Coders Conquer Security: Share & Learn Series - Unrestricted File Uploads
Das Problem der unbeschränkten Dateiuploads ist kein Angriff an sich, sondern eine häufige Situation oder ein Zustand, der Angreifern einen einfachen Zugriff auf Anwendungen und Netzwerkressourcen ermöglicht. Man kann es sich in etwa so vorstellen, als würde man in nasser Kleidung in der Kälte herumlaufen. Das macht Sie zwar nicht unbedingt krank, aber es senkt Ihre Widerstandskraft so weit, dass jeder opportunistische Virus die körpereigenen Abwehrkräfte leicht überwältigen kann.
In der Cybersicherheit können Angreifer schnell jede Anwendung oder jedes Programm ausnutzen, das uneingeschränkte Datei-Uploads unterstützen darf. Und die Folgen können verheerend sein. Clevere Angreifer können ihren uneingeschränkten Zugriff nutzen, um bösartige Dateien hochzuladen, Skripte einzurichten, um Anmeldeinformationen zu stehlen oder tiefere Angriffe auf ein Netzwerk zu starten, indem sie die eigenen Berechtigungen einer Anwendung nutzen. Selbst ein relativ unbedarfter Angreifer könnte diese Art von uneingeschränktem Zugriff nutzen, um Denial-of-Service-Angriffe durchzuführen oder eine Anwendung zum Absturz zu bringen.
Glücklicherweise gibt es eine Reihe von Möglichkeiten, das Problem der unbeschränkten Dateiuploads zu überwinden, die Möchtegern-Angreifer in die Schranken weisen. Zu diesem Zweck werden wir drei Schlüsselaspekte von Unrestricted File Uploads besprechen:
- Wie sie funktionieren
- Warum sie so gefährlich sind
- Wie Sie Abwehrmaßnahmen ergreifen können, um sie zu stoppen.
Wie nutzen Angreifer unbeschränkte Dateiuploads aus?
Es gibt viele Gründe, warum Websites der Öffentlichkeit das Hochladen von Dateien erlauben wollen. Vielleicht sucht ein Unternehmen nach neuen Mitarbeitern und möchte ihnen erlauben, ihren Lebenslauf als Teil des Bewerbungsprozesses hochzuladen. Banken könnten ihre Kunden dazu ermutigen, wichtige Papiere zu Hause auszufüllen, z. B. bei der Beantragung eines Kredits oder eines neuen Kontos. Tourismus- oder Social-Media-Seiten können Benutzer dazu einladen, ihre Fotos hochzuladen, um sie mit anderen zu teilen.
Es gibt viele triftige Gründe, Datei-Uploads zuzulassen. Und standardmäßig werden die meisten neuen Anwendungen wahrscheinlich jede Art von Dateiupload ohne Einschränkungen zulassen. Das Problem beginnt, wenn ein potenzieller Angreifer feststellt, dass es keine Einschränkungen für diese Uploads gibt.
Da es keine Einschränkungen für Uploads gibt, sind Websites drei Arten von Angriffen ausgesetzt. Beginnend mit der am wenigsten ausgefeilten Variante kann ein böswilliger Benutzer einfach riesige Dateien hochladen, z. B. gezippte Archive mit Hunderten von Gigabyte an Informationen. Dies drosselt nicht nur die Bandbreite, sondern kann auch den der Anwendung zugewiesenen Speicherbereich überlasten.
Die nächste Stufe auf der berüchtigten Leiter ist ein Benutzer, der eine bösartige Datei wie einen Virus oder sogar etwas noch Unheimlicheres wie Ransomware hochlädt. Das ist in etwa so wie der alte Aberglaube, dass man einen Vampir ausdrücklich in sein Haus einladen muss. Wenn Sie ein Schild aufhängen, auf dem steht, dass jeder ungehindert eintreten kann, ist das genau so, als ob Sie ungehindert Dateien hochladen könnten. Sie haben keine Kontrolle mehr darüber, was durch Ihre Tür kommt, und Sie sollten wahrscheinlich damit rechnen, dass nicht jeder Besucher oder jede Datei gutartig sein wird. Einige von ihnen könnten Monster sein.
Schließlich kann ein geschickter Angreifer uneingeschränkte Uploads nutzen, um in einem Netzwerk für tiefergehende Angriffe Fuß zu fassen. Da es keine Beschränkungen dafür gibt, was jemand hochladen kann, kann ein Angreifer seine eigene Web-Shell durch diesen Prozess schicken. Danach kann er Befehle in seine Shell senden, und diese Befehle werden auf dem Server mit der gleichen Berechtigungsstufe wie die Anwendung ausgeführt.
Warum ist der uneingeschränkte Dateizugriff so gefährlich?
Die Bereitstellung einer Anwendung mit uneingeschränktem Dateizugriff ist zwar nicht sofort gefährlich, aber es ist im Grunde so, als ob Sie eine Lücke in Ihrer Cybersicherheitsverteidigung öffnen und jemanden einladen, Ihr Unternehmen anzugreifen. Früher oder später wird jemand darauf reagieren.
Auf der einfachsten Ebene brauchen Angreifer nicht einmal viel Geschick, um Schaden anzurichten. Es reicht schon aus, extrem große Dateien zu komprimieren und hochzuladen, um berechtigten Benutzern den Dienst zu verweigern. Mit der Zeit kann es sogar die Anwendung oder eine ganze Website zum Absturz bringen, je nachdem, wie die App programmiert und vernetzt ist.
