Schlüsseltechnologie

STP080: Common Weakness Enumeration (Teil 2)

Listen Later

Im zweiten Teil zu üblichen Schwachstellen hören wir neben einigen Querverweisen auch Xyrills Meinung zu seiner favorisierten Verwundbarkeit.

Shownotes

  • Platz 9: CWE-862; fehlende Autorisierung

    • siehe Besprechung von Authentifizierung und Autorisierung in STP039
    • Lösung: Just do it! :)
    • passend dazu Platz 14 und 18: CWE-287 und CWE-863; fehlerhafte Authentifizierung bzw. Autorisierung
    • außerdem Platz 15: CWE-269; unzureichende Privilegienkontrolle
    • als Sonderfall Platz 25: CWE-306; fehlende Authentifizierung an kritischer Stelle
    • daraus folgend Platz 17: CWE-200; Preisgabe sensitiver Informationen an nicht Zugriffsberechtigte

    • Platz 10: CWE-434; Unbeschränktes Hochladen von Dateien des falschen Typs

      • und dadurch z.B. Einschleusung von Schadcode (Xyrill fühlt sich an den "OpenOffice kann dienstags nicht drucken"-Bug erinnert)
      • Lösung: nur bekannte Formate akzeptieren
      • passend dazu Platz 16: CWE-502; Deserialisieren unvertrauenswürdiger Daten
      • Lösung: unbekannte Daten mit sicheren Parsern validieren

      • Platz 21: CWE-476; Zugriff auf Nullzeiger

        • besprochen in STP045

        • Platz 22: CWE-798; Zugriff mit hartkodierten Anmeldedaten

          • In wieviele Plasterouter kommt man wohl immer noch mit Username admin und Passwort letmein rein? :)
          • tatsächlich auch bei Enterprise-Hardware oftmals Standardpasswörter voreingestellt, die dann beim Einrichten (versehentlich?) nicht geändert werden

          • Platz 23: CWE-190; Ganzzahlüberlauf ("Integer Overflow or Wraparound")

            • besprochen in STP003 (Überlauf in Logikgattern) und STP037 (berühmte Überlauffehler)

            • Platz 24: CWE-400; unkontrollierter Ressourcenverbrauch

              • Rückbezug zu STP079 (Komplexitätsattacke in Hashmaps)

              • außerdem noch Xyrills Favorit: CWE-655; unzureichende psychologische Akzeptabilität :)

                ...more
                View all episodesView all episodes
                Download on the App Store
                SchlüsseltechnologieBy Xyrillian Noises

                More shows like Schlüsseltechnologie

                View all
                Bits und so by Undsoversum GmbH

                Bits und so

                25 Listeners

                WRINT: Wer redet ist nicht tot by Holger Klein

                WRINT: Wer redet ist nicht tot

                15 Listeners

                Methodisch inkorrekt! by Methodisch inkorrekt!

                Methodisch inkorrekt!

                14 Listeners

                Apfelfunk by Malte Kirchner & Jean-Claude Frick

                Apfelfunk

                8 Listeners

                Das Wissen | SWR by SWR

                Das Wissen | SWR

                114 Listeners

                c’t uplink - der IT-Podcast aus Nerdistan by c’t Magazin

                c’t uplink - der IT-Podcast aus Nerdistan

                6 Listeners

                Stay Forever - Retrogames & Technik by Stay Forever Team

                Stay Forever - Retrogames & Technik

                34 Listeners

                Logbuch:Netzpolitik by Metaebene Personal Media - Tim Pritlove

                Logbuch:Netzpolitik

                5 Listeners

                Computer und Kommunikation by Deutschlandfunk

                Computer und Kommunikation

                10 Listeners

                Der KI-Podcast by ARD

                Der KI-Podcast

                12 Listeners

                KI-Update – ein heise-Podcast by Isabel Grünewald, heise online

                KI-Update – ein heise-Podcast

                2 Listeners

                Passwort - der Podcast von heise security by Dr. Christopher Kunz, Sylvester Tremmel

                Passwort - der Podcast von heise security

                3 Listeners

                Geschichten aus der Mathematik by detektor.fm – Das Podcast-Radio

                Geschichten aus der Mathematik

                2 Listeners

                UNFASSBAR – ein Simplicissimus Podcast by Simplicissimus

                UNFASSBAR – ein Simplicissimus Podcast

                25 Listeners

                Darknet Diaries Deutsch by heise online

                Darknet Diaries Deutsch

                0 Listeners