Einführung in Security

Größe: px
Ab Seite anzeigen:

Download "Einführung in Security"

Transkript

1

2

3 Einführung in Security THEMA: OWASP TOP10 einfach erklärt

4 Einführung: Heartbleed Shellshock Poodle

5 Einführung: Heartbleed Sicherheitslücke in der OpenSSL-Implementierung der Heartbeat-Erweiterung für die Verschlüsselungsprotokolle TLS und DTLS Shellshock Über verwundbare BASH Versionen lässt sich Code in Umgebungsvariablen einfügen, der beim Start einer neuen Shell ungeprüft ausgeführt wird. Poodle Man in the Middle Angriff unter Ausnutzung von Schwachstellen in veraltetem SSL 3.0 -> Padding im CBC Mode Aktuell TLS 1.1 / 1.2

6 Einführung:

7 Einführung: Einige Zahlen $ Geschätzte globale, jährliche Schäden durch Cyber Security (McAfee Juli 2013) $ Geschätzte direkte Kosten für Sony durch den unberechtigten Datenzugriff auf Playstation (Presse) 375,000,000 Geklaute Datensätze im ersten Halbjahr 2014 $ 150 pro Datensatz (SafeNet auf Basis des Breach Level Index BLI) $ Durchschnittliche Kosten unberechtigten Datenzugriff für deutsche Unternehmen (Ponemon Studie)

8 OWASP: Zum Glück gibt es OWASP! OWASP ist eine non-profit Organisation mit Fokus auf Erhöhung der Sicherheit von Software 2001 weltweit organisiert, unterteilt in lokale Chapter 198 Zahlreiche bedeutende Projekte 168 Zed Attack Proxy Enterprise Security API Application Security Verification Standard Secure Coding diverse Cheat Sheets TOP 10 (2013) 2003, 2004, 2007, 2010, 2013 (ZAP) (ESAPI) (ASVS)

9 Offizielle OWASP TOP 10 Liste 2013 Es nicht um Schwachstellen, sondern um Risiken Die Liste stellt keinen offiziellen Standard dar Es geht um die Sensibilisierung

10 Vergleich 2010 / 2013 Top Top A1 Injection 2013-A1 Injection 2010-A2 Cross Site Scripting (XSS) 2010-A3 Broken Authentication and Session Management 2010-A4 Insecure Direct Object References 2013-A2 Broken Authentication and Session Management 2013-A3 Cross Site Scripting (XSS) 2013-A4 Insecure Direct Object References 2010-A5 Cross Site Request Forgery (CSRF) 2013-A5 Security Misconfiguration 2010-A6 Security Misconfiguration 2013-A6 Sensitive Data Exposure 2010-A7 Insecure Cryptographic Storage 2013-A7 Missing Function Level Access Control 2010-A8 Failure to Restrict URL Access 2013-A8 Cross-Site Request Forgery (CSRF) 2010-A9 Insufficient Transport Layer Protection 2010-A10 Unvalidated Redirects and Forwards 2013-A9 Using Known Vulnerable Components (NEU) 2013-A10 Unvalidated Redirects and Forwards 3 wichtige Änderungen 2010-A7&A9 -> 2013-A A8 erweitert in 2013-A7 NEU 2013-A9

11 Wie entsteht die TOP10? Risikobewertung Threat Agent Attack Vector Weakness Prevalence Weakness Detectability Technical Impact Business Impact? Easy Widespread Easy Severe Average Common Average Moderate Difficult Uncommon Difficult Minor? CVSS - Common Vulnerability Scoring System 11

12 A1-Injection: Wenn Benutzereingaben ungefiltert weiterverarbeitet werden, kann dies zu Injection Problemen führen. Dabei gibt verschiedene Formen: SQL, Mail, Script, HTML, Header,

13 A1-Injection: SQL Injection https User Web Server Application Server User Database

14 A1-Injection: SQL Injection BEISPIEL: $sql = "SELECT * FROM user ". "WHERE username LIKE '".addslashes($username)."' ". "AND password=".addslashes($password); Die Eingabe $username= %bf%27 OR x = x ; (URL Encoded) Führt durch addslashes($username) zu => %bf%5c%27 OR x = x %bf%5c ist ein valider multi-byte Character in simplified Chinese > WHERE username LIKE or x = x

