SSRF in der Cloud: Funktionsweise, Impact und praktische Defense

SSRF in der Cloud (Server-Side Request Forgery) zählt zu den gefährlichsten Web-Schwachstellen moderner Cloud-Architekturen, weil sie scheinbar harmlose Funktionen wie URL-Importe, Webhooks, Bild- oder PDF-Renderer, Link-Previews und Integrationen mit internen Services missbraucht. Dabei zwingt ein Angreifer Ihre Anwendung, serverseitig Anfragen an Ziele zu senden, die der Angreifer selbst nicht direkt erreichen dürfte – etwa interne…

End-to-End-Latenz-SLOs erstellen (DNS→TCP→TLS→HTTP) + Beispiel-Targets

End-to-End-Latenz-SLOs erstellen ist eine der wirkungsvollsten Maßnahmen, um Nutzererlebnis und Betriebssicherheit messbar zu verbessern. In der Praxis scheitern Latenz-SLOs jedoch oft daran, dass sie nur „Server-Latenz“ messen, während der Nutzer eigentlich die gesamte Kette spürt: DNS-Auflösung, TCP-Verbindungsaufbau, TLS-Handshake und schließlich die HTTP-Transaktion inklusive Backend-Verarbeitung. Wer End-to-End denkt, erkennt schneller, ob ein Problem aus dem Netzwerkpfad,…

HTTP Request Smuggling: Konzept, Indikatoren und Mitigation

HTTP Request Smuggling ist eine besonders tückische Klasse von Schwachstellen in modernen Web-Stacks, weil sie nicht primär aus einem einzelnen Programmierfehler in der Anwendung entsteht, sondern aus einem Missverständnis zwischen mehreren HTTP-Komponenten. Typischerweise sind daran ein Reverse Proxy, ein Load Balancer, ein CDN oder eine WAF vor dem eigentlichen Applikationsserver beteiligt. Wenn diese Systeme eine…

Error Budget für Netzwerkprobleme: Berechnen und im On-Call anwenden

Ein „Error Budget für Netzwerkprobleme“ macht Zuverlässigkeit messbar und handlungsfähig – besonders im On-Call, wenn schnell entschieden werden muss, ob ein Incident ein einmaliger Ausreißer ist oder ob das System gerade systematisch „Budget verbrennt“. In vielen Teams existiert zwar ein Verfügbarkeits-SLO, aber Netzwerkstörungen (DNS-Ausfälle, Routing-Probleme, TCP-Resets, TLS-Handshake-Fehler) verschwinden darin als unscharfer Anteil von „Errors“. Das…

API Gateway als Control Point: Best Practices für SecOps

Ein API Gateway als Control Point ist für SecOps längst mehr als ein „Reverse Proxy für APIs“. In modernen Architekturen – Microservices, Multi-Cloud, Kubernetes, externe Partner, Mobile Apps – wird das API Gateway zur zentralen Stelle, an der Sicherheitsrichtlinien technisch durchsetzbar, messbar und auditierbar werden. Genau hier lassen sich Authentifizierung, Autorisierung, Rate-Limits, Schema-Validierung, Threat-Detection und…

DNS Tunneling: Detection, Query-Patterns und Response-Plan

DNS Tunneling ist eine Technik, bei der das Domain Name System (DNS) zweckentfremdet wird, um Daten unbemerkt zu übertragen oder eine verdeckte Kommunikation zwischen einem kompromittierten System und einem externen Server aufzubauen. Genau weil DNS in nahezu jedem Netzwerk erlaubt ist und oft weniger streng überwacht wird als HTTP(S), gehört DNS Tunneling zu den häufigsten…

DNS Cache Poisoning: Realistische Szenarien und Prävention

DNS Cache Poisoning bezeichnet das gezielte „Vergiften“ von DNS-Caches, sodass ein rekursiver Resolver falsche Antworten speichert und anschließend an Clients ausliefert. Das Hauptkeyword „DNS Cache Poisoning“ ist dabei eng mit einem realen Risiko verbunden: Wenn Nutzer oder Systeme bei der Namensauflösung auf manipulierte IP-Adressen oder Nameserver-Einträge gelenkt werden, kann das zu Phishing, Malware-Downloads, Account-Übernahmen oder…

E-Mail-Security (SMTP): Telemetrie und IR-Use-Cases

E-Mail-Security (SMTP) ist für viele Organisationen der wichtigste Schutzschirm gegen Phishing, Business Email Compromise (BEC), Malware-Delivery und Datenabfluss. Während sich viele Maßnahmen auf Policies und Filterregeln konzentrieren, entscheidet im Incident Response (IR) oft etwas anderes über Geschwindigkeit und Qualität: Telemetrie. Gemeint sind verwertbare, korrelierbare Daten aus dem SMTP-Transportweg, aus Gateways, Relays, Authentifizierungsmechanismen und der nachgelagerten…

Data Exfil über HTTPS: Was ist von der Netzwerkseite sichtbar?

Data Exfil über HTTPS ist eines der häufigsten und zugleich schwierigsten Szenarien für Security Operations: Der Datenabfluss erfolgt über verschlüsselte Verbindungen, die im Unternehmensalltag völlig normal sind. Genau deshalb ist die Kernfrage „Was ist von der Netzwerkseite sichtbar?“ so wichtig. HTTPS schützt Inhalte (URL-Pfade, Parameter, Header, Bodies) vor dem Mitlesen, aber es macht Netzwerkbeobachtung nicht…

SIEM-Use-Case Layer 7: Korrelation WAF + App Logs + Flow Logs

Ein SIEM-Use-Case Layer 7 wird dann wirklich wertvoll, wenn er nicht nur einzelne Alarme auslöst, sondern Ereignisse aus mehreren Ebenen zu einer belastbaren Story zusammenführt. Genau darum geht es bei der Korrelation von WAF + App Logs + Flow Logs: Sie verbinden die Sicht am Edge (Web Application Firewall), die Sicht in der Anwendung (Requests,…