Uneingeschränkter Dateizugriff kann auch ein Loch durch Netzwerk-Firewalls und andere Schutzmaßnahmen öffnen. Es spielt keine Rolle, ob Sie einen Scanner haben, der Ihre eingehenden E-Mails oder die Web-Browsing-Aktivitäten Ihrer Mitarbeiter überprüft, wenn Sie einen Weg für Angreifer geschaffen haben, Malware direkt in Ihr Kernnetzwerk zu laden. Die Malware könnte die Anwendung oder sogar den Server, auf dem sie ausgeführt wird, zum Absturz bringen, obwohl dies wahrscheinlich das bestmögliche Ergebnis ist. Im schlimmsten Fall kann ein wirklich bösartiges Programm wie Ransomware den kompromittierten Server nutzen, um sich auf das gesamte Netzwerk auszubreiten.
Geschicktere Angreifer werden wahrscheinlich nicht so offensichtlich sein, wenn sie eine Anwendung mit uneingeschränktem Dateizugriff ausnutzen. Stattdessen können sie die Schwachstelle nutzen, um die Anwendung zu kompromittieren und auf diese Weise tiefer in das Netzwerk einzudringen, wobei sie sich langsam bewegen und versuchen, eine Entdeckung zu vermeiden. Dies kann geschehen, indem eine Web-Shell oder eine andere Datei vom Typ .exe hochgeladen wird und dann Befehle direkt an diese gesendet werden, sobald sie angekommen ist. Alles, was der Benutzer über seine Shell ausführt, wird normalerweise vom Server ausgeführt, und zwar unter Verwendung der Berechtigungsstufen, die für die Anwendung, die sie hostet, festgelegt sind. Für den Server kommen diese Befehle von der Anwendung und werden wahrscheinlich nicht weiter geprüft oder untersucht.
All das macht die Schwachstelle mit uneingeschränktem Dateizugriff zu einer der gefährlichsten, die Sie in Ihrem Netzwerk haben. Es ist wahrscheinlich nicht die Frage, ob sie ein Problem verursachen wird, sondern wann.
Wie beseitige ich die Sicherheitslücke "Uneingeschränkter Dateizugriff"?
Wie lösen Sie also das Problem des unbeschränkten Dateizugriffs? Der einfachste Weg ist, einfach eine oder mehrere Einschränkungen für die Dateitypen, die hochgeladen werden können, hinzuzufügen. Diese können, wenn Sie wollen, dem Benutzer mitgeteilt werden, z. B. dass die Site nur Word- oder Textdateien akzeptiert, oder im Falle einer Bildfreigabe-Site nur .jpgs oder .gifs. Im Backend müssen Sie eine Whitelist mit akzeptablen Dateierweiterungen erstellen und dann alles andere verweigern. Auch die maximale Länge von Dateinamen sollte eingeschränkt werden. Wenn eine Datei Sonderzeichen im Namen hat, die auf den Versuch hinweisen könnten, einen ausführbaren Befehl auszulösen, sollte sie ebenfalls abgelehnt werden.
Zusätzlich zu den Dateitypen und Benennungsregeln sollten Sie auch die maximale Größe der einzelnen Dateien begrenzen. Die maximale Größe sollte vernünftig und angemessen für den Dateityp sein, den die Anwendung sammeln soll. Das könnte eine Obergrenze von 10 Megabyte oder so für Word-Dateien bedeuten und etwas größer, vielleicht um die 50 Megabyte, für grafische Dateien. Es ist auch möglich, Regeln für die Mindestdateigröße festzulegen, aber nur, wenn der Größenbereich der erwarteten Dateien bekannt ist, was der Fall sein könnte, wenn Benutzer ein bestimmtes Formular ausfüllen und hochladen.
Angreifer können immer noch einen geschickten Weg finden, eine Shell oder ein anderes potenziell bösartiges Programm an den Beschränkungen für Dateityp und -größe vorbei zu schleusen. Um dies zu kompensieren, sollten gesammelte Dateien immer in einem privaten Verzeichnis ohne Ausführungsberechtigung gespeichert werden. Für zusätzliche Sicherheit können Dateien vom System in eine Reihe von Zufallszeichen umbenannt werden. Dies würde verhindern, dass unbefugte Benutzer von außerhalb des Netzwerks nach dem Speicherort der hochgeladenen Datei suchen, wodurch sie möglicherweise einen Einblick in Ihr Netzwerk erhalten. Wenn Sie das tun, müssen Sie jedoch wahrscheinlich eine Tabelle einrichten und pflegen, die die zufälligen Dateinamen mit ihren ursprünglichen Bezeichnungen verknüpft.
Schließlich sollte alles, was über einen Upload im Netzwerk ankommt, von den Abwehrprogrammen, die das Unternehmen für diese Aufgaben verwendet, auf Malware und Viren gescannt werden. Dies fängt vielleicht nicht alles ab, ist aber eine wichtige Sicherheitsebene, mit der bis zu 90 Prozent oder mehr der häufigsten bösartigen Dateien, die versuchen, über einen Dateiupload einzudringen, erkannt werden können.
Einschränkung des Problems des unbeschränkten Dateiuploads
Sobald mehrere Sicherheitsebenen im Backend eingerichtet sind, ist das Problem des unbeschränkten Dateiuploads kein Problem mehr. Sie beseitigen das Problem im Grunde, indem Sie Ihre Dateiuploads einschränken, sodass sie nicht mehr uneingeschränkt sind. Nur gute Dateien werden zugelassen, während alle Vampire und Malware außen vor bleiben.
Als weitere Lektüre können Sie einen Blick auf das OWASP Cheat Sheet"Unrestricted File Upload Prevention" werfen, das einige der häufigsten Probleme umreißt, wenn diese Art von Situation in einem Netzwerk zugelassen wird. Sie können Ihr neu erworbenes Verteidigungswissen auch mit dem kostenlosen Showcase der Plattform Secure Code Warrior auf die Probe stellen, die Cybersecurity-Teams zu den ultimativen Cyberkriegern ausbildet. Um mehr über das Besiegen dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Denken Sie, dass Sie jetzt bereit sind, diese Schwachstelle zu bekämpfen? Begeben Sie sich auf das Schlachtfeld und testen Sie Ihre Fähigkeiten:
In der Cybersicherheit können Angreifer schnell jede Anwendung oder jedes Programm ausnutzen, das uneingeschränkte Datei-Uploads unterstützen darf. Und die Folgen können verheerend sein.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Das Problem der unbeschränkten Dateiuploads ist kein Angriff an sich, sondern eine häufige Situation oder ein Zustand, der Angreifern einen einfachen Zugriff auf Anwendungen und Netzwerkressourcen ermöglicht. Man kann es sich in etwa so vorstellen, als würde man in nasser Kleidung in der Kälte herumlaufen. Das macht Sie zwar nicht unbedingt krank, aber es senkt Ihre Widerstandskraft so weit, dass jeder opportunistische Virus die körpereigenen Abwehrkräfte leicht überwältigen kann.
In der Cybersicherheit können Angreifer schnell jede Anwendung oder jedes Programm ausnutzen, das uneingeschränkte Datei-Uploads unterstützen darf. Und die Folgen können verheerend sein. Clevere Angreifer können ihren uneingeschränkten Zugriff nutzen, um bösartige Dateien hochzuladen, Skripte einzurichten, um Anmeldeinformationen zu stehlen oder tiefere Angriffe auf ein Netzwerk zu starten, indem sie die eigenen Berechtigungen einer Anwendung nutzen. Selbst ein relativ unbedarfter Angreifer könnte diese Art von uneingeschränktem Zugriff nutzen, um Denial-of-Service-Angriffe durchzuführen oder eine Anwendung zum Absturz zu bringen.
Glücklicherweise gibt es eine Reihe von Möglichkeiten, das Problem der unbeschränkten Dateiuploads zu überwinden, die Möchtegern-Angreifer in die Schranken weisen. Zu diesem Zweck werden wir drei Schlüsselaspekte von Unrestricted File Uploads besprechen:
- Wie sie funktionieren
- Warum sie so gefährlich sind
- Wie Sie Abwehrmaßnahmen ergreifen können, um sie zu stoppen.
Wie nutzen Angreifer unbeschränkte Dateiuploads aus?
Es gibt viele Gründe, warum Websites der Öffentlichkeit das Hochladen von Dateien erlauben wollen. Vielleicht sucht ein Unternehmen nach neuen Mitarbeitern und möchte ihnen erlauben, ihren Lebenslauf als Teil des Bewerbungsprozesses hochzuladen. Banken könnten ihre Kunden dazu ermutigen, wichtige Papiere zu Hause auszufüllen, z. B. bei der Beantragung eines Kredits oder eines neuen Kontos. Tourismus- oder Social-Media-Seiten können Benutzer dazu einladen, ihre Fotos hochzuladen, um sie mit anderen zu teilen.
Es gibt viele triftige Gründe, Datei-Uploads zuzulassen. Und standardmäßig werden die meisten neuen Anwendungen wahrscheinlich jede Art von Dateiupload ohne Einschränkungen zulassen. Das Problem beginnt, wenn ein potenzieller Angreifer feststellt, dass es keine Einschränkungen für diese Uploads gibt.
Da es keine Einschränkungen für Uploads gibt, sind Websites drei Arten von Angriffen ausgesetzt. Beginnend mit der am wenigsten ausgefeilten Variante kann ein böswilliger Benutzer einfach riesige Dateien hochladen, z. B. gezippte Archive mit Hunderten von Gigabyte an Informationen. Dies drosselt nicht nur die Bandbreite, sondern kann auch den der Anwendung zugewiesenen Speicherbereich überlasten.
Die nächste Stufe auf der berüchtigten Leiter ist ein Benutzer, der eine bösartige Datei wie einen Virus oder sogar etwas noch Unheimlicheres wie Ransomware hochlädt. Das ist in etwa so wie der alte Aberglaube, dass man einen Vampir ausdrücklich in sein Haus einladen muss. Wenn Sie ein Schild aufhängen, auf dem steht, dass jeder ungehindert eintreten kann, ist das genau so, als ob Sie ungehindert Dateien hochladen könnten. Sie haben keine Kontrolle mehr darüber, was durch Ihre Tür kommt, und Sie sollten wahrscheinlich damit rechnen, dass nicht jeder Besucher oder jede Datei gutartig sein wird. Einige von ihnen könnten Monster sein.
Schließlich kann ein geschickter Angreifer uneingeschränkte Uploads nutzen, um in einem Netzwerk für tiefergehende Angriffe Fuß zu fassen. Da es keine Beschränkungen dafür gibt, was jemand hochladen kann, kann ein Angreifer seine eigene Web-Shell durch diesen Prozess schicken. Danach kann er Befehle in seine Shell senden, und diese Befehle werden auf dem Server mit der gleichen Berechtigungsstufe wie die Anwendung ausgeführt.
Warum ist der uneingeschränkte Dateizugriff so gefährlich?
Die Bereitstellung einer Anwendung mit uneingeschränktem Dateizugriff ist zwar nicht sofort gefährlich, aber es ist im Grunde so, als ob Sie eine Lücke in Ihrer Cybersicherheitsverteidigung öffnen und jemanden einladen, Ihr Unternehmen anzugreifen. Früher oder später wird jemand darauf reagieren.
Auf der einfachsten Ebene brauchen Angreifer nicht einmal viel Geschick, um Schaden anzurichten. Es reicht schon aus, extrem große Dateien zu komprimieren und hochzuladen, um berechtigten Benutzern den Dienst zu verweigern. Mit der Zeit kann es sogar die Anwendung oder eine ganze Website zum Absturz bringen, je nachdem, wie die App programmiert und vernetzt ist.
Uneingeschränkter Dateizugriff kann auch ein Loch durch Netzwerk-Firewalls und andere Schutzmaßnahmen öffnen. Es spielt keine Rolle, ob Sie einen Scanner haben, der Ihre eingehenden E-Mails oder die Web-Browsing-Aktivitäten Ihrer Mitarbeiter überprüft, wenn Sie einen Weg für Angreifer geschaffen haben, Malware direkt in Ihr Kernnetzwerk zu laden. Die Malware könnte die Anwendung oder sogar den Server, auf dem sie ausgeführt wird, zum Absturz bringen, obwohl dies wahrscheinlich das bestmögliche Ergebnis ist. Im schlimmsten Fall kann ein wirklich bösartiges Programm wie Ransomware den kompromittierten Server nutzen, um sich auf das gesamte Netzwerk auszubreiten.
Geschicktere Angreifer werden wahrscheinlich nicht so offensichtlich sein, wenn sie eine Anwendung mit uneingeschränktem Dateizugriff ausnutzen. Stattdessen können sie die Schwachstelle nutzen, um die Anwendung zu kompromittieren und auf diese Weise tiefer in das Netzwerk einzudringen, wobei sie sich langsam bewegen und versuchen, eine Entdeckung zu vermeiden. Dies kann geschehen, indem eine Web-Shell oder eine andere Datei vom Typ .exe hochgeladen wird und dann Befehle direkt an diese gesendet werden, sobald sie angekommen ist. Alles, was der Benutzer über seine Shell ausführt, wird normalerweise vom Server ausgeführt, und zwar unter Verwendung der Berechtigungsstufen, die für die Anwendung, die sie hostet, festgelegt sind. Für den Server kommen diese Befehle von der Anwendung und werden wahrscheinlich nicht weiter geprüft oder untersucht.
All das macht die Schwachstelle mit uneingeschränktem Dateizugriff zu einer der gefährlichsten, die Sie in Ihrem Netzwerk haben. Es ist wahrscheinlich nicht die Frage, ob sie ein Problem verursachen wird, sondern wann.
Wie beseitige ich die Sicherheitslücke "Uneingeschränkter Dateizugriff"?
Wie lösen Sie also das Problem des unbeschränkten Dateizugriffs? Der einfachste Weg ist, einfach eine oder mehrere Einschränkungen für die Dateitypen, die hochgeladen werden können, hinzuzufügen. Diese können, wenn Sie wollen, dem Benutzer mitgeteilt werden, z. B. dass die Site nur Word- oder Textdateien akzeptiert, oder im Falle einer Bildfreigabe-Site nur .jpgs oder .gifs. Im Backend müssen Sie eine Whitelist mit akzeptablen Dateierweiterungen erstellen und dann alles andere verweigern. Auch die maximale Länge von Dateinamen sollte eingeschränkt werden. Wenn eine Datei Sonderzeichen im Namen hat, die auf den Versuch hinweisen könnten, einen ausführbaren Befehl auszulösen, sollte sie ebenfalls abgelehnt werden.
Zusätzlich zu den Dateitypen und Benennungsregeln sollten Sie auch die maximale Größe der einzelnen Dateien begrenzen. Die maximale Größe sollte vernünftig und angemessen für den Dateityp sein, den die Anwendung sammeln soll. Das könnte eine Obergrenze von 10 Megabyte oder so für Word-Dateien bedeuten und etwas größer, vielleicht um die 50 Megabyte, für grafische Dateien. Es ist auch möglich, Regeln für die Mindestdateigröße festzulegen, aber nur, wenn der Größenbereich der erwarteten Dateien bekannt ist, was der Fall sein könnte, wenn Benutzer ein bestimmtes Formular ausfüllen und hochladen.
Angreifer können immer noch einen geschickten Weg finden, eine Shell oder ein anderes potenziell bösartiges Programm an den Beschränkungen für Dateityp und -größe vorbei zu schleusen. Um dies zu kompensieren, sollten gesammelte Dateien immer in einem privaten Verzeichnis ohne Ausführungsberechtigung gespeichert werden. Für zusätzliche Sicherheit können Dateien vom System in eine Reihe von Zufallszeichen umbenannt werden. Dies würde verhindern, dass unbefugte Benutzer von außerhalb des Netzwerks nach dem Speicherort der hochgeladenen Datei suchen, wodurch sie möglicherweise einen Einblick in Ihr Netzwerk erhalten. Wenn Sie das tun, müssen Sie jedoch wahrscheinlich eine Tabelle einrichten und pflegen, die die zufälligen Dateinamen mit ihren ursprünglichen Bezeichnungen verknüpft.
Schließlich sollte alles, was über einen Upload im Netzwerk ankommt, von den Abwehrprogrammen, die das Unternehmen für diese Aufgaben verwendet, auf Malware und Viren gescannt werden. Dies fängt vielleicht nicht alles ab, ist aber eine wichtige Sicherheitsebene, mit der bis zu 90 Prozent oder mehr der häufigsten bösartigen Dateien, die versuchen, über einen Dateiupload einzudringen, erkannt werden können.
Einschränkung des Problems des unbeschränkten Dateiuploads
Sobald mehrere Sicherheitsebenen im Backend eingerichtet sind, ist das Problem des unbeschränkten Dateiuploads kein Problem mehr. Sie beseitigen das Problem im Grunde, indem Sie Ihre Dateiuploads einschränken, sodass sie nicht mehr uneingeschränkt sind. Nur gute Dateien werden zugelassen, während alle Vampire und Malware außen vor bleiben.
Als weitere Lektüre können Sie einen Blick auf das OWASP Cheat Sheet"Unrestricted File Upload Prevention" werfen, das einige der häufigsten Probleme umreißt, wenn diese Art von Situation in einem Netzwerk zugelassen wird. Sie können Ihr neu erworbenes Verteidigungswissen auch mit dem kostenlosen Showcase der Plattform Secure Code Warrior auf die Probe stellen, die Cybersecurity-Teams zu den ultimativen Cyberkriegern ausbildet. Um mehr über das Besiegen dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Denken Sie, dass Sie jetzt bereit sind, diese Schwachstelle zu bekämpfen? Begeben Sie sich auf das Schlachtfeld und testen Sie Ihre Fähigkeiten:
Das Problem der unbeschränkten Dateiuploads ist kein Angriff an sich, sondern eine häufige Situation oder ein Zustand, der Angreifern einen einfachen Zugriff auf Anwendungen und Netzwerkressourcen ermöglicht. Man kann es sich in etwa so vorstellen, als würde man in nasser Kleidung in der Kälte herumlaufen. Das macht Sie zwar nicht unbedingt krank, aber es senkt Ihre Widerstandskraft so weit, dass jeder opportunistische Virus die körpereigenen Abwehrkräfte leicht überwältigen kann.
In der Cybersicherheit können Angreifer schnell jede Anwendung oder jedes Programm ausnutzen, das uneingeschränkte Datei-Uploads unterstützen darf. Und die Folgen können verheerend sein. Clevere Angreifer können ihren uneingeschränkten Zugriff nutzen, um bösartige Dateien hochzuladen, Skripte einzurichten, um Anmeldeinformationen zu stehlen oder tiefere Angriffe auf ein Netzwerk zu starten, indem sie die eigenen Berechtigungen einer Anwendung nutzen. Selbst ein relativ unbedarfter Angreifer könnte diese Art von uneingeschränktem Zugriff nutzen, um Denial-of-Service-Angriffe durchzuführen oder eine Anwendung zum Absturz zu bringen.
Glücklicherweise gibt es eine Reihe von Möglichkeiten, das Problem der unbeschränkten Dateiuploads zu überwinden, die Möchtegern-Angreifer in die Schranken weisen. Zu diesem Zweck werden wir drei Schlüsselaspekte von Unrestricted File Uploads besprechen:
- Wie sie funktionieren
- Warum sie so gefährlich sind
- Wie Sie Abwehrmaßnahmen ergreifen können, um sie zu stoppen.
Wie nutzen Angreifer unbeschränkte Dateiuploads aus?
Es gibt viele Gründe, warum Websites der Öffentlichkeit das Hochladen von Dateien erlauben wollen. Vielleicht sucht ein Unternehmen nach neuen Mitarbeitern und möchte ihnen erlauben, ihren Lebenslauf als Teil des Bewerbungsprozesses hochzuladen. Banken könnten ihre Kunden dazu ermutigen, wichtige Papiere zu Hause auszufüllen, z. B. bei der Beantragung eines Kredits oder eines neuen Kontos. Tourismus- oder Social-Media-Seiten können Benutzer dazu einladen, ihre Fotos hochzuladen, um sie mit anderen zu teilen.
Es gibt viele triftige Gründe, Datei-Uploads zuzulassen. Und standardmäßig werden die meisten neuen Anwendungen wahrscheinlich jede Art von Dateiupload ohne Einschränkungen zulassen. Das Problem beginnt, wenn ein potenzieller Angreifer feststellt, dass es keine Einschränkungen für diese Uploads gibt.
Da es keine Einschränkungen für Uploads gibt, sind Websites drei Arten von Angriffen ausgesetzt. Beginnend mit der am wenigsten ausgefeilten Variante kann ein böswilliger Benutzer einfach riesige Dateien hochladen, z. B. gezippte Archive mit Hunderten von Gigabyte an Informationen. Dies drosselt nicht nur die Bandbreite, sondern kann auch den der Anwendung zugewiesenen Speicherbereich überlasten.
Die nächste Stufe auf der berüchtigten Leiter ist ein Benutzer, der eine bösartige Datei wie einen Virus oder sogar etwas noch Unheimlicheres wie Ransomware hochlädt. Das ist in etwa so wie der alte Aberglaube, dass man einen Vampir ausdrücklich in sein Haus einladen muss. Wenn Sie ein Schild aufhängen, auf dem steht, dass jeder ungehindert eintreten kann, ist das genau so, als ob Sie ungehindert Dateien hochladen könnten. Sie haben keine Kontrolle mehr darüber, was durch Ihre Tür kommt, und Sie sollten wahrscheinlich damit rechnen, dass nicht jeder Besucher oder jede Datei gutartig sein wird. Einige von ihnen könnten Monster sein.
Schließlich kann ein geschickter Angreifer uneingeschränkte Uploads nutzen, um in einem Netzwerk für tiefergehende Angriffe Fuß zu fassen. Da es keine Beschränkungen dafür gibt, was jemand hochladen kann, kann ein Angreifer seine eigene Web-Shell durch diesen Prozess schicken. Danach kann er Befehle in seine Shell senden, und diese Befehle werden auf dem Server mit der gleichen Berechtigungsstufe wie die Anwendung ausgeführt.
Warum ist der uneingeschränkte Dateizugriff so gefährlich?
Die Bereitstellung einer Anwendung mit uneingeschränktem Dateizugriff ist zwar nicht sofort gefährlich, aber es ist im Grunde so, als ob Sie eine Lücke in Ihrer Cybersicherheitsverteidigung öffnen und jemanden einladen, Ihr Unternehmen anzugreifen. Früher oder später wird jemand darauf reagieren.
Auf der einfachsten Ebene brauchen Angreifer nicht einmal viel Geschick, um Schaden anzurichten. Es reicht schon aus, extrem große Dateien zu komprimieren und hochzuladen, um berechtigten Benutzern den Dienst zu verweigern. Mit der Zeit kann es sogar die Anwendung oder eine ganze Website zum Absturz bringen, je nachdem, wie die App programmiert und vernetzt ist.
Uneingeschränkter Dateizugriff kann auch ein Loch durch Netzwerk-Firewalls und andere Schutzmaßnahmen öffnen. Es spielt keine Rolle, ob Sie einen Scanner haben, der Ihre eingehenden E-Mails oder die Web-Browsing-Aktivitäten Ihrer Mitarbeiter überprüft, wenn Sie einen Weg für Angreifer geschaffen haben, Malware direkt in Ihr Kernnetzwerk zu laden. Die Malware könnte die Anwendung oder sogar den Server, auf dem sie ausgeführt wird, zum Absturz bringen, obwohl dies wahrscheinlich das bestmögliche Ergebnis ist. Im schlimmsten Fall kann ein wirklich bösartiges Programm wie Ransomware den kompromittierten Server nutzen, um sich auf das gesamte Netzwerk auszubreiten.
Geschicktere Angreifer werden wahrscheinlich nicht so offensichtlich sein, wenn sie eine Anwendung mit uneingeschränktem Dateizugriff ausnutzen. Stattdessen können sie die Schwachstelle nutzen, um die Anwendung zu kompromittieren und auf diese Weise tiefer in das Netzwerk einzudringen, wobei sie sich langsam bewegen und versuchen, eine Entdeckung zu vermeiden. Dies kann geschehen, indem eine Web-Shell oder eine andere Datei vom Typ .exe hochgeladen wird und dann Befehle direkt an diese gesendet werden, sobald sie angekommen ist. Alles, was der Benutzer über seine Shell ausführt, wird normalerweise vom Server ausgeführt, und zwar unter Verwendung der Berechtigungsstufen, die für die Anwendung, die sie hostet, festgelegt sind. Für den Server kommen diese Befehle von der Anwendung und werden wahrscheinlich nicht weiter geprüft oder untersucht.
All das macht die Schwachstelle mit uneingeschränktem Dateizugriff zu einer der gefährlichsten, die Sie in Ihrem Netzwerk haben. Es ist wahrscheinlich nicht die Frage, ob sie ein Problem verursachen wird, sondern wann.
Wie beseitige ich die Sicherheitslücke "Uneingeschränkter Dateizugriff"?
Wie lösen Sie also das Problem des unbeschränkten Dateizugriffs? Der einfachste Weg ist, einfach eine oder mehrere Einschränkungen für die Dateitypen, die hochgeladen werden können, hinzuzufügen. Diese können, wenn Sie wollen, dem Benutzer mitgeteilt werden, z. B. dass die Site nur Word- oder Textdateien akzeptiert, oder im Falle einer Bildfreigabe-Site nur .jpgs oder .gifs. Im Backend müssen Sie eine Whitelist mit akzeptablen Dateierweiterungen erstellen und dann alles andere verweigern. Auch die maximale Länge von Dateinamen sollte eingeschränkt werden. Wenn eine Datei Sonderzeichen im Namen hat, die auf den Versuch hinweisen könnten, einen ausführbaren Befehl auszulösen, sollte sie ebenfalls abgelehnt werden.
Zusätzlich zu den Dateitypen und Benennungsregeln sollten Sie auch die maximale Größe der einzelnen Dateien begrenzen. Die maximale Größe sollte vernünftig und angemessen für den Dateityp sein, den die Anwendung sammeln soll. Das könnte eine Obergrenze von 10 Megabyte oder so für Word-Dateien bedeuten und etwas größer, vielleicht um die 50 Megabyte, für grafische Dateien. Es ist auch möglich, Regeln für die Mindestdateigröße festzulegen, aber nur, wenn der Größenbereich der erwarteten Dateien bekannt ist, was der Fall sein könnte, wenn Benutzer ein bestimmtes Formular ausfüllen und hochladen.
Angreifer können immer noch einen geschickten Weg finden, eine Shell oder ein anderes potenziell bösartiges Programm an den Beschränkungen für Dateityp und -größe vorbei zu schleusen. Um dies zu kompensieren, sollten gesammelte Dateien immer in einem privaten Verzeichnis ohne Ausführungsberechtigung gespeichert werden. Für zusätzliche Sicherheit können Dateien vom System in eine Reihe von Zufallszeichen umbenannt werden. Dies würde verhindern, dass unbefugte Benutzer von außerhalb des Netzwerks nach dem Speicherort der hochgeladenen Datei suchen, wodurch sie möglicherweise einen Einblick in Ihr Netzwerk erhalten. Wenn Sie das tun, müssen Sie jedoch wahrscheinlich eine Tabelle einrichten und pflegen, die die zufälligen Dateinamen mit ihren ursprünglichen Bezeichnungen verknüpft.
Schließlich sollte alles, was über einen Upload im Netzwerk ankommt, von den Abwehrprogrammen, die das Unternehmen für diese Aufgaben verwendet, auf Malware und Viren gescannt werden. Dies fängt vielleicht nicht alles ab, ist aber eine wichtige Sicherheitsebene, mit der bis zu 90 Prozent oder mehr der häufigsten bösartigen Dateien, die versuchen, über einen Dateiupload einzudringen, erkannt werden können.
Einschränkung des Problems des unbeschränkten Dateiuploads
Sobald mehrere Sicherheitsebenen im Backend eingerichtet sind, ist das Problem des unbeschränkten Dateiuploads kein Problem mehr. Sie beseitigen das Problem im Grunde, indem Sie Ihre Dateiuploads einschränken, sodass sie nicht mehr uneingeschränkt sind. Nur gute Dateien werden zugelassen, während alle Vampire und Malware außen vor bleiben.
Als weitere Lektüre können Sie einen Blick auf das OWASP Cheat Sheet"Unrestricted File Upload Prevention" werfen, das einige der häufigsten Probleme umreißt, wenn diese Art von Situation in einem Netzwerk zugelassen wird. Sie können Ihr neu erworbenes Verteidigungswissen auch mit dem kostenlosen Showcase der Plattform Secure Code Warrior auf die Probe stellen, die Cybersecurity-Teams zu den ultimativen Cyberkriegern ausbildet. Um mehr über das Besiegen dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Denken Sie, dass Sie jetzt bereit sind, diese Schwachstelle zu bekämpfen? Begeben Sie sich auf das Schlachtfeld und testen Sie Ihre Fähigkeiten:
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Das Problem der unbeschränkten Dateiuploads ist kein Angriff an sich, sondern eine häufige Situation oder ein Zustand, der Angreifern einen einfachen Zugriff auf Anwendungen und Netzwerkressourcen ermöglicht. Man kann es sich in etwa so vorstellen, als würde man in nasser Kleidung in der Kälte herumlaufen. Das macht Sie zwar nicht unbedingt krank, aber es senkt Ihre Widerstandskraft so weit, dass jeder opportunistische Virus die körpereigenen Abwehrkräfte leicht überwältigen kann.
In der Cybersicherheit können Angreifer schnell jede Anwendung oder jedes Programm ausnutzen, das uneingeschränkte Datei-Uploads unterstützen darf. Und die Folgen können verheerend sein. Clevere Angreifer können ihren uneingeschränkten Zugriff nutzen, um bösartige Dateien hochzuladen, Skripte einzurichten, um Anmeldeinformationen zu stehlen oder tiefere Angriffe auf ein Netzwerk zu starten, indem sie die eigenen Berechtigungen einer Anwendung nutzen. Selbst ein relativ unbedarfter Angreifer könnte diese Art von uneingeschränktem Zugriff nutzen, um Denial-of-Service-Angriffe durchzuführen oder eine Anwendung zum Absturz zu bringen.
Glücklicherweise gibt es eine Reihe von Möglichkeiten, das Problem der unbeschränkten Dateiuploads zu überwinden, die Möchtegern-Angreifer in die Schranken weisen. Zu diesem Zweck werden wir drei Schlüsselaspekte von Unrestricted File Uploads besprechen:
- Wie sie funktionieren
- Warum sie so gefährlich sind
- Wie Sie Abwehrmaßnahmen ergreifen können, um sie zu stoppen.
Wie nutzen Angreifer unbeschränkte Dateiuploads aus?
Es gibt viele Gründe, warum Websites der Öffentlichkeit das Hochladen von Dateien erlauben wollen. Vielleicht sucht ein Unternehmen nach neuen Mitarbeitern und möchte ihnen erlauben, ihren Lebenslauf als Teil des Bewerbungsprozesses hochzuladen. Banken könnten ihre Kunden dazu ermutigen, wichtige Papiere zu Hause auszufüllen, z. B. bei der Beantragung eines Kredits oder eines neuen Kontos. Tourismus- oder Social-Media-Seiten können Benutzer dazu einladen, ihre Fotos hochzuladen, um sie mit anderen zu teilen.
Es gibt viele triftige Gründe, Datei-Uploads zuzulassen. Und standardmäßig werden die meisten neuen Anwendungen wahrscheinlich jede Art von Dateiupload ohne Einschränkungen zulassen. Das Problem beginnt, wenn ein potenzieller Angreifer feststellt, dass es keine Einschränkungen für diese Uploads gibt.
Da es keine Einschränkungen für Uploads gibt, sind Websites drei Arten von Angriffen ausgesetzt. Beginnend mit der am wenigsten ausgefeilten Variante kann ein böswilliger Benutzer einfach riesige Dateien hochladen, z. B. gezippte Archive mit Hunderten von Gigabyte an Informationen. Dies drosselt nicht nur die Bandbreite, sondern kann auch den der Anwendung zugewiesenen Speicherbereich überlasten.
Die nächste Stufe auf der berüchtigten Leiter ist ein Benutzer, der eine bösartige Datei wie einen Virus oder sogar etwas noch Unheimlicheres wie Ransomware hochlädt. Das ist in etwa so wie der alte Aberglaube, dass man einen Vampir ausdrücklich in sein Haus einladen muss. Wenn Sie ein Schild aufhängen, auf dem steht, dass jeder ungehindert eintreten kann, ist das genau so, als ob Sie ungehindert Dateien hochladen könnten. Sie haben keine Kontrolle mehr darüber, was durch Ihre Tür kommt, und Sie sollten wahrscheinlich damit rechnen, dass nicht jeder Besucher oder jede Datei gutartig sein wird. Einige von ihnen könnten Monster sein.
Schließlich kann ein geschickter Angreifer uneingeschränkte Uploads nutzen, um in einem Netzwerk für tiefergehende Angriffe Fuß zu fassen. Da es keine Beschränkungen dafür gibt, was jemand hochladen kann, kann ein Angreifer seine eigene Web-Shell durch diesen Prozess schicken. Danach kann er Befehle in seine Shell senden, und diese Befehle werden auf dem Server mit der gleichen Berechtigungsstufe wie die Anwendung ausgeführt.
Warum ist der uneingeschränkte Dateizugriff so gefährlich?
Die Bereitstellung einer Anwendung mit uneingeschränktem Dateizugriff ist zwar nicht sofort gefährlich, aber es ist im Grunde so, als ob Sie eine Lücke in Ihrer Cybersicherheitsverteidigung öffnen und jemanden einladen, Ihr Unternehmen anzugreifen. Früher oder später wird jemand darauf reagieren.
Auf der einfachsten Ebene brauchen Angreifer nicht einmal viel Geschick, um Schaden anzurichten. Es reicht schon aus, extrem große Dateien zu komprimieren und hochzuladen, um berechtigten Benutzern den Dienst zu verweigern. Mit der Zeit kann es sogar die Anwendung oder eine ganze Website zum Absturz bringen, je nachdem, wie die App programmiert und vernetzt ist.
Uneingeschränkter Dateizugriff kann auch ein Loch durch Netzwerk-Firewalls und andere Schutzmaßnahmen öffnen. Es spielt keine Rolle, ob Sie einen Scanner haben, der Ihre eingehenden E-Mails oder die Web-Browsing-Aktivitäten Ihrer Mitarbeiter überprüft, wenn Sie einen Weg für Angreifer geschaffen haben, Malware direkt in Ihr Kernnetzwerk zu laden. Die Malware könnte die Anwendung oder sogar den Server, auf dem sie ausgeführt wird, zum Absturz bringen, obwohl dies wahrscheinlich das bestmögliche Ergebnis ist. Im schlimmsten Fall kann ein wirklich bösartiges Programm wie Ransomware den kompromittierten Server nutzen, um sich auf das gesamte Netzwerk auszubreiten.
