Abend 26: 07.12.2016 - Web-Security
Web-Security
Web-Security
Kartei Details
Karten | 9 |
---|---|
Sprache | Deutsch |
Kategorie | Informatik |
Stufe | Universität |
Erstellt / Aktualisiert | 10.12.2016 / 10.01.2018 |
Lizenzierung | Keine Angabe |
Weblink |
https://card2brain.ch/box/20161210_abend_26_07_12_2016_websecurity
|
Einbinden |
<iframe src="https://card2brain.ch/box/20161210_abend_26_07_12_2016_websecurity/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Durch welche drei Parameter definiert sich die Same Origin Policy?
Protokoll + Host + Port
Weshalb sollte vermieden werden Sessions in der URL zu haben?
- ist in den logs lesbar
- könnte in bookmarks gespeichert bleiben und von jemandem anderen übernommen werden
besser wäre:
- session id im cookie zu behalten
Was sind Rainbow-Tables?
Vorberechnete Tabellen um Klartext-Passwörter aus Hashes zu finden.
Wie kan man sich bei einem System das nicht gegen SQL Injection geschützt ist einloggen ohne das Passwort zu kennen?
Password: 'or'1'='1
Welches sind die 10 kritischsten Web Application Security Risiken? Nenne min. 4 davon.
- A1 Injection
- A2 Broken Authentication and Session Management
- A3 Cross-Site Scripting (XSS)
- A4 Insecure Direct Object References
- A5 Security Misconfiguration
- A6 Sensitive Data Exposure
- A7 Missing Function Level Access Control
- A8 Cross-Site Request Forgery (CSRF)
- A9 Using Components with Known Vulnerabilities
- A10 Unvalidated Redirects and Forwards.
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Was ist die Defintion von "Strong authentication"?
Definition of Strong authentication:
Combination of at least 2 factorsFactors of Authentication (3 variants)
Factors of Authentication (3 variants)
- To KNOW something: Password, PIN
- To OWN something: Smartcard, SecurId, Safeword, Vasco, OTP
- To BE something: Fingerprint, Iris, Voice, Face
Session Attacks: Wie kann man sich eines anderen Benutzers Session ausgeben?
- Cookie Editor
- Intercepting proxy (e.g. Burp, ZAP, ...)
SOP: Welche der folgenden URLs erfüllen die Same Origin Policy?
Ein in der Datei http://www.example.com/dir/page.html eingebettetes Skript versucht, auf ein Element in den folgenden Seiten zuzugreifen: