Aktuelle Version vom 9. Oktober 2022, 08:54 Uhr

Aktuelle Software-Schwachstellen

Top 25 der gefährlichsten Software-Schwachstellen 2022

@@ Zeile 1: / Zeile 1: @@
+=Aktuelle Software-Schwachstellen=
+*[[Top 25 der gefährlichsten Software-Schwachstellen 2022]]
 =Abstrakte Schwachstellen=
 *[[Konstruktionsbedingte Schwachstellen]]
@@ Zeile 5: / Zeile 8: @@
 *[[Mangelnde Benutzerfreundlichkeit]]
 =Konkrete Schwachstellen=
-[[Code Execution]]
+*[[Code Execution]]
+*[[Bypass]]
-[[Bypass]]
+*[[Cross-Site-Request-Forgery (CSRF)]]
-Mittels Schwachstellen dieses Typs sind Angreifer in der Lage implementierte Sicherheitsmaßnahmen zu umgehen. Bekannte Beispiele für Bypass-Schwachstellen sind Authentication-Bypass-Schwachstellen, bei denen ein Anmelde-Prozess umgangen werden kann oder Permission-Bypass-Schwachstellen, bei denen eine Berechtigungsprüfung umgangen werden kann.
+*[[Directory Traversal]]
+*[[Dos und DDoS Erklärung|Denial of Service (DoS)]]
-[[Cross-Site-Request-Forgery (CSRF)]]
+*[[File Inclusion]]
-CSRF ermöglicht Angreifern den Zugriff auf weitere Systeme mit dem Unterschied, dass der Zugriff auf das weitere System nicht vom System des Angreifers, sondern vom angegriffenen System zu kommen scheint. Das hilft Angreifern zum einen dabei Ihre Identität zu verschleiern, zum anderen ermöglicht dies den indirekten Zugriff auf etwaige Backend-Dienste, die dem Angreifer ansonsten nicht zugängig wären. Die Bewertung der Kritikalität dieser Schwachstellen-Klasse ist immer sehr stark vom Kontext abhängig.
+*[[HTTP Response Splitting]]
+*[[Information Disclosure]]
-[[Directory Traversal]]
+*[[Memory Corruption]]
-Diese Schwachstellen-Klasse trifft auf Software-Schwachstellen zu, die den Angreifern ermöglichen aus einem definierten Server-Kontext auszubrechen. Unter Zuhilfenahme definierter Zeichenketten können Angreifer mit den Zugriffsrechten der fehlerhaften Software in vielen Fällen sensible Daten vom Zielsystem abrufen.
-[[Denial of Service (DoS)]]
-Diese Schwachstellen-Klasse betrifft Schwachstellen und beschreibt die Eigenschaft, dass Angreifer durch Ausnutzung dieser Schwachstelle in der Lage sind, das Zielsystem oder die Ziel-Anwendung temporär oder bis zu einem Neustart zu deaktivieren. Schwachstellen dieser Klasse wirken sich negativ auf die Verfügbarkeit der Daten bzw. Systeme aus.
-[[File Inclusion]]
-[[HTTP Response Splitting]]
-Schwachstellen dieser Klasse ermöglichen es den Response-Header von Web-Diensten zu verändern. Auf diese Weise können Angreifer die Besucher von Webseiten z.B. mit Malware angreifen oder sensible Daten abgreifen. Eine Kritikalitätsbewertung der Schwachstellen dieser Klasse ist stark vom jeweiligen Kontext abhängig.
-[[Information Disclosure]]
-Schwachstellen, die dieser Klasse angehören, wirken sich auf die Vertraulichkeit der Daten im Zielsystem aus. Meistens sind die Informationen, die durch derartige Schwachstellen sichtbar werden, hilfreich um weitere Angriffsvektoren auf das Zielsystem zu entdecken.
-[[Memory Corruption]]
-Wird eine Schwachstelle diesen Typs augenutzt, kommt es zu ungeplanten Veränderungen im Speicherbereich der betroffenen Anwendung. Abhängig von den Rahmenbedingungen kann mittels Memory Corruption auch Code Execution oder Denial of Service möglich werden.
-[[Buffer-Overflow]]
-[[Privilege Escalation]]
-[[SQL Injection]]
-[[Cross-Site-Scripting]]
-Quelle: https://www.secupedia.info/wiki/Schwachstellenbewertung_(IT)#ixzz7h2TJ1Cc8
-Lizensiert unter CC-BY-SA 3.0 Germany (http://secupedia.info/wiki/SecuPedia:Lizenz)
-*[[SQL Injection - Übersicht|SQL Injection]]
 *[[Buffer-Overflow]]
-*[[File Inclusion]]
+*[[Privilege Escalation]]
+*[[SQL Injection]]
+*[[Cross-Site-Scripting]]
 *[[Race Conditions]]

Arten von Schwachstellen: Unterschied zwischen den Versionen

Aktuelle Version vom 9. Oktober 2022, 08:54 Uhr

Aktuelle Software-Schwachstellen

Abstrakte Schwachstellen

Konkrete Schwachstellen

Navigationsmenü

Suche