A4 - External Entity Inj / A5 Broken AC / A6 - Sec Misconf Flashcards
1
Q
External Entity Inj
A
Input beinhaltet eine Referenz zu einer externen Entität, die ebenfalls interpretiert wird.
zB. billion laughs attack: DoS gegen XML-Parser indem Milliarden XML-Entitäten definiert werden.
2
Q
Broken AC
A
Direkter Objektzugriff ist über ID möglich
User hat Zugriff auf Objekt 100
Angreifer kann durch URL Manipulation auch auf 101, 102, … zugreifen
3
Q
Security Misconfiguration
A
- default einstellungen
- dienste im internet erreichbar
- admin interfaces erreichbar
- directory listing aktiv
- schreibrechte im webroot
- backup dateien
- test accounts
- testskripte
- ausgabe von fehlermeldungen, debug
