Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

IT-Sicherheit > Web-Anwendungen: Weitere Injection-Angriffe > Flashcards

Web-Anwendungen: Weitere Injection-Angriffe Flashcards

1
Q

Remote Code Injection

A

Angreifer führt Schadcode in Server ein und nutzt Fehler bei der Inputvalidierung aus (Code wird nicht evaluiert und direkt vom serverseitigen Interpreter ausgeführt)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Gegenmaßnahmen: Remote Code Injection

A
  • Validierung und Escapen von dynamischen Kommandos
  • Behandeln aller Eingabedaten als “untrusted”
  • Reduzieren der Privilegien des System-Users
  • Gekapselte Bibliotheken statt shell-basierte Kommunikation
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Path Traversal

A

Durch Eingabe von URLs auf Webservern oder Webanwendungen kann auf Dateien und Verzeichnisse zugriffen werden, auf die kein Zugriff vorgesehen ist –> Information Leakage

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Gegenmaßnahmen: Path Traversal

A
  • Normalisieren aller Pfade vor Nutzung (Entfernen von /)
  • Whitelists zur Zugriffseinschränkung
  • sensible Daten anderswo ablegen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Bigger Picture: Grundlegendes Problem

A
  • String-basierte Code-Injection: Wenn aus Strings “computer code” erzeugt wird
  • bei der Erstellung von Computer Code sollten Strings nicht dynamisch serialisiert werden
How well did you know this?
1
Not at all
2
3
4
5
Perfectly

IT-Sicherheit (24 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions