Kapitel 18. Schwachstellen in der Geschäftslogik
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
In den vorangegangenen Kapiteln haben wir eine Reihe von häufigen Schwachstellen besprochen, die die meisten Webanwendungen betreffen. Diese Schwachstellen ließen sich mit Begriffen wie Injektion oder Denial of Service leicht kategorisieren. Die genannten Schwachstellen hatten fast immer eine einheitliche Form, was es leicht machte, sie kategorisch zu definieren. Das bedeutet auch, dass sowohl die offensiven als auch die defensiven Strategien zum Angriff oder zur Entschärfung von Schwachstellen bei allen betroffenen Anwendungen relativ einheitlich sind.
Bis jetzt haben wir uns mit den typischen Schwachstellen von Webanwendungen beschäftigt. Aber was passiert, wenn wir auf eine Sicherheitslücke stoßen, die nur in einer einzigen Anwendung auftritt? Einzigartige Schwachstellen treten am häufigsten auf, wenn eine Anwendung bestimmte Geschäftslogikregeln implementiert. Ein Hacker lernt dann, wie er diese programmierten Regeln ausnutzen kann, um unbeabsichtigte Ergebnisse zu erzielen. Mit anderen Worten: Die Schwachstellen, die wir bisher untersucht haben, sind Schwachstellen, die aufgrund der Anwendungslogik auftreten können, aber nicht aufgrund von Geschäftsregeln.
Die Anwendungslogik kombiniert Informationen und Anweisungen, um Aufgaben auszuführen, die in Webanwendungen üblich sind, z. B. das Rendern ...
Get Web Application Security, 2. Auflage now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
