コーダーがセキュリティを征服する:共有と学習シリーズ-リモートファイルインクルージョン
Denjenigen, die diese Blogserie lesen, werden viele Ähnlichkeiten zwischen der Sicherheitsanfälligkeit für die entfernte Dateieinbindung und der zuvor besprochenen Sicherheitsanfälligkeit für die lokale Dateieinbindung und Pfadüberwindung auffallen. Ihre Ursachen sind ähnlich, ebenso wie die empfohlenen Korrekturen.
In vielerlei Hinsicht ist die Sicherheitslücke bei der Einbindung entfernter Dateien viel gefährlicher und auch leichter auszunutzen als ihr Gegenstück bei lokalen Dateien. Als solche sollte sie so schnell wie möglich gefunden und behoben werden. Oder besser noch, Webanwendungen sollten so gestaltet werden, dass sie gar nicht erst auftreten.
In dieser Folge lernen wir:
- Wie Hacker die Remote File Inclusion-Schwachstelle ausnutzen
- Warum das Zulassen der Einbindung entfernter Dateien gefährlich ist
- Techniken, die dieses Problem beheben können.
Wie nutzen Angreifer die Remote File Inclusion aus?
Die Sicherheitsanfälligkeit durch Remote-Dateieinbindung nutzt den Befehl oder Mechanismus "Dynamic File Include" aus, der in den meisten Programmier-Frameworks vorhanden ist. Diese Fähigkeit soll es Entwicklern ermöglichen, Dateien, die sich auf einem sekundären Server befinden, zur Ausführung von Aktivitäten auf dem Anwendungsserver zu verwenden. Natürlich kann dies in den falschen Händen gefährlich sein.
Angreifer nutzen diese Fähigkeit aus, indem sie eine beliebige Website oder Anwendung finden, die unkontrollierte Benutzereingaben zulässt, die z. B. aus HTTP-Headern oder Eingabebereichen in interaktiven Formularen stammen können. Sie verwenden dies als Ausgangspunkt, um Datei-Include-Befehle zu generieren.
Wenn eine Website beispielsweise die GET-Funktion zum Laden von Seiten verwendet, z. B. page = request.getParameter("page'); include page; dann könnte ein Angreifer eine Abfrage mit dem page-Befehl senden, jedoch mit der URL einer von ihm kontrollierten Website und dem Dateipfad zu der Datei, die er ausführen möchte. Die Abfrage wird dann an den Server weitergeleitet und die Remote-Datei wird auf dem Host ausgeführt. Die Aktivität ist erlaubt, da sie nun Teil der vertrauenswürdigen App ist.
Warum ist die Sicherheitslücke "Remote File Inclusion" so gefährlich?
Der Grad der Gefahr, die von Remote File Inclusion ausgeht, ist extrem hoch. Anders als bei lokalen Dateieinbindungs-Schwachstellen, bei denen Dateien, die ein Angreifer ausführt, auf einem Host vorhanden sein müssen und vom Angreifer auch durch Ausprobieren gefunden werden müssen, gibt es bei der entfernten Dateieinbindung keine derartigen Einschränkungen. Natürlich kennt ein Angreifer den Speicherort der Dateien, die er ausnutzen möchte, da sie wahrscheinlich auf seinen eigenen Rechnern oder auf von ihm kontrollierten Websites vorhanden sind. Die Dateien können auch von ihnen selbst ausgewählt werden und müssen vor dem Exploit nicht auf dem Zielcomputer vorhanden sein. Die Datei kann sogar aus Skripten bestehen, die speziell für die Ausnutzung eines entfernten Hosts geschrieben wurden.
Kurz gesagt: Sobald ein Angreifer in der Lage ist, eine Remote File Inclusion-Schwachstelle zu finden und auszunutzen, gibt es nichts, was ihn daran hindert, die vollständige Kontrolle über eine Anwendung oder sogar eine ganze Website zu erlangen. Sicherlich werden keine dort gespeicherten Daten vor ihrem Eindringen sicher sein.
Beseitigung der Sicherheitsanfälligkeit "Remote File Inclusion
Lassen Sie niemals zu, dass Benutzereingaben direkt an einen Datei-Einbindungsbefehl zur Ausführung übergeben werden. Verwenden Sie stattdessen eine indirekte Referenz-Map von Befehlen und führen Sie Befehle nur von dort aus. Eine indirekte Referenz-Map ordnet nicht vertrauenswürdige Benutzereingaben einem Satz von fest kodierten vertrauenswürdigen Werten auf dem Server zu. Stellen Sie sicher, dass Sie alle Bereiche, in denen Benutzer Daten eingeben können, auf eine Whitelist setzen, und vergessen Sie nicht, HTTP-Header, Formularparameter und sogar Cookies in diese Liste aufzunehmen. Dadurch wird jedes Fenster geschlossen, das ein Angreifer zum Erstellen eines Datei-Include-Befehls nutzen kann.
Als Bonus wird die korrekte Bereinigung und Validierung von benutzergenerierten Inhalten und die Verwendung von Referenzkarten zur Ausführung von Befehlen nicht nur die entfernte Dateieinschluss-Schwachstelle beseitigen, sondern auch einige andere, einschließlich des gefährlichen Cousins dieses Fehlers, des lokalen Dateieinschluss- und Pfadüberquerungs-Exploits.
Weitere Informationen über Remote File Inclusion
Als weitere Lektüre können Sie einen Blick auf den OWASP-Referenzleitfaden für Remote File Inclusion Exploits werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
多くの点で、リモートファイルインクルージョンの脆弱性は、ローカルファイルインクルード脆弱性よりもはるかに危険であり、悪用も簡単です。そのため、できるだけ早く発見して修正する必要があります。
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Denjenigen, die diese Blogserie lesen, werden viele Ähnlichkeiten zwischen der Sicherheitsanfälligkeit für die entfernte Dateieinbindung und der zuvor besprochenen Sicherheitsanfälligkeit für die lokale Dateieinbindung und Pfadüberwindung auffallen. Ihre Ursachen sind ähnlich, ebenso wie die empfohlenen Korrekturen.
In vielerlei Hinsicht ist die Sicherheitslücke bei der Einbindung entfernter Dateien viel gefährlicher und auch leichter auszunutzen als ihr Gegenstück bei lokalen Dateien. Als solche sollte sie so schnell wie möglich gefunden und behoben werden. Oder besser noch, Webanwendungen sollten so gestaltet werden, dass sie gar nicht erst auftreten.
In dieser Folge lernen wir:
- Wie Hacker die Remote File Inclusion-Schwachstelle ausnutzen
- Warum das Zulassen der Einbindung entfernter Dateien gefährlich ist
- Techniken, die dieses Problem beheben können.
Wie nutzen Angreifer die Remote File Inclusion aus?
Die Sicherheitsanfälligkeit durch Remote-Dateieinbindung nutzt den Befehl oder Mechanismus "Dynamic File Include" aus, der in den meisten Programmier-Frameworks vorhanden ist. Diese Fähigkeit soll es Entwicklern ermöglichen, Dateien, die sich auf einem sekundären Server befinden, zur Ausführung von Aktivitäten auf dem Anwendungsserver zu verwenden. Natürlich kann dies in den falschen Händen gefährlich sein.
Angreifer nutzen diese Fähigkeit aus, indem sie eine beliebige Website oder Anwendung finden, die unkontrollierte Benutzereingaben zulässt, die z. B. aus HTTP-Headern oder Eingabebereichen in interaktiven Formularen stammen können. Sie verwenden dies als Ausgangspunkt, um Datei-Include-Befehle zu generieren.
Wenn eine Website beispielsweise die GET-Funktion zum Laden von Seiten verwendet, z. B. page = request.getParameter("page'); include page; dann könnte ein Angreifer eine Abfrage mit dem page-Befehl senden, jedoch mit der URL einer von ihm kontrollierten Website und dem Dateipfad zu der Datei, die er ausführen möchte. Die Abfrage wird dann an den Server weitergeleitet und die Remote-Datei wird auf dem Host ausgeführt. Die Aktivität ist erlaubt, da sie nun Teil der vertrauenswürdigen App ist.
Warum ist die Sicherheitslücke "Remote File Inclusion" so gefährlich?
Der Grad der Gefahr, die von Remote File Inclusion ausgeht, ist extrem hoch. Anders als bei lokalen Dateieinbindungs-Schwachstellen, bei denen Dateien, die ein Angreifer ausführt, auf einem Host vorhanden sein müssen und vom Angreifer auch durch Ausprobieren gefunden werden müssen, gibt es bei der entfernten Dateieinbindung keine derartigen Einschränkungen. Natürlich kennt ein Angreifer den Speicherort der Dateien, die er ausnutzen möchte, da sie wahrscheinlich auf seinen eigenen Rechnern oder auf von ihm kontrollierten Websites vorhanden sind. Die Dateien können auch von ihnen selbst ausgewählt werden und müssen vor dem Exploit nicht auf dem Zielcomputer vorhanden sein. Die Datei kann sogar aus Skripten bestehen, die speziell für die Ausnutzung eines entfernten Hosts geschrieben wurden.
