● 81 entries

Anwendungssicherheit

Abuse CaseAnforderungsartefakt, das beschreibt, wie ein böswilliger Akteur ein System bewusst missbrauchen würde, um Nutzern, Daten oder dem Geschäft zu schaden.
Anwendungssicherheit (AppSec)Die Disziplin, Software so zu entwerfen, zu entwickeln, zu testen und zu betreiben, dass sie über ihren gesamten Lebenszyklus hinweg Missbrauch, Manipulation und unbefugtem Zugriff widersteht.
API-SicherheitDisziplin, APIs so zu entwerfen, zu bauen und zu betreiben, dass Authentifizierung, Autorisierung, Datenoffenlegung und Missbrauchsresistenz auch unter Angriff Bestand haben.
ASLRAddress Space Layout Randomization platziert Code, Stacks, Heaps und Bibliotheken bei jedem Programmstart zufaellig im Speicher, sodass Angreifer Zieladressen nicht vorhersagen koennen.
AusgabeencodierungUmwandlung unvertrauenswürdiger Daten in eine für einen bestimmten Ausgabekontext (HTML, JavaScript, URL, SQL, Shell) sichere Form, sodass sie nicht ausbrechen und als Code ausgeführt werden.
BedrohungsmodellierungStrukturierte Analyse, die Assets, Bedrohungen, Schwachstellen und Gegenmaßnahmen eines Systems identifiziert, damit Sicherheit im Design verankert und nicht nachträglich ergänzt wird.
Bösartige Browser-ErweiterungBrowser-Add-on, das seine Berechtigungen missbraucht, um Anmeldedaten zu stehlen, Sessions zu kapern, Werbung einzuschleusen oder Daten zu exfiltrieren — häufig über kompromittierte Updates legitimer Erweiterungen.
Browser-SandboxIsolationsschicht auf Betriebssystemebene, die Renderer- und Hilfsprozesse des Browsers eingrenzt, sodass kompromittierter Webcode weder Dateisystem noch andere Anwendungen erreicht.
CAPTCHAChallenge-Response-Test, der Menschen von automatisierten Bots unterscheiden soll – typischerweise bei Registrierung, Login und Formularübermittlung eingesetzt.
Capture the Flag (CTF)Cybersicherheits-Wettbewerb, bei dem Teams Aufgaben lösen, um versteckte Tokens zu finden — eingesetzt für Training, Recruiting und Community-Aufbau.
CI/CD-SicherheitKontrollen, die Continuous-Integration- und Continuous-Delivery-Pipelines vor Kompromittierung, Code-Injektion, Secret-Leakage und unautorisierten Deployments schützen.
Content Security Policy (CSP)HTTP-Antwort-Header, der dem Browser mitteilt, welche Quellen für Skripte, Styles, Frames und andere Inhalte erlaubt sind, und so XSS- und Datendiebstahlangriffe begrenzt.
Control-Flow IntegrityControl-Flow Integrity (CFI) beschraenkt indirekte Aufrufe und Returns auf einen vorab berechneten Satz legitimer Ziele und blockiert ROP- bzw. JOP-Angriffe.
CORS (Cross-Origin Resource Sharing)Vom Browser durchgesetzter Mechanismus, mit dem ein Server die Same-Origin Policy gezielt lockern kann, damit JavaScript einer Origin Antworten einer anderen lesen darf.
CosignOpen-Source-CLI des Sigstore-Projekts zum Signieren, Verifizieren und Attestieren von OCI-Artefakten und anderer Software, wahlweise mit Schlüssel oder keyless.
Coverage-Guided FuzzingFuzzing-Technik, die das Target instrumentiert, um Codeabdeckung zu messen, und gezielt Eingaben weiterentwickelt, die neue Pfade erreichen – mit deutlich höherer Bug-Findequote.
Cryptographic Bill of Materials (CBOM)Verzeichnis aller von Software oder Systemen verwendeten kryptografischen Assets - Algorithmen, Schlüssellängen, Zertifikate, Bibliotheken und Protokolle - zur Unterstützung von Kryptoagilität und Post-Quantum-Bereitschaft.
DAST (Dynamic Application Security Testing)Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
DEPData Execution Prevention (auch NX oder W^X) markiert Speicherseiten als nicht ausfuehrbar, sodass Angreifer keinen in Stack oder Heap eingeschleusten Shellcode starten koennen.
Dependency PinningDie Praxis, Software-Abhängigkeiten auf exakte Versionen festzuschreiben, häufig zusammen mit kryptografischen Hashes, damit Builds stets dieselben Artefakte verwenden und resilient gegen Lieferketten-Manipulation sind.
Dependency-Confusion-AngriffSupply-Chain-Angriff, bei dem ein Angreifer ein bösartiges Paket mit dem Namen einer internen Abhängigkeit in einer öffentlichen Registry veröffentlicht, sodass Build-Tools die öffentliche Version laden.
DevSecOpsEine Kultur und Praxis, die Sicherheitsverantwortung in DevOps-Workflows integriert, damit Teams sichere Software kontinuierlich und schnell ausliefern.
EingabevalidierungServerseitige Prüfung, ob jede unvertrauenswürdige Eingabe vor der Verarbeitung dem erwarteten Typ, Längen-, Wert-, Format- und Wertebereich entspricht.
ELF-BinarformatExecutable and Linkable Format, der Standard-Binarcontainer fur ausfuhrbare Dateien, Objektdateien und Shared Libraries auf Linux, BSD und den meisten System-V-Unix-Derivaten.
Fuzz-TestingAutomatisierte Testtechnik, die ein Programm mit großen Mengen fehlerhafter, zufälliger oder unerwarteter Eingaben füttert, um Crashes, Speicherkorruption und Sicherheitslücken aufzudecken.
GitOps-SicherheitSicherheitspraktiken für GitOps-Workflows, in denen der deklarative Soll-Zustand von Infrastruktur und Anwendungen in Git liegt und von einem automatisierten Controller in die Produktion abgeglichen wird.
Hardcodierte Secrets im CodeEinbetten von Zugangsdaten, API-Schlüsseln, Tokens oder kryptografischem Material direkt in Quellcode, Konfigurationsdateien oder Container-Images, wo sie leicht entdeckt und missbraucht werden.
Headless-BrowserEin Webbrowser, der ohne grafische Oberflache lauft und programmgesteuert wird, haufig fur Tests, Scraping und Sicherheitsautomatisierung eingesetzt.
HTTP-SicherheitsheaderAntwort-Header, die den Browser zu defensivem Verhalten anweisen: HTTPS-Pflicht, Framing-Beschränkungen, Inhaltsrichtlinien und Referer-Kontrolle.
HttpOnly-Cookie-FlagCookie-Attribut, das den Zugriff über 'document.cookie' verbietet und so bei XSS den Diebstahl der Session deutlich erschwert.
IAST (Interactive Application Security Testing)Sicherheitstest, der eine laufende Anwendung von innen instrumentiert und in Echtzeit beobachtet, während sie durch Verkehr oder Tests ausgeführt wird.
iframe-sandbox-AttributHTML-Attribut, das eingebettetem iframe-Inhalt zusatzliche Restriktionen auferlegt und Skripte, Formulare, Navigation und Same-Origin-Zugriff sperrt, sofern nicht explizit erlaubt.
in-totoOffenes Framework, das jeden Schritt einer Software-Lieferkette kryptografisch attestiert, damit Konsumenten überprüfen können, dass das Artefakt genau wie vom Projektverantwortlichen vorgesehen erzeugt und behandelt wurde.
Intel CETIntel CET (Control-flow Enforcement Technology) ist eine CPU-Funktion, die einen Hardware-Shadow-Stack mit Indirect Branch Tracking (IBT) kombiniert, um ROP-, JOP- und COP-Exploits zu stoppen.
JIT-SprayExploit-Technik, die Just-in-Time-Compiler missbraucht, um vom Angreifer gewählte ausführbare Bytes in legitim erzeugte ausführbare Speicherseiten zu platzieren.
JWT-SchwachstellenKlassen von Implementierungsfehlern bei der JSON-Web-Token-Validierung, die das Falschen von Tokens, Rechteausweitung oder Umgehung der Authentifizierung erlauben.
KASLRKernel-ASLR (KASLR) randomisiert bei jedem Boot Kernel-Basis und Modul-Ladeadressen, sodass Angreifer keine festen Kernel-Adressen fuer lokale Rechteausweitungen verwenden koennen.
Mach-OMach-O ist das native Format fur ausfuhrbare Dateien, Objektdateien und Shared Libraries auf macOS, iOS, watchOS und tvOS und wird von Apples Toolchain erzeugt.
Memory-Safe SprachenMemory-safe Sprachen wie Rust, Go, Swift, Java und C# verhindern die raeumlichen und zeitlichen Speicherfehler, die die meisten ausnutzbaren Luecken in C und C++ ausmachen.
