>_AYSOLI SECURITY HUB
THREAT AREA

Öffentliches Kundenportal

Dein Kundenportal ist das digitale Gesicht deines Unternehmens. Da es für jedermann im Internet zugänglich ist, muss es gegen eine Vielzahl von Angriffsvektoren gehärtet sein – von automatisierten Bot-Angriffen bis hin zu gezielten Exploits.

Deine Strategie

Setze auf eine mehrschichtige Verteidigung (Defense-in-Depth). Nutze moderne Browser-Sicherheitsfeatures wie CSP und HSTS, um Angriffe an der Quelle zu stoppen. Führe kontinuierliche automatisierte Scans (DAST) durch, um Schwachstellen sofort nach dem Deployment zu erkennen.

Best Practices

  • Integrität: Nutze Subresource Integrity (SRI) für alle externen Skripte.
  • Verschlüsselung: Erzwinge TLS 1.3 und starke Cipher-Suites.
  • Validierung: Traue keinem Input. Nutze serverseitige Validierung gegen Allowlisten.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-WEB-03

SQL Injection

Einschleusen bösartiger Datenbankbefehle über Benutzereingaben.

TamperingT-WEB-02

Cross-Site Scripting (XSS)

Einschleusen von bösartigem Code in den Browser des Kunden.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-WEB-01

Sensitive PII Exposure

Offenlegung von personenbezogenen Daten (GDPR/DSGVO Risiko).

Denial of ServiceD-WEB-01

Application Layer DoS

Erschöpfung von Ressourcen durch komplexe Web-Anfragen.

Elevation of PrivilegeE-WEB-01

Insecure Direct Object Reference (IDOR)

Zugriff auf Datenobjekte durch Manipulation von Referenzen.

Monitoring GapsM-WEB-02

Missing Security Headers

Fehlende Konfiguration von Schutzmechanismen im HTTP-Header.

MITRE ATT&CK® Techniken

Reconnaissance
T1595

Active Scanning

ATT&CK

Aktives Scannen der Web-Infrastruktur nach Schwachstellen.

Mitigiert durch
Bot Management & Anti-ScrapingErweiterter SchutzMittel
CIS: 12.1OWASP: A04:2021
Regular Penetration TestingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
Initial Access
T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
Regular Penetration TestingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Content Security Policy (CSP)GrundschutzMittel
CIS: 16.11OWASP: A03:2021
Security Headers (X-Frame / Content-Type)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Execution
T1059-007

JavaScript Injection

ATT&CK

Ausführung von schädlichem Code im Browser des Opfers.

Mitigiert durch
Content Security Policy (CSP)GrundschutzMittel
CIS: 16.11OWASP: A03:2021
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Security Headers (X-Frame / Content-Type)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
Subresource Integrity (SRI)GrundschutzNiedrig
CIS: 16.11OWASP: A06:2021
CORS ConfigurationGrundschutzNiedrig
CIS: 16.11OWASP: A01:2021
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Persistence
T1505-003

Web Shell

ATT&CK

Installation einer Hintertür auf dem Webserver.

Mitigiert durch
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Regular Penetration TestingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Secure Cookie AttributesGrundschutzNiedrig
NIST: PR.DS-1OWASP: A07:2021
HTTP Strict Transport Security (HSTS)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
Bot Management & Anti-ScrapingErweiterter SchutzMittel
CIS: 12.1OWASP: A04:2021
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
T1557

Adversary-in-the-Middle

ATT&CK

Abfangen von Kommunikation zwischen zwei Parteien.

Mitigiert durch
HTTP Strict Transport Security (HSTS)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Command & Control
T1568

Dynamic Resolution

ATT&CK

Dynamische Generierung von Zielen zur Verschleierung (Domain Fronting).

Mitigiert durch
Content Security Policy (CSP)GrundschutzMittel
CIS: 16.11OWASP: A03:2021
Subresource Integrity (SRI)GrundschutzNiedrig
CIS: 16.11OWASP: A06:2021
T1071-001

Application Layer Protocol

ATT&CK

Missbrauch legitimer Web-Protokolle (HTTP/S) für C2-Kommunikation.

Mitigiert durch
Egress Filtering (SSRF Protection)Erweiterter SchutzMittel
CIS: 12.2OWASP: A10:2021

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch