Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
|
|
- Kajetan Martin
- vor 8 Jahren
- Abrufe
Transkript
1 <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1
2 Security Consulting GmbH, Karlsruhe Seite 2
3 Security Consulting GmbH, Karlsruhe Seite 3
4 Security Consulting GmbH, Karlsruhe Seite 4
5 Security Consulting GmbH, Karlsruhe Seite 5
6 OWASP Top Security Consulting GmbH, Karlsruhe Seite 6
7 Top 10-4 Security Consulting GmbH, Karlsruhe Seite 7
8 Top 10: Unvalidated Redirects and Forwards Bsp.: ToDo: Keine Redirects und Forwards verwenden! Security Consulting GmbH, Karlsruhe Seite 8
9 Top 10: Unvalidated Redirects and Forwards Bsp.: ToDo: Keine Redirects und Forwards verwenden! Top 9: Insufficient Transport Layer Protection Bsp.: Kein SSL, "schlechte" Zertifikate ToDo: SSL verwenden! SSL richtig verwenden! Siehe: OWASP Transport Layer Protection Cheat Sheet Security Consulting GmbH, Karlsruhe Seite 9
10 Top 10: Unvalidated Redirects and Forwards Bsp.: ToDo: Keine Redirects und Forwards verwenden! Top 9: Insufficient Transport Layer Protection Bsp.: Kein SSL, "schlechte" Zertifikate ToDo: SSL verwenden! SSL richtig verwenden! Siehe: OWASP Transport Layer Protection Cheat Sheet Top 8: Failure to Restrict URL Access Bsp.: Zugriffskontrolle durch "Ausblenden" von Links ToDo: Jeder Zugriff muss authentifiziert und autorisiert sein! Siehe: OWASP Authentication Cheat Sheet Security Consulting GmbH, Karlsruhe Seite 10
11 Top 10: Unvalidated Redirects and Forwards Bsp.: ToDo: Keine Redirects und Forwards verwenden! Top 9: Insufficient Transport Layer Protection Bsp.: Kein SSL, "schlechte" Zertifikate ToDo: SSL verwenden! SSL richtig verwenden! Siehe: OWASP Transport Layer Protection Cheat Sheet Top 8: Failure to Restrict URL Access Bsp.: Zugriffskontrolle durch "Ausblenden" von Links ToDo: Jeder Zugriff muss authentifiziert und autorisiert sein! Siehe: OWASP Authentication Cheat Sheet Top 7: Insecure Cryptographic Storage Bsp.: Unsichere Speicherung vertraulicher Daten (Kreditkarten, Passwörter) ToDo: Durchgängige verschlüsselte Speicherung ALLER vertraulicher Daten Security Consulting GmbH, Karlsruhe Seite 11
12 Top 6: Security Misconfiguration Bsp.: Nutzung von Frameworks mit Sicherheitsproblemen Bsp.: Keine Anpassung von Standardkonten und -passwörtern Bsp.: Keine Anpassung von Grundkonfigurationen ToDo: Festlegung und Umsetzung von Härtungsprozessen! Security Consulting GmbH, Karlsruhe Seite 12
13 Top 6: Security Misconfiguration Bsp.: Nutzung von Frameworks mit Sicherheitsproblemen Bsp.: Keine Anpassung von Standardkonten und -passwörtern Bsp.: Keine Anpassung von Grundkonfigurationen ToDo: Festlegung und Umsetzung von Härtungsprozessen! Top 5: Cross Site Request Forgery Initiierung unerwünschter Aktionen durch Dritte (in Verbindung mit Social Engineering) Bsp.: ToDo: Bindung einer Aktion an einen vorhergehenden Request! Nutzung eines Tokens Siehe: OWASP CSRF Prevention Cheat Sheet Security Consulting GmbH, Karlsruhe Seite 13
14 Top 6: Security Misconfiguration Bsp.: Nutzung von Frameworks mit Sicherheitsproblemen Bsp.: Keine Anpassung von Standardkonten und -passwörtern Bsp.: Keine Anpassung von Grundkonfigurationen ToDo: Festlegung und Umsetzung von Härtungsprozessen! Top 5: Cross Site Request Forgery Initiierung unerwünschter Aktionen durch Dritte (in Verbindung mit Social Engineering) Bsp.: ToDo: Bindung einer Aktion an einen vorhergehenden Request! Nutzung eines Tokens Siehe: OWASP CSRF Prevention Cheat Sheet Top 4: Insecure Direct Object References Direkter Zugriff auf Informationen, die als Parameter spezifiziert werden Bsp.: Zugriff auf Dateien oder Datenbankeinträge ToDo: Nutzung indirekter Referenzen Keine echten Dateinamen, keine direkten Indizes ToDo: Prüfung der Berechtigungen bei jedem Zugriff! Security Consulting GmbH, Karlsruhe Seite 14
15 Top 3 Security Consulting GmbH, Karlsruhe Seite 15
16 Broken Authentication and Session Management Ich darf das - ehrlich! Security Consulting GmbH, Karlsruhe Seite 16
17 Unbefugter Zugriff auf Webanwendung Security Consulting GmbH, Karlsruhe Seite 17
18 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Security Consulting GmbH, Karlsruhe Seite 18
19 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Security Consulting GmbH, Karlsruhe Seite 19
20 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Session-IDs sind Bestandteil der URL Security Consulting GmbH, Karlsruhe Seite 20
21 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Session-IDs sind Bestandteil der URL Sessions verfallen nicht Security Consulting GmbH, Karlsruhe Seite 21
22 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Session-IDs sind Bestandteil der URL Sessions verfallen nicht Keine neue Session-ID bei Zustandswechsel Security Consulting GmbH, Karlsruhe Seite 22
23 Unbefugter Zugriff auf Webanwendung Highlights: Zugangsdaten sind ungesichert gespeichert Zugangsdaten können geraten oder vorhergesagt werden Session-IDs sind Bestandteil der URL Sessions verfallen nicht Keine neue Session-ID bei Zustandswechsel Transport von Zugangsdaten und Session-IDs über ungesicherte Verbindungen Security Consulting GmbH, Karlsruhe Seite 23
24 Was tun? Security Consulting GmbH, Karlsruhe Seite 24
25 Was tun? Zentrale Authentifizierung und Session-Management Security Consulting GmbH, Karlsruhe Seite 25
26 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Security Consulting GmbH, Karlsruhe Seite 26
27 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Durchgängige Verwendung von SSL/TLS Security Consulting GmbH, Karlsruhe Seite 27
28 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Durchgängige Verwendung von SSL/TLS Sichere Speicherung von Zugangsdaten Security Consulting GmbH, Karlsruhe Seite 28
29 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Durchgängige Verwendung von SSL/TLS Sichere Speicherung von Zugangsdaten Blick ins "OWASP Authentication Cheat Sheet" Security Consulting GmbH, Karlsruhe Seite 29
30 Was tun? Zentrale Authentifizierung und Session-Management Nutzung geprüfter Frameworks wie ESAPI Durchgängige Verwendung von SSL/TLS Sichere Speicherung von Zugangsdaten Blick ins "OWASP Authentication Cheat Sheet" Umsetzung der Sicherheitsanforderungen zu Authentifizierung und Session-Management aus "OWASP Application Security Verification Standard" Security Consulting GmbH, Karlsruhe Seite 30
31 Top 2 Security Consulting GmbH, Karlsruhe Seite 31
32 Cross-Site Scripting Ich habe mal kurz Ihren Rechner benutzt... Security Consulting GmbH, Karlsruhe Seite 32
33 Ausführung bösartiger Scripte im Browser Security Consulting GmbH, Karlsruhe Seite 33
34 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags Security Consulting GmbH, Karlsruhe Seite 34
35 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags und werden ungefiltert ausgegeben! Security Consulting GmbH, Karlsruhe Seite 35
36 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags und werden ungefiltert ausgegeben! $name = "foo<script>alert('xss');</script>"; Security Consulting GmbH, Karlsruhe Seite 36
37 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags und werden ungefiltert ausgegeben! $name = "foo<script>alert('xss');</script>"; Und? Security Consulting GmbH, Karlsruhe Seite 37
38 Ausführung bösartiger Scripte im Browser Problem: Daten enthalten HTML-Tags und werden ungefiltert ausgegeben! $name = "foo<script>alert('xss');</script>"; Und? Sagen Ihnen die Begriffe "BeEF" und "Drive-by-Download" etwas? Security Consulting GmbH, Karlsruhe Seite 38
39 Was tun? Security Consulting GmbH, Karlsruhe Seite 39
40 Was tun? Passendes Escaping von Daten vor der Ausgabe je nach Kontext (BODY, CSS, URL,...) Security Consulting GmbH, Karlsruhe Seite 40
41 Was tun? Passendes Escaping von Daten vor der Ausgabe je nach Kontext (BODY, CSS, URL,...) Blick ins "OWASP XSS Prevention Cheat Sheet" Security Consulting GmbH, Karlsruhe Seite 41
42 Was tun? Passendes Escaping von Daten vor der Ausgabe je nach Kontext (BODY, CSS, URL,...) Blick ins "OWASP XSS Prevention Cheat Sheet" Nutzung der Mozilla Content Security Policy Security Consulting GmbH, Karlsruhe Seite 42
43 Was tun? Passendes Escaping von Daten vor der Ausgabe je nach Kontext (BODY, CSS, URL,...) Blick ins "OWASP XSS Prevention Cheat Sheet" Nutzung der Mozilla Content Security Policy Umsetzung der Sicherheitsanforderungen zu Output Encoding aus "OWASP Application Security Verification Standard" Security Consulting GmbH, Karlsruhe Seite 43
44 Top 1 Security Consulting GmbH, Karlsruhe Seite 44
45 SQL-Injection Security Consulting GmbH, Karlsruhe Seite 45
46 Bösartige Veränderung von SQL-Queries Security Consulting GmbH, Karlsruhe Seite 46
47 Bösartige Veränderung von SQL-Queries Problem: Daten enthalten Zeichenketten, die Anfragen an Datenbanken verändern! Security Consulting GmbH, Karlsruhe Seite 47
48 Bösartige Veränderung von SQL-Queries Problem: Daten enthalten Zeichenketten, die Anfragen an Datenbanken verändern! $user = "foo"; $password = "bar' OR '1'='1"; $sql = "SELECT COUNT(*) FROM USERS WHERE USER='$user' AND PWD='$password'"; Security Consulting GmbH, Karlsruhe Seite 48
49 Bösartige Veränderung von SQL-Queries Problem: Daten enthalten Zeichenketten, die Anfragen an Datenbanken verändern! $user = "foo"; $password = "bar' OR '1'='1"; $sql = "SELECT COUNT(*) FROM USERS WHERE USER='$user' AND PWD='$password'"; Und? Bei SQL-Injection gehört die Datenbank dem Angreifer! Injection ist auch ein Problem für andere nachgelagerte Systeme! Security Consulting GmbH, Karlsruhe Seite 49
50 Was tun? Security Consulting GmbH, Karlsruhe Seite 50
51 Security Consulting GmbH, Karlsruhe Seite 51
52 Was tun? Konsequente Eingabeprüfung aller Eingaben Security Consulting GmbH, Karlsruhe Seite 52
53 Was tun? Konsequente Eingabeprüfung aller Eingaben Nutzung von typsicheren Datenbankabfragen (Prepared Statements) Security Consulting GmbH, Karlsruhe Seite 53
54 Was tun? Konsequente Eingabeprüfung aller Eingaben Nutzung von typsicheren Datenbankabfragen (Prepared Statements) Blick ins "OWASP SQL Injection Prevention Cheat Sheet" Security Consulting GmbH, Karlsruhe Seite 54
55 Security Consulting GmbH, Karlsruhe Seite 55
56 Bildquellen: Folie 01: [2006] Stephen Coburn, bigstockphoto.com Folie 02: [2010] Scott Griessel, bigstockphoto.com Folie 05: [2011] Aleksandar Kosev, bigstockphoto.com Folie 06: [2010] Dmitriy Shironosov, bigstockphoto.com Folie 07: [2007] Vincent Giordano, bigstockphoto.com Folie 16: [2005] Jamie Duplass, bigstockphoto.com Folie 32: [2010] Ron Sumners, bigstockphoto.com Folie 39: [2006] Jon Helgason, bigstockphoto.com Folie 45: [2009] Mau Kae Horng, bigstockphoto.com Folie 51: [2011] Folie 55: [2008] Edgard Rodriguez, bigstockphoto.com Folie 56: [2006] Jon Helgason, bigstockphoto.com Security Consulting GmbH, Karlsruhe Seite 56
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrSecure Programming vs. Secure Development
Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
MehrEchte Zauberei oder billige Tricks?