15 A1-Injection - Empfehlung Eingaben von außen so weit wie möglich vermeiden. Interface verwenden, welches die eingegebenen Variablen fest an den damit verbunden Zweck bindet. (z.b. prepared statements, stored procedures, ) Jeglicher Input von außen muss ordentlich kodiert bzw. bereinigt werden. Möglichst White Listen verwenden, um Benutzereingaben zu validieren. Datenbank / Dateisystem Privilegien soweit wie möglich einschränken.

16 A2-Broken Authentication and Session Management HTTP ist ein stateless Protokoll jeder Request und jede Response sind im Grunde unabhängig voneinander. Um einen Zusammenhang von verschiedenen Requests herzustellen, muss ein Session Management implementiert werden. In diesem Zusammenhang gibt es eine Vielzahl an Sicherheitsproblemen. Session Fixation Elevation of Privileges Brute Force Attacken Sniffing

17 Accounts Finance Administratio n Transactions Communicati Knowledge on Mgmt E-Commerce Bus. Functions TOP 10: A2-Broken Authentication and Session Management 1 Benutzer sendet seine Zugangsdaten Custom Code 2 Webseite verwendet URL Rewrite (z.b. sessionid in URL) 3 Benutzer klickt auf einen Link zu 5 Angreifer verwendet die SessionID und übernimmt den Zugang 4 Angreifer überprüft die Referrer Logs auf und findet die sessionid

18 A2-Broken Authentication and Session Management - Empfehlung session.use_trans_sid = 0 session.use_only_cookies = 1 session.cookie_httponly = 1 session.cookie_secure = 1 session_regenerate_id(); session.gc_maxlifetime=3600 (Unterstützung von transparenter SID deaktivieren) (es werden nur Cookies clientseitig akzeptiert) (Cookie nicht für andere Scriptsprachen zugänglich) (Cookie wird nur per https übertragen) (nach Einloggen / Ausloggen neue SessionID) (Gültigkeit einer Session beschränken) Registrierung/persönlicher Bereich sollten nur per HTTPS aufrufbar sein. Anfragende IP Adresse in Session speichern und bei jedem Zugriff überprüfen. Fehlerhafte Loginversuche sollten zu anwachsenden zeitlichen Verzögerung führen Double Opt-In bei Registrierung / PW zurücksetzen etc. Verschickte Links sollten nur einmal aufrufbar sein / ein Verfallsdatum beinhalten. CSRF Schutz bei allen wichtigen Formularen (PW Reset/Account löschen/ ) > siehe Punkt A8

19 A3-Cross-Site Scripting (XSS) Cross-Site Scripting tritt dann auf, wenn eine Webanwendung Daten von einem Nutzer annimmt und diese an den Browser weitersendet, ohne den Inhalt korrekt zu überprüfen (Injection). Damit ist es einem Angreifer möglich Schadcode auf der Seite des Clients auszuführen. Der Angriff bei XSS ist über verschiedene Wege möglich z.b. $_GET / $_POST / $_COOKIE / $_SESSION / SessionID / Header POST Parameter <input name= username value= <?echo $_POST[ username ];?> > User-Agent-Header User-Agent: Mozilla/5.0 (Wind</td></table><body/onload=alert(0)>ows NT 6.1; WOW64; rv:21.0)

20 A3-Cross-Site Scripting (XSS): nicht persistenter Angriff 1. Der Nutzer kommt in Kontakt mit einem präparierten Link. 2. Die Webanwendung wird über den präparierten Aufruf aufgerufen. 3. Der XSS-Code wird über eine XSS-Lücke, in die Seite eingefügt. 4. Die infizierte Seite wird an den Nutzer gesendet. 5. Der XSS-Code ist im Kontext der Seite beim Nutzer angekommen und umgeht so die "Same-Origin Policy"des Webbrowsers. 6. XSS-Code sendet gestohlene Daten an den Server des Angreifers.

21 A3-Cross-Site Scripting (XSS): persistenter Angriff 1. Die Webanwendung wird mit dem XSS-Code aufgerufen. 2. Der Schadcode wird dort gespeichert (Datenbank / Session / ). 3. Ein Nutzer ruft die Webanwendung auf. 4. Der gespeicherte Schadcode wird in die Webseite eingebaut. 5. Die infizierte Webseite wird dem Nutzer geschickt. 6. Der XSS-Code ist im Kontext der Seite beim Nutzer angekommen und umgeht so die "Same-Origin Policy" des Webbrowsers. 7. Der XSS-Code sendet gestohlene Daten an den Server des Angreifers.

22 A3-Cross-Site Scripting (XSS): Mutation-XSS / mxss element.innerhtml () Javascript Funktion häufig verwendet in Zusammenhang mit WYSIWYG Browser kümmert sich intern um die DOM Umsetzung der Eingabe Problem: ƒ(ƒ(x)) ƒ(x) trifft nicht zu! IN: <div>123 IN: <Div/class=abc>123 IN: <span><div>123</span> OUT: <div>123</div> OUT: <div class="abc">123</div> OUT: <span><div>123</div></span> IN: OUT: <p style="font-family:'\22\3bx:expression(alert(1))/*'"> <P style="font-family: ; x: expression(alert(1))"></p>

23 A3-Cross-Site Scripting (XSS) - Empfehlung Variablen bereinigen HTML Element Content (e.g., <div> some text to display </div> ) HTML Attribute Values (e.g., <input name='person' type='text' value='defaultvalue'> ) JavaScript Data (e.g., <script> somefunction( DATA ) </script> ) CSS Property Values (e.g.,.pdiv a:hover {color: red; text-decoration: underline} ) URI Attribute Values (e.g., <a href=" ) 1: ESAPI: encodeforhtml() 2: ESAPI: encodeforhtmlattribute() 3: ESAPI: encodeforjavascript() 4: ESAPI: encodeforcss() 5: ESAPI: encodeforurl() HTMLPurifier Einsatz von Content Security Policy (CSP)

24 A4-Insecure Direct Object References Die Referenz auf ein internes Objekt wird einem Angreifer preisgegeben. Bei fehlender oder falscher Überprüfung der Zugriffsberechtigung ermöglicht man die Manipulation dieses Objekts. candidate_id=6066 > Modifizierung des Wertes candidate_id=6067 Zugriff auf die Informationen eines anderen Benutzers https://www.boa.com/index.php?candidate_id=6066

25 A4-Insecure Direct Object References - Empfehlung Direkte Objektreferenzen sollten komplett eliminiert werden. Mappings / Tokens Access Reference Map TOKENS Wenn sie eingesetzt werden, müssen sie ordentlich validiert werden! Zusätzliche Überprüfung, ob der Benutzer das Recht für den Zugriff besitzt bzw. in welchem Modus (read, write, delete)? (vergleiche A7 > Probleme den Zugriff per URL zu beschränken)

26 Accounts Finance Admin Transactio ns Comm. Knowledge E- Commerce Bussiness TOP 10: A5-Security Misconfiguration Aufgrund von falschen Konfigurationseinstellungen ergeben sich Sicherheitslücken. Dies betrifft alle Komponenten vom Betriebssystem bis zur Applikation. Database Custom Code App Configuration Insider Framework App Server Web Server Hardened OS Development QA Servers Test Servers Production

27 A5-Security Misconfiguration - Empfehlung Etablieren eines ordentlichen System Konfigurationsmanagements / Patch Managements & Deploymentmechanismus - Automatisierung! Richtlinie für Sicherheitshärtungen muss die komplette Plattform und Applikation umfassen Möglichkeit die Konfiguration zu exportieren - ohne Reporting ist keine Überprüfung möglich Automatisierte Überwachung der Parameter mit ALARM Benachrichtigung Initial korrekt gesetzt! Session-Management ->.htaccess / php.ini Directory Listing deaktivieren (http/https) -> httpd.conf (Options Indexes) allow_url_fopen = off / allow_url_include = off -> php.ini open_basedir = /var/www/html -> php.ini DocumentRoot /var/www/html -> httpd.conf cache-verzeichnisse sollten außerhalb des document_roots abgelegt werden https verwenden! korrekte Cipher Suites im Apache einstellen (kein MD5/SHA1) Click-Jacking verhindern Header always append X-Frame-Options SAMEORIGIN Default Einstellungen in den BeeSite Konfigurationsdateien anpassen crypt Schlüssel / Passwörter / Verschlüsselungsmodus (kein ECB > CBC)..

28 A6-Sensitive Data Exposure Unsichere Speicherung und Transport von sensiblen Daten WICHTIGE FRAGEN: Welche Daten sind sensibel? Was sind meine Kronjuwelen? Wo werden diese Daten überall gespeichert? Wohin und auf welchem Weg werden diese Daten übertragen?

29 Accounts Finance Administrati on Transactions Communicat Knowledge ion Mgmt E-Commerce Bus. Functions TOP 10: A6-Sensitive Data Exposure Unsichere Speicherung 1 Benutzer gibt seine Kreditkarteninformationen ein Custom Code 4 Mitarbeiter entwendet Millionen Kreditkartennummern Log files 3 2 Die Logfiles sind für alle IT Mitarbeiter verfügbar, um eventuelle Fehler zu beheben. Die Fehlerbehandlung speichert die Daten in einem Logfile, da ein Gateway zeitweise nicht vorhanden ist

30 A6-Sensitive Data Exposure Unsicherer Transport Externes Opfer Custom Code Backend Systeme Business Partner Mitarbeiter 1 Angreifer entwendet Daten aus dem Netzwerk 2 Angreifer entwendet Daten aus dem internen Netzwerk Externer Angreifer Interner Angreifer

31 A6-Sensitive Data Exposure - Empfehlung Analyse der Architektur Identifikation der Daten / Speicherorte / Übertragungswege Schutz durch angemessene Mittel Datei & Datenbank Verschlüsselung Transportverschlüsselung TLS Korrekter Einsatz der gewählten Mechanismen Einsatz von Standard Algorithmen mit ordentlichem Key Management Keine veralteten SSL Algorithmen Überprüfung der Implementierung Welcher Algorithmus wird verwendet, wurden die Schlüssel ordentlich übertragen, gibt es einen Plan für Schlüsselaustausch,

32 A7-Missing Function Level Access Control Falsche Authorisierung beim Zugriff auf sensible Daten. Der Angreifer erkennt in der Adresse seine Rolle Er modifiziert diese zu einer anderen Rolle /user/getaccounts /admin/getaccounts Der Angreifer erhält Zugriff auf Daten, welche nicht für ihn bestimmt sind. https://www.onlinebank.com/user/getaccounts

33 A7-Missing Function Level Access Control - Empfehlung Die Applikation muß drei Dinge tun: Jeglichen Zugriff auf authentisierte User beschränken Erzwingen von Benutzer- oder Rollenberechtigungen (wenn nicht offentlich) (wenn nicht öffentlich) Komplette Zugriffsverweigerung zu nicht authorisierten Daten (z.b. auch Konfigurationsdateien, Logfiles, Quellcode, etc.) Analyse der Architektur Einsatz eines einfachen zentralen Zugriffsmodells, welches von jeder Business Funktion verwendet wird. Überprüfung der Implementierung Durch manuelle Aufrufe oder den Einsatz externer Tools sollten solche Angriffe simuliert werden (z.b. OWASPs ZAP, Penetration Testing Tools, ).

34 A8-Cross-Site Request Forgery (CSRF / XSRF) Bei einem Cross-Site-Request-Forgery führt ein Angreifer eine Transaktion in einer Webanwendung im Namen eines Opfers (bereits angemeldet) durch. (Website-übergreifende Anfragenfälschung)

35 A8-Cross-Site Request Forgery (CSRF / XSRF) - Empfehlung Überprüfung des HTTP Referrers (manipulierbar ) Limitierung der Gültigkeit des Session Cookies Einsatz von CAPTCHAs Verwendung eines CSRF Tokens (Änderung bei jedem Request/pro Session) if(!helper_security::checkcsrftoken()) { $msg_error = $lang['csrferror']; } else { public function checkcsrftoken() { if(sha1(session_id()==$_post[ _csrf_token ]) { return true; } return false; }

36 A9-Using Components with Known Vulnerabilities Der vermehrte Einsatz externer Komponenten (z.b. Frameworks, JavaScript Libraries, etc.) führt zu weitverbreiteten Angriffsmöglichkeiten, da Schwachstellen häufig automatisiert abgefragt werden können. Was wird wo überhaupt eingesetzt? Fehlender Überblick Komplette Bandbreite an Schwachstellen Mehr als Downloads von unsicheren Versionen der 31 bekanntesten Open Source Sicherheits Libraries und Web Frameworks (2012).

37 A9-Using Components with Known Vulnerabilities - Empfehlung Übersicht der verwendeten Komponenten Eine Liste sollte auf jeden Fall vorliegen, damit eine Überprüfung überhaupt möglich ist. Automatisierte Builds / Dependency Management Ein automatisierter Build Prozess sorgt dafür, dass immer aktuelle Versionen der verwendeten Komponenten eingebunden werden. Bei Milch & Zucker wird dies durch den Einsatz des Dependency Managers Composer gewährleistet. Manuelle Überprüfung Wenn ein automatisierter Prozess nicht eingerichtet werden kann, sollte zumindest eine periodische manuelle Überprüfung statt finden. Datenbank mit aktuell bekannten Problemen https://hpi-vdb.de/vulndb/search/

38 A10-Unvalidated Redirects and Forwards Unsichere Weiterleitungen auf externe Seiten bzw. zu sensiblen Funktionen Redirects Häufig werden Benutzereingaben bei der Generierung der Ziel-Adresse verwendet. Sollten diese nicht ordentlich validiert werden, kann ein Angreifer das Opfer auf eine beliebige Seite weiter leiten. Forwards Werden Eingaben des Anwenders dazu verwendet eine bestimmte interne Seite aufzurufen, kann es passieren, dass durch Manipulation der Parameter ein Umgehen der Authentisierung bzw. Autorisierung möglich ist.

39 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions TOP 10: A10-Unvalidated Redirects and Forwards - Redirect 1 Angreifer schickt den Angriff per oder Webseite From: Interne Sicherheitsüberprüfung Subject: Wichtige Information Bitte klicken sie hier. 3 Applikation leitet das Opfer auf die Seite des Angreifers 2 Opfer klickt auf den Link mit den präparierten, nicht validierten Parametern. Custom Code Evil Site 4 Seite des Angreifers installiert Malware oder entwendet private Informationen

40 A10-Unvalidated Redirects and Forwards - Forwards 1 Angreifer schickt seinen Angriff an eine gefährdete Seite, zu welcher er Zugriff hat. public void sensitivemethod( HttpServletRequest request, HttpServletResponse response) { try { // Do sensitive stuff here.... } catch (... 2 Die Anwendung authorisiert die Anfrage und leitet auf die eigentlich geschützte Seite weiter Filter public void dopost( HttpServletRequest request, HttpServletResponse response) { try { String target = request.getparameter( "dest" ) );... request.getrequestdispatcher( target ).forward(request, response); } catch (... 3 Die eigentlich geschützte Seite überprüft die Parameter nicht korrekt und liefert sensible Daten aus.

41 A10-Unvalidated Redirects and Forwards - Empfehlung Vermeidung des Einsatzes von Redirects und Forwards so weit wie möglich Wenn es sein muss, sollten dafür keine Usereingaben verwendet werden. Wenn sich dies gar nicht vermeiden lässt, müssen diese ordentlich validiert werden besser sind serverseitige Mappings. Zusätzlich kann die generierte Ziel URL abschließend überprüft werden. Bei Forwards sollte man außerdem die Zugriffsberechtigung überprüfen, bevor man auf diese weiterleitet.

42 Zusammenfassung OWASP TOP10 einfach erklärt Sicherheit nimmt einen immer größeren Stellenwert ein. OWASP versucht durch die Klassifizierung der aktuellen Risiken Anhaltspunkte zu geben, um Webanwendungen sicherer zu machen. Die Liste der TOP10 betrifft alle Bereiche der Softwareentwicklung. Design, Architektur, Entwicklung, Konfiguration, Deployment, Sichere Softwareentwicklung ist heute eine der wichtigsten Grundlagen für dauerhaften Erfolg in der Softwarebranche. HINWEIS: TOP10 für Entwickler https://www.owasp.org/index.php/germany/projekte/top_10_fuer_entwickler-2013/a1- Injection#tab=PHP

43 Einführung in Security OWASP TOP10 einfach erklärt Ihr Ansprechpartner bei: Kai Mengel - CISO Küchlerstrasse Bad Nauheim

44 Einführung in Security Content-Security-Policy (CSP) Content Security Policy (CSP) ist ein Sicherheitskonzept, um Cross-Site-Scripting und andere Angriffe durch Einschleusen von Daten in Webseiten zu verhindern (W3C). Der offizielle Name des Header-Felds ist Content-Security-Policy. Firefox ab Version 23 / Chrome ab Version 25 / AngularJS, Ruby on Rails

45 Einführung in Security Content-Security-Policy (CSP) 1: Der Server verlangt, dass die Inhalte nur von der gleichen Quelle kommen: Content-Security-Policy: default-src 'self 2: Eine Auktionswebseite möchte Bilder von jeder URI laden, Plugins von einer Liste vertrauenswürdiger Provider und Skripte nur von einem bekannten Server. Content-Security-Policy: default-src 'self'; img-src *; object-src media1.example.com media2.example.com; script-src trustedscripts.example.com 3: Eine Website möchte sämtliche Verbindungen auf HTTPS beschränken: Content-Security-Policy: default-src https: 'unsafe-inline' 'unsafe-eval' 4: Eine Website benötigt inline Skripte und möchte sicher stellen, dass diese auch wirklich vom eigenen Server stammen: Content-Security-Policy: script-src 'self' 'nonce-$random'; Die Inline-Skripte werden nur ausgeführt, wenn der Token übereinstimmt. <script nonce="$random">...</script>

46 Einführung in Security Same-Origin-Policy (SOP) SOP ist ein Sicherheitskonzept, das clientseitigen Skriptsprachen wie JavaScript und ActionScript, aber auch Cascading Style Sheets untersagt, auf Objekte (zum Beispiel Grafiken) zuzugreifen, die von einer anderen Webseite stammen. die SOP ist erfüllt die SOP ist nicht erfüllt > andere Domain die SOP ist nicht erfüllt > anderer Port https://example.com/dir/page.html die SOP ist nicht erfüllt > anderes Protokoll

47

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12 OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Stefan Schlott @_skyr DIE OWASP TOP-10 Alpha und Omega der Security-Talks :-) TOP 10 VON 2013 1. Injection 2. Broken Authentication/Session Management

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends

Mehr

FileBox Solution. Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch www.csnc.

FileBox Solution. Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch www.csnc. Compass Security AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_V1.2.doc Version: v1.2 Autor: Philipp Oesch Unternehmen:

Mehr

Web 2.0-Hacking Live Vorführung. Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011

Web 2.0-Hacking Live Vorführung. Philipp Rocholl, Secaron AG Proseminar Network Hacking und Abwehr, 27.01.2011 Web 2.0-Hacking Live Vorführung Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011 Übersicht Vorstellung Motivation Penetrationstests Schwachstellenklassen im Webumfeld Live

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST 2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell

Mehr

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Sessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1

Sessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1 Sessions mit PHP Annabell Langs 2004 Sessions in PHP - Annabell Langs 1 Sessions» Inhaltsverzeichnis Wozu Sessions? 3 Wie funktionieren Sessions? 5 Wie kann ich die Session-ID übergeben? 8 Sicherheit 9

Mehr

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter Top 10 Was t/nun? Nürnberg, 20.10.2010 Dirk Wetter Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The Foundation Permission

Mehr

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Vorlesung 4: Sommersemester 2015 h_da, Lehrbeauftragter Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP

Mehr

Um asynchrone Aufrufe zwischen Browser und Web Anwendung zu ermöglichen, die Ajax Hilfsmittel DWR ist gebraucht.

Um asynchrone Aufrufe zwischen Browser und Web Anwendung zu ermöglichen, die Ajax Hilfsmittel DWR ist gebraucht. Technisches Design Inhalt Design Übersicht Menü und DispatcherServlet DWR Servlet Viewer Servlets Controllers Managers Sicherheit Anwendung Architektur Component Diagram Deployment Diagram Komponente Sequence

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

OWASP Top 10 Wat nu? The OWASP Foundation http://www.owasp.org. OWASP Stammtisch. GUUG-Treffen. Dirk Wetter

OWASP Top 10 Wat nu? The OWASP Foundation http://www.owasp.org. OWASP Stammtisch. GUUG-Treffen. Dirk Wetter OWASP Top 10 Wat nu? Dirk Wetter OWASP Stammtisch GUUG-Treffen Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The OWASP

Mehr

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

HTTPS Checkliste. Version 1.0 (26.08.2015) Copyright Hahn und Herden Netzdenke GbR

HTTPS Checkliste. Version 1.0 (26.08.2015) Copyright Hahn und Herden Netzdenke GbR HTTPS Checkliste Version 1.0 (26.08.2015) Copyright Hahn und Herden GbR Inhaltsverzeichnis Best Practices...2 1 Private Key und Zertifikat...2 1.1 2048-Bit Private Keys...2 1.2 Geheimhalten der Private

Mehr

Cloud Control, Single Sign On in Active Directory Umfeld

Cloud Control, Single Sign On in Active Directory Umfeld Cloud Control, Single Sign On in Active Directory Umfeld Abdi Mohammadi ORACLE Deutschland B.V. & Co. KG Hamburg Schlüsselworte Cloud Control, SSO, SPNEGO,, Enterprise User Security, Web SSO, Oracle Access

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance

Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance SWG Partner Academy Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance 3. Tag, Donnerstag den 09.10.2008 Michael Bleichert Rational Channel Manager Germany Michael.Bleichert@de.ibm.com

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Java zur Realisierung von Internetanwendungen

Java zur Realisierung von Internetanwendungen Java zur Realisierung von Internetanwendungen Elementare Web-Programmierung Prof. Dr. Bernhard Schiefer HTTP Web-Browser Web-Browser GET http://www.zw.fh-kl.de/beispiel.htm beispiel

Mehr

Sicherheit in Software

Sicherheit in Software Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken

Mehr

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem:

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem: !! "!!##$ %& es gibt keine 100 %ige Sicherheit Fehler zu machen ist menschlich man muss es so gut wie möglich machen es ist GROB FAHRLÄSSIG es nicht einmal zu versuchen Ziel: Methoden entwickeln, die Sicherheit

Mehr

FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil

FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Compass Security AG Glärnischstrasse 7 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch www.csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_V1.1.doc Version: v1.1

Mehr

Inhaltsverzeichnis. Einleitung... 11

Inhaltsverzeichnis. Einleitung... 11 Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP

Mehr

Apache HTTP-Server Teil 1

Apache HTTP-Server Teil 1 Apache HTTP-Server Teil 1 Zinching Dang 24. November 2014 1 Apache HTTP-Server Apache HTTP-Server allgemein offizielle Namensherkunft: Apachen-Stamm in Nordamerika wurde 1994 auf Basis des NCSA HTTPd-Webservers

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

PHP. Prof. Dr.-Ing. Wolfgang Lehner. Diese Zeile ersetzt man über: Einfügen > Kopf- und

PHP. Prof. Dr.-Ing. Wolfgang Lehner. Diese Zeile ersetzt man über: Einfügen > Kopf- und 8. PHP Prof. Dr.-Ing. Wolfgang Lehner Diese Zeile ersetzt man über: Einfügen > Kopf- und PHP PHP (Hypertext Preprocessor) Serverseitige Skriptsprache (im Gegensatz zu JavaScript) Hauptanwendungsgebiet:

Mehr

Tobias Wassermann. Sichere Webanwendungen mit PHP

Tobias Wassermann. Sichere Webanwendungen mit PHP Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr