Equifax-Sicherheitsprobleme im Jahr 2016 aufgedeckt

Veröffentlicht 12. September 2017
von Matias Madou, Ph.D.
FALLSTUDIE

Equifax-Sicherheitsprobleme im Jahr 2016 aufgedeckt

Veröffentlicht 12. September 2017
von Matias Madou, Ph.D.
Ressource anzeigen
Ressource anzeigen

Die 2016 identifizierten Sicherheitsprobleme auf der Equifax-Website sind immer noch nicht behoben. Es ist ein Schritt, das Problem zu identifizieren, aber es ist eine noch größere Herausforderung, es zu beheben. Es erfordert Zeit und Können, in den Code zurückzugehen, den Kontext zu verstehen und die Probleme zu beheben.

Es ist klar, dass die Entwickler bei Equifax unter großem Stress standen und viele bekannte Sicherheitslücken nicht behoben wurden. Leider hat diese Untätigkeit nun die schlimmstmögliche Reaktion hervorgerufen.

Sicherheit muss von Anfang an eingebaut werden und Entwickler brauchen die Fähigkeiten, das Training und die in-IDE-Tools, um das Schreiben bekannter Schwachstellen zu minimieren. Es erfordert spezifische Sprach- und Framework-Kenntnisse, um die identifizierten Probleme zu beheben. Das allgemeine Prinzip zur Behebung eines XSS-Problems bleibt gleich, die tatsächliche Implementierung ist jedoch von den eingesetzten Frameworks abhängig.

Wenn Sie ein interaktives Training zur Behebung von XSS-Problemen in Struts absolvieren möchten, schauen Sie mal rein: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts

Im Jahr 2016 entdeckte ein Sicherheitsforscher auf der Equifax-Hauptwebsite eine häufige Schwachstelle, die als Cross-Site-Scripting (XSS) bekannt ist, wie ein Forscher namens x0rz in einem Tweet mitteilte. Solche XSS-Fehler ermöglichen es Angreifern, speziell gestaltete Links an Equifax-Kunden zu senden. Wenn die Zielperson darauf klickt und auf der Website eingeloggt ist, können ihr Benutzername und ihr Passwort an den Hacker weitergegeben werden.

https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c

Ressource anzeigen
Ressource anzeigen

Autor

Matias Madou, Ph.D.

Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.

Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Equifax-Sicherheitsprobleme im Jahr 2016 aufgedeckt

Veröffentlicht 12. September 2017
Von Matias Madou, Ph.D.

Die 2016 identifizierten Sicherheitsprobleme auf der Equifax-Website sind immer noch nicht behoben. Es ist ein Schritt, das Problem zu identifizieren, aber es ist eine noch größere Herausforderung, es zu beheben. Es erfordert Zeit und Können, in den Code zurückzugehen, den Kontext zu verstehen und die Probleme zu beheben.

Es ist klar, dass die Entwickler bei Equifax unter großem Stress standen und viele bekannte Sicherheitslücken nicht behoben wurden. Leider hat diese Untätigkeit nun die schlimmstmögliche Reaktion hervorgerufen.

Sicherheit muss von Anfang an eingebaut werden und Entwickler brauchen die Fähigkeiten, das Training und die in-IDE-Tools, um das Schreiben bekannter Schwachstellen zu minimieren. Es erfordert spezifische Sprach- und Framework-Kenntnisse, um die identifizierten Probleme zu beheben. Das allgemeine Prinzip zur Behebung eines XSS-Problems bleibt gleich, die tatsächliche Implementierung ist jedoch von den eingesetzten Frameworks abhängig.

Wenn Sie ein interaktives Training zur Behebung von XSS-Problemen in Struts absolvieren möchten, schauen Sie mal rein: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts

Im Jahr 2016 entdeckte ein Sicherheitsforscher auf der Equifax-Hauptwebsite eine häufige Schwachstelle, die als Cross-Site-Scripting (XSS) bekannt ist, wie ein Forscher namens x0rz in einem Tweet mitteilte. Solche XSS-Fehler ermöglichen es Angreifern, speziell gestaltete Links an Equifax-Kunden zu senden. Wenn die Zielperson darauf klickt und auf der Website eingeloggt ist, können ihr Benutzername und ihr Passwort an den Hacker weitergegeben werden.

https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.