Coders Conquer Security: Share & Learn Series - Unzureichende Anti-Automatisierung
Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.
Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.
Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.
In dieser Folge lernen wir:
- Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
- Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Anti-Automation aus?
Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.
Warum ist unzureichende Anti-Automatisierung gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.
Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.
Mehr Informationen über Insufficient Anti-Automation
Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Hier erfahren Sie, wie Sie sie aufhalten können.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.
Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.
Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.
In dieser Folge lernen wir:
- Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
- Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Anti-Automation aus?
Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.
Warum ist unzureichende Anti-Automatisierung gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.
Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.
Mehr Informationen über Insufficient Anti-Automation
Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]
Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.
Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.
Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.
In dieser Folge lernen wir:
- Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
- Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Anti-Automation aus?
Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.
Warum ist unzureichende Anti-Automatisierung gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.
Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.
Mehr Informationen über Insufficient Anti-Automation
Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.
Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.
Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.
In dieser Folge lernen wir:
- Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
- Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Anti-Automation aus?
Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.
Warum ist unzureichende Anti-Automatisierung gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.
Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.
Mehr Informationen über Insufficient Anti-Automation
Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]
Inhaltsübersicht
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.