Programmierer erobern die Sicherheit: Share & Learn-Reihe — Ungenügender Automatisierungsschutz
Stellen Sie sich vor, Sie gehen zur Tür eines alten Speakeasy- oder Underground-Clubs. Das kleine Loch in der Tür öffnet sich und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rätselt es. Es ist falsch, also lässt der Türsteher sie nicht rein.
Das würde normalerweise passieren. Stellen Sie sich nun vor, der Besucher, der das falsche Passwort erraten hat, versucht es sofort erneut, versteht es falsch und ihm wird erneut der Zugriff verweigert. Stellen Sie sich dann vor, der potenzielle Besucher öffnet das Wörterbuch und beginnt, Wörter vorzulesen. Er beginnt mit etwas wie Erdferkel und probiert jedes einzelne mögliche Wort aus.
Höchstwahrscheinlich würde der Bouncer solche Aktivitäten nicht zulassen, aber Websites und Anwendungen mit unzureichender Anti-Automatisierung tun genau das. Sie ermöglichen es Benutzern, Passwörter immer wieder auszuprobieren, sogar mithilfe von Automatisierungstechniken, bis sie schließlich auf das richtige Schlagwort stoßen.
In dieser Episode werden wir lernen:
- Wie Angreifer unzureichende Anti-Automatisierung ausnutzen
- Warum Anwendungen mit unzureichender Antiautomatisierung gefährlich sind
- Techniken, mit denen diese Sicherheitsanfälligkeit behoben werden kann.
Wie nutzen Angreifer unzureichende Anti-Automatisierung aus?
Der Einsatz von Automatisierung oder Angriffen im Wörterbuchstil, wie es unser imaginärer Speakeasy-Besucher getan hat, ist in der Cybersicherheit nichts Neues. Tatsächlich gehörten diese Angriffe im Brute-Force-Stil zu den ersten Hackertechniken, die jemals eingesetzt wurden. Und als Computer schneller wuchsen, wurden sie immer effizienter. Ein schneller Computer kann in nur wenigen Minuten ein ganzes Wörterbuch von Wörtern durchgehen, abhängig von der Geschwindigkeit der Verbindung zwischen dem Angriffscomputer und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Es gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer ausgeführten Aktionen nicht den Normen des typischen menschlichen Verhaltens entsprechen.
Wenn eine Anwendung über unzureichende Antiautomatisierungsprüfungen verfügt, können Angreifer Passwörter einfach weiter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge wie Spam-Kommentare in Website-Foren zu erledigen.
Warum ist ein unzureichender Automatisierungsschutz gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, mithilfe von Automatisierung zu versuchen, Sicherheitsvorkehrungen zu umgehen. Der Grund dafür, dass Angriffe vom Typ Automatisierung seit den Anfängen der Computertechnik bis heute andauern, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm eine unbegrenzte Zeit geben, um Passwörter einzureichen, ohne dass eine falsche Vermutung Konsequenzen hat, wird es irgendwann das richtige finden.
Wenn es in einem Forum verwendet wird, können Wellen von offensichtlich geskripteten Kommentaren legitime Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Angriff wirken, bei dem Systemressourcen verschwendet werden. Automatisiertes Posten kann auch als Tool für Phishing- oder andere Angriffe verwendet werden, um die Köder so vielen Menschen wie möglich zugänglich zu machen.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Antiautomatisierung zu lösen, müssen alle Anwendungen in der Lage sein, festzustellen, ob die ergriffenen Maßnahmen von einem Menschen oder einer Automatisierungssoftware implementiert werden. Eine der beliebtesten und am weitesten verbreiteten Techniken ist die Vollständig automatisierter öffentlicher Turing-Test, um Computer und Menschen voneinander zu unterscheiden, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, erstmals 1950 vom Informatiker Alan Turing vorgeschlagen, wodurch das Verhalten von Mensch und Computer getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer jedoch zu kämpfen haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel zeigt ein Foto, das durch ein Raster getrennt ist, und fordert die Benutzer auf, alle Sektoren zu identifizieren, in denen sich ein bestimmtes Objekt befindet, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn das möglich wäre, übersteigt die Bilderkennung die meisten Programme, die nicht speziell dafür entwickelt wurden.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen logischen Frage oder das laute Ausspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, z. B. bei der Aufforderung zur Eingabe eines Passworts, kann Automatisierungsprogramme zum Erliegen bringen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem einfach die Anzahl falscher Schätzungen aus derselben Quelle begrenzt wird. Wenn zu viele falsche Schätzungen gesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt hinausgeht, an dem es nützlich ist, oder es könnte sogar erforderlich sein, dass ein menschlicher Administrator die Sperre aufhebt. Wenn Sie all das tun, sollten Sie Sicherheitslücken gegen die Automatisierung innerhalb einer Anwendung verhindern.