Geschicktere Angreifer werden wahrscheinlich nicht so offensichtlich sein, wenn sie eine Anwendung mit uneingeschränktem Dateizugriff ausnutzen. Stattdessen können sie die Schwachstelle nutzen, um die Anwendung zu kompromittieren und auf diese Weise tiefer in das Netzwerk einzudringen, wobei sie sich langsam bewegen und versuchen, eine Entdeckung zu vermeiden. Dies kann geschehen, indem eine Web-Shell oder eine andere Datei vom Typ .exe hochgeladen wird und dann Befehle direkt an diese gesendet werden, sobald sie angekommen ist. Alles, was der Benutzer über seine Shell ausführt, wird normalerweise vom Server ausgeführt, und zwar unter Verwendung der Berechtigungsstufen, die für die Anwendung, die sie hostet, festgelegt sind. Für den Server kommen diese Befehle von der Anwendung und werden wahrscheinlich nicht weiter geprüft oder untersucht.
All das macht die Schwachstelle mit uneingeschränktem Dateizugriff zu einer der gefährlichsten, die Sie in Ihrem Netzwerk haben. Es ist wahrscheinlich nicht die Frage, ob sie ein Problem verursachen wird, sondern wann.
Wie beseitige ich die Sicherheitslücke "Uneingeschränkter Dateizugriff"?
Wie lösen Sie also das Problem des unbeschränkten Dateizugriffs? Der einfachste Weg ist, einfach eine oder mehrere Einschränkungen für die Dateitypen, die hochgeladen werden können, hinzuzufügen. Diese können, wenn Sie wollen, dem Benutzer mitgeteilt werden, z. B. dass die Site nur Word- oder Textdateien akzeptiert, oder im Falle einer Bildfreigabe-Site nur .jpgs oder .gifs. Im Backend müssen Sie eine Whitelist mit akzeptablen Dateierweiterungen erstellen und dann alles andere verweigern. Auch die maximale Länge von Dateinamen sollte eingeschränkt werden. Wenn eine Datei Sonderzeichen im Namen hat, die auf den Versuch hinweisen könnten, einen ausführbaren Befehl auszulösen, sollte sie ebenfalls abgelehnt werden.
Zusätzlich zu den Dateitypen und Benennungsregeln sollten Sie auch die maximale Größe der einzelnen Dateien begrenzen. Die maximale Größe sollte vernünftig und angemessen für den Dateityp sein, den die Anwendung sammeln soll. Das könnte eine Obergrenze von 10 Megabyte oder so für Word-Dateien bedeuten und etwas größer, vielleicht um die 50 Megabyte, für grafische Dateien. Es ist auch möglich, Regeln für die Mindestdateigröße festzulegen, aber nur, wenn der Größenbereich der erwarteten Dateien bekannt ist, was der Fall sein könnte, wenn Benutzer ein bestimmtes Formular ausfüllen und hochladen.
Angreifer können immer noch einen geschickten Weg finden, eine Shell oder ein anderes potenziell bösartiges Programm an den Beschränkungen für Dateityp und -größe vorbei zu schleusen. Um dies zu kompensieren, sollten gesammelte Dateien immer in einem privaten Verzeichnis ohne Ausführungsberechtigung gespeichert werden. Für zusätzliche Sicherheit können Dateien vom System in eine Reihe von Zufallszeichen umbenannt werden. Dies würde verhindern, dass unbefugte Benutzer von außerhalb des Netzwerks nach dem Speicherort der hochgeladenen Datei suchen, wodurch sie möglicherweise einen Einblick in Ihr Netzwerk erhalten. Wenn Sie das tun, müssen Sie jedoch wahrscheinlich eine Tabelle einrichten und pflegen, die die zufälligen Dateinamen mit ihren ursprünglichen Bezeichnungen verknüpft.
Schließlich sollte alles, was über einen Upload im Netzwerk ankommt, von den Abwehrprogrammen, die das Unternehmen für diese Aufgaben verwendet, auf Malware und Viren gescannt werden. Dies fängt vielleicht nicht alles ab, ist aber eine wichtige Sicherheitsebene, mit der bis zu 90 Prozent oder mehr der häufigsten bösartigen Dateien, die versuchen, über einen Dateiupload einzudringen, erkannt werden können.
Einschränkung des Problems des unbeschränkten Dateiuploads
Sobald mehrere Sicherheitsebenen im Backend eingerichtet sind, ist das Problem des unbeschränkten Dateiuploads kein Problem mehr. Sie beseitigen das Problem im Grunde, indem Sie Ihre Dateiuploads einschränken, sodass sie nicht mehr uneingeschränkt sind. Nur gute Dateien werden zugelassen, während alle Vampire und Malware außen vor bleiben.
Als weitere Lektüre können Sie einen Blick auf das OWASP Cheat Sheet"Unrestricted File Upload Prevention" werfen, das einige der häufigsten Probleme umreißt, wenn diese Art von Situation in einem Netzwerk zugelassen wird. Sie können Ihr neu erworbenes Verteidigungswissen auch mit dem kostenlosen Showcase der Plattform Secure Code Warrior auf die Probe stellen, die Cybersecurity-Teams zu den ultimativen Cyberkriegern ausbildet. Um mehr über das Besiegen dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Denken Sie, dass Sie jetzt bereit sind, diese Schwachstelle zu bekämpfen? Begeben Sie sich auf das Schlachtfeld und testen Sie Ihre Fähigkeiten:
Inhaltsübersicht
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.