Sicherheits-Wissensdatenbank

Auth-Bypass ist eine Bug-Kategorie, bei der Angreifer eine geschützte Ressource erreichen, ohne die nötigen Credentials vorzulegen. Die peinlichsten CVEs der letzten Dekade leben hier.

XSS erlaubt Angreifern, eigenes JavaScript in der Browser-Sitzung einer anderen Person auf Ihrer Seite auszuführen. Die Folgen: Account-Übernahme, gestohlene Passwörter, gefälschte Login-Masken.

Bugs und Protokoll-Schwächen, mit denen Angreifer Ihren Dienst unerreichbar machen, vom volumetrischen DDoS über einzelne Protokoll- Lücken bis zu quadratischen Regex-Fallen. Was Angreifer davon haben, Sie offline zu nehmen, und was realistisch dagegen schützt.

Path Traversal erlaubt Angreifern, Dateien außerhalb des für die Anwendung gedachten Verzeichnisses zu lesen oder zu schreiben. Oft der zweite Schritt zur vollständigen Server-Übernahme.

Eine JavaScript-spezifische Bug-Klasse, bei der Eingaben des Angreifers Eigenschaften am globalen Object-Prototype überschreiben und damit jedes Objekt der Anwendung infizieren. Vom kaputten Merge zum Auth-Bypass und zur Remote Code Execution.

RCE ist das Worst-Case-Resultat eines Software-Bugs. Ein Angreifer im Netz führt eigene Befehle auf Ihrem Server aus. Was RCE ermöglicht, was Angreifer tatsächlich tun, sobald sie drin sind, und warum Patches keine Zeit haben.

Eine Datenbank-CVE wiegt nicht wegen des Dienstes selbst, sondern wegen dessen, was darin liegt. Die Frage "vom Internet erreichbar?" ist wichtiger als die CVE-Liste.

FTP ist ein altes Protokoll mit alten Problemen: Klartext-Credentials, in Legacy-Installationen aktivierter anonymer Zugriff und eine lange CVE-Historie. Die bessere Frage lautet, ob FTP überhaupt nötig ist.

Mailserver verarbeiten bei jeder Verbindung angreifer-gelieferte Daten. Bugs darin enden oft in Pre-Auth-Code-Execution oder vollständiger Mailbox-Offenlegung. Die Kategorie hinter der Exim-Welle 2019.

OpenSSH ist auf praktisch jedem Linux-Server am Netz der zentrale Fernzugang. Die wirklich ernsten Bugs sind selten; gleichzeitig produziert reines Versions-Matching viel Rauschen. Wie man SSH-Befunde sinnvoll liest.

Eine Schwachstelle im Webserver wiegt schwerer als dieselbe Bug-Klasse anderswo. Er sitzt am Eingang, sieht jeden Request, und ein erfolgreicher Angriff endet meist in Code-Ausführung. Warum Patches Vorrang haben und was zu tun ist, wenn ein Patch nicht sofort möglich ist.

SSRF erlaubt Angreifern, von Ihrem Server aus Web-Requests überall hin abzusetzen, wo der Server Zugriff hat, inklusive interner Admin-Panels und des Cloud-Metadata-Service. Der Capital-One-Breach in einem Artikel.

SQL-Injection erlaubt Angreifern, die Fragen umzuschreiben, die Ihre Anwendung an die Datenbank stellt. Im Erfolgsfall: jeder Datensatz aus jeder Tabelle, manchmal auch das Betriebssystem darunter.

Liest eine Anwendung strukturierte Daten aus dem Netz und kann der Angreifer diese Daten formen, kann aus "Lesen" still und leise "fremden Code ausführen" werden. Die Bug-Klasse hinter Dutzenden RCEs.

Jeder Sicherheitsbefund im Scan-Bericht hat einen Schweregrad-Score und manchmal eine "wird bereits ausgenutzt"-Markierung. So lesen Sie diese Werte und entscheiden, was Sie zuerst beheben, wenn mehrere auftauchen.

Ihre Seite hat HTTPS, aber wer die Adresse ohne "https://" tippt, landet weiterhin auf der ungesicherten Variante. Der Fix ist eine einzige Zeile und schließt eine real ausgenutzte Lücke.

Ihre Seite ist nur über reines HTTP erreichbar. Jede Verbindung (Login-Formulare, Formular-Übermittlungen, Seiteninhalte) läuft im Klartext durchs Netz und kann mitgelesen oder verändert werden.

Eine Content Security Policy ist eine Liste vertrauenswürdiger Quellen für die Skripte, Stile und Einbettungen Ihrer Webseite. Ohne CSP kann ein einzelner Bug einem Angreifer erlauben, eigenen Code in den Browsern Ihrer Besucher:innen auszuführen.

HSTS sagt Browsern "für diese Domain immer HTTPS, nie reines HTTP". Ohne HSTS bleibt der allererste Verbindungsversuch ungeschützt; ein Angreifer kann Besucher:innen dadurch beliebig lange auf der ungesicherten Variante halten.

