it-sicherheit.li

News rund um IT-Sicherheit

Monat: April 2017

OWASP Top 10

OWASP hat die TOP 10 der grössten Risiken für Web Applikationen aufgelistet. Neu sind für das Jahr 2017 Kandidaten dazugekommen.

Aber was ist OWASP?

OWASP wurde am 1. Dezember 2001 als eine non Profit Organisation gegründet. OWASP ist eine Internationale Organisation zur Verbesserung und des Supportes bei Sicherheitsproblemen.  Sie haben sich dem Ziel verschrieben, die Sicherheit von Anwendungen und Diensten im WWW zu verbessern.

Das OWASP steht mit keinen Technologiefirmen in Verbindung und ist daher frei von Zwängen oder voreingenommenen Haltungen.

 

Was gibt es für neue Kandidaten?

Neu stehen die „Broken Access Control`s“ auf Platz 4 und haben die „Insecure Direct Object References“ abgelöst-.

Ebenfalls neu ist A7 „Insufficient Attack Protection“ und A10 „Underprotected APIs“

Eine andere Ansicht mit Erklärung der Risiken sieht so aus.

 

Das gesamte Dokument gibt es HIER zur Ansicht.

Das Dokument ist toll Aufgebaut und veranschaulicht schön die Risiken und Gefahren. Durch Zeichnungen und Grafischen Darstellungen kann der Angriffsweg nachvollzogen und verstanden werden.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Chrome vs. Sophos

Nutzer einer Sophos Firewall, werden seit dem letzten Chrome Update (Chrome 58) Probleme mit HTTPS seiten haben. Die HTTPS Interception funktion der Sophos Firewall ein „neues“ Zertifikat welches das eigentliche Zertifikat als Root Zertifikat angibt. Chrome hat im neusten Update des Chrome Browsers die Unterstützung für Common Names ausgeschaltet. Daher werden Seiten mit einem HTTPS Interception Zertifikat, mit einer Zertifikatswarnung angezeigt.

Laut RFC 2818 ist der Common Name veraltet, sollte jedoch zu Kompatibilitäts-Zwecken noch erhalten bleiben. Google hat jedoch diese Unterstützung im neusten Browser entfernt. Google hat die Änderung im Januar bereits angekündigt.  Leider wurde dies bei Sophos wohl nicht angenommen.

Die HTTP Interception funktioniert wie eine Man-in-the-Middle Attacke. Der HTTPS Traffic wird aufgebrochen, untersucht und neu Zertifiziert. Dieses Zertifikat entspricht jedoch nicht dem original sondern wird von der Appliance selbst ausgestellt.

Bisher ist dieses Problem nur bei Sophos Appliances bekannt. Wir konnten es bei Watchguard Firewalls testen und konnten keine Fehler finden.

Um Chrome wieder zu erlauben, HTTPS Interception Zertifikaten zu vertrauen gibt es eine spezielle Funktion. Die Anleitung findet Ihr HIER.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Halbjahresbericht 2/2016

{CAPTION}

Die Melde- und Analysestelle Informationssicherung MELANI der Schweizer Eidgenossenschaft hat Ihren Halbjahresbericht für die zweite Hälfte des Jahres 2016 veröffentlicht.
Der Bericht hat das Thema „Internet Of Things“ als Schwerpunkt gesetzt. Ebenfalls wird auf die nationale und internationale Lage eingegangen. Was passierte in der Schweiz, was ausserhalb. Auch ein kleiner Ausblick wird gewagt, was könnte uns erwarten.
Der gesammte Bericht steht auf der MELANI Webseite zum Download bereit.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

© 2024 it-sicherheit.li

Theme von Anders NorénHoch ↑