? 3. Tag der IT-Sicherheit Kai Jendrian + Klaus J. Mueller Angriffe auf Webanwendungen sind allüberall gegenwärtig. Handelt es sich hierbei um echte Zauberei, gegen die kein Kraut gewachsen ist oder sind
MehrNetzwerksicherheit Übung 9 Websicherheit
Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany
Mehritsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com
itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der
MehrAbsicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10
The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt
MehrAbbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrOpenWAF Web Application Firewall
OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrOWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
MehrFileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona
Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:
MehrIT-Sicherheit Angriffsziele und -methoden Teil 2
Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrBaustein Webanwendungen. Stephan Klein, Jan Seebens
Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische
MehrSecure Webcoding for Beginners
Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrAktuelle Bedrohungen im Internet
Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten
MehrEinführung in Web-Security
Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme
MehrWas ist bei der Entwicklung sicherer Apps zu beachten?
Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung
MehrPraktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe
Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrDas digitale Scheunentor
Folie 1 "Das digitale Scheunentor" Folie 2 "Das digitale Scheunentor" Das digitale Scheunentor Prüferfahrungen des Landesbeauftragten für den Datenschutz Rheinland-Pfalz aus der Kontrolle von Internetangeboten
MehrTechnische Information: Installation WyRu Online-Shop
Technische Information: Installation WyRu Online-Shop Team WyRu Christian Wyk / Günter Rubik SCS Bürocenter B1, A-2334 Vösendorf Internet http://www.wyru.at Installationsvorraussetzungen Damit der Online-Shop
MehrBSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.
1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum
MehrMoney for Nothing... and Bits4free
Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom
MehrWie steht es um die Sicherheit in Software?
Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die
MehrSicher sein, statt in Sicherheit wiegen Sicherheit bei. Web-Anwendungen. Vortrag bei Infotech 08.06.2015
Sicher sein, statt in Sicherheit wiegen Sicherheit bei Web-Anwendungen Vortrag bei Infotech 08.06.2015 2 Ist Sicherheit bei Web-Anwendungen ein Thema? 3 Zusammenfassung Verizon Data-Breach-Report 2014,
MehrSeite - 1 - 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung
8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung Sie konfigurieren den OOBA, um die Webzugriffe mit HTTP ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten Benutzern
MehrWiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010
Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010 1 Datenbanken wiederherstellen Am einfachsten ist es, wenn Sie die fünf Datenbanken aus der ZIP Datei in das Standard Backup Verzeichnis
MehrDatenaustausch mit Ihren Versicherten einfach und sicher über die Cloud 04.11.2014
Datenaustausch mit Ihren Versicherten einfach und sicher über die Cloud 04.11.2014 Daten sind überall Quelle: bsi-fuer-buerger.de 29.10.2014 Folie 2 .und sollen überall verfügbar sein Quelle: http://galleryhip.com
MehrAgenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF
Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrUnix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen
Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
MehrImport des Client-Zertifikats
Import des Client-Zertifikats Um sich auf dem estudio einloggen zu können, benötigt Ihre Praxis ein Client-Zertifikat. Dieses muss auf jedem Computer installiert werden. Das Zertifikat funktioniert in
MehrBitDefender Client Security Kurzanleitung
BitDefender Client Security Kurzanleitung...1 Appendix A Kurzanleitung mit Screenshots...2 BitDefender Client Security Kurzanleitung 1. Wählen Sie entweder 32 oder 64 bit Management Server aus dem BitDefender
Mehr... ... Sicherheitseinstellungen... 2 Pop-up-Fenster erlauben... 3
Browsereinstellungen Um die Know How! Lernprogramm nutzen zu können, sind bei Bedarf unterschiedliche Einstellungen in Ihren Browsern nötig. Im Folgenden finden Sie die Beschreibung für unterschiedliche
MehrIHK: Web-Hacking-Demo
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web
Mehrbusiness.people.technology.