Ohne Referrer-Policy kann der Browser die vollständige URL jeder Seite an jeden Drittanbieter weitergeben, mit dem Ihre Seite verlinkt oder Ressourcen lädt. Lösung: eine Zeile.

Ohne Einbettungs-Policy kann ein Angreifer Ihre Seite in eine eigene Seite laden und Besucher:innen dazu bringen, Buttons zu klicken, die sie nie klicken wollten. Klassisches Clickjacking-Setup.

Ohne diese kleine Anweisung kann der Browser im Einzelfall raten, dass eine ausgelieferte Datei (etwa ein hochgeladenes Bild) eigentlich ein Skript ist, und sie ausführen. Der Fix ist eine Zeile.

BIMI bringt Ihr verifiziertes Firmenlogo neben den Absendernamen im Posteingang von Gmail, Apple Mail und anderen. Eine Markenschutz-Funktion, die nur greift, wenn Ihre übrigen E-Mail-Schutz-Einträge sauber sind.

Ein CAA-Eintrag listet öffentlich, welche Zertifizierungsstellen HTTPS-Zertifikate für Ihre Domain ausstellen dürfen. Fehlt er, kommen alle weltweit anerkannten Stellen in Frage, auch solche, mit denen Sie nichts zu tun haben.

DKIM ist die digitale Unterschrift, die Ihr Mailanbieter an ausgehende Mail hängt, damit Empfänger sehen, ob unterwegs nichts verändert wurde. Ohne DKIM fehlt Ihrem E-Mail-Schutz eine ganze Schicht.

DMARC ist das Regelwerk, das empfangenden Mailservern sagt, was sie tun sollen, wenn eine Mail in Ihrem Namen die Prüfung nicht besteht. Ohne DMARC läuft selbst ein perfektes SPF-Setup an vielen Anbietern vorbei.

Es existiert ein DMARC-Eintrag, die Richtlinie steht jedoch auf p=none. Empfänger melden Fehlschläge, ergreifen aber keine Maßnahmen. Gefälschte Nachrichten werden weiterhin zugestellt. So eskalieren Sie sicher auf quarantine und reject.

DNSSEC versieht jede Antwort des DNS mit einem manipulationssicheren Siegel. Ohne DNSSEC kann ein Angreifer im Netz Besucher und E-Mail unbemerkt umleiten.

MTA-STS erzwingt die Verschlüsselung eingehender E-Mail an Ihre Domain. Ohne MTA-STS kann ein Angreifer im Netz die Verschlüsselung still und leise unterdrücken und Mail mitlesen.

Ohne SPF-Eintrag kann jeder im Netz E-Mails versenden, die so aussehen, als kämen sie von Ihrer Domain. Was dahintersteckt und wie Sie es beheben.

E-Mail-Adressen und Passwörter Ihrer Domain sind in fremden Datenlecks aufgetaucht. Woher diese Daten stammen, wie Angreifer sie in Account- Übernahmen verwandeln und was zu tun ist.

Eine Cookie-Banner-Plattform ist auf Ihrer Seite im Einsatz. Der blueredix-Scanner klickt für Sie weder auf "Akzeptieren" noch auf "Ablehnen". Die Prüfung, ob die Plattform Tracker vor Einwilligung wirklich blockiert, sollten Sie selbst durchführen.

DSGVO Art. 13/14 verpflichten jede Webseite zur Veröffentlichung einer Datenschutzerklärung. Fehlende Erklärungen sind ein leichtes Ziel für Behörden wie für Mitbewerber.

Werden Google Fonts direkt von Google geladen, geht die IP-Adresse jeder Besucherin ohne Einwilligung an Google. Das LG München I hat 100 € Schadensersatz für einen einzigen Request verhängt. Lösung: selbst hosten.

Ein Live-Google-Maps-iframe schickt Besucher-IPs ohne Einwilligung an Google. Setzen Sie auf einen Klick-zum-Laden-Platzhalter oder die Maps-Static-API für einfache Ortsanzeigen.

Deutsches Recht verlangt ein deutlich gekennzeichnetes Impressum, das von jeder Seite in höchstens zwei Klicks erreichbar ist. Fehlende oder versteckte Impressen sind ein klassisches Abmahn-Ziel.

Ihre Seite lädt beim allerersten Besuch Tracking-Cookies und Drittanbieter-Marketing-Skripte, und einen Consent-Banner haben wir nicht gefunden. Unter DSGVO und TDDDG ist das der Lehrbuch-Verstoß.

Ein Drittanbieter-Tracking-Skript wird beim ersten Seitenaufruf heruntergeladen und ausgeführt, bevor die Besucherin eingewilligt hat. Unter DSGVO und TDDDG ist das eine unzulässige Verarbeitung, auch wenn das Skript "noch nichts macht".

Ein Tracking-Cookie wurde beim ersten Seitenaufruf in den Browser geschrieben, bevor eine Einwilligung erteilt war. Rechtlich derselbe Verstoß wie ein Tracker-Skript, und genauso einfach zu beheben.