Unternehmensbezogenes Google Hacking

Größe: px
Ab Seite anzeigen:

Download "Unternehmensbezogenes Google Hacking"

Transkript

1 Rheinisch-Westfälische Technische Hochschule Aachen Universität Mannheim Lehrstuhl Praktische Informatik I Prof. Dr.-Ing. Felix Freiling Diplomarbeit Unternehmensbezogenes Google Hacking von Klaus Kröner RWTH Aachen 29. August 2007 Gutachter: Prof. Dr.-Ing. Felix Freiling, Universität Mannheim Prof. Christian H. Bischof, Ph.D., RWTH Aachen Betreuer: Dipl.-Ing. Matthias Humbert, T-Mobile Deutschland GmbH Prof. Dr.-Ing. Felix Freiling, Universität Mannheim

2 II

3 Hiermit versichere ich, dass ich die Arbeit selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt, sowie Zitate kenntlich gemacht habe. Bonn, den 29. August 2007 (Klaus Kröner) III

4 IV

5 Inhaltsverzeichnis 1 Einführung Motivation Suchmaschinen Google Hacking Ziele und Strukturierung der Diplomarbeit Grundlagen Einleitung Einführung in Google Hacking Die Google-Syntax Klassifizierung von Suchmustern Erweiterung der Google-Hacking-Datenbank / Suche nach neuen Suchmustern Exkurs: Die Verwendung von Google als Proxy-Server Die Suche nach -Adressen mittels Google Weitere Suchmaschinen Windows Live Search Yahoo Search Vergleich verschiedener Suchmaschinen bezüglich ihrer Eignung für Suchmaschinen-Hacking Die Reichweite von Webcrawlern der Suchmaschinen Suchmaschinen-Caches und ein Internet-Archiv Zusammenfassung Google Scanning Einleitung Vulnerability Scanning Anwendung von Google Hacking Voraussetzungen Ziele Ablauf des Google-Scans Probleme / Einschränkungen des Google Hackings Finden aller relevanter Domains bzw. Webapplikationen Finden sinnvoller Suchmuster Langfristiger Ablaufplan Tiefe der Suche Analyse der Ergebnisse Kurzfristige Maßnahmen nach einem Fund V

6 3.5 Zusammenfassung Entwicklung des Google-Hacking-Tools GooScanner Einleitung Arbeitsweise des Programms Aufwandsabschätzung Schema für die Anwendung von GooScanner Andere Vulnerability-Scanner, die Google Hacking einsetzen Sitedigger gooscan Acunetix Athena Wikto Google Web Services Google Alerts Zusammenfassung Vergleich mit anderen Scanning-Methoden Einleitung Scanning-Methoden Nessus QualysGuard WebInspect Parallelen bzw. Unterschiede zum Google Hacking Maximierung des Sicherheitsgewinns durch Google Scanning Die Effektivität des Google Scannings Auswirkung der Aktualität des Suchindex auf die Abwehrrate Auswirkung der Aktualität bzw. des Inhalts der Suchmuster- Datenbasis auf die Abwehrrate Kurze Einführung in Penetration Testing Resultate durch etablierte Penetration-Testing-Verfahren Der betriebliche Mehrwert durch Google Hacking Ungeschützte Systeme Durch Vulnerability Scanning geschützte Systeme Durch Penetration Testing geschützte Systeme Durch Vulnerability Scanning und Penetration Testing geschützte Systeme Kosten-/Nutzen-Verhältnisse auf Basis des messbaren Anteils am Sicherheitsgewinn Zusammenfassung Präventive Abwehr Einleitung Alarmsysteme Server-Konfiguration Google Hacking Honeypots / Verbreitung von Falschinformationen Blockieren des Zugriffs für offensichtliche Google-Hacker Betrachtung des Inhalts von Websites unter Verwendung eines Webcrawlers VI

7 6.7 Zusammenfassung Zusammenfassung Fazit A Quellcode 74 A.1 Das Scheduling-Modul von GooScanner A.2 Das Google-Scan-Modul von GooScanner B Fallbeispiele 82 B.1 Einleitung B.2 Firma B.3 Firma B.4 Firma B.5 Zusammenfassung VII

8 Abbildungsverzeichnis 1.1 Ergebnis der Anwendung eines einfachen Suchmusters Die Google-Startseite Ergebnis der Suche nach einer Drucker-Schnittstelle Ergebnisse der Suche nach Index of: inurl:private Ergebnis der Suche nach inurl:passwd Ergebnis der Suche nach filetype:pwd inurl:service Ergebnis der Suche -www.gmail.com Ablaufplan Google Scanning in Pseudocode Datenmodell von GooScanner Konfiguration eines Jobs in GooScanner Bewertung eines Fundes in GooScanner Bewertung mehrerer Funde gleichzeitig in GooScanner Quellcode eines Nessus-Plugins Beispiel einer sitemap.xml Honeypot-Funktion zum Sammeln von Informationen über Angreifer 69 VIII

9 Tabellenverzeichnis 2.1 Zeit zwischen Besuch durch Webcrawler und Aktualisierung des Cache Limitierung der Anzahl gelieferter Ergebnisse Funde und Gegenmaßnahmen Vergleich von Entfernungszeiten Zeitbedarf von Google Scanning Grundlagen der Statistik in Tabelle Verlauf der Anzahl neuer Treffer bei Scans von t-mobile.de Vergleich von Google Hacking und Vulnerability Scanning Die UserAgents der Suchmaschinen Vergleich von Google Hacking und Vulnerability Scanning bzgl. Mehrwerts durch Google Hacking Vergleich von Google Hacking und Penetration Testing bzgl. Mehrwerts durch Google Hacking Vergleich von Google Hacking und Penetration Testing zusammen mit Vulnerability Scanning bzgl. Mehrwerts durch Google Hacking B.1 Konfiguration der Scan-Jobs für Firma B.2 Der erste Scan für Firma B.3 Verlauf der Anzahl neuer Treffer bei Scans der Domains von Firma B.4 Falschtreffer bei Scans der Domains von Firma B.5 Dauer eines Scans der Domains von Firma B.6 Konfiguration der Scan-Jobs für Firma B.7 Der erste Scan für Firma B.8 Verlauf der Anzahl neuer Treffer bei Scans der Domains von Firma B.9 Falschtreffer bei Scans der Domains von Firma B.10 Dauer eines Scans der Domains von Firma B.11 Konfiguration der Scan-Jobs für Firma B.12 Der erste Scan für Firma B.13 Verlauf der Anzahl neuer Treffer bei Scans der Domains von Firma B.14 Beispielhafte Falschtreffer bei Scans der Domains von Firma B.15 Dauer eines Scans der Domains von Firma IX

10 Zusammenfassung Google Hacking ist eine Methode, mit welcher Suchmaschinen als Hacker-Werkzeuge verwendet werden. Mittels Google Hacking kann man beispielsweise die Angreifbarkeit von Webservern erforschen, Zugangsdaten aufspüren und Informationen sammeln, die den Angriff auf ein Netzwerk mittels anderer Methoden erleichtern. Hierzu werden keine geheimen Funktionen der Suchmaschinen verwendet, sondern hochspezialisierte Suchmuster als Anfragen an die Suchmaschinen gesendet. Diese Diplomarbeit bietet einen Überblick über die beim Google Hacking verwendeten Techniken. Zudem werden verschiedene Möglichkeiten der Abwehr untersucht. Der Schwerpunkt liegt hierbei auf der Untersuchung und Entdeckung möglicher Schwachstellen der Web-Applikationen und Netze eines Unternehmens mittels regelmäßig durchgeführter Überprüfung von Suchergebnissen. Hierzu wird eine Strategie erarbeitet sowie ein Programm entwickelt, welches in festgelegten Intervallen große Mengen von Anfragen an Suchmaschinen schickt und bei auffälligen Funden Alarm auslöst. Anhand einer exemplarischen Anwendung wird untersucht, wie erfolgsversprechend der Einsatz der Methoden des Google Hackings für eine unternehmensinterne Systemüberwachung sind. Ferner werden Vulnerability-Scanner vorgestellt, die bereits von der Technik des Google Hacking Gebrauch machen. Diese, sowie Google Hacking im Allgemeinen, werden mit den Möglichkeiten, die etablierte Vulnerability- Scanning-Werkzeuge bieten, verglichen. 1

11 Kapitel 1 Einführung Um die Fülle von Informationen im Internet für den Menschen sinnvoll nutzbar zu machen, gibt es Suchmaschinen. Sie sind die erste Anlaufadresse, wenn es im Allgemeinen um die Suche nach Informationen im World Wide Web geht. Für die Suchmaschinen ist es daher wichtig, die charakteristischen Merkmale von möglichst vielen Seiten im Web zu erfassen, also den in Form von Text erfassbaren Inhalt. Die Bots oder Webcrawler der Suchmaschinen suchen daher unablässig nach Daten und sind bei deren Aufnahme in ihren Index relativ unkritisch, wobei es für die Eigner der Daten Methoden gibt, diese Aufnahme von Informationen zu beeinflussen oder zu verhindern. Wenn diese Methoden allerdings nicht angewendet werden, können Webcrawler auch Informationen speichern, welche evtl. überhaupt nicht für die Öffentlichkeit gedacht sind, aber trotzdem meist unbeabsichtigt in einem öffentlich zugänglichen Bereich eines Web-Servers zu finden sind. Dabei kann es sich um Passwörter, Konten-Daten, oder auch andere Informationen handeln, die auf den ersten Blick gar kein Gefahrenpotential für ihren Eigner mit sich bringen aber indirekt Angriffsmöglichkeiten eröffnen. Genau diese Informationen kann man mit Hilfe von Google und weiteren großen Suchmaschinen dank ihrer genauen Suchmöglichkeiten gezielt suchen und finden. Dies bezeichnet man als Google Hacking. Wie man an der Anzahl von Ergebnissen in Abbildung 1.1 erahnt, können bereits mit Hilfe einfacher Suchmuster wie etwa intitle:index of parent directory inurl:private interessante Funde gemacht werden. Hier wurde zwar nur relativ ungezielt nach allgemeinen, privaten Daten gesucht, jedoch wird daran deutlich, dass private Daten wohl nicht immer ausreichend geschützt sind. 1.1 Motivation Google Hacking stellt eine Gefahr für jedes Netzwerk dar, in welchem es Informationen gibt, die nicht für jedermann zugänglich sein sollen - falls dieses Netzwerk an das Internet angebunden ist. Mit Hilfe von Google Hacking lässt sich zwar nur in Spezialfällen ein direkter Angriff auf ein Netz durchführen, welcher dem klassischen Verständnis des Begriffs Hacking entsprechen würde. Doch manchmal macht ein Fund im Speicher einer Suchmaschine den eigentlichen Angriff auch überflüssig, da man die gewünschte Information schon durch den Zwischenspeicher ( Cache ) der Suchmaschine erhält. Je nach Fund kann ein Stück Information den eigentlichen Angriff manchmal nur ein bisschen, gelegentlich aber auch erheblich erleichtern. Somit stellen 2

12 Abbildung 1.1: Ergebnis der Anwendung eines einfachen Suchmusters sich die folgenden Fragen: Wie funktioniert Google Hacking? Wie findet man systematisch heraus, ob ein Netz für Google Hacking anfällig ist? Kann man Google Hacking dafür einsetzen, um mögliche Schwachstellen und Sicherheitsmängel (frühzeitig) auf systematische Weise zu entdecken? Wie kann man ein IT-System vor Google Hacking schützen? 1.2 Suchmaschinen Bisher wurde als Suchmaschine für das Internet nur Google erwähnt, da gerade unter ihrer Verwendung das Google Hacking entstand. Als wichtige Ergänzungen zu Google sollten noch Yahoo! Search [yahb] (im Folgenden Yahoo Search genannt) und Windows Live Search [livb] (vormals MSN, im Folgenden kurz Live Search genannt) erwähnt werden, da sie eine ähnlich mächtige Anfragesyntax und vergleichbar große Suchindizes haben. Anfragen an diese Suchmaschinen geschehen in Form so genannter Suchmuster. Ein Suchmuster ist ein Ausdruck, welcher einer Suchmaschine als Parameter übergeben wird. Es definiert, welchen Inhalt bzw. welche Eigenschaften ein gesuchtes Dokument haben soll. Im Laufe dieser Arbeit wird sich zeigen, dass für systematisches Google Hacking oft große Mengen an Anfragen an Suchmaschinen gestellt werden müssen. Dies kann über die wohlbekannten Web-Schnittstellen kaum in zufriedenstellender Geschwindigkeit bewerkstelligt werden. Zudem würden Anfragen, die automatisiert und in hoher 3

13 Abbildung 1.2: Die Google-Startseite Frequenz an diese Schnittstellen gestellt würden, in den meisten Fällen zu einer Sperrung des Zugriffs auf die jeweilige Suchmaschine für die IP des anfragenden Rechners zur Folge haben. Für große Mengen von Anfragen stellen die drei genannten Suchmaschinen allerdings spezielle Schnittstellen zur Verfügung. Diese sind bei Google und Live Search jeweils eine SOAP 1 -API. Yahoo Search ermöglicht Anfragen über das REST 2 -Protokoll. 1.3 Google Hacking Zum Google Hacking gibt es mindestens eine Community, die sich ausschließlich mit diesem Thema beschäftigt. Eine große Sammlung von interessanten Suchmustern für Google, die Google-Hacking-Database (GHDB) befindet sich auf der Homepage des Begründers dieser Community und Ikone des Google Hacking, Johnny Long [ghd07]. Diese Datenbank wird durch die Community stetig ergänzt und beinhaltet teilweise auch Suchmuster, die zu weniger interessanten Ergebnissen führen ist aber dafür sehr umfangreich. Mehrere Penetration-Testing- bzw. Vulnerability-Scan-Tools, die entweder auf das Google Hacking spezialisiert sind oder es als Zusatz-Feature anbieten, greifen für ihren Test auf die GHDB zurück. Für die Suche nach Schwachstellen im Quelltext von Programmen, welche in C, PHP, Java oder einigen anderen Sprachen programmiert sind, gibt es die spezielle Code-Suchmaschine Google Codesearch [gcs07]. Auf die Suche nach Sicherheitslücken mit Hilfe dieser Suchmaschine soll innerhalb dieser Arbeit allerdings nicht weiter eingegangen werden. Diese Art von Suche ist sicherlich sinnvoll, doch würde sie einen Schritt weiter als das hier betrachtete Google Hacking führen, denn zunächst müsste der Quellcode eines Programms gefunden werden. 1 Simple Object Access Protocol 2 Representational State Transfer 4

14 1.4 Ziele und Strukturierung der Diplomarbeit Innerhalb dieser Diplomarbeit soll insbesondere auf die folgenden Punkte eingegangen werden: 1. Übersicht über Google Hacking und die verwendeten Techniken 2. Untersuchung und Bewertung: Eignung der Techniken des Google Hackings für die Überprüfung und Überwachung von Web-Applikationen und Netzen hinsichtlich möglicher Sicherheitsschwächen 3. Entwicklung einer automatisierten Schnittstelle, über welche täglich neu hinzugekommene Webseiten klassifiziert und überprüft werden 4. Ist eine Anbindung von Google Webservices bzw. Google Alerts sinnvoll möglich? 5. Gibt es einen betrieblichen Mehrwert beim Einsatz solcher Techniken gegenüber den etablierten Vulnerability Scannern (z.b. Qualys)? 6. Exemplarische Anwendung der Google-Hacking-Techniken auf die Webseiten einiger Unternehmen: Welche Erkenntnisse konnten gewonnen werden? Scheint Google Hacking ein vielversprechender Ansatz? Zu Punkt 1 wird in Kapitel 2 das Google Hacking vorgestellt, indem zunächst auf die Syntax der Suchmaschine, und danach unter Verwendung von Beispielen auf speziell für das Google Hacking formulierte Suchmuster eingegangen wird. Die Punkte 2 bis 4 werden in Kapitel 3 und 4 behandelt. Es wird zunächst auf die Funktionsweise und Entwicklung einer automatisierten Schnittstelle eingegangen, welche danach in der praktischen Anwendung zum Einsatz kommt. Bei der Entwicklung der Schnittstelle wird sich Näheres über die Relevanz von Google Web Services und Google Alerts für das Google Hacking herausstellen. Punkt 5 wird in Kapitel 5 auf Basis der Erkenntnisse durch die vorherigen Kapitel behandelt. In Kapitel 6 werden zudem Ideen und Erfahrungen zur Abwehr gegen Google Hacking vorgestellt. In Kapitel 7 werden die Erkenntnisse aller Kapitel zusammengefasst. In Anhang B werden zudem einige Fallstudien beschrieben, in welchen die Web- Applikationen und Netze von IT-Firmen mit Hilfe des entwickelten Werkzeugs auf Anfälligkeit gegenüber Google Hacking untersucht werden. Hierdurch wird die Eignung der Techniken des Google Hackings für die Überprüfung und Überwachung von Applikationen und Netzen hinsichtlich möglicher Schwachstellen in der Praxis erprobt. 5

15 Kapitel 2 Grundlagen 2.1 Einleitung In diesem Kapitel soll zunächst ein grundlegender Überblick über das Google Hacking gegeben werden. Hierzu werden die Möglichkeiten, die sich einem Hacker aufgrund der Syntax für Anfragen an Google bieten, anhand von Beispielen erläutert. Ähnliche Möglichkeiten bieten sich auch bei weiteren Suchmaschinen außer Google. Hier sind besonders Yahoo Search und Live Search hervorzuheben, welche in einem weiteren Abschnitt hinsichtlich ihrer Syntax betrachtet werden. Die Art und Weise, auf welche Informationen in die Indizes und Zwischenspeicher der Suchmaschinen gelangen, wird durch eine Betrachtung der Webcrawler der Suchmaschinen verdeutlicht. Viele Möglichkeiten und Gefahren hinsichtlich längerfristiger Offenlegung von sensiblen Informationen gehen vom Google Cache und dem Internet Archive aus. Diese werden im letzten Abschnitt dieses Kapitels betrachtet. 2.2 Einführung in Google Hacking Google Hacking ist die Kunst, mit Hilfe von Suchmaschinen und geschickt formulierten Suchmustern sensible Informationen im World Wide Web zu finden. Zu diesen sensiblen Informationen können u.a. solche der folgenden Arten gehören: Zugangsdaten / Passwort-Dateien persönliche Daten / vertrauliche Informationen Versionsnummern von - oder genauere Infos über Webapplikationen Fehlermeldungen von Webapplikationen Genaue Verzeichnisinhalte Administrationsschnittstellen (z.b. von Druckern) Intranet-Seiten Authentifikation-voraussetzende Seiten Voraussetzung für die Formulierung von möglichst erfolgreichen Suchmustern ist die genaue Kenntnis der Syntax der Anfragen an Suchmaschinen. 6

16 2.2.1 Die Google-Syntax Die Parameter, welche Google bei der Suche zulässt, sind (abgesehen von einigen weiteren, hier aber nicht relevanten) die folgenden [ses07]: site: Einschränkung der Suche auf Seiten, die sich unterhalb der als Argument eingesetzten Domäne befinden. inurl: Das Argument muss sich irgendwo in der URL befinden. allinurl: Alle hierauf folgenden Worte müssen sich in der URL befinden. link: Auf der gesuchten Seite muss sich ein Link auf das hier eingesetzte Argument befinden. related: Findet Seiten mit ähnlichem Themenkontext, wie die Seite, deren URL als Parameter angegeben wird. intitle: Das Argument muss sich im Titel der Seite befinden (also innerhalb des Title-Tags des Headers der HTML-Datei). allintitle: Alle folgenden Worte müssen sich im Titel der Seite befinden. intext: Das Argument muss sich im Text, also nicht etwa im Titel oder der URL befinden. allintext: Alle folgenden Worte müssen sich im Text befinden. filetype: Das gesuchte Dokument hat diese Dateiendung. Wenn nur dieser Parameter ein Argument erhält, wird von Google kein Ergebnis geliefert. ext: Selbe Funktion wie filetype. cache: Als Argument wird eine URL eingesetzt. Das Suchergebnis liefert dann bei Vorhandensein die in den Google-Cache aufgenommene Version der Seite. define: Sucht in Online-Nachschlagewerken wie Wikipedia Definitionen des Begriffs, der als Argument angegeben wurde. numrange:x y Es werden Zahlen z im Bereich x z y gesucht. Operatoren für die einzelnen Parameter: + bzw. AND: Logisches und ; hiermit werden Suchbegriffe standardmäßig verknüpft. - : Negation bzw. OR: Logisches Oder...: Exakter Match des Ausdrucks zwischen den Anführungszeichen [#]...[#]: Suche nach Zahlen zwischen einer Unter- und einer Obergrenze Joker-Symbole: *: Beliebiges Wort von beliebiger Länge 7

17 Abbildung 2.1: Ergebnis der Suche nach einer Drucker-Schnittstelle.: Beliebiges Zeichen In Abbildung 2.1 ist das Ergebnis der Suche nach einer Web-Schnittstelle einer bestimmten Art von Drucker zu sehen. Diese Schnittstelle wurde im vorliegenden Fall offensichtlich nur unzureichend geschützt. Die Suche wurde mit Hilfe des site: - Parameters auf eine bestimmte Domain eingeschränkt. Hier hat das Suchmuster Xerox Phaser 6250 ausgereicht, um zu dem Fund zu gelangen. Noch effektiver für das Finden von sensiblen Bereichen dieser speziellen Art von Schnittstellen wäre etwa das Suchmuster Delete Secure Jobs Klassifizierung von Suchmustern Es gibt typische Arten von Informationen, die man mittels Google Hacking finden möchte. Die zugehörigen Suchmuster lassen sich aufgrund ihrer ähnlichen Ziele zu Gruppen zusammenfassen. Im Folgenden werden diese Gruppen kurz vorgestellt. Zu jeder Gruppe wird ein Beispiel eines Suchmusters angegeben Suche nach Verzeichnissen In den meisten Fällen von Webserver-Verzeichnissen, die per HTTP zugänglich sind, wird für jedes Verzeichnis eine Oberfläche in HTML gestaltet. Ausnahmen sind beispielsweise Verzeichnisse, in denen Software zum Download angeboten wird, deren Versionsnummer und damit zusammenhängend deren Dateiname sich so oft ändert, dass die Pflege der HTML-Oberfläche zu aufwendig wäre. Ein Verzeichnis ohne eigene HTML-Oberfläche kann allerdings auch unbeabsichtigt der Öffentlichkeit zugänglich gemacht sein. Dies kann etwa bei unzureichender Konfiguration eines Webservers passieren. Solche Verzeichnisse findet man beispielsweise durch: Beispiel 1 Suche nach Verzeichnissen ohne Index-Datei intitle:index of: Dieses Suchmuster in Verbindung mit Stichworten wie private, backup etc. führt schnell zu interessanten Ergebnissen Login-Daten Zugangsdaten können in verschiedenen Formen zu finden sein. Ein User kann zum Beispiel seine Login-Daten als URL hinterlegt haben, falls das zugehörige Login-Portal 8

18 Abbildung 2.2: Ergebnisse der Suche nach Index of: inurl:private Abbildung 2.3: Ergebnis der Suche nach inurl:passwd die Annahme von GET-Parametern unterstützt. Ein passendes Suchmuster könnte so oder ähnlich aussehen: Beispiel 2 Suche nach Zugangsdaten in URLs inurl:passwd Bei der Suche nach Zugangsdaten für bestimmte Portale kann der Name des relevanten Parameters noch angepasst werden. Die Daten können allerdings auch in Form von Listen vorliegen, welche je nach Server-Software bestimmte Namen und Speicherorte haben. Ein einfaches Beispiel (Ergebnis der Suche in Abb. 2.4): Beispiel 3 Suche nach User-Datenbanken inurl:admin inurl:userlist oder filetype:pwd inurl:service Abbildung 2.4: Ergebnis der Suche nach filetype:pwd inurl:service 9

19 Login-Portale Login-Portale für Administratoren können Ausgangspunkte der Suche nach Schwachstellen sein. Der Fund eines Login-Portals eines Intranets ist noch weitaus schwerwiegender, da der Zugriff auf dieses (in den meisten Fällen) nicht vom Internet aus möglich sein sollte. Die gezielte Suche nach Formularen für Login-Vorgänge ist allerdings nicht auf Basis von charakteristischen HTML-Elementen möglich. Allerdings gibt es charakteristische Formulierungen im Text mancher Login-Seiten, anhand derer sich diese finden lassen. Ein allgemeines Beispiel: Beispiel 4 Suche nach Login-Portalen von Intranets intitle:employee Intranet Login Persönliche Daten / Kreditkartennummern Diese Daten sollten natürlich in keinem Falle an die Öffentlichkeit gelangen und somit auch nicht im Index einer Suchmaschine auftauchen. Beispiel: Beispiel 5 Suche nach Kundendaten Comersus.mdb inurl:database Hiermit wird die Kunden-Datenbank der e-shopping-anwendung Comersus gesucht Fehlermeldungen Fehlermeldungen geben oft zu viele Informationen über einen Server preis, wie etwa seine interne Verzeichnis- oder Datenbankstruktur, Software-Versionsnummern und Teile von Code. Fehlermeldungen enthalten oft signifikante Phrasen, also kann beispielweise das folgende Suchmuster zum Erfolg führen: Beispiel 6 Suche nach SQL-Fehlermeldungen SQL syntax error Logdateien In Logdateien könnten evtl. Usernamen oder Passwörter oder zumindest Daten, die einen Angriff erleichtern würden, enthalten sein, wie Versionsnummern von Software. Die Suche nach solchen Dateien ist denkbar einfach: Beispiel 7 Suche nach Logdateien ext:log Web-Schnittstellen von Hardware Eine oft unterschätzte Art von Sicherheitslücke kann ein Gerät wie beispielsweise ein Drucker, eine WebCam, ein Scanner o.ä. darstellen. Viele Druckermodelle bieten beispielsweise eine Konfigurationsseite über das HTTP-Protokoll an. Neben der Konfiguration kann auf solchen Seiten oft auch eine Liste der zuletzt gedruckten Dokumente zusammen mit einer ID des Users, der den Druck in Auftrag gegeben hat aufgerufen 10

20 werden. Mit etwas Geschick und Kenntnis über die Funktionsweise des Geräts kann möglicherweise auch der Inhalt dieser Dokumente gefunden und heruntergeladen werden. Wenn diese Geräte nicht vom Internet abgeschnitten werden, kann beispielsweise das folgende Suchmuster Ergebnisse bringen: Beispiel 8 Suche nach Epson-Druckerschnittstellen intitle:epsonnet WebAssist Rev Hiermit wird die Administrations-Schnittstelle von Epson-Druckern gesucht Angreifbare Server Webserver wie Apache oder der Microsoft Internet Information Server sind häufige Ziele von Angriffen. Daher ist es nicht schwierig, zu einem Webserver mit bestimmter Versionsnummer einen funktionierenden Exploit 1 zu finden. Das Herausfinden der Versionsnummer eines Servers kann somit schon einen wesentlichen Schritt eines Angriffs darstellen. Man kann also nach den typischen Formulierungen suchen, die Webserver verwenden, um ihre Version zu verraten. Beispiel: Beispiel 9 Suche nach IIS-Servern Microsoft-IIS/5.0 server at oder allgemeiner Beispiel 10 Suche nach Webserver-Informationen intitle:index.of server at Vertrauliche Daten Diese Art von Suche bezieht sich nicht auf Informationen, die dabei helfen sollen, vertrauliche Daten aufzuspüren, sondern auf die vertraulichen Daten selbst. Dokumente, die diese enthalten, haben oft das Format doc (welches von Google, Live Search und Yahoo Search indiziert und gecacht wird) und beinhalten oft typische Phrasen - wie eben vertraulich. Daher kann eine Suche nach solchen Dokumenten sehr simpel funktionieren, wie im folgenden Beispiel: Beispiel 11 Suche nach vertraulichen Dokumenten filetype:doc intitle:vertraulich Auf weitere, auf speziellere Ziele ausgerichtete Suchmuster soll hier zunächst nicht eingegangen werden Erweiterung der Google-Hacking-Datenbank / Suche nach neuen Suchmustern Die Technik des Google Hackings ist beliebt genug, um eine ganze Community mit dem Finden von neuen, erfolgreichen Suchmustern zu beschäftigen. Grenzen liegen 1 Programm, das eine Sicherheitslücke für einen Angriff ausnutzt 11

21 hier nur in der Kreativität des Einzelnen. Zudem gibt es zu jeder neuen Web-Anwendungs-Version auch neue Muster von Fehlermeldungen, bestimmte Namen von Konfigurationsdateien etc.. Für einen guten Schutz ist es somit wichtig, über alle gängigen Suchmuster auf dem Laufenden zu sein. Hierzu sollte man sich die Kreativität der Gemeinschaft zunutze machen und die eigene Datenbank an Suchmustern regelmäßig aktualisieren und erweitern. Ein Beispiel für die Datenbank einer Google-Hacking- Community findet man unter [ghd07]. Ein sinnvoller Weg, nach neuen Suchmustern zu forschen, ist, mit dem Betrachten einer bekannten Sicherheitsschwäche zu beginnen, zum Beispiel einer bestimmten Webserver-Version. Ein einfaches Beispiel: Angenommen, es ist bekannt, dass die Datei passwords.pwd des Webservers xy v1.0 nicht ordentlich von der Öffentlichkeit abgesichert ist. Dann lautet ein passendes Suchmuster: inurl:passwords.pwd. Das systematische Finden sinnvoller Suchmuster wird in Abschnitt genauer behandelt Exkurs: Die Verwendung von Google als Proxy-Server Über den Übersetzungs-Dienst von Google kann man sich den Inhalt von Webseiten anzeigen lassen, ohne sie direkt aufzurufen. Auf der Seite [goob] befindet sich ein Eingabefeld für URLs. Nach Eingabe einer Adresse und Klick auf Übersetzen befindet sich in der resultierenden URL unter Anderem der Parameter langpair. Das Argument lautet an dieser Stelle beispielsweise en de für eine Übersetzung von Englisch nach Deutsch. Wenn man dieses in en en oder de de ändert, findet keine Übersetzung statt, und der User sieht die Webseite, wie sie im Original aussieht. Unabhängig von diesem inhaltlichen Aspekt, kann man durch den Übersetzerdienst URLs aufrufen, ohne von dem zugehörigen Server als Aufrufer registriert zu werden. Als aufrufender Client wird vom jeweiligen Server ein Google-Server registriert Die Suche nach -Adressen mittels Google Das Ziel, -Adressen zu finden, kann unterschiedliche Motivationen haben. Für Versender von -Werbung ( Spammer ) ist die Motivation offensichtlich. Für Angreifer eines Firmen-Netzwerkes können Mailadressen wertvoll für Social-Engineering-Attacken oder Ziel für Spionage-Code als Mailanhang sein. Aus diesem Grunde machen es Google, Yahoo Search und Live Search ihren Usern nicht leicht, Mailadressen zu finden. Die Suche nach -Zeichen bzw. Zeichenketten, die dieses beinhalten, bringt auf diese direkte Art und Weise kein Ergebnis. Es existiert allerdings ein Weg, diese Einschränkung zu umgehen. Johnny Long demonstriert dies durch ein Perl-Script (siehe [Lon05], S ), welches auf das Sammeln von Mail-Adressen aus dem World Wide Web und den Google Groups spezialisiert ist. Der Trick besteht hier darin, die Suche folgendermaßen zu formulieren: Beispiel 12 Suche nach -www.domain.com Hierdurch werden bei Google Mail-Adressen mit der gefunden allerdings nicht ausschließlich, sondern auch jede beliebige Formulierung, die endet. Auch bei Yahoo Search führt diese Art von Suche zu dem gewünschten Ergebnis, bei Live Search allerdings nicht. 12

Was ist Google-Hacking? 2. Möglichkeiten von Google-Hacking 2. Befehlssyntax Google, Yahoo und Bing 3,4. Kombinationen von Suchbegriffen 5,6

Was ist Google-Hacking? 2. Möglichkeiten von Google-Hacking 2. Befehlssyntax Google, Yahoo und Bing 3,4. Kombinationen von Suchbegriffen 5,6 W h i t e p a p e r Unternehmensbezogen Table of Contents: Was ist Google-Hacking? 2 Möglichkeiten von Google-Hacking 2 Befehlssyntax Google, Yahoo und Bing 3,4 Kombinationen von Suchbegriffen 5,6 Ansprechbare

Mehr

Anbindung an Wer-hat-Fotos.net

Anbindung an Wer-hat-Fotos.net Anbindung an Wer-hat-Fotos.net Stand: 7. Juni 2012 2012 Virthos Systems GmbH www.pixtacy.de Anbindung an Wer-hat-Fotos.net Einleitung Einleitung Dieses Dokument beschreibt, wie Sie Ihren Pixtacy-Shop an

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Konzepte zur Datenhaltung für Webseiten in einem Web-Content- Management-System

Konzepte zur Datenhaltung für Webseiten in einem Web-Content- Management-System Konzepte zur Datenhaltung für Webseiten in einem Web-Content- Management-System Web-Content-Management-Systeme () dienen dazu, komplexe Websites zu verwalten und den Autoren einzelner Webseiten möglichst

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

Websites optimieren für Google & Co.

Websites optimieren für Google & Co. Sebastian Röring Websites optimieren für Google & Co. schnell+kompakt Suchmaschinen link zu meiner Seite Diesen

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Die folgenden Features gelten für alle isquare Spider Versionen:

Die folgenden Features gelten für alle isquare Spider Versionen: isquare Spider Die folgenden s gelten für alle isquare Spider Versionen: webbasiertes Management (Administratoren) Monitoring Sichten aller gefundenen Beiträge eines Forums Statusüberprüfung Informationen

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

.TEL Eine innovative Nutzung des DNS

.TEL Eine innovative Nutzung des DNS .TEL Eineinnovative NutzungdesDNS 1 von 5 DAS KONZEPT Die.tel-Registry nutzt das Domain Name System (DNS) auf eine Weise, die Inhabern einer.tel-domain Unternehmen oder Einzelpersonen die Kontrolle in

Mehr

WordPress installieren und erste Einblicke ins Dashboard

WordPress installieren und erste Einblicke ins Dashboard WordPress installieren und erste Einblicke ins Dashboard Von: Chris am 16. Dezember 2013 In diesem Tutorial zeige ich euch wie ihr WordPress in der aktuellen Version 3.7.1 auf eurem Webspace installieren

Mehr

Handbuch zu AS Connect für Outlook

Handbuch zu AS Connect für Outlook Handbuch zu AS Connect für Outlook AS Connect für Outlook ist die schnelle, einfache Kommunikation zwischen Microsoft Outlook und der AS Datenbank LEISTUNG am BAU. AS Connect für Outlook Stand: 02.04.2013

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Suchmaschinenoptimierung SEO

Suchmaschinenoptimierung SEO Mai 2013 Bei der Suchmaschinenoptimierung (search engine optimization SEO) wird der Internetauftritt im Hinblick auf Suchmaschinen optimiert. Im Folgenden geben wir Ihnen einige Tipps, die Sie bei der

Mehr

Black-Hat Search Engine Optimization (SEO) Practices for Websites

Black-Hat Search Engine Optimization (SEO) Practices for Websites Beispielbild Black-Hat Search Engine Optimization (SEO) Practices for Websites Damla Durmaz - 29. Januar. 2009 Proseminar Technisch Informatik Leitung: Georg Wittenburg Betreuer: Norman Dziengel Fachbereich

Mehr

1 Websites mit Frames

1 Websites mit Frames 1 Websites mit Frames Mehrere Seiten in einer einzelnen Seite anzeigen - Was sind Frames und wie funktionieren sie? - Was sind die Vor- und Nachteile von Frames? - Wie erstellt man eine Frames- Webseite?

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Footprinting Footprinting stellt bei Sicherheitstests oder vor einem Angriff die Phase der Informationsbeschaffung dar, durch die IP-

Mehr

Alan Webb CEO, ABAKUS Internet Marketing

Alan Webb CEO, ABAKUS Internet Marketing Suchmaschinenoptimierung - aktuelle Trends und Erfolgsfaktoren E-Business-Tag: Online-Marketing - neue Wege zum Kunden Alan Webb CEO, ABAKUS Internet Marketing ABAKUS Internet Marketing > Über 5 Jahre

Mehr

FTP HOWTO. zum Upload von Dateien auf Webserver. Stand: 01.01.2011

FTP HOWTO. zum Upload von Dateien auf Webserver. Stand: 01.01.2011 FTP HOWTO zum Upload von Dateien auf Webserver Stand: 01.01.2011 Copyright 2002 by manitu. Alle Rechte vorbehalten. Alle verwendeten Bezeichnungen dienen lediglich der Kennzeichnung und können z.t. eingetragene

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

FilePanther Dokumentation. FilePanther. Benutzerhandbuch. Version 1.1 vom 14.02.2012 Marcel Scheitza

FilePanther Dokumentation. FilePanther. Benutzerhandbuch. Version 1.1 vom 14.02.2012 Marcel Scheitza FilePanther Dokumentation FilePanther Version 1.1 vom 14.02.2012 Marcel Scheitza Inhaltsverzeichnis 1 Verwaltung Ihrer Websites... 3 1.1 Verwaltung von Websites... 3 1.2 Verwaltung von Gruppen... 4 1.3

Mehr

2. DFG- Workshop 3.1. Erfassung/Bewertung/Transfer. Beitrag von Peter Küsters. Spiegelung. Archiv. Bild 1: Unterschied zwischen FTP und Spiegelung

2. DFG- Workshop 3.1. Erfassung/Bewertung/Transfer. Beitrag von Peter Küsters. Spiegelung. Archiv. Bild 1: Unterschied zwischen FTP und Spiegelung 2. DFG- Workshop 3.1. Erfassung/Bewertung/Transfer Beitrag von Peter Küsters Formen des Datentransfers bei der Erfassung von Websites Im folgenden werden Methoden und Software zur Erfassung vorgestellt.

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Carl-Engler-Schule Karlsruhe Datenbank 1 (5)

Carl-Engler-Schule Karlsruhe Datenbank 1 (5) Carl-Engler-Schule Karlsruhe Datenbank 1 (5) Informationen zur Datenbank 1. Definition 1.1 Datenbank-Basis Eine Datenbank-Basis ist eine Sammlung von Informationen über Objekte (z.b Musikstücke, Einwohner,

Mehr

1. Einführung... 1 2. Eigenschaften... 2 2.1. Einsatzszenarien... 2 2.1.1. Externes Benutzer-Management... 2 2.1.2. Synchronisation von Konten,

1. Einführung... 1 2. Eigenschaften... 2 2.1. Einsatzszenarien... 2 2.1.1. Externes Benutzer-Management... 2 2.1.2. Synchronisation von Konten, OUTDOOR webservices 1. Einführung... 1 2. Eigenschaften... 2 2.1. Einsatzszenarien... 2 2.1.1. Externes Benutzer-Management... 2 2.1.2. Synchronisation von Konten, Kostenstellen oder Kostenträgern... 2

Mehr

Tutorium Learning by doing WS 2001/ 02 Technische Universität Berlin. Erstellen der Homepage incl. Verlinken in Word 2000

Tutorium Learning by doing WS 2001/ 02 Technische Universität Berlin. Erstellen der Homepage incl. Verlinken in Word 2000 Erstellen der Homepage incl. Verlinken in Word 2000 1. Ordner für die Homepagematerialien auf dem Desktop anlegen, in dem alle Bilder, Seiten, Materialien abgespeichert werden! Befehl: Desktop Rechte Maustaste

Mehr

Verlinkung von Webseiten

Verlinkung von Webseiten Verlinkung von Webseiten Search Engine Strategies Conference & Expo, München 2007 Alan Webb CEO, ABAKUS Internet Marketing Warum ist Linkaufbau so wichtig? > Folgende Suchmaschinen bewerten Linkpopularität

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Suchmaschinen I Suchmaschinenoptimierung I Besucher werden Kunden. Wie werde ich im Internet gefunden!

Suchmaschinen I Suchmaschinenoptimierung I Besucher werden Kunden. Wie werde ich im Internet gefunden! Wie werde ich im Internet gefunden! Funktionsweise von Suchmaschinen? Informationen automatisch sammeln (robots, crawler, spider...) Informationen speichern und bewerten ( Datenbanken) Ergebnisausgabe

Mehr

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6 Internetprotokolle: POP3 Peter Karsten Klasse: IT7a Seite 1 von 6 Alle Nachrichten, die auf elektronischem Weg über lokale oder auch globale Netze wie das Internet verschickt werden, bezeichnet man als

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Anleitung zur Aktualisierung

Anleitung zur Aktualisierung CONTREXX AKTUALISIERUNG 2010 COMVATION AG. Alle Rechte vorbehalten. Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte, auch die der Modifikation, der Übersetzung, des Nachdrucks und der Vervielfältigung,

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

PDF FormServer Quickstart

PDF FormServer Quickstart PDF FormServer Quickstart 1. Voraussetzungen Der PDF FormServer benötigt als Basis einen Computer mit den Betriebssystemen Windows 98SE, Windows NT, Windows 2000, Windows XP Pro, Windows 2000 Server oder

Mehr

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien 3. Installation Ihres Shops im Internet / Kurzanleitung Kurzanleitung: Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien Geben Sie während der Webbasierten Installationsroutine alle

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Beschreibung Mobile Office

Beschreibung Mobile Office Beschreibung Mobile Office 1. Internet / Netz Zugriff Für die Benutzung von Mobile Office ist lediglich eine Internet oder Corporate Netz Verbindung erforderlich. Nach der Verbindungsherstellung kann über

Mehr

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation bnsyncservice Voraussetzungen: Tobit DAVID Version 12, DVWIN32: 12.00a.4147, DVAPI: 12.00a.0363 Exchange Server (Microsoft Online Services) Grundsätzlich wird von Seiten KWP ausschließlich die CLOUD-Lösung

Mehr

8. Suchmaschinen Marketing Kongress SEO/SEM-Fehler welche Sie meiden sollten

8. Suchmaschinen Marketing Kongress SEO/SEM-Fehler welche Sie meiden sollten www.namics.com 8. Suchmaschinen Marketing Kongress SEO/SEM-Fehler welche Sie meiden sollten Zürich, 30. März 2007 Jürg Stuker, CEO & Partner Bern, Frankfurt, Hamburg, München, St. Gallen, Zug, Zürich Fehler

Mehr

Ihr einfaches, rechts- und datensicheres E-Mail-Archiv in der Private Cloud

Ihr einfaches, rechts- und datensicheres E-Mail-Archiv in der Private Cloud Ihr einfaches, rechts- und datensicheres E-Mail-Archiv in der Private Cloud Stand Januar 2015 ComNet GmbH Carlo-Schmid-Straße 15 52146 Würselen Tel: (0 24 05) 48 88-0 Fax: (0 24 05) 48 88-100 E-Mail: info@comnet.de

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Klausur Kommunikation I. Sommersemester 2003. Dipl.-Ing. T. Kloepfer

Klausur Kommunikation I. Sommersemester 2003. Dipl.-Ing. T. Kloepfer Kommunikation I 1 Klausur Kommunikation I Sommersemester 2003 Dipl.-Ing. T. Kloepfer Bearbeitungsinformationen Aufbau der Klausur Die Klausur ist wie folgt aufgebaut: Die Klausur ist in 18 Aufgaben unterteilt.

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates RIWA NetUpdater Tool für automatische Daten- und Softwareupdates Grundlegendes... 1 Ausführbare Dateien und Betriebsmodi... 2 netupdater.exe... 2 netstart.exe... 2 netconfig.exe... 2 nethash.exe... 2 Verzeichnisse...

Mehr

DirectSmile CrossMedia und Salesforce

DirectSmile CrossMedia und Salesforce DirectSmile DirectSmile CrossMedia und Salesforce Anleitung 2014 Salesforce und DirectSmile Cross Media Salesforce und DirectSmile Cross Media... 2 1.1 Einführung... 3 1.2 Ein Benutzerkonto einrichten...

Mehr

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten AVM GmbH Alt-Moabit 95 D-10559 Berlin Faxversand mit dem FRITZ! LAN Assistenten Mit dem FRITZ! LAN Assistenten können Sie einen Computer als FRITZ!fax Server einrichten, über den dann Faxe von anderen

Mehr

Übung 4: Schreiben eines Shell-Skripts

Übung 4: Schreiben eines Shell-Skripts Aufgabenteil 1 Ziel der Übung Übung 4: Schreiben eines Shell-Skripts Anhand eines einfachen Linux-Skripts sollen die Grundlagen der Shell-Programmierung vermittelt werden. Das für die Bash-Shell zu erstellende

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Suchmaschinenoptimierung, denn nur wer gefunden wird, existiert

Suchmaschinenoptimierung, denn nur wer gefunden wird, existiert Suchmaschinenoptimierung, denn nur wer gefunden wird, existiert Die Bedeutung der Suchmaschinenoptimierung oder kurz SEO (Search Engine Optimization) ist seit Bestehen des Webs kontinuierlich gestiegen.

Mehr

BSH-FX (File Exchange) Datenaustausch mit registrierten Mailbox-Usern

BSH-FX (File Exchange) Datenaustausch mit registrierten Mailbox-Usern BSH-FX (File Exchange) Dokumentation für BSH-Mitarbeiter und externe Partner für den Datenaustausch mit registrierten Mailbox-Usern Stand: 24.06.2015, Version 1.01 Inhalt Inhalt... 2 Allgemeines zum BSH-FX

Mehr

AWSTATS Statistik benutzen und verstehen

AWSTATS Statistik benutzen und verstehen AWSTATS Statistik benutzen und verstehen Seite stat. domäne (z.b. stat.comp-sys.ch) im Internetbrowser eingeben und mit Benutzernamen und Passwort anmelden (gemäss Anmeldedaten) Monat und Jahr wählen OK

Mehr

CRM - Word Connector (CWC) für das vtiger CRM Anwenderbeschreibung Handbuchversion 1.0

CRM - Word Connector (CWC) für das vtiger CRM Anwenderbeschreibung Handbuchversion 1.0 CRM - Word Connector (CWC) für das vtiger CRM Anwenderbeschreibung Handbuchversion 1.0 Copyright 2004-2012 CRM Word Connector - Anwenderbeschreibung Copyright 2004-2012, Alle Rechte vorbehalten. 1. Ausgabe

Mehr

INSTALLATION. Voraussetzungen

INSTALLATION. Voraussetzungen INSTALLATION Voraussetzungen Um Papoo zu installieren brauchen Sie natürlich eine aktuelle Papoo Version die Sie sich auf der Seite http://www.papoo.de herunterladen können. Papoo ist ein webbasiertes

Mehr

Sharepoint Server 2010 Installation & Konfiguration Teil 1

Sharepoint Server 2010 Installation & Konfiguration Teil 1 Sharepoint Server 2010 Installation & Konfiguration Teil 1 Inhalt Windows Server Vorbereitung... 2 SharePoint Server 2010 Vorbereitung... 3 SharePoint Server 2010 Installation... 6 SharePoint Server 2010

Mehr

Version 4.4. security.manager. Systemvoraussetzungen

Version 4.4. security.manager. Systemvoraussetzungen Version 4.4 security.manager Systemvoraussetzungen Version 4.4 Urheberschutz Der rechtmäßige Erwerb der con terra Softwareprodukte und der zugehörigen Dokumente berechtigt den Lizenznehmer zur Nutzung

Mehr

Visendo Fax Printer Troubleshooting

Visendo Fax Printer Troubleshooting Visendo Fax Server und Windows TIFF IFilter Volltextsuche in TIFF-Bildern Mit dem TIFF IFilter stellt Windows ein Instrument zur Verfügung, das die Suche nach TIFF- Dokumenten basierend auf dem Textinhalt

Mehr

:: Anleitung First Connection 1cloud.ch ::

:: Anleitung First Connection 1cloud.ch :: :: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung First Connection

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

ESB - Elektronischer Service Bericht

ESB - Elektronischer Service Bericht Desk Software & Consulting GmbH ESB - Elektronischer Service Bericht Dokumentation des elektronischen Serviceberichts Matthias Hoffmann 25.04.2012 DESK Software und Consulting GmbH Im Heerfeld 2-4 35713

Mehr

Contao SEO: 7 Experten-Tipps

Contao SEO: 7 Experten-Tipps Contao SEO: 7 Experten-Tipps Contao SEO: 7 Experten-Tipps Contao, ehemals bekannt unter dem Namen TYPOlight, ist ein kostenloses Content Management System (CMS) zum Verwalten und Pflegen einer Webpräsenz.

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13 NEWpixi* API und die Umstellung auf REST Fakten NEWpixi* API Technik REST-basierend.NET Webservice IIS Webserver Release 31. August 2013, zusammen mit dem NEWpixi* ELI Release Legacy API und erste NEWpixi*

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage .htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess

Mehr

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2)

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2) 14. URIs Uniform Resource Identifier 14-1 14. URIs Uniform Resource Identifier 14-2 Motivation Das WWW ist ein Hypermedia System. Es enthält: Resourcen (Multimedia Dokumente) Verweise (Links) zwischen

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

O n l i n e - M a r k e t i n g :

O n l i n e - M a r k e t i n g : O n l i n e - M a r k e t i n g : W i e S i e b e s s e r i m w w w g e f u n d e n w e r d e n k ö n n e n! In Kooperation mit: 04.09.07 / Seite 1 Über uns Gegründet 1999, GmbH seit 2005 Firmensitz: Neuss

Mehr

Beheben von verlorenen Verknüpfungen 20.06.2005

Beheben von verlorenen Verknüpfungen 20.06.2005 Vor folgender Situation ist sicher jeder Solid Edge-Anwender beim Öffnen von Baugruppen oder Drafts schon einmal gestanden: Die Ursache dafür kann sein: Die Dateien wurden über den Explorer umbenannt:

Mehr

Bilder im Internet. Hans Magnus Enzensberger

Bilder im Internet. Hans Magnus Enzensberger Kapitel 4 Alle reden von Kommunikation, aber die wenigsten haben sich etwas mitzuteilen. Hans Magnus Enzensberger Bilder im Internet Nach der etwas umfangreichen vorangehenden Lektion zum Ausklang der

Mehr

TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3

TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3 Leibniz Universität IT Services TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3 Workshop TYPO3@RRZN Sep. 2012 Dr. Thomas Kröckertskothen - RRZN Zugangsgeschützte Webbereiche in TYPO3 Was sind zugangsgeschützte

Mehr

Homepageerstellung mit WordPress

Homepageerstellung mit WordPress Homepageerstellung mit WordPress Eine kurze Einführung in die Installation und Einrichtung von WordPress als Homepage-System. Inhalt 1.WordPress installieren... 2 1.1Download... 2 1.2lokal... 2 1.2.1 lokaler

Mehr

Suchmaschinenoptimierung mit WebsiteBaker - Webmarketing -

Suchmaschinenoptimierung mit WebsiteBaker - Webmarketing - Suchmaschinenoptimierung mit WebsiteBaker - Webmarketing - Erfolgreiches Webmarketing mit einem eigenen Internetauftritt Die Voraussetzung für ein erfolgreiches Webmarketing ist immer eine => benutzer-freundliche

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

ARBEITEN MIT DATEIEN UND ORDNERN IN WINDOW7

ARBEITEN MIT DATEIEN UND ORDNERN IN WINDOW7 ARBEITEN MIT DATEIEN UND ORDNERN IN WINDOW7 Bei einer Datei handelt es sich um ein Element mit enthaltenen Informationen wie Text, Bildern oder Musik. Eine geöffnet Datei kann große Ähnlichkeit mit einem

Mehr

TYPO3 KNOW-HOW INHALT. von Alexander Busch, MCITP, MCSA 2003, CCA, VCS. Spam-Schutz für Typo3... 2. Robots.txt in Typo3... 2. Captcha Extension...

TYPO3 KNOW-HOW INHALT. von Alexander Busch, MCITP, MCSA 2003, CCA, VCS. Spam-Schutz für Typo3... 2. Robots.txt in Typo3... 2. Captcha Extension... TYPO3 KNOW-HOW von Alexander Busch, MCITP, MCSA 2003, CCA, VCS INHALT Spam-Schutz für Typo3... 2 Robots.txt in Typo3... 2 Captcha Extension... 3 Meta Angaben... 3 TYPO3 Update 4.1.10 auf 4.2.6... 4 SPAM-SCHUTZ

Mehr

Installation und Dokumentation. juris Autologon 3.1

Installation und Dokumentation. juris Autologon 3.1 Installation und Dokumentation juris Autologon 3.1 Inhaltsverzeichnis: 1. Allgemeines 3 2. Installation Einzelplatz 3 3. Installation Netzwerk 3 3.1 Konfiguration Netzwerk 3 3.1.1 Die Autologon.ini 3 3.1.2

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Hinweis: Der Zugriff ist von intern per Browser über die gleiche URL möglich.

Hinweis: Der Zugriff ist von intern per Browser über die gleiche URL möglich. Was ist das DDX Portal Das DDX Portal stellt zwei Funktionen zur Verfügung: Zum Ersten stellt es für den externen Partner Daten bereit, die über einen Internetzugang ähnlich wie von einem FTP-Server abgerufen

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

2 GRUNDLEGENDE PROGRAMMBEDIENUNG

2 GRUNDLEGENDE PROGRAMMBEDIENUNG In diesem Kapitel erfahren Sie, wie das Textverarbeitungsprogramm Microsoft Word 2007 gestartet wird, wie Sie bestehende Dokumente öffnen und schließen oder Dokumente neu erstellen können. Es wird erläutert,

Mehr

Benutzerhandbuch für FaxClient für HylaFAX

Benutzerhandbuch für FaxClient für HylaFAX Benutzerhandbuch für FaxClient für HylaFAX Vielen Dank, daß Sie entschlossen haben, dieses kleine Handbuch zu lesen. Es wird Sie bei der Installation und Benutzung des FaxClients für HylaFAX unterstützen.

Mehr

Stubbe-CS. Kurssystem. Günter Stubbe. Datum: 19. August 2013

Stubbe-CS. Kurssystem. Günter Stubbe. Datum: 19. August 2013 Kurssystem Günter Stubbe Datum: 19. August 2013 Aktualisiert: 6. September 2013 Inhaltsverzeichnis 1 Einleitung 5 2 Benutzer 7 2.1 Registrierung............................. 7 2.2 Login..................................

Mehr

Suchmaschinenoptimierung - Der effiziente Weg zur Zielgruppe

Suchmaschinenoptimierung - Der effiziente Weg zur Zielgruppe Suchmaschinenoptimierung - Der effiziente Weg zur Zielgruppe Inhalt 1. Was ist Suchmaschinenoptimierung? - Definition - Zielsetzung 2. Funktionsweise - Inhalt und Struktur - Eingehende Links 3. Case Studies

Mehr

AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS)

AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS) Web Application Security Untersuchung AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS) 05.11.2012 - V1.1 Sven Schleier, SecureNet GmbH Thomas Schreiber, SecureNet GmbH Abstract Das vorliegende

Mehr

Seminar Peer-to-Peer Netzwerke 06/07

Seminar Peer-to-Peer Netzwerke 06/07 YaCy: P2P Web-Suchmaschine Seminar Peer-to-Peer Netzwerke 06/07 Lehrstuhl für Rechnernetze und Telematik Albert-Ludwigs-Universität Freiburg Fakultät für Angewandte Wissenschaften Daniel Rebei daniel@rebei.de

Mehr

DIskus. E-Mail mit DISKUS. 1. Erzeugen einer E-Mail 2. Versenden der E-Mail 3. Gezippte E-Mail mit HTML-Dateien 4.

DIskus. E-Mail mit DISKUS. 1. Erzeugen einer E-Mail 2. Versenden der E-Mail 3. Gezippte E-Mail mit HTML-Dateien 4. Carl H.Hilgers Technisches Büro DIskus Mikroskopische Diskussion E-Mail mit DISKUS 1. Erzeugen einer E-Mail 2. Versenden der E-Mail 3. Gezippte E-Mail mit HTML-Dateien 4. E-Mail einrichten DISKUS kann

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

e-seal Anwenderhandbuch für externe Partner e-seal User Manual Doc. No.: e-seal_2_8_11_0096_ume Version: 1.0

e-seal Anwenderhandbuch für externe Partner e-seal User Manual Doc. No.: e-seal_2_8_11_0096_ume Version: 1.0 e-seal Anwenderhandbuch für externe Partner Novartis Template IT504.0040 V.1.8 1 / 12 e-seal_usermanual_1.0_extern_deutsch.doc 1 Zielsetzung...3 2 Voraussetzungen...3 3 Be- und Einschränkungen...3 3.1

Mehr

KOGIS Checkservice Benutzerhandbuch

KOGIS Checkservice Benutzerhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 KOGIS Checkservice Benutzerhandbuch Zusammenfassung Diese Dokumentation beschreibt die Bedienung des KOGIS Checkservice. 4.2.2015

Mehr