Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
webdev:cmssec [2013-06-24 14:45] – Typografie fzap | webdev:cmssec [2021-12-08 11:43] (aktuell) – gelöscht fzap | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== CMS-Sicherheit ====== | ||
- | ===== Problemstellung ===== | ||
- | * sicherer Betrieb von CMSystemen gewinnt zunehmend an Bedeutung. | ||
- | * Angriffspotenzial durch Quasi-Monokultur von Opensource-Systemem wie drupal, Typo3, Joomla usw. | ||
- | * Sichheitskonzept muss schon bei der Planung berücksichtigt werden. | ||
- | * Was-wäre-wenn-Szenario. | ||
- | * Regelung der Verantwortlichkeiten. | ||
- | * Patch-Strategie | ||
- | * Regelung und Verfahrensweise von Major-Minor-Updates | ||
- | * regelmäßiges Monitoring hinsichtlich Sicherheit nötig | ||
- | |||
- | ===== Typische Angreffsvektoren ===== | ||
- | |||
- | ^ Angriffsart | ||
- | | DOS | todo | todo | | ||
- | | Code Execution | ||
- | | Overflow | ||
- | | Memory Corruption | ||
- | | Sql Injection | ||
- | | XSS | todo | todo | | ||
- | | Directory Traversal | ||
- | | Http Response Splitting| todo | todo | | ||
- | | Bypass something | ||
- | | Http Response Splitting| todo | todo | | ||
- | | Gain Information | ||
- | | Gain Privileges | ||
- | | CSRF | todo | todo | | ||
- | | File Inclusion | ||
- | |||
- | |||
- | |||
- | |||
- | |||
- | ===== Meldungen von Schwachstellen ===== | ||
- | * http:// | ||
- | * http:// | ||
- | * https:// | ||
- | |||
- | |||
- | |||