Ob eine Anwendung oder ein Server etwas protokolliert oder nicht, ist für einen Angreifer zunächst völlig uninteressant, ebenso ob jemand die protokollierten Daten auswertet oder nicht. Es gibt keine Angriffstechnik, die über eine fehlende Protokollierung das Kompromittieren des Servers erlaubt. Und auch keine Möglichkeit, eine unterlassene Überwachung der Protokolle für Angriffe auf die Benutzer zu nutzen. Das Einzige, was es bisher gab, waren direkte Angriffe über Logfiles: Erlaubt eine XSS-Schwachstelle das Einschleusen von JavaScript-Schadcode in die Logfiles und der Administrator wertet die Logfiles mit einem Tool aus, das JavaScript ausführt, ist darüber ein Angriff möglich, zum Beispiel, um die Webanwendung im Namen des Administrators zu manipulieren oder durch eine Drive-by-Infektion dessen Rechner mit Schadcode zu infizieren.
Und trotzdem hat es das "Insufficient Logging & Monitoring" in die Top 10 der OWASP 2017 [1] geschafft – wenn auch nur auf Platz 10. Während ein tatsächlicher Angriff wie die Cross-Site Request Forgery, mit der
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.