MIME-SniffingBrowser-Verhalten, den Content-Type einer Antwort aus deren Bytes zu erraten - kann ausgenutzt werden, um hochgeladene Dateien als Skripte auszufuhren.
Misuse CaseNegativer Anwendungsfall, der Interaktionen beschreibt, die das System verhindern muss; gemeinsam mit legitimen Use Cases modelliert.
Mixed ContentSituation, in der eine HTTPS-Seite Subressourcen (Skripte, Styles, Bilder, XHR) uber unverschlusseltes HTTP ladt und so die Sicherheitsgarantien schwacht.
Mutations-FuzzingFuzzing-Strategie, die neue Testeingaben durch zufälliges Mutieren vorhandener gültiger Samples erzeugt – Bitflips, Byte-Einfügungen, Datei-Splices.
PaketsignaturAnbringen einer kryptografischen Signatur an einem Softwarepaket, damit Konsumenten Veröffentlicher und Unversehrtheit des Artefakts überprüfen können.
Parametrisierte AbfrageDatenbankabfrage, deren Werte über Platzhalter getrennt vom SQL-Text übergeben werden, sodass Benutzereingaben die Abfragestruktur nicht verändern können.
PDF-ExploitManipuliertes PDF, das Parser-Bugs, eingebettetes JavaScript, Schriftarten oder externe Aktionen eines PDF-Readers ausnutzt, um Codeausführung oder Datenexfiltration zu erzielen.
PE-Executable-FormatPortable Executable, das Windows-Binarformat fur .exe-, .dll-, .sys- und .ocx-Dateien, abgeleitet vom alteren COFF-Objektformat.
Playwright-SicherheitSicherheitsaspekte von Playwright, dem Cross-Browser-Automatisierungs-Framework von Microsoft, das Chromium, Firefox und WebKit mit isolierten Kontexten steuert.
Provenance-AttestationSignierte, maschinell verifizierbare Aussage darüber, wie ein Software-Artefakt entstanden ist - Quelle, Build-System, Parameter und Abhängigkeiten - damit Konsumenten dem Ursprung vertrauen können.
Puppeteer-SicherheitSicherheitsaspekte von Puppeteer, der von Google gepflegten Node.js-Bibliothek, die Chrome und Chromium uber das DevTools-Protokoll fur Automatisierung und Tests steuert.
RASP (Runtime Application Self-Protection)Eine in die laufende Anwendung eingebettete Verteidigung, die den Ausführungskontext überwacht und bösartiges Verhalten wie Injection oder unsichere Deserialisierung in Echtzeit blockiert.
Referrer-PolicyHTTP-Antwortheader (oder Meta-Tag), der steuert, wie viel der Ursprungs-URL der Browser im Referer-Header ausgehender Anfragen ubermittelt.
Reproduzierbare BuildsBuild-Praktiken, die sicherstellen, dass das Übersetzen desselben Quellcodes mit denselben Anweisungen ein bitgleiches Artefakt erzeugt - unabhängig davon, wann und wo gebaut wird.
Return-Oriented ProgrammingReturn-Oriented Programming (ROP) ist eine Exploit-Technik des Code-Reuse, die kurze, mit RET endende Instruktionsfolgen verkettet, um beliebige Berechnungen ohne neuen Code auszufuehren.
robots.txtTextdatei im Site-Root, die wohlerzogenen Webcrawlern mitteilt, welche Pfade sie abrufen durfen, formalisiert in IETF RFC 9309.
Same-Origin Policy (SOP)Browser-Sicherheitsregel, die einschrankt, wie ein Dokument oder Skript einer Origin mit Ressourcen einer anderen Origin interagieren darf.
SameSite-CookieCookie-Attribut, das steuert, ob Browser das Cookie bei site-übergreifenden Anfragen mitsenden — Werte Strict, Lax und None —, vor allem zur CSRF-Minderung.
SAST (Static Application Security Testing)Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.
SCA (Software Composition Analysis)Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen.
Secure-Cookie-FlagCookie-Attribut, das den Browser anweist, das Cookie nur über HTTPS zu senden und so Klartext-Übertragung im Netzwerk zu verhindern.
Session FixationAngriff, bei dem der Angreifer vor dem Login eine ihm bekannte Session-ID im Browser des Opfers platziert, sodass sie nach der Authentifizierung für ihn gültig bleibt.
Shadow StackEin Shadow Stack ist ein separater, geschuetzter Stack mit Kopien der Rueckkehradressen, sodass die CPU Manipulationen am normalen Stack erkennt und ROP-Angriffe stoppt.
Shift-Left-SecurityPraxis, Sicherheitsaktivitäten früher im Software-Lebenszyklus zu verankern, damit Schwachstellen gefunden und behoben werden, bevor Code in Produktion geht.
Sicherer Software-Entwicklungslebenszyklus (SSDLC)Entwicklungslebenszyklus, in den Sicherheitsaktivitäten in jede Phase integriert sind – von Anforderungen und Design über Coding, Tests, Release bis zum Betrieb.
Sicheres ProgrammierenPraxis, Quellcode so zu schreiben, dass Sicherheitsmängel minimiert werden — durch defensive Muster, sprachspezifische Regeln und anerkannte Leitlinien.
SicherheitsanforderungenExplizite, testbare Aussagen darüber, was ein System tun muss bzw. nicht tun darf, um Vertraulichkeit, Integrität, Verfügbarkeit und Privatsphäre zu schützen.
Sicherheitseigenschaften von RustRust erzwingt Speicher- und Thread-Sicherheit zur Compile-Zeit ueber Ownership, Borrowing und Lifetimes und beseitigt UAF und Data Races ohne Garbage Collector.
SigstoreOpen-Source-Projekt der Linux Foundation, das Signatur, Verifikation und Schutz von Software-Artefakten mittels kurzlebiger Schlüssel, OIDC-Identitäten und Transparenz-Log einfach macht.
Site IsolationChromium-Sicherheitsarchitektur, die Dokumente unterschiedlicher Sites in separate Betriebssystemprozesse legt, sodass ein kompromittierter Renderer keine fremden Daten lesen kann.
SLSA FrameworkSupply-chain Levels for Software Artifacts: ein vom OpenSSF veröffentlichter stufenweiser Anforderungskatalog, der Erstellung, Signatur und Verifikation von Software gegen Lieferketten-Manipulation zunehmend härtet.
SMEP / SMAPSMEP und SMAP sind CPU-Features, die verhindern, dass der Kernel User-Space-Seiten ausfuehrt oder liest/schreibt, und damit haeufige lokale Privilege-Escalation-Techniken blockieren.
Software Bill of Materials (SBOM)Formales, maschinenlesbares Verzeichnis der Komponenten, Bibliotheken und Abhängigkeiten einer Software einschließlich ihrer Versionen und Beziehungen.
Software-Supply-Chain-SicherheitDisziplin zum Schutz jedes Glieds der Software-Produktion - Quellcode, Abhängigkeiten, Build, Signatur, Distribution und Deployment - gegen Manipulation, bösartigen Code und Integritätsverlust.
SpeichersicherheitSpeichersicherheit (Memory Safety) ist die Eigenschaft, dass ein Programm niemals Speicher liest, schreibt oder ausfuehrt, den es nicht legitim allokiert hat, und schaltet damit ganze Schwachstellenklassen aus.
Spekulative-Ausführung-SeitenkanalMikroarchitekturelle Schwachstellenklasse, bei der CPUs Daten über Caches und Predictors leaken, nachdem sie Befehle spekulativ entlang nicht-eingeschlagener Pfade ausgeführt haben.
Stack CanaryEin Stack Canary ist ein geheimer Wert zwischen lokalen Puffern und der gespeicherten Rueckkehradresse einer Funktion, um Stack-Overflows zu erkennen, bevor sie den Kontrollfluss kapern.
Subresource Integrity (SRI)Browser-Mechanismus, der den kryptografischen Hash eines von Dritten geladenen Skripts oder Stylesheets vor der Ausführung prüft und manipulierte Dateien blockiert.
Symbolische AusführungProgrammanalyse-Technik, die Code mit symbolischen Eingaben statt mit konkreten Werten ausführt und Pfadbedingungen aufbaut, die ein SMT-Solver löst, um Bugs zu finden.
Trusted TypesBrowser-API und CSP-Direktive zur Verhinderung von DOM-basiertem XSS: gefahrliche DOM-Sinks akzeptieren nur typisierte, durch Policies gepruefte Werte statt roher Strings.
Type-Confusion-SchwachstelleMemory-Safety-Bug, bei dem Code auf ein Objekt mit einem Typ zugreift, der nicht zur tatsächlichen Allokation passt, und so Lese-, Schreib- oder Codeausführung erlaubt.
User-Agent-SpoofingFalschen des User-Agent-Headers oder zugehoriger Client Hints, damit eine Anfrage von einem anderen Browser, Gerat oder Betriebssystem zu stammen scheint als tatsachlich.