AP2_FIAE - Datenaustauschformate - Sicherheit und Validierung

Deck: AP2_FIAE Kategorie: Datenaustauschformate Subkategorie: Sicherheit und Validierung Anzahl Karten: 15


Wozu dient die Signierung von Daten?::Die Signierung von Daten gewährleistet deren Integrität und Authentizität.

Was ist ein Buffer Overflow?::Ein Buffer Overflow tritt auf, wenn ein Programm mehr Daten in einen Puffer schreibt, als es Kapazität hat.

Welche Risiken entstehen durch Buffer Overflows?::Angreifer nutzen Buffer Overflows, um den Programmablauf zu manipulieren und eigenen Code auszuführen.

Was ist eine XML External Entity (XXE) Injection?::Bei XML ist die XXE-Injection eine bekannte Angriffstechnik. Sie erlaubt es einem Angreifer, externe Entitäten zu definieren und auf Systemdateien zuzugreifen, Denial of Service (DoS) durchzuführen oder interne Netzwerke zu erreichen.

Was ist das Risiko bei unsicherer YAML Deserialization?::Wenn Anwendungen YAML-Daten unsicher deserialisieren, kann dies zur Ausführung von unautorisiertem Code oder Systembefehlen führen.

Welche Gefahren entstehen durch unsichere JSON-Verarbeitung?::Durch unsichere JSON-Verarbeitung, wie das Einspeisen unsicherer Benutzereingaben ohne Validierung oder Sanitizing, entstehen Sicherheitslücken. JSON Injection kann zur Manipulation von Daten oder zur Ausführung von Cross-Site Scripting (XSS) führen.

Wie können schlecht entworfene Parser zu einem Denial of Service (DoS) führen?::Schlecht entworfene oder implementierte Parser können durch speziell gestaltete Eingaben zu einem Denial of Service (DoS) führen, indem sie übermäßige Ressourcen (CPU, Speicher) verbrauchen.

Was ist Validierung im Kontext von Datenaustauschformaten?::Die Validierung der Eingabedaten gegen ein Schema (z.B. XML Schema, JSON Schema) stellt sicher, dass nur erwartete und sichere Daten verarbeitet werden.

Was ist Sanitization im Kontext von Datenaustauschformaten?::Die Sanitization bereinigt Eingabedaten von potenziell gefährlichen Inhalten.

Wie können Parser sicher konfiguriert werden?::Parser sollten immer in der neuesten Version verwendet und sicher konfiguriert werden. Bei XML sollte z.B. die Verarbeitung externer Entitäten deaktiviert und sichere Deserialization-Methoden bei YAML und JSON verwendet werden.

Was sind Web Application Firewalls (WAFs)?::Web Application Firewalls (WAFs) sind Sicherheitsmechanismen, die bekannte Angriffsvektoren, einschließlich solcher im Zusammenhang mit dem Parsen von Datenaustauschformaten, erkennen und abwehren können.

Wie können Injection-Angriffe verhindert werden?::Durch Eingabevalidierung, Daten-Sanitierung, Verwendung sicherer Parser und APIs, sicherheitsorientierte Programmierung sowie den Einsatz von Web Application Firewalls (WAFs).

Was ist das Ziel der Schema-Validierung?::Die Schema-Validierung stellt sicher, dass Eingabedaten bestimmten vordefinierten Spezifikationen oder Strukturen entsprechen. Dadurch wird die Konsistenz, Sicherheit und Integrität der Daten gewährleistet.

Was definiert ein Schema?::Ein Schema definiert die Struktur, den Inhalt und die Semantik von Daten. Es legt fest, welche Felder vorhanden sein müssen, welche Datentypen sie haben und ob bestimmte Einschränkungen oder Regeln gelten.

Welche Vorteile bietet die Schema-Validierung?::Die Schema-Validierung dient der Qualitätssicherung, verhindert Dateninkonsistenzen, reduziert Sicherheitsrisiken und fördert die Interoperabilität zwischen Systemen durch einheitliche Datenstrukturen.