Web/API-Hardening-Checkliste: WAF + Gateway + Auth + Monitoring

Eine Web/API-Hardening-Checkliste ist dann wirklich wertvoll, wenn sie nicht als einmaliges Audit-Dokument endet, sondern als wiederholbarer Sicherheitsstandard für WAF, API Gateway, Authentifizierung und Monitoring dient. Das Hauptkeyword „Web/API-Hardening-Checkliste“ beschreibt dabei ein pragmatisches Ziel: Angriffsflächen reduzieren, Fehlkonfigurationen vermeiden und die Erkennung sowie Reaktion auf Web- und API-Angriffe messbar verbessern. In modernen Umgebungen ist Hardening keine einzelne…

Layer-7-DDoS: Detection über Ratios, Header und Behavior

Ein Layer-7-DDoS (auch Application-Layer-DDoS oder HTTP-Flood genannt) zielt nicht primär darauf ab, Ihre Leitung „vollzulaufen“, sondern darauf, Anwendungen durch scheinbar legitime Anfragen zu überlasten. Im Unterschied zu volumetrischen Angriffen auf Layer 3/4 wirkt ein Layer-7-DDoS oft wie normaler Web-Traffic: echte URLs, typische Methoden wie GET/POST, gültige TLS-Verbindungen und sogar Browser-ähnliche Header. Genau deshalb ist die…

OSI-Modell für SRE: Kompletter Leitfaden zum Mapping „Netzwerkproblem vs. Applikation“

Das OSI-Modell wirkt auf den ersten Blick wie Theorie aus dem Netzwerkunterricht. Für SRE-Teams ist es jedoch ein sehr praktisches Denkwerkzeug, um in Incidents schnell zu entscheiden: Liegt ein Netzwerkproblem vor oder ist es eine Applikationsstörung? Genau diese Trennung ist in der Realität oft schwer, weil moderne Systeme mehrere Schichten gleichzeitig nutzen: CDN, Load Balancer,…

SSRF in der Cloud: Funktionsweise, Impact und praktische Defense

SSRF in der Cloud (Server-Side Request Forgery) zählt zu den gefährlichsten Web-Schwachstellen moderner Cloud-Architekturen, weil sie scheinbar harmlose Funktionen wie URL-Importe, Webhooks, Bild- oder PDF-Renderer, Link-Previews und Integrationen mit internen Services missbraucht. Dabei zwingt ein Angreifer Ihre Anwendung, serverseitig Anfragen an Ziele zu senden, die der Angreifer selbst nicht direkt erreichen dürfte – etwa interne…

End-to-End-Latenz-SLOs erstellen (DNS→TCP→TLS→HTTP) + Beispiel-Targets

End-to-End-Latenz-SLOs erstellen ist eine der wirkungsvollsten Maßnahmen, um Nutzererlebnis und Betriebssicherheit messbar zu verbessern. In der Praxis scheitern Latenz-SLOs jedoch oft daran, dass sie nur „Server-Latenz“ messen, während der Nutzer eigentlich die gesamte Kette spürt: DNS-Auflösung, TCP-Verbindungsaufbau, TLS-Handshake und schließlich die HTTP-Transaktion inklusive Backend-Verarbeitung. Wer End-to-End denkt, erkennt schneller, ob ein Problem aus dem Netzwerkpfad,…

HTTP Request Smuggling: Konzept, Indikatoren und Mitigation

HTTP Request Smuggling ist eine besonders tückische Klasse von Schwachstellen in modernen Web-Stacks, weil sie nicht primär aus einem einzelnen Programmierfehler in der Anwendung entsteht, sondern aus einem Missverständnis zwischen mehreren HTTP-Komponenten. Typischerweise sind daran ein Reverse Proxy, ein Load Balancer, ein CDN oder eine WAF vor dem eigentlichen Applikationsserver beteiligt. Wenn diese Systeme eine…

Error Budget für Netzwerkprobleme: Berechnen und im On-Call anwenden

Ein „Error Budget für Netzwerkprobleme“ macht Zuverlässigkeit messbar und handlungsfähig – besonders im On-Call, wenn schnell entschieden werden muss, ob ein Incident ein einmaliger Ausreißer ist oder ob das System gerade systematisch „Budget verbrennt“. In vielen Teams existiert zwar ein Verfügbarkeits-SLO, aber Netzwerkstörungen (DNS-Ausfälle, Routing-Probleme, TCP-Resets, TLS-Handshake-Fehler) verschwinden darin als unscharfer Anteil von „Errors“. Das…

API Gateway als Control Point: Best Practices für SecOps

Ein API Gateway als Control Point ist für SecOps längst mehr als ein „Reverse Proxy für APIs“. In modernen Architekturen – Microservices, Multi-Cloud, Kubernetes, externe Partner, Mobile Apps – wird das API Gateway zur zentralen Stelle, an der Sicherheitsrichtlinien technisch durchsetzbar, messbar und auditierbar werden. Genau hier lassen sich Authentifizierung, Autorisierung, Rate-Limits, Schema-Validierung, Threat-Detection und…

DNS Tunneling: Detection, Query-Patterns und Response-Plan

DNS Tunneling ist eine Technik, bei der das Domain Name System (DNS) zweckentfremdet wird, um Daten unbemerkt zu übertragen oder eine verdeckte Kommunikation zwischen einem kompromittierten System und einem externen Server aufzubauen. Genau weil DNS in nahezu jedem Netzwerk erlaubt ist und oft weniger streng überwacht wird als HTTP(S), gehört DNS Tunneling zu den häufigsten…

DNS Cache Poisoning: Realistische Szenarien und Prävention

DNS Cache Poisoning bezeichnet das gezielte „Vergiften“ von DNS-Caches, sodass ein rekursiver Resolver falsche Antworten speichert und anschließend an Clients ausliefert. Das Hauptkeyword „DNS Cache Poisoning“ ist dabei eng mit einem realen Risiko verbunden: Wenn Nutzer oder Systeme bei der Namensauflösung auf manipulierte IP-Adressen oder Nameserver-Einträge gelenkt werden, kann das zu Phishing, Malware-Downloads, Account-Übernahmen oder…