business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus
MehrLokale Installation von DotNetNuke 4 ohne IIS
Lokale Installation von DotNetNuke 4 ohne IIS ITM GmbH Wankelstr. 14 70563 Stuttgart http://www.itm-consulting.de Benjamin Hermann hermann@itm-consulting.de 12.12.2006 Agenda Benötigte Komponenten Installation
MehrHACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH
HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrKURZANLEITUNG CYBERDUCK MIT CLOUD OBJECT STORAGE
KURZANLEITUNG CYBERDUCK MIT CLOUD OBJECT STORAGE Version 1.12 01.07.2014 SEITE _ 2 INHALTSVERZEICHNIS 1. Einleitung...Seite 03 2. Zugriff auf Cloud Object Storage mit Cyberduck...Seite 04 3. Neuen Container
MehrSEMINAR Modifikation für die Nutzung des Community Builders
20.04.2010 SEMINAR Modifikation für die Nutzung des Community Builders Step by Step Anleitung ecktion SEMINAR Modifikation für die Nutzung des Community Builders Step by Step Anleitung Bevor Sie loslegen
MehrLehrveranstaltung Grundlagen von Datenbanken
Verbindungsanleitung mit der Datenbank Um sich mit der Datenbank für die Übung zu verbinden, gibt es mehrere Möglichkeiten. Zum einen ist die Datenbank aus dem Netz des Informatikums direkt erreichbar.
MehrMan liest sich: POP3/IMAP
Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und
MehrVirtueller Seminarordner Anleitung für die Dozentinnen und Dozenten
Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten In dem Virtuellen Seminarordner werden für die Teilnehmerinnen und Teilnehmer des Seminars alle für das Seminar wichtigen Informationen,
MehrDB2 Kurzeinführung (Windows)
DB2 Kurzeinführung (Windows) Michaelsen c 25. Mai 2010 1 1 Komponenten von DB2 DB2 bietet zahlreiche graphische Oberflächen für die Verwaltung der verschiedenen Komponenten und Anwendungen. Die wichtigsten
MehrAktuelle Sicherheitsprobleme im Internet
Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt
MehrE-MAIL VERSCHLÜSSELUNG
E-MAIL VERSCHLÜSSELUNG für: Ansprechpartner: Staatliche Münze Berlin Ollenhauerstr. 97 13403 Berlin Petra Rogatzki erstellt von: Nico Wieczorek Bechtle IT-Systemhaus Berlin Kaiserin-Augusta-Allee 14 10553
MehrHosted Exchange. Konfigurationsanleitung Outlook 2007
Hosted Exchange Konfigurationsanleitung Inhalt 1. Konfiguration Hosted Exchange... 3 2. Nutzung Infotech Hosted Exchange Webmail... 7 2.1 Einstieg... 7 2.2 Kennwort ändern... 8 3. Spamfilter PPM...10 3.1
MehrZugriff auf elektronische Angebote und Datenbanken der Hochschulbibliothek von externen Lokationen
Zugriff auf elektronische Angebote und Datenbanken der Hochschulbibliothek von externen Lokationen Um auch von extern auf die erweiterten Inhalte der Hochschulbibliotheken zugreifen zu können, nehmen Sie
MehrDatenbank-Verschlüsselung mit DbDefence und Webanwendungen.
Datenbank-Verschlüsselung mit DbDefence und Webanwendungen. In diesem Artikel werden wir Ihnen zeigen, wie Sie eine Datenbank verschlüsseln können, um den Zugriff einzuschränken, aber trotzdem noch eine
MehrV10 I, Teil 2: Web Application Security
IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command
MehrSCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...
Drucken - Druckformat Frage Wie passt man Bilder beim Drucken an bestimmte Papierformate an? Antwort Das Drucken von Bildern ist mit der Druckfunktion von Capture NX sehr einfach. Hier erklären wir, wie
MehrDatenübertragungsportal
Datenübertragungsportal seite zwei Inhalt Inhalt seite zwei Datenübertragungsportal seite drei Erreichte Schutzziele seite acht seite drei Datenübertragungsportal Die Firmengruppe Melter stellt Ihren Kunden
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM
MehrAnleitung Webalizer. Inhaltsverzeichnis
Inhaltsverzeichnis. Aufgabe / Nutzen des s... 2. Allgemeine Informationen...2.2 Begriffserklärungen...2 2. Zugang zum... 2 3. Die Eingangsseite... 3 4. Die Monatsübersichten und Tagesübersichten... 3 4.
MehrACDSee Pro 3-Tutorials: Versenden von Bilder an eine FTP-Site
Eine der Freuden beim Fotografieren ist es, seine Bilder anderen zu zeigen. Sie können den FTPjederzeit für das Übertragen, Speichern, den Zugriff auf und die Freigabe von Fotos nutzen. Uploader Wählen
Mehrs-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe
s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe Mit Sicherheit: giropay. Online-Bezahlverfahren müssen einfach, schnell und sicher sein. Und genau diese Kriterien erfüllt
MehrWebsites mit Dreamweaver MX und SSH ins Internet bringen
Websites mit Dreamweaver MX und SSH ins Internet bringen 1. Vorüberlegungen Dreamweaver stellt Funktionen bereit, um Websites im Internet zu veröffentlichen. Um diese Funktionen auf Servern des Rechenzentrums
MehrWLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7
WLAN Bei Windows Vista Home Premium mit Service Pack 1 wrd unten rechts im Tray angezeigt, wenn Drahtlosnetzwerke verfügbar sind, ebenso bei Windows 7. Solange keine Verbindung mit diesen Drahtlosnetzwerken
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrInhaltsverzeichnis. Einleitung... 11
Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP
MehrSicherheit in Software
Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken
MehrWebalizer HOWTO. Stand: 18.06.2012
Webalizer HOWTO Stand: 18.06.2012 Copyright 2003 by manitu. Alle Rechte vorbehalten. Alle verwendeten Bezeichnungen dienen lediglich der Kennzeichnung und können z.t. eingetragene Warenzeichen sein, ohne
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrGrundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).
Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27). Szenario: Benutzer möchte aus dem Ausland eine verschlüsselte Verbindung über das Internet in sein Netzwerk herstellen
MehrKURZANLEITUNG CLOUD OBJECT STORAGE
KURZANLEITUNG CLOUD OBJECT STORAGE Version 1.12 01.07.2014 SEITE _ 2 INHALTSVERZEICHNIS 1. Einleitung... Seite 03 2. Anmelden am Cloud&Heat Dashboard... Seite 04 3. Anlegen eines Containers... Seite 05
MehrMicrosoft SQL Server 2005 Management Studio Express Installation und Wiederherstellung einer Redisys SQL Datenbank. Inhaltsverzeichnis
Microsoft SQL Server 2005 Management Studio Express Installation und Wiederherstellung einer Redisys SQL Datenbank. Inhaltsverzeichnis Inhaltsverzeichnis... 1 1. Vorwort... 2 2. Voraussetzungen... 2 3.
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrAngreifbarkeit von Webapplikationen
Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre
MehrLoggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.
Ihre Welt spricht teamspace! Anleitung zur Synchronisation 1. Schritt: Loggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.
