Mein Platz im Web

Als erfahrener Pentester weiß er, dass ein gut geschriebener Bericht darauf zurücksticht, dass der Kunde nach seiner Präsentation keine zusätzlichen Fragen hat. Um dies zu ermöglichen, sollte es mindestens vier grundlegende Abschnitte mit Informationen für verschiedene Zielgruppen enthalten. Abschnitt 1: Allgemeine Informationen und Statistiken Während ein Entwickler, der Fehler beheben… Continue reading →

Bei SQL-Injection-Angriffen wird eine SQL-Abfrage über die vom Client an die Anwendung gesendeten Eingaben eingefügt oder "injiziert". Ein erfolgreicher Angriff dieser Art kann dazu beitragen, sensible Informationen aus der Datenbank zu lesen, zu ändern oder zu löschen. In den extremsten Fällen ermöglicht es die Ausgabe von Systembefehlen. Im Folgenden finden… Continue reading →

XSS ist ein Angriff, der eine Injektion und Ausführung ermöglicht, die bösartige HTML- oder JavaScript-Aktionenausführen kann. Dies kann verwendet werden, um kritische Daten (z. B. Sitzungsdaten) aus Cookieszu stehlen. Da der Code im Kontext einer anfälligen Anwendung ausgeführt wird, können Sie andere Angriffe wie Phishing, Tastaturanmeldung oder Benutzerumleitung auf eine… Continue reading →

Bei einem Cross-Site-Request-Forgery -Angriff (CSRF) wird die allgemein anerkannte Funktionslogik von Internetbrowsern für die Verwaltung der Benutzersitzung auf geöffneten Seiten verwendet. Der Standard ist, dass der Benutzer nur eine aktive Sitzung in der Web-App haben kann, die er derzeit verwendet. Jede neu geöffnete Registerkarte im Browser verwendet automatisch Cookies eines… Continue reading →

Bei der Verwundbarkeitsprüfung des Typs"path traversal"wird überprüft, ob eine Webanwendung unbefugten Zugriff auf Dateien oder Verzeichnisse zulässt, auf die der Zugriff verboten werden sollte. Bei der Durchführung dieses Angriffs werden Parameter verwendet, die an die Anwendung übergeben werden und Pfade zu Ressourcen darstellen, auf denen bestimmte Vorgänge ausgeführt werden, z…. Continue reading →

Der Sitzungsverwaltungsprozess umfasst im Großen und Ganzen alle Benutzersteuerungsmechanismen von der Authentifizierung bis zum Verlassen der Anwendung. HTTP ist ein staatenloses Protokoll, d. h. Webserver reagieren auf Clientanforderungen, ohne eine kontinuierliche Verbindung zu diesem Protokoll herzustellen. Daher erfordert selbst eine einfache Anwendung, dass der Benutzer mehrere Anforderungen sendet, bevor eine… Continue reading →

Bei der Untersuchung des Sitzungsabschlussprozesses wird hauptsächlich überprüft, ob der Anwendungsbenutzer nach dem Abmelden seine Sitzungs-ID nicht wiederverwenden kann. Überprüfen Sie auch, wie die Anwendung die im Speicher gespeicherten Daten verwaltet. Um die Zeit zu minimieren, in der ein Angreifer einen Angriff auf eine aktive Sitzung durchführen und übernehmen kann,… Continue reading →

Die Funktion zum Ändern und Zurücksetzen des Anwendungskennworts ist ein Selbstbedienungsmechanismus zum Ändern oder Zurücksetzen eines Kennworts für Benutzer ohne Administratoreingriff. Bei schlechter Sicherheit ermöglicht es einem Angreifer, das Passwort eines jeden Benutzers zu ändern und damit sein Konto zu übernehmen. Der Mechanismus zum Zurücksetzen des Kennworts sollte vor einer… Continue reading →

Mit dem Versuch, den Autentizierungsmechanismus zu umgehen, soll überprüft werden, ob auf Ressourcen zugegriffen werden kann, die für den Benutzer nicht unbefugt bestimmt sind. Sie können burp Suiteverwenden, um diese Art von Fehlern zu testen, und die Tests selbst sollten die folgenden Fälle überprüfen: versucht, den Authentifizierungsprozess zu umgehen, indem… Continue reading →

Die meisten Nutzer von Webanwendungen folgen nicht den Empfehlungen für die Verwendung schwieriger, nicht Wörterbuch-Zugriffsdaten. Sie stützen ihre Passwörter oft auf Wörter und Phrasen, die sie leicht nicht vergessen werden. Diese Worte sind Kindernamen, Straßenadressen, Lieblingsfußballmannschaft, Geburtsort usw.Benutzerkonten – Insbesondere administrative Konten sollten durch schwer zu erratende Zugriffsdaten geschützt werden…. Continue reading →