Mit Softwaresicherheit ist gemeint, die Integrität und Verfügbarkeit von Informationsressourcen zu wahren, um einen erfolgreichen Geschäftsbetrieb zu ermöglichen. Dieses Ziel wird durch die Umsetzung von Sicherheitskontrollen erreicht - um das Unternehmen vor Risiken zu schützen, die sich in der Nutzung von Software ergeben.
Der Ansatz der Softwareentwicklung von Pumox berücksichtigt in jedem Schritt die Integration von Sicherheitsmaßnahmen. Unser Entwicklerteam nutzt einen ganzheitlichen Ansatz für die Gestaltung, Implementierung und Optimierung der Softwareentwicklung, die die Einbettung der Softwaresicherheit beinhaltet, um bessere und sicherere Unternehmensanwendungen zu schaffen.
Das Open Web Application Security Project (OWASP) ist ein Open-Source Anwendungs-Sicherheitsprojekt. Das OWASP arbeitet an der Erstellung frei zugänglicher Artikel, Methoden, Dokumentationen, Werkzeugen und Technologien für Web-Sicherheit.
Der Threat Agent kann eine kleine Menge an Code injizieren, um eine Anwendung zur Durchführung von unkontrollierten Aufgaben zu implementieren. Der häufigste (und bekannteste) Injektionsangriff ist eine SQL-Injection, bei der ein Angreifer eine SQL-Anweisung in eine Applikation einfügt, um beispielsweise den Datenbankinhalt beim Angreifer abzuspeichern.
Sie kennen die Benutzeranmeldeinformationen von Personen, die auf Ihre Systeme zugreifen, aber wissen Sie, wer tatsächlich hinter der Tastatur steht? Hacker können Benutzeridentitäten stehlen und sich hinter einer echten Benutzer-ID verstecken, um einen einfachen Zugriff auf Ihre Daten und Programme zu erhalten. Starke Authentifizierungs- und Sitzungsmanagement-Steuerelemente müssen implementiert werden und es ist sicherzustellen, dass Ihre Benutzer sind, wer sie vorgeben, zu sein.
XSS-Sicherheitslücken treten immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten übernimmt und sie ohne ordnungsgemäße Validierung oder Verlassen an einen Webbrowser sendet. XSS ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzersitzungen abgreifen, Webseiten unleserlich machen oder den Benutzer auf bösartige Seiten weiterleiten können.
Die meisten Webseiten speichern Benutzerdatensätze, die auf einem Schlüsselwert basieren, den der Benutzer kontrolliert (wie einen Benutzernamen oder eine E-Mail-Adresse). Wenn ein Benutzer seinen Schlüssel eingibt, ruft das System die entsprechenden Informationen ab und stellt es dem Benutzer zur Verfügung. Eine unsichere Direct Object Referenz tritt auf, wenn ein Berechtigungssystem einen Benutzer nicht daran hindert, Zugriff auf die Informationen eines anderen Benutzers zu erhalten.
Das resultiert aus jeder Nichteinhaltung der "Best Practices" für Web-Anwendungssicherheit. Gute Sicherheit erfordert eine sichere Konfiguration, die für die Anwendung, Frameworks, Anwendungsserver, Webserver, Datenbankserver und Plattform definiert und implementiert ist.
Viele Webanwendungen schützen vertrauliche Daten wie Kreditkarten, Steuer-IDs und Authentifizierungsanmeldeinformationen nicht ausreichend. Angreifer können solche schwach geschützten Daten stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Verbrechen auszuüben.
Die meisten Webanwendungen überprüfen die Zugriffsrechte auf Funktionsebene, bevor diese Funktionalität in der Benutzeroberfläche sichtbar wird. Anwendungen müssen die gleichen Zugriffskontrollen auf dem Server ausführen, wenn auf jede Funktion zugegriffen wird. Wenn Anfragen nicht überprüft werden, können die Angreifer in der Lage sein, Anfragen zu fälschen, um auf die Funktionalität ohne ordnungsgemäße Berechtigung zuzugreifen.
Ein CSRF-Angriff beinhaltet das Senden einer Anfrage an eine anfällige Webanwendung mit den Berechtigungsnachweisen eines vertrauenswürdigen Benutzers. Obwohl ein nicht vertrauenswürdiger Dritter die Anfrage generiert, benutzt der Angreifer den Browser des Opfers, um die Glaubwürdigkeit des Opfers auszunutzen. Ein CSRF-Angriff nutzt die Authentifizierung eines vertrauenswürdigen Benutzers aus, um ein System zur Ausführung einer bösartigen Aktion zu bringen.
Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule laufen fast immer mit vollen Berechtigungen. Wenn eine anfällige Komponente ausgenutzt wird, kann ein solcher Angriff einen ernsthaften Datenverlust oder eine Serverübernahme ermöglichen. Anwendungen, die Komponenten mit bekannten Schwachstellen verwenden, können die Softwaresicherheit beeinträchtigen und eine Reihe möglicher Angriffe und Auswirkungen ermöglichen.
Wenn eine Webanwendung eine ungeprüfte Eingabe akzeptiert, die URL-Umleitungen beeinflusst, können Dritte Benutzer auf bösartige Webseiten umleiten. Darüber hinaus können Hacker die automatischen Weiterleitungsroutinen ändern, um Zugang zu sensiblen Informationen zu erhalten.