Coders Conquer Security: Share & Learn Series - Unzureichende Anti-Automatisierung
Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.
Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.
Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.
In dieser Folge lernen wir:
- Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
- Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Anti-Automation aus?
Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.
Warum ist unzureichende Anti-Automatisierung gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.
Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.
Mehr Informationen über Insufficient Anti-Automation
Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Hier erfahren Sie, wie Sie sie aufhalten können.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.
Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.
Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.
In dieser Folge lernen wir:
- Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
- Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Anti-Automation aus?
Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.
Warum ist unzureichende Anti-Automatisierung gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.
Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.
Mehr Informationen über Insufficient Anti-Automation
Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]
Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.
Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.
Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.
In dieser Folge lernen wir:
- Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
- Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Anti-Automation aus?
Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.
Warum ist unzureichende Anti-Automatisierung gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.
Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.
Mehr Informationen über Insufficient Anti-Automation
Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Stellen Sie sich vor, Sie gehen zur Tür einer alten Flüsterkneipe oder eines Underground-Clubs. Das kleine Loch in der Tür gleitet auf und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rät es. Es ist falsch, also lässt der Türsteher ihn nicht hinein.
Das ist das, was normalerweise passieren würde. Nun stellen Sie sich vor, dass der Besucher, der das falsche Passwort erraten hat, es sofort noch einmal versucht, sich irrt und ihm erneut der Zugang verweigert wird. Dann stellen Sie sich vor, dass der potenzielle Besucher das Wörterbuch öffnet und anfängt, Wörter vorzulesen, beginnend mit etwas wie "Erdferkel" und fortfahrend, jedes einzelne mögliche Wort zu versuchen.
Höchstwahrscheinlich würde der Türsteher diese Art von Aktivität nicht zulassen, aber Websites und Anwendungen mit unzureichendem Automatisierungsschutz tun genau das. Sie lassen es zu, dass Benutzer immer wieder Passwörter ausprobieren, sogar unter Verwendung von Automatisierungstechniken, bis sie schließlich über das richtige Schlagwort stolpern.
In dieser Folge lernen wir:
- Wie Angreifer unzureichenden Automatisierungsschutz ausnutzen
- Warum Anwendungen mit unzureichender Anti-Automatisierung gefährlich sind
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Anti-Automation aus?
Der Einsatz von Automatisierungs- oder wörterbuchähnlichen Angriffen, wie sie unser imaginärer Speakeasy-Besucher durchgeführt hat, ist in der Cybersicherheit nicht neu. Tatsächlich waren diese Brute-Force-Angriffe einige der ersten Hackertechniken, die jemals eingesetzt wurden. Und da Computer immer schneller wurden, wurden sie auch immer effizienter. Ein schneller Computer kann ein ganzes Wörterbuch in nur wenigen Minuten durchlaufen, je nach Geschwindigkeit der Verbindung zwischen dem Angriffsrechner und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Sie gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer durchgeführten Aktionen außerhalb der Normen des typischen menschlichen Verhaltens liegen.
Wenn eine Anwendung keine ausreichenden Anti-Automatisierungsprüfungen hat, können Angreifer einfach so lange Passwörter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge zu tun, wie z. B. Spam-Kommentare in Website-Foren.
Warum ist unzureichende Anti-Automatisierung gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, Automatisierung einzusetzen, um zu versuchen, die Sicherheit zu umgehen. Der Grund dafür, dass sich Angriffe vom Typ "Automatisierung" seit den Anfängen der Computertechnik bis heute gehalten haben, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm unbegrenzt viel Zeit geben, um Passwörter ohne Konsequenzen für ein falsches Erraten einzureichen, wird es schließlich das richtige finden.
Wenn sie in einem Forum verwendet werden, können Wellen von offensichtlich geskripteten Kommentaren gültige Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Attacke wirken, indem sie Systemressourcen verschwenden. Automatisiertes Posten könnte auch als Werkzeug für einen Phishing- oder anderen Angriff verwendet werden, um die Köder so vielen Menschen wie möglich zu präsentieren.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Anti-Automatisierung zu beheben, müssen alle Anwendungen in die Lage versetzt werden, festzustellen, ob die durchgeführten Aktionen von einem Menschen oder einer Automatisierungssoftware ausgeführt werden. Eine der populärsten und am weitesten verbreiteten Techniken ist der Completely Automated Public Turing test to tell Computers and Humans Apart, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, der erstmals 1950 von dem Informatiker Alan Turing vorgeschlagen wurde und mit dem menschliches und Computerverhalten getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer aber Schwierigkeiten haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel ist ein Foto, das durch ein Raster getrennt ist und den Benutzer auffordert, alle Sektoren zu identifizieren, auf denen ein bestimmtes Element zu sehen ist, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach er gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn er es könnte, ist die Bilderkennung für die meisten Programme, die nicht speziell dafür entwickelt wurden, nicht möglich.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen Logikfrage oder sogar das laute Abspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, wie z. B. bei der Abfrage eines Passworts, kann Automatisierungsprogramme in ihren Bahnen stoppen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem man einfach die Anzahl der falschen Ratschläge von derselben Quelle begrenzt. Wenn zu viele falsche Schätzungen eingesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt der Nützlichkeit hinaus verzögert wird, oder es könnte sogar ein menschlicher Administrator erforderlich sein, um es zu entsperren. Auf diese Weise sollten Schwachstellen in der Automatisierung innerhalb einer Anwendung vermieden werden.
Mehr Informationen über Insufficient Anti-Automation
Zur weiteren Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Anti-Automatisierung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und einer Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, eine unzureichende Anti-Automatisierung zu finden und zu beheben, jetzt? Testen Sie Ihre Fähigkeiten in unserer Spiel-Arena: [Hier starten]
Inhaltsverzeichnis
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