Kurz gesagt: Sobald ein Angreifer in der Lage ist, eine Remote File Inclusion-Schwachstelle zu finden und auszunutzen, gibt es nichts, was ihn daran hindert, die vollständige Kontrolle über eine Anwendung oder sogar eine ganze Website zu erlangen. Sicherlich werden keine dort gespeicherten Daten vor ihrem Eindringen sicher sein.
Beseitigung der Sicherheitsanfälligkeit "Remote File Inclusion
Lassen Sie niemals zu, dass Benutzereingaben direkt an einen Datei-Einbindungsbefehl zur Ausführung übergeben werden. Verwenden Sie stattdessen eine indirekte Referenz-Map von Befehlen und führen Sie Befehle nur von dort aus. Eine indirekte Referenz-Map ordnet nicht vertrauenswürdige Benutzereingaben einem Satz von fest kodierten vertrauenswürdigen Werten auf dem Server zu. Stellen Sie sicher, dass Sie alle Bereiche, in denen Benutzer Daten eingeben können, auf eine Whitelist setzen, und vergessen Sie nicht, HTTP-Header, Formularparameter und sogar Cookies in diese Liste aufzunehmen. Dadurch wird jedes Fenster geschlossen, das ein Angreifer zum Erstellen eines Datei-Include-Befehls nutzen kann.
Als Bonus wird die korrekte Bereinigung und Validierung von benutzergenerierten Inhalten und die Verwendung von Referenzkarten zur Ausführung von Befehlen nicht nur die entfernte Dateieinschluss-Schwachstelle beseitigen, sondern auch einige andere, einschließlich des gefährlichen Cousins dieses Fehlers, des lokalen Dateieinschluss- und Pfadüberquerungs-Exploits.
Weitere Informationen über Remote File Inclusion
Als weitere Lektüre können Sie einen Blick auf den OWASP-Referenzleitfaden für Remote File Inclusion Exploits werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Denjenigen, die diese Blogserie lesen, werden viele Ähnlichkeiten zwischen der Sicherheitsanfälligkeit für die entfernte Dateieinbindung und der zuvor besprochenen Sicherheitsanfälligkeit für die lokale Dateieinbindung und Pfadüberwindung auffallen. Ihre Ursachen sind ähnlich, ebenso wie die empfohlenen Korrekturen.
In vielerlei Hinsicht ist die Sicherheitslücke bei der Einbindung entfernter Dateien viel gefährlicher und auch leichter auszunutzen als ihr Gegenstück bei lokalen Dateien. Als solche sollte sie so schnell wie möglich gefunden und behoben werden. Oder besser noch, Webanwendungen sollten so gestaltet werden, dass sie gar nicht erst auftreten.
In dieser Folge lernen wir:
- Wie Hacker die Remote File Inclusion-Schwachstelle ausnutzen
- Warum das Zulassen der Einbindung entfernter Dateien gefährlich ist
- Techniken, die dieses Problem beheben können.
Wie nutzen Angreifer die Remote File Inclusion aus?
Die Sicherheitsanfälligkeit durch Remote-Dateieinbindung nutzt den Befehl oder Mechanismus "Dynamic File Include" aus, der in den meisten Programmier-Frameworks vorhanden ist. Diese Fähigkeit soll es Entwicklern ermöglichen, Dateien, die sich auf einem sekundären Server befinden, zur Ausführung von Aktivitäten auf dem Anwendungsserver zu verwenden. Natürlich kann dies in den falschen Händen gefährlich sein.
Angreifer nutzen diese Fähigkeit aus, indem sie eine beliebige Website oder Anwendung finden, die unkontrollierte Benutzereingaben zulässt, die z. B. aus HTTP-Headern oder Eingabebereichen in interaktiven Formularen stammen können. Sie verwenden dies als Ausgangspunkt, um Datei-Include-Befehle zu generieren.
Wenn eine Website beispielsweise die GET-Funktion zum Laden von Seiten verwendet, z. B. page = request.getParameter("page'); include page; dann könnte ein Angreifer eine Abfrage mit dem page-Befehl senden, jedoch mit der URL einer von ihm kontrollierten Website und dem Dateipfad zu der Datei, die er ausführen möchte. Die Abfrage wird dann an den Server weitergeleitet und die Remote-Datei wird auf dem Host ausgeführt. Die Aktivität ist erlaubt, da sie nun Teil der vertrauenswürdigen App ist.
Warum ist die Sicherheitslücke "Remote File Inclusion" so gefährlich?
Der Grad der Gefahr, die von Remote File Inclusion ausgeht, ist extrem hoch. Anders als bei lokalen Dateieinbindungs-Schwachstellen, bei denen Dateien, die ein Angreifer ausführt, auf einem Host vorhanden sein müssen und vom Angreifer auch durch Ausprobieren gefunden werden müssen, gibt es bei der entfernten Dateieinbindung keine derartigen Einschränkungen. Natürlich kennt ein Angreifer den Speicherort der Dateien, die er ausnutzen möchte, da sie wahrscheinlich auf seinen eigenen Rechnern oder auf von ihm kontrollierten Websites vorhanden sind. Die Dateien können auch von ihnen selbst ausgewählt werden und müssen vor dem Exploit nicht auf dem Zielcomputer vorhanden sein. Die Datei kann sogar aus Skripten bestehen, die speziell für die Ausnutzung eines entfernten Hosts geschrieben wurden.
Kurz gesagt: Sobald ein Angreifer in der Lage ist, eine Remote File Inclusion-Schwachstelle zu finden und auszunutzen, gibt es nichts, was ihn daran hindert, die vollständige Kontrolle über eine Anwendung oder sogar eine ganze Website zu erlangen. Sicherlich werden keine dort gespeicherten Daten vor ihrem Eindringen sicher sein.
Beseitigung der Sicherheitsanfälligkeit "Remote File Inclusion
Lassen Sie niemals zu, dass Benutzereingaben direkt an einen Datei-Einbindungsbefehl zur Ausführung übergeben werden. Verwenden Sie stattdessen eine indirekte Referenz-Map von Befehlen und führen Sie Befehle nur von dort aus. Eine indirekte Referenz-Map ordnet nicht vertrauenswürdige Benutzereingaben einem Satz von fest kodierten vertrauenswürdigen Werten auf dem Server zu. Stellen Sie sicher, dass Sie alle Bereiche, in denen Benutzer Daten eingeben können, auf eine Whitelist setzen, und vergessen Sie nicht, HTTP-Header, Formularparameter und sogar Cookies in diese Liste aufzunehmen. Dadurch wird jedes Fenster geschlossen, das ein Angreifer zum Erstellen eines Datei-Include-Befehls nutzen kann.
Als Bonus wird die korrekte Bereinigung und Validierung von benutzergenerierten Inhalten und die Verwendung von Referenzkarten zur Ausführung von Befehlen nicht nur die entfernte Dateieinschluss-Schwachstelle beseitigen, sondern auch einige andere, einschließlich des gefährlichen Cousins dieses Fehlers, des lokalen Dateieinschluss- und Pfadüberquerungs-Exploits.
Weitere Informationen über Remote File Inclusion
Als weitere Lektüre können Sie einen Blick auf den OWASP-Referenzleitfaden für Remote File Inclusion Exploits werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Denjenigen, die diese Blogserie lesen, werden viele Ähnlichkeiten zwischen der Sicherheitsanfälligkeit für die entfernte Dateieinbindung und der zuvor besprochenen Sicherheitsanfälligkeit für die lokale Dateieinbindung und Pfadüberwindung auffallen. Ihre Ursachen sind ähnlich, ebenso wie die empfohlenen Korrekturen.
In vielerlei Hinsicht ist die Sicherheitslücke bei der Einbindung entfernter Dateien viel gefährlicher und auch leichter auszunutzen als ihr Gegenstück bei lokalen Dateien. Als solche sollte sie so schnell wie möglich gefunden und behoben werden. Oder besser noch, Webanwendungen sollten so gestaltet werden, dass sie gar nicht erst auftreten.
In dieser Folge lernen wir:
- Wie Hacker die Remote File Inclusion-Schwachstelle ausnutzen
- Warum das Zulassen der Einbindung entfernter Dateien gefährlich ist
- Techniken, die dieses Problem beheben können.
Wie nutzen Angreifer die Remote File Inclusion aus?
Die Sicherheitsanfälligkeit durch Remote-Dateieinbindung nutzt den Befehl oder Mechanismus "Dynamic File Include" aus, der in den meisten Programmier-Frameworks vorhanden ist. Diese Fähigkeit soll es Entwicklern ermöglichen, Dateien, die sich auf einem sekundären Server befinden, zur Ausführung von Aktivitäten auf dem Anwendungsserver zu verwenden. Natürlich kann dies in den falschen Händen gefährlich sein.
Angreifer nutzen diese Fähigkeit aus, indem sie eine beliebige Website oder Anwendung finden, die unkontrollierte Benutzereingaben zulässt, die z. B. aus HTTP-Headern oder Eingabebereichen in interaktiven Formularen stammen können. Sie verwenden dies als Ausgangspunkt, um Datei-Include-Befehle zu generieren.
Wenn eine Website beispielsweise die GET-Funktion zum Laden von Seiten verwendet, z. B. page = request.getParameter("page'); include page; dann könnte ein Angreifer eine Abfrage mit dem page-Befehl senden, jedoch mit der URL einer von ihm kontrollierten Website und dem Dateipfad zu der Datei, die er ausführen möchte. Die Abfrage wird dann an den Server weitergeleitet und die Remote-Datei wird auf dem Host ausgeführt. Die Aktivität ist erlaubt, da sie nun Teil der vertrauenswürdigen App ist.
Warum ist die Sicherheitslücke "Remote File Inclusion" so gefährlich?
Der Grad der Gefahr, die von Remote File Inclusion ausgeht, ist extrem hoch. Anders als bei lokalen Dateieinbindungs-Schwachstellen, bei denen Dateien, die ein Angreifer ausführt, auf einem Host vorhanden sein müssen und vom Angreifer auch durch Ausprobieren gefunden werden müssen, gibt es bei der entfernten Dateieinbindung keine derartigen Einschränkungen. Natürlich kennt ein Angreifer den Speicherort der Dateien, die er ausnutzen möchte, da sie wahrscheinlich auf seinen eigenen Rechnern oder auf von ihm kontrollierten Websites vorhanden sind. Die Dateien können auch von ihnen selbst ausgewählt werden und müssen vor dem Exploit nicht auf dem Zielcomputer vorhanden sein. Die Datei kann sogar aus Skripten bestehen, die speziell für die Ausnutzung eines entfernten Hosts geschrieben wurden.
Kurz gesagt: Sobald ein Angreifer in der Lage ist, eine Remote File Inclusion-Schwachstelle zu finden und auszunutzen, gibt es nichts, was ihn daran hindert, die vollständige Kontrolle über eine Anwendung oder sogar eine ganze Website zu erlangen. Sicherlich werden keine dort gespeicherten Daten vor ihrem Eindringen sicher sein.
Beseitigung der Sicherheitsanfälligkeit "Remote File Inclusion
Lassen Sie niemals zu, dass Benutzereingaben direkt an einen Datei-Einbindungsbefehl zur Ausführung übergeben werden. Verwenden Sie stattdessen eine indirekte Referenz-Map von Befehlen und führen Sie Befehle nur von dort aus. Eine indirekte Referenz-Map ordnet nicht vertrauenswürdige Benutzereingaben einem Satz von fest kodierten vertrauenswürdigen Werten auf dem Server zu. Stellen Sie sicher, dass Sie alle Bereiche, in denen Benutzer Daten eingeben können, auf eine Whitelist setzen, und vergessen Sie nicht, HTTP-Header, Formularparameter und sogar Cookies in diese Liste aufzunehmen. Dadurch wird jedes Fenster geschlossen, das ein Angreifer zum Erstellen eines Datei-Include-Befehls nutzen kann.
Als Bonus wird die korrekte Bereinigung und Validierung von benutzergenerierten Inhalten und die Verwendung von Referenzkarten zur Ausführung von Befehlen nicht nur die entfernte Dateieinschluss-Schwachstelle beseitigen, sondern auch einige andere, einschließlich des gefährlichen Cousins dieses Fehlers, des lokalen Dateieinschluss- und Pfadüberquerungs-Exploits.
Weitere Informationen über Remote File Inclusion
Als weitere Lektüre können Sie einen Blick auf den OWASP-Referenzleitfaden für Remote File Inclusion Exploits werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
目次
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
