Sicherheits-Wissensdatenbank

Authentifizierungs-Bypass lässt Angreifer geschützte Bereiche ohne Anmeldedaten erreichen. Hier sind die peinlichsten CVEs des Jahrzehnts mit ihren Mustern und Ursachen.

XSS lässt Angreifer eigenes JavaScript im Browser anderer Besucher ausführen. Der Artikel erklärt die drei Varianten und die modernen Schutzmaßnahmen, einschließlich der Grenzen von CSP.

Jeder Scan-Befund hat eine CVE, einen CVSS-Score, manchmal EPSS oder KEV. Wie diese Werte zu lesen sind und welche Schwachstellen zuerst behoben werden.

Bei einer Datenbank-CVE ist die wichtigere Frage meist, ob die Datenbank überhaupt aus dem Internet erreichbar sein sollte. Wie MySQL-, Postgres-, Mongo- und Redis-CVEs zu lesen sind.

DoS reicht von volumetrischer DDoS über Einzelpaket-Protokollfehler bis zu Regex-Pathologien mit quadratischer Laufzeit. Der Artikel zeigt, was Angreifer davon haben und welche Maßnahmen wirklich schützen.

FTP überträgt Zugangsdaten im Klartext und hat eine lange CVE-Historie. Die bessere Frage ist, ob FTP überhaupt nötig ist und wie Sie sauber zu SFTP oder HTTPS migrieren.

Mailserver verarbeiten Angreifer-Daten bei jeder Verbindung. Bugs bedeuten meist Pre-Auth-Code-Ausführung. Was die Exim-Welle 2019 gelehrt hat und was Sie heute patchen sollten.

Die meisten OpenSSH-CVEs aus Scannern sind Banner-Fehlalarme. Wirklich ausnutzbare Bugs sind selten. Wie SSH-Befunde sinnvoll triagiert werden.

Path Traversal erlaubt das Lesen oder Schreiben außerhalb des freigegebenen Verzeichnisses und ist oft der zweite Schritt zur kompletten Server-Übernahme.

JavaScript-Bug-Klasse: angreiferkontrollierte Werte überschreiben Object.prototype und infizieren alle Objekte. Wie der Pfad vom Deep-Merge-Bug zur Code-Ausführung verläuft.

RCE ist der schlimmste Software-Bug: Angreifer im Internet führen Befehle auf Ihrem Server aus. Was eine RCE ermöglicht, was Angreifer damit tun und warum Patches nicht warten dürfen.

SQL-Injection lässt Angreifer die Anfragen umschreiben, die Ihre Anwendung an die Datenbank sendet. Im Erfolgsfall lesen sie jede Tabelle, manchmal sogar das Betriebssystem darunter.

SSRF lässt Angreifer Webanfragen vom Server stellen, einschließlich interner Admin-Panels und Cloud-Metadaten. Der Capital-One-Hack erklärt in einem einzigen Artikel.

Liest eine Anwendung angreiferkontrollierte Daten, kann aus Lesen schnell Code-Ausführung werden. Diese Bug-Klasse steckt hinter Dutzenden Schlagzeilen-RCEs.

Schwachstellen im Webserver sind besonders heikel, weil jeder eingehende Request hindurchläuft. Warum diese Patches Vorrang haben und welche Optionen bleiben, wenn ein Update warten muss.

Ihr HTTPS funktioniert, aber Besucher ohne https://-Präfix landen weiter im Klartext. Eine Zeilen-Weiterleitung schließt eine real ausgenutzte Lücke.

Ihre Seite ist nur über HTTP erreichbar. Jeder Login, jedes Formular ist im Netz mitlesbar. Wie HTTPS kostenlos mit Let's Encrypt aktiviert wird.

CSP listet erlaubte Quellen für Skripte und Styles. Ohne CSP wird ein einzelner XSS-Bug zur vollständigen Kontoübernahme. Wie Sie eine Starter-Policy schrittweise ausrollen.

HSTS sagt Browsern, immer HTTPS für Ihre Domain zu nutzen. Ohne HSTS ist die erste Anfrage unverschlüsselt und kann von Angreifern dauerhaft umgeleitet werden.

Ohne Referrer-Policy senden Besucher die volle URL (samt Tokens, Suchbegriffen, IDs) an jede externe Seite, die sie anklicken. Eine Zeile Header-Konfiguration löst das Problem.

Ohne nosniff können Browser raten, dass eine hochgeladene Datei ein Skript ist, und sie ausführen. Die Ein-Zeilen-Korrektur, die einen XSS-Pfad schließt.

Ohne Einbettungsrichtlinie laden Angreifer Ihre Seite in ihrer eigenen und tricksen Klicks aus, die der Besucher nicht sieht. Der Header, der das verhindert.

BIMI zeigt das verifizierte Firmenlogo neben E-Mails in Gmail und Apple Mail an. Welche Voraussetzungen gelten, was ein VMC-Zertifikat kostet und wie die Einrichtung läuft.

Ohne CAA-DNS-Eintrag kann jede der 90+ Zertifizierungsstellen TLS-Zertifikate für Ihre Domain ausstellen. Wie ein CAA-Eintrag das verhindert und wie Sie ihn setzen.

DKIM signiert ausgehende E-Mails, damit Empfänger Manipulationen erkennen. Ohne DKIM landen Nachrichten im Spam oder werden abgelehnt. So wird DKIM eingerichtet.

DMARC sagt Mailservern, was bei gefälschten Nachrichten von Ihrer Domain zu tun ist. Ohne DMARC nützen auch korrektes SPF und DKIM wenig. So richten Sie DMARC ein.

Ihr DMARC-Eintrag steht, aber p=none bedeutet: Empfänger melden Fehler, blockieren aber nichts. Wie sicher auf p=quarantine und p=reject eskaliert wird.

DNSSEC signiert DNS-Antworten kryptografisch, sodass Angreifer Besucher und E-Mails nicht umleiten können. Wie DNSSEC funktioniert und wie es aktiviert wird.

MTA-STS erzwingt TLS bei eingehender Post. Ohne MTA-STS kann ein Netzangreifer Nachrichten in Klartext herunterstufen und mitlesen. Wie die DNS-Einträge und die Policy-Datei aussehen müssen.

Ohne SPF-Eintrag kann jeder im Internet E-Mails versenden, die scheinbar von Ihrer Domain kommen. Warum Provider Sie abstufen und wie SPF gesetzt wird.

E-Mail-Adressen und Passwörter Ihrer Domain tauchen in Dritt-Datenlecks auf. Woher die Daten stammen, wie Angreifer sie nutzen und was zu tun ist.

Eine Consent-Management-Plattform wurde erkannt. Cookiebot, Usercentrics, Borlabs und andere müssen aber korrekt konfiguriert sein, um DSGVO-konform zu laufen.

DSGVO Art. 13 und 14 verlangen eine Datenschutzerklärung auf jeder Website. Fehlende oder unauffindbare Erklärungen sind leichte Beute für Abmahnungen.

Google Fonts von fonts.googleapis.com sendet Besucher-IPs an Google. Das LG München I sprach 100 € Schadensersatz zu. Wie Sie die Schriften in fünf Minuten selbst hosten.

Ein eingebettetes Google-Maps-iframe sendet Besucher-IPs vor der Einwilligung an Google. Als Lösung dienen Klick-zum-Laden-Platzhalter oder die Static Maps API.

Das deutsche Recht (§5 TMG) verlangt eine klar gekennzeichnete Anbieterkennzeichnung, in zwei Klicks erreichbar. Fehlende Impressen sind ein Abmahn-Klassiker.

Ihre Seite lädt Tracking-Skripte ohne Einwilligungsbanner. Unter DSGVO und TDDDG ist das abmahnfähig. Warum das schlimmer ist als ein falsch gesetzter Banner.

Google Analytics, Facebook Pixel oder Hotjar laden vor dem Cookie-Banner. Das verstößt gegen DSGVO und TDDDG §25. Warum das abmahnfähig ist und wie es korrekt gelöst wird.

Ein Tracking-Cookie wurde vor Annahme des Banners gesetzt. Nach TDDDG §25 ist das unzulässig. Wo der Fehler typischerweise sitzt und wie er behoben wird.