Mehr2. Einrichtung der Verbindung zum Novell-NetStorage-Server
Installation und Einrichtung von GoodReader for ipad Installation und Einrichtung von GoodReader for ipad 1. Herunterladen aus dem Apple App Store 2. Einrichtung der Verbindung zum Novell-NetStorage-Server
MehrDie Anmeldung. Die richtigen Browser-Einstellungen. Microsoft Explorer 5.x, 6.x
Die Anmeldung Die richtigen Browser-Einstellungen Typo3 ist ein Online-Redaktionssystem und verwendet als Client (Ihr Arbeitsmittel) einen üblichen Browser mit dem sie im Internet surfen können. Da das
MehrWir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.
SSL-Verschlüsselung im Outlook 2010 einstellen Damit Ihre E-Mails nicht von Dritten mitgelesen werden können, stellen wir unsere E- Mail-Server auf eine SSL-Verschlüsselung um. Die SSL-Verschlüsselung
MehrEnd User Manual EveryWare SPAM Firewall
Seite 1 End User Manual EveryWare SPAM Firewall Kontakt Everyware AG Zurlindenstrasse 52a 8003 Zürich Tel: + 41 44 466 60 00 Fax: + 41 44 466 60 10 E-Mail: support@everyware.ch Datum 02.12.2010 Version
Mehrmysoftfolio360 Handbuch
mysoftfolio360 Handbuch Installation Schritt 1: Application Server und mysoftfolio installieren Zuallererst wird der Application Server mit dem Setup_ApplicationServer.exe installiert und bestätigen Sie
MehrSicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach 263 8488 Turbenthal Schweiz
QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2 Sicherheit 1. Benutzernamen und Passwörter werden weder telefonisch noch per Email bekannt gegeben. Diese werden per normaler Post oder Fax zugestellt. Ebenso ist
MehrClientkonfiguration für Hosted Exchange 2010
Clientkonfiguration für Hosted Exchange 2010 Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergegeben werden. Kontakt: EveryWare AG
Mehrmysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank
mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank In den ersten beiden Abschnitten (rbanken1.pdf und rbanken2.pdf) haben wir uns mit am Ende mysql beschäftigt und kennengelernt, wie man
MehrDaten am USB Stick mit TrueCrypt schützen
Daten am USB Stick mit TrueCrypt schützen Das Programm installieren und einrichten ACHTUNG: In der nachfolgenden Anleitung wird der USB Stick immer mit USB-STICK (H:) angegeben! Diese Bezeichnung wurde
MehrNetzlaufwerke verbinden
Netzlaufwerke verbinden Mögliche Anwendungen für Netzlaufwerke: - Bequem per Windows-Explorer oder ähnlichen Programmen Daten kopieren - Ein Netzlaufwerk ist im Windows-Explorer als Festplatte (als Laufwerksbuchstabe,
MehrBSV Software Support Mobile Portal (SMP) Stand 1.0 20.03.2015
1 BSV Software Support Mobile Portal (SMP) Stand 1.0 20.03.2015 Installation Um den Support der BSV zu nutzen benötigen Sie die SMP-Software. Diese können Sie direkt unter der URL http://62.153.93.110/smp/smp.publish.html
MehrForefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung
Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und
MehrERSTE SCHRITTE. info@kalmreuth.de
ERSTE SCHRITTE info@kalmreuth.de ZUGRIFF AUF KMS Die Kalmreuth Mail Services können über folgende URLs aufgerufen werden: - http://mail.kalmreuth.de - http://kalmreuth.de/mail - http://kalmreuth.de/webmail
MehrAnleitung für den Zugriff auf Mitgliederdateien der AG-KiM
Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM Hinweise: - Dies ist eine schrittweise Anleitung um auf den Server der Ag-Kim zuzugreifen. Hierbei können Dateien ähnlich wie bei Dropbox hoch-
MehrGrundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx).
Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx). Szenario: Benutzer möchte aus dem Ausland eine verschlüsselte Verbindung über das Internet in sein Netzwerk herstellen
MehrACDSee 9 Foto-Manager
Wenn mehr als eine Person Zugang zu Ihrem Computer hat, sollten Sie sich überlegen, wichtige oder vertrauliche Fotos in privaten Ordnern aufzubewahren. Diese passwortgeschützten Ordner verhindern die Einsicht
MehrOWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente
Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische
Mehr