Schlüsseltechnologie

STP080: Common Weakness Enumeration (Teil 2)

Listen Later

Im zweiten Teil zu üblichen Schwachstellen hören wir neben einigen Querverweisen auch Xyrills Meinung zu seiner favorisierten Verwundbarkeit.

Shownotes

  • Platz 9: CWE-862; fehlende Autorisierung

    • siehe Besprechung von Authentifizierung und Autorisierung in STP039
    • Lösung: Just do it! :)
    • passend dazu Platz 14 und 18: CWE-287 und CWE-863; fehlerhafte Authentifizierung bzw. Autorisierung
    • außerdem Platz 15: CWE-269; unzureichende Privilegienkontrolle
    • als Sonderfall Platz 25: CWE-306; fehlende Authentifizierung an kritischer Stelle
    • daraus folgend Platz 17: CWE-200; Preisgabe sensitiver Informationen an nicht Zugriffsberechtigte

    • Platz 10: CWE-434; Unbeschränktes Hochladen von Dateien des falschen Typs

      • und dadurch z.B. Einschleusung von Schadcode (Xyrill fühlt sich an den "OpenOffice kann dienstags nicht drucken"-Bug erinnert)
      • Lösung: nur bekannte Formate akzeptieren
      • passend dazu Platz 16: CWE-502; Deserialisieren unvertrauenswürdiger Daten
      • Lösung: unbekannte Daten mit sicheren Parsern validieren

      • Platz 21: CWE-476; Zugriff auf Nullzeiger

        • besprochen in STP045

        • Platz 22: CWE-798; Zugriff mit hartkodierten Anmeldedaten

          • In wieviele Plasterouter kommt man wohl immer noch mit Username admin und Passwort letmein rein? :)
          • tatsächlich auch bei Enterprise-Hardware oftmals Standardpasswörter voreingestellt, die dann beim Einrichten (versehentlich?) nicht geändert werden

          • Platz 23: CWE-190; Ganzzahlüberlauf ("Integer Overflow or Wraparound")

            • besprochen in STP003 (Überlauf in Logikgattern) und STP037 (berühmte Überlauffehler)

            • Platz 24: CWE-400; unkontrollierter Ressourcenverbrauch

              • Rückbezug zu STP079 (Komplexitätsattacke in Hashmaps)

              • außerdem noch Xyrills Favorit: CWE-655; unzureichende psychologische Akzeptabilität :)

                ...more
                View all episodesView all episodes
                Download on the App Store
                SchlüsseltechnologieBy Xyrillian Noises

                More shows like Schlüsseltechnologie

                View all
                Freak Show by Metaebene Personal Media - Tim Pritlove

                Freak Show

                9 Listeners

                Lage der Nation - der Politik-Podcast aus Berlin by Philip Banse & Ulf Buermeyer

                Lage der Nation - der Politik-Podcast aus Berlin

                223 Listeners

                Logbuch:Netzpolitik by Metaebene Personal Media - Tim Pritlove

                Logbuch:Netzpolitik

                6 Listeners