>_AYSOLI SECURITY HUB
THREAT AREA

Single-Page-Applications (SPA)

Moderne SPAs verlagern viel Logik in den Browser. Dies schafft eine hervorragende User Experience, vergrössert aber die Angriffsfläche auf der Client-Seite massiv.

Die Herausforderung

Da der gesamte Code im Browser des Benutzers liegt, können Angreifer die Anwendungslogik analysieren und manipulieren. Jede Aktion im Frontend muss vom Backend erneut validiert werden.

Deine Strategie

  • SCA & SRI: Scanne deine Abhängigkeiten (SCA) und stelle sicher, dass CDNs keine manipulierten Skripte ausliefern (SRI).
  • Session-Sicherheit: Nutze modernste Authentifizierungs-Flows (BFF Pattern bevorzugt) und schütze Tokens durch Secure Cookies.
  • Scanning: Integriere DAST-Scans in deine CI/CD-Pipeline, um Schwachstellen frühzeitig zu finden.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-SPA-01

Client-Side Logic Manipulation

Ausnutzung von Geschäftslogik, die fälschlicherweise im Browser implementiert wurde.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-WEB-01

Sensitive PII Exposure

Offenlegung von personenbezogenen Daten (GDPR/DSGVO Risiko).

Denial of ServiceD-WEB-01

Application Layer DoS

Erschöpfung von Ressourcen durch komplexe Web-Anfragen.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Reconnaissance
T1595

Active Scanning

ATT&CK

Aktives Scannen der Web-Infrastruktur nach Schwachstellen.

Mitigiert durch
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
Initial Access
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Content Security Policy (CSP)GrundschutzMittel
CIS: 16.11OWASP: A03:2021
Security Headers (X-Frame / Content-Type)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch
Software Composition Analysis (SCA)Erweiterter SchutzMittel
CIS: 16.7OWASP: A06:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
Execution
T1059-007

JavaScript Injection

ATT&CK

Ausführung von schädlichem Code im Browser des Opfers.

Mitigiert durch
Content Security Policy (CSP)GrundschutzMittel
CIS: 16.11OWASP: A03:2021
Subresource Integrity (SRI)GrundschutzNiedrig
CIS: 16.11OWASP: A06:2021
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
Security Headers (X-Frame / Content-Type)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
CORS ConfigurationGrundschutzNiedrig
CIS: 16.11OWASP: A01:2021
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Secure Cookie AttributesGrundschutzNiedrig
NIST: PR.DS-1OWASP: A07:2021
JWT Signature VerificationGrundschutzMittel
NIST: PR.AC-1OWASP: API2
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1557

Adversary-in-the-Middle

ATT&CK

Abfangen von Kommunikation zwischen zwei Parteien.

Mitigiert durch
JWT Signature VerificationGrundschutzMittel
NIST: PR.AC-1OWASP: API2
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
Command & Control
T1568

Dynamic Resolution

ATT&CK

Dynamische Generierung von Zielen zur Verschleierung (Domain Fronting).

Mitigiert durch
Content Security Policy (CSP)GrundschutzMittel
CIS: 16.11OWASP: A03:2021
Subresource Integrity (SRI)GrundschutzNiedrig
CIS: 16.11OWASP: A06:2021
T1071-001

Application Layer Protocol

ATT&CK

Missbrauch legitimer Web-Protokolle (HTTP/S) für C2-Kommunikation.

Mitigiert durch
Egress Filtering (SSRF Protection)Erweiterter SchutzMittel
CIS: 12.2OWASP: A10:2021

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
Single-Page-Applications (SPA) | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub