Unternehmensbezogenes Google Hacking

Größe: px
Ab Seite anzeigen:

Download "Unternehmensbezogenes Google Hacking"

Transkript

1 Rheinisch-Westfälische Technische Hochschule Aachen Universität Mannheim Lehrstuhl Praktische Informatik I Prof. Dr.-Ing. Felix Freiling Diplomarbeit Unternehmensbezogenes Google Hacking von Klaus Kröner RWTH Aachen 29. August 2007 Gutachter: Prof. Dr.-Ing. Felix Freiling, Universität Mannheim Prof. Christian H. Bischof, Ph.D., RWTH Aachen Betreuer: Dipl.-Ing. Matthias Humbert, T-Mobile Deutschland GmbH Prof. Dr.-Ing. Felix Freiling, Universität Mannheim

2 II

3 Hiermit versichere ich, dass ich die Arbeit selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt, sowie Zitate kenntlich gemacht habe. Bonn, den 29. August 2007 (Klaus Kröner) III

4 IV

5 Inhaltsverzeichnis 1 Einführung Motivation Suchmaschinen Google Hacking Ziele und Strukturierung der Diplomarbeit Grundlagen Einleitung Einführung in Google Hacking Die Google-Syntax Klassifizierung von Suchmustern Erweiterung der Google-Hacking-Datenbank / Suche nach neuen Suchmustern Exkurs: Die Verwendung von Google als Proxy-Server Die Suche nach -Adressen mittels Google Weitere Suchmaschinen Windows Live Search Yahoo Search Vergleich verschiedener Suchmaschinen bezüglich ihrer Eignung für Suchmaschinen-Hacking Die Reichweite von Webcrawlern der Suchmaschinen Suchmaschinen-Caches und ein Internet-Archiv Zusammenfassung Google Scanning Einleitung Vulnerability Scanning Anwendung von Google Hacking Voraussetzungen Ziele Ablauf des Google-Scans Probleme / Einschränkungen des Google Hackings Finden aller relevanter Domains bzw. Webapplikationen Finden sinnvoller Suchmuster Langfristiger Ablaufplan Tiefe der Suche Analyse der Ergebnisse Kurzfristige Maßnahmen nach einem Fund V

6 3.5 Zusammenfassung Entwicklung des Google-Hacking-Tools GooScanner Einleitung Arbeitsweise des Programms Aufwandsabschätzung Schema für die Anwendung von GooScanner Andere Vulnerability-Scanner, die Google Hacking einsetzen Sitedigger gooscan Acunetix Athena Wikto Google Web Services Google Alerts Zusammenfassung Vergleich mit anderen Scanning-Methoden Einleitung Scanning-Methoden Nessus QualysGuard WebInspect Parallelen bzw. Unterschiede zum Google Hacking Maximierung des Sicherheitsgewinns durch Google Scanning Die Effektivität des Google Scannings Auswirkung der Aktualität des Suchindex auf die Abwehrrate Auswirkung der Aktualität bzw. des Inhalts der Suchmuster- Datenbasis auf die Abