heise security by Dr. Christopher Kunz, Sylvester Tremmel

                Passwort - der Podcast von heise security

                3 Listeners