Weitere Informationen zu unzureichender Antiautomatisierung
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt unzureichende Antiautomatisierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Sind Sie bereit, eine unzureichende Anti-Automatisierung sofort zu finden und zu beheben? Teste deine Fähigkeiten in unserer Spielarena: [Fangen Sie hier an]
Wenn eine Anwendung über unzureichende Antiautomatisierungsprüfungen verfügt, können Angreifer Passwörter einfach weiter erraten, bis sie eine Übereinstimmung finden. Hier erfahren Sie, wie Sie sie aufhalten können.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Stellen Sie sich vor, Sie gehen zur Tür eines alten Speakeasy- oder Underground-Clubs. Das kleine Loch in der Tür öffnet sich und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rätselt es. Es ist falsch, also lässt der Türsteher sie nicht rein.
Das würde normalerweise passieren. Stellen Sie sich nun vor, der Besucher, der das falsche Passwort erraten hat, versucht es sofort erneut, versteht es falsch und ihm wird erneut der Zugriff verweigert. Stellen Sie sich dann vor, der potenzielle Besucher öffnet das Wörterbuch und beginnt, Wörter vorzulesen. Er beginnt mit etwas wie Erdferkel und probiert jedes einzelne mögliche Wort aus.
Höchstwahrscheinlich würde der Bouncer solche Aktivitäten nicht zulassen, aber Websites und Anwendungen mit unzureichender Anti-Automatisierung tun genau das. Sie ermöglichen es Benutzern, Passwörter immer wieder auszuprobieren, sogar mithilfe von Automatisierungstechniken, bis sie schließlich auf das richtige Schlagwort stoßen.
In dieser Episode werden wir lernen:
- Wie Angreifer unzureichende Anti-Automatisierung ausnutzen
- Warum Anwendungen mit unzureichender Antiautomatisierung gefährlich sind
- Techniken, mit denen diese Sicherheitsanfälligkeit behoben werden kann.
Wie nutzen Angreifer unzureichende Anti-Automatisierung aus?
Der Einsatz von Automatisierung oder Angriffen im Wörterbuchstil, wie es unser imaginärer Speakeasy-Besucher getan hat, ist in der Cybersicherheit nichts Neues. Tatsächlich gehörten diese Angriffe im Brute-Force-Stil zu den ersten Hackertechniken, die jemals eingesetzt wurden. Und als Computer schneller wuchsen, wurden sie immer effizienter. Ein schneller Computer kann in nur wenigen Minuten ein ganzes Wörterbuch von Wörtern durchgehen, abhängig von der Geschwindigkeit der Verbindung zwischen dem Angriffscomputer und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Es gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer ausgeführten Aktionen nicht den Normen des typischen menschlichen Verhaltens entsprechen.
Wenn eine Anwendung über unzureichende Antiautomatisierungsprüfungen verfügt, können Angreifer Passwörter einfach weiter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge wie Spam-Kommentare in Website-Foren zu erledigen.
Warum ist ein unzureichender Automatisierungsschutz gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, mithilfe von Automatisierung zu versuchen, Sicherheitsvorkehrungen zu umgehen. Der Grund dafür, dass Angriffe vom Typ Automatisierung seit den Anfängen der Computertechnik bis heute andauern, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm eine unbegrenzte Zeit geben, um Passwörter einzureichen, ohne dass eine falsche Vermutung Konsequenzen hat, wird es irgendwann das richtige finden.
Wenn es in einem Forum verwendet wird, können Wellen von offensichtlich geskripteten Kommentaren legitime Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Angriff wirken, bei dem Systemressourcen verschwendet werden. Automatisiertes Posten kann auch als Tool für Phishing- oder andere Angriffe verwendet werden, um die Köder so vielen Menschen wie möglich zugänglich zu machen.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Antiautomatisierung zu lösen, müssen alle Anwendungen in der Lage sein, festzustellen, ob die ergriffenen Maßnahmen von einem Menschen oder einer Automatisierungssoftware implementiert werden. Eine der beliebtesten und am weitesten verbreiteten Techniken ist die Vollständig automatisierter öffentlicher Turing-Test, um Computer und Menschen voneinander zu unterscheiden, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, erstmals 1950 vom Informatiker Alan Turing vorgeschlagen, wodurch das Verhalten von Mensch und Computer getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer jedoch zu kämpfen haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel zeigt ein Foto, das durch ein Raster getrennt ist, und fordert die Benutzer auf, alle Sektoren zu identifizieren, in denen sich ein bestimmtes Objekt befindet, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn das möglich wäre, übersteigt die Bilderkennung die meisten Programme, die nicht speziell dafür entwickelt wurden.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen logischen Frage oder das laute Ausspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, z. B. bei der Aufforderung zur Eingabe eines Passworts, kann Automatisierungsprogramme zum Erliegen bringen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem einfach die Anzahl falscher Schätzungen aus derselben Quelle begrenzt wird. Wenn zu viele falsche Schätzungen gesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt hinausgeht, an dem es nützlich ist, oder es könnte sogar erforderlich sein, dass ein menschlicher Administrator die Sperre aufhebt. Wenn Sie all das tun, sollten Sie Sicherheitslücken gegen die Automatisierung innerhalb einer Anwendung verhindern.
Weitere Informationen zu unzureichender Antiautomatisierung
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt unzureichende Antiautomatisierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Sind Sie bereit, eine unzureichende Anti-Automatisierung sofort zu finden und zu beheben? Teste deine Fähigkeiten in unserer Spielarena: [Fangen Sie hier an]
Stellen Sie sich vor, Sie gehen zur Tür eines alten Speakeasy- oder Underground-Clubs. Das kleine Loch in der Tür öffnet sich und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rätselt es. Es ist falsch, also lässt der Türsteher sie nicht rein.
Das würde normalerweise passieren. Stellen Sie sich nun vor, der Besucher, der das falsche Passwort erraten hat, versucht es sofort erneut, versteht es falsch und ihm wird erneut der Zugriff verweigert. Stellen Sie sich dann vor, der potenzielle Besucher öffnet das Wörterbuch und beginnt, Wörter vorzulesen. Er beginnt mit etwas wie Erdferkel und probiert jedes einzelne mögliche Wort aus.
Höchstwahrscheinlich würde der Bouncer solche Aktivitäten nicht zulassen, aber Websites und Anwendungen mit unzureichender Anti-Automatisierung tun genau das. Sie ermöglichen es Benutzern, Passwörter immer wieder auszuprobieren, sogar mithilfe von Automatisierungstechniken, bis sie schließlich auf das richtige Schlagwort stoßen.
In dieser Episode werden wir lernen:
- Wie Angreifer unzureichende Anti-Automatisierung ausnutzen
- Warum Anwendungen mit unzureichender Antiautomatisierung gefährlich sind
- Techniken, mit denen diese Sicherheitsanfälligkeit behoben werden kann.
Wie nutzen Angreifer unzureichende Anti-Automatisierung aus?
Der Einsatz von Automatisierung oder Angriffen im Wörterbuchstil, wie es unser imaginärer Speakeasy-Besucher getan hat, ist in der Cybersicherheit nichts Neues. Tatsächlich gehörten diese Angriffe im Brute-Force-Stil zu den ersten Hackertechniken, die jemals eingesetzt wurden. Und als Computer schneller wuchsen, wurden sie immer effizienter. Ein schneller Computer kann in nur wenigen Minuten ein ganzes Wörterbuch von Wörtern durchgehen, abhängig von der Geschwindigkeit der Verbindung zwischen dem Angriffscomputer und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Es gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer ausgeführten Aktionen nicht den Normen des typischen menschlichen Verhaltens entsprechen.
Wenn eine Anwendung über unzureichende Antiautomatisierungsprüfungen verfügt, können Angreifer Passwörter einfach weiter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge wie Spam-Kommentare in Website-Foren zu erledigen.
Warum ist ein unzureichender Automatisierungsschutz gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, mithilfe von Automatisierung zu versuchen, Sicherheitsvorkehrungen zu umgehen. Der Grund dafür, dass Angriffe vom Typ Automatisierung seit den Anfängen der Computertechnik bis heute andauern, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm eine unbegrenzte Zeit geben, um Passwörter einzureichen, ohne dass eine falsche Vermutung Konsequenzen hat, wird es irgendwann das richtige finden.
Wenn es in einem Forum verwendet wird, können Wellen von offensichtlich geskripteten Kommentaren legitime Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Angriff wirken, bei dem Systemressourcen verschwendet werden. Automatisiertes Posten kann auch als Tool für Phishing- oder andere Angriffe verwendet werden, um die Köder so vielen Menschen wie möglich zugänglich zu machen.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Antiautomatisierung zu lösen, müssen alle Anwendungen in der Lage sein, festzustellen, ob die ergriffenen Maßnahmen von einem Menschen oder einer Automatisierungssoftware implementiert werden. Eine der beliebtesten und am weitesten verbreiteten Techniken ist die Vollständig automatisierter öffentlicher Turing-Test, um Computer und Menschen voneinander zu unterscheiden, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, erstmals 1950 vom Informatiker Alan Turing vorgeschlagen, wodurch das Verhalten von Mensch und Computer getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer jedoch zu kämpfen haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel zeigt ein Foto, das durch ein Raster getrennt ist, und fordert die Benutzer auf, alle Sektoren zu identifizieren, in denen sich ein bestimmtes Objekt befindet, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn das möglich wäre, übersteigt die Bilderkennung die meisten Programme, die nicht speziell dafür entwickelt wurden.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen logischen Frage oder das laute Ausspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, z. B. bei der Aufforderung zur Eingabe eines Passworts, kann Automatisierungsprogramme zum Erliegen bringen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem einfach die Anzahl falscher Schätzungen aus derselben Quelle begrenzt wird. Wenn zu viele falsche Schätzungen gesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt hinausgeht, an dem es nützlich ist, oder es könnte sogar erforderlich sein, dass ein menschlicher Administrator die Sperre aufhebt. Wenn Sie all das tun, sollten Sie Sicherheitslücken gegen die Automatisierung innerhalb einer Anwendung verhindern.
Weitere Informationen zu unzureichender Antiautomatisierung
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt unzureichende Antiautomatisierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Sind Sie bereit, eine unzureichende Anti-Automatisierung sofort zu finden und zu beheben? Teste deine Fähigkeiten in unserer Spielarena: [Fangen Sie hier an]
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Stellen Sie sich vor, Sie gehen zur Tür eines alten Speakeasy- oder Underground-Clubs. Das kleine Loch in der Tür öffnet sich und ein stämmiger Türsteher fragt nach dem Passwort. Der potenzielle Besucher kennt das Passwort nicht und rätselt es. Es ist falsch, also lässt der Türsteher sie nicht rein.
Das würde normalerweise passieren. Stellen Sie sich nun vor, der Besucher, der das falsche Passwort erraten hat, versucht es sofort erneut, versteht es falsch und ihm wird erneut der Zugriff verweigert. Stellen Sie sich dann vor, der potenzielle Besucher öffnet das Wörterbuch und beginnt, Wörter vorzulesen. Er beginnt mit etwas wie Erdferkel und probiert jedes einzelne mögliche Wort aus.
Höchstwahrscheinlich würde der Bouncer solche Aktivitäten nicht zulassen, aber Websites und Anwendungen mit unzureichender Anti-Automatisierung tun genau das. Sie ermöglichen es Benutzern, Passwörter immer wieder auszuprobieren, sogar mithilfe von Automatisierungstechniken, bis sie schließlich auf das richtige Schlagwort stoßen.
In dieser Episode werden wir lernen:
- Wie Angreifer unzureichende Anti-Automatisierung ausnutzen
- Warum Anwendungen mit unzureichender Antiautomatisierung gefährlich sind
- Techniken, mit denen diese Sicherheitsanfälligkeit behoben werden kann.
Wie nutzen Angreifer unzureichende Anti-Automatisierung aus?
Der Einsatz von Automatisierung oder Angriffen im Wörterbuchstil, wie es unser imaginärer Speakeasy-Besucher getan hat, ist in der Cybersicherheit nichts Neues. Tatsächlich gehörten diese Angriffe im Brute-Force-Stil zu den ersten Hackertechniken, die jemals eingesetzt wurden. Und als Computer schneller wuchsen, wurden sie immer effizienter. Ein schneller Computer kann in nur wenigen Minuten ein ganzes Wörterbuch von Wörtern durchgehen, abhängig von der Geschwindigkeit der Verbindung zwischen dem Angriffscomputer und dem Zielsystem.
Diese Art von automatisierten Angriffen war der Grund, warum Anti-Automatisierungssoftware und -techniken entwickelt wurden. Es gibt Anwendungen die Möglichkeit, festzustellen, ob die von einem Benutzer ausgeführten Aktionen nicht den Normen des typischen menschlichen Verhaltens entsprechen.
Wenn eine Anwendung über unzureichende Antiautomatisierungsprüfungen verfügt, können Angreifer Passwörter einfach weiter erraten, bis sie eine Übereinstimmung finden. Oder sie verwenden Automatisierungssoftware, um andere Dinge wie Spam-Kommentare in Website-Foren zu erledigen.
Warum ist ein unzureichender Automatisierungsschutz gefährlich?
Es kann gefährlich sein, böswilligen Benutzern zu erlauben, mithilfe von Automatisierung zu versuchen, Sicherheitsvorkehrungen zu umgehen. Der Grund dafür, dass Angriffe vom Typ Automatisierung seit den Anfängen der Computertechnik bis heute andauern, ist, dass sie sehr effektiv sein können. Wenn Sie einem Automatisierungsprogramm eine unbegrenzte Zeit geben, um Passwörter einzureichen, ohne dass eine falsche Vermutung Konsequenzen hat, wird es irgendwann das richtige finden.
Wenn es in einem Forum verwendet wird, können Wellen von offensichtlich geskripteten Kommentaren legitime Benutzer frustrieren oder sogar wie eine Art Denial-of-Service-Angriff wirken, bei dem Systemressourcen verschwendet werden. Automatisiertes Posten kann auch als Tool für Phishing- oder andere Angriffe verwendet werden, um die Köder so vielen Menschen wie möglich zugänglich zu machen.
Behebung unzureichender Anti-Automatisierungsprobleme
Um das Problem der unzureichenden Antiautomatisierung zu lösen, müssen alle Anwendungen in der Lage sein, festzustellen, ob die ergriffenen Maßnahmen von einem Menschen oder einer Automatisierungssoftware implementiert werden. Eine der beliebtesten und am weitesten verbreiteten Techniken ist die Vollständig automatisierter öffentlicher Turing-Test, um Computer und Menschen voneinander zu unterscheiden, oder CAPTCHA.
Das CAPTCHA ist im Grunde ein Turing-Test, erstmals 1950 vom Informatiker Alan Turing vorgeschlagen, wodurch das Verhalten von Mensch und Computer getrennt und identifiziert werden kann. Moderne CAPTCHAs stellen Probleme dar, die Menschen leicht lösen können, mit denen Computer jedoch zu kämpfen haben oder die sie einfach nicht lösen können. Ein beliebtes Beispiel zeigt ein Foto, das durch ein Raster getrennt ist, und fordert die Benutzer auf, alle Sektoren zu identifizieren, in denen sich ein bestimmtes Objekt befindet, z. B. eine Blume oder ein Gesicht. Der Computer kann nicht verstehen, wonach gefragt wird, und kann daher nicht einmal versuchen, das Bild zu scannen. Selbst wenn das möglich wäre, übersteigt die Bilderkennung die meisten Programme, die nicht speziell dafür entwickelt wurden.
Andere Beispiele für CAPTCHAs sind das Anzeigen von verschwommenem Text, das Stellen einer einfachen logischen Frage oder das laute Ausspielen der Frage. Die Implementierung einer CAPTCHA-Herausforderung an kritischen Stellen in einer Anwendung, z. B. bei der Aufforderung zur Eingabe eines Passworts, kann Automatisierungsprogramme zum Erliegen bringen.
Es ist auch möglich, Automatisierungsprogramme zu stoppen, indem einfach die Anzahl falscher Schätzungen aus derselben Quelle begrenzt wird. Wenn zu viele falsche Schätzungen gesendet werden, kann das Konto vorübergehend gesperrt werden, wodurch das Automatisierungsprogramm über den Punkt hinausgeht, an dem es nützlich ist, oder es könnte sogar erforderlich sein, dass ein menschlicher Administrator die Sperre aufhebt. Wenn Sie all das tun, sollten Sie Sicherheitslücken gegen die Automatisierung innerhalb einer Anwendung verhindern.
Weitere Informationen zu unzureichender Antiautomatisierung
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt unzureichende Antiautomatisierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Sind Sie bereit, eine unzureichende Anti-Automatisierung sofort zu finden und zu beheben? Teste deine Fähigkeiten in unserer Spielarena: [Fangen Sie hier an]
Table des matières
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
