Select your language

Suggested languages for you:
Log In Start studying!

Lernmaterialien für WebSecurity an der Technische Hochschule Nürnberg

Greife auf kostenlose Karteikarten, Zusammenfassungen, Übungsaufgaben und Altklausuren für deinen WebSecurity Kurs an der Technische Hochschule Nürnberg zu.

TESTE DEIN WISSEN

Was sind Sicherheitsrelevante Fehlkonfigurationen?

Lösung anzeigen
TESTE DEIN WISSEN

Ursachen sind

  • unsichere Standardkonfigurationen
  • unvollständige oder ad-hoc durchgeführte Konfigurationen
  • ungeschützte Cloud-Speicher
  • Fehlerausgaben, die vertrauliche Daten enthalten
Lösung ausblenden
TESTE DEIN WISSEN

Metazeichenbehandlung

Lösung anzeigen
TESTE DEIN WISSEN
  • Escape-Zeichen
  • Eingabe verwerfen
  • Mechanismen zur Überprüfung von Daten ohne Interpretation
    • prepared statements
    • XML DOM
Lösung ausblenden
TESTE DEIN WISSEN

Filtern und Ungültige Eingaben

Lösung anzeigen
TESTE DEIN WISSEN

Filtern:

  • Drei Kategorien
    • Gut
    • Schlecht
    • Unbekannt
  • Blacklisting: Filtere schlechte Eingaben
  • Whitelisting: Erlaube gute Eingaben


Ungültige Eingaben:

  • Benutzer erzeugt
    • Tippfehler
    • Höflicher Hinweis
    • Neuer Versuch
  • Server erzeugt
    • Absichtlich manipuliert
    • Protokollieren
    • Vorgang abbrechen
Lösung ausblenden
TESTE DEIN WISSEN

Was ist eine Broken Authentication Attack?

Lösung anzeigen
TESTE DEIN WISSEN
  • Fehlerhafte Authentifizierung. 
  • Schwachstelle kann genutzt werden um die Identität anderer Nutzer anzunehmen.
Lösung ausblenden
TESTE DEIN WISSEN

Password Diebstahl

Lösung anzeigen
TESTE DEIN WISSEN
  • Benutzer Name bereits ausgefüllt
  • Phishing Seite
    • Sendet ungültige Anmeldung
    • Anmeldung enthält Skript
  • Anführungszeichen
    • Beenden value vorzeitig
    • Browser führt Skript aus
Lösung ausblenden
TESTE DEIN WISSEN

Protokollieren und Validierung am Client

Lösung anzeigen
TESTE DEIN WISSEN

Protokollieren:

  • POST Parameter nicht im Server Log
  • IP Adressen statt Benutzername
  • Web Anwendung hat Information
  • Erzeuge Logs auf Anwendungsebene


Validierung beim Client:

  • Schnelles Feedback bei Fehleingaben
  • JavaScript kann abgeschaltet sein
  • Web Proxy manipuliert nach Browser
  • Verwende Client seite Skripts nie zu Sicherheitszwecken
Lösung ausblenden
TESTE DEIN WISSEN
Was ist ein Application Proxy (FW)
Lösung anzeigen
TESTE DEIN WISSEN
“Bastion Host“
Simuliert Anwendung
Filtert auch auf Paketinhalt (z.B nur HTTP Post und Get erlaubt)
Schutz für Standard Anwendungen
Web Anwendungen begrenz geeignet
Lösung ausblenden
TESTE DEIN WISSEN

Schlussfolgerung: Was muss man beachten?

Lösung anzeigen
TESTE DEIN WISSEN
  • Daten schützen
  • Fehler vermeiden
  • Fehler erkennen und beseitigen
  • Auswirkungen der Fehler begrenzen
Lösung ausblenden
TESTE DEIN WISSEN
Was sind mögliche Angriffe gegen Passwörter?
Lösung anzeigen
TESTE DEIN WISSEN
  • Probiere alle paswörter (Brute force)
  • Probiere viele wahrscheinliche passwörter
  • Probiere Passwörter, die für den Benutzer wahrscheinlich sind
  • Suche die Liste der PW
  • Frage den Benutzer
Lösung ausblenden
TESTE DEIN WISSEN
Authentisierung mittels Passwort
Lösung anzeigen
TESTE DEIN WISSEN
Benutzer besitzt Passwort (oder Pin), entweder selbst ausgewählt oder vom Anbieter zugeteilt. Authensierung mittels Eingabe von ID und Passwort. Server vergleicht Passwort mit Eintrag in Datenbank (Hash)
Lösung ausblenden
TESTE DEIN WISSEN

Regeln im Umgang mit HTTP-Requests und Responses

Lösung anzeigen
TESTE DEIN WISSEN
  • Benutze POST-Anfragen, wenn Aktionen Seiteneffekte haben.
  • In einem Serverseitigen Kontext gibt es keine Clientseitige Sicherheit
  • Nie den Referer Header für die Authentifizierung oder Autorisierung verwenden. 
    • URL des vorherigen Dokuments sendet Browser automatisch mit -> Information sickert an fremde Sites (auch Parameter)
  • Generiere immer eine neue Session-ID wenn sich ein Benutzer anmeldet
Lösung ausblenden
TESTE DEIN WISSEN

Was ist das Commen Gateway Interface?

Lösung anzeigen
TESTE DEIN WISSEN
  • Skript
    • Wertet Anfragen aus
    • Führt Aktionen aus (Bestellung in DB)
    • Generiert HTML-Antwort
  • Sprachen: sh, Perl, Python, ...
  • Performance Probleme
  • Sicherheitsprobleme
Lösung ausblenden
  • 34823 Karteikarten
  • 1233 Studierende
  • 67 Lernmaterialien

Beispielhafte Karteikarten für deinen WebSecurity Kurs an der Technische Hochschule Nürnberg - von Kommilitonen auf StudySmarter erstellt!

Q:

Was sind Sicherheitsrelevante Fehlkonfigurationen?

A:

Ursachen sind

  • unsichere Standardkonfigurationen
  • unvollständige oder ad-hoc durchgeführte Konfigurationen
  • ungeschützte Cloud-Speicher
  • Fehlerausgaben, die vertrauliche Daten enthalten
Q:

Metazeichenbehandlung

A:
  • Escape-Zeichen
  • Eingabe verwerfen
  • Mechanismen zur Überprüfung von Daten ohne Interpretation
    • prepared statements
    • XML DOM
Q:

Filtern und Ungültige Eingaben

A:

Filtern:

  • Drei Kategorien
    • Gut
    • Schlecht
    • Unbekannt
  • Blacklisting: Filtere schlechte Eingaben
  • Whitelisting: Erlaube gute Eingaben


Ungültige Eingaben:

  • Benutzer erzeugt
    • Tippfehler
    • Höflicher Hinweis
    • Neuer Versuch
  • Server erzeugt
    • Absichtlich manipuliert
    • Protokollieren
    • Vorgang abbrechen
Q:

Was ist eine Broken Authentication Attack?

A:
  • Fehlerhafte Authentifizierung. 
  • Schwachstelle kann genutzt werden um die Identität anderer Nutzer anzunehmen.
Q:

Password Diebstahl

A:
  • Benutzer Name bereits ausgefüllt
  • Phishing Seite
    • Sendet ungültige Anmeldung
    • Anmeldung enthält Skript
  • Anführungszeichen
    • Beenden value vorzeitig
    • Browser führt Skript aus
Mehr Karteikarten anzeigen
Q:

Protokollieren und Validierung am Client

A:

Protokollieren:

  • POST Parameter nicht im Server Log
  • IP Adressen statt Benutzername
  • Web Anwendung hat Information
  • Erzeuge Logs auf Anwendungsebene


Validierung beim Client:

  • Schnelles Feedback bei Fehleingaben
  • JavaScript kann abgeschaltet sein
  • Web Proxy manipuliert nach Browser
  • Verwende Client seite Skripts nie zu Sicherheitszwecken
Q:
Was ist ein Application Proxy (FW)
A:
“Bastion Host“
Simuliert Anwendung
Filtert auch auf Paketinhalt (z.B nur HTTP Post und Get erlaubt)
Schutz für Standard Anwendungen
Web Anwendungen begrenz geeignet
Q:

Schlussfolgerung: Was muss man beachten?

A:
  • Daten schützen
  • Fehler vermeiden
  • Fehler erkennen und beseitigen
  • Auswirkungen der Fehler begrenzen
Q:
Was sind mögliche Angriffe gegen Passwörter?
A:
  • Probiere alle paswörter (Brute force)
  • Probiere viele wahrscheinliche passwörter
  • Probiere Passwörter, die für den Benutzer wahrscheinlich sind
  • Suche die Liste der PW
  • Frage den Benutzer
Q:
Authentisierung mittels Passwort
A:
Benutzer besitzt Passwort (oder Pin), entweder selbst ausgewählt oder vom Anbieter zugeteilt. Authensierung mittels Eingabe von ID und Passwort. Server vergleicht Passwort mit Eintrag in Datenbank (Hash)
Q:

Regeln im Umgang mit HTTP-Requests und Responses

A:
  • Benutze POST-Anfragen, wenn Aktionen Seiteneffekte haben.
  • In einem Serverseitigen Kontext gibt es keine Clientseitige Sicherheit
  • Nie den Referer Header für die Authentifizierung oder Autorisierung verwenden. 
    • URL des vorherigen Dokuments sendet Browser automatisch mit -> Information sickert an fremde Sites (auch Parameter)
  • Generiere immer eine neue Session-ID wenn sich ein Benutzer anmeldet
Q:

Was ist das Commen Gateway Interface?

A:
  • Skript
    • Wertet Anfragen aus
    • Führt Aktionen aus (Bestellung in DB)
    • Generiert HTML-Antwort
  • Sprachen: sh, Perl, Python, ...
  • Performance Probleme
  • Sicherheitsprobleme
WebSecurity

Erstelle und finde Lernmaterialien auf StudySmarter.

Greife kostenlos auf tausende geteilte Karteikarten, Zusammenfassungen, Altklausuren und mehr zu.

Jetzt loslegen

Das sind die beliebtesten StudySmarter Kurse für deinen Studiengang WebSecurity an der Technische Hochschule Nürnberg

Für deinen Studiengang WebSecurity an der Technische Hochschule Nürnberg gibt es bereits viele Kurse, die von deinen Kommilitonen auf StudySmarter erstellt wurden. Karteikarten, Zusammenfassungen, Altklausuren, Übungsaufgaben und mehr warten auf dich!

Das sind die beliebtesten WebSecurity Kurse im gesamten StudySmarter Universum

Security

LMU München

Zum Kurs
IT-Security

Technikum Wien

Zum Kurs

Die all-in-one Lernapp für Studierende

Greife auf Millionen geteilter Lernmaterialien der StudySmarter Community zu
Kostenlos anmelden WebSecurity
Erstelle Karteikarten und Zusammenfassungen mit den StudySmarter Tools
Kostenlos loslegen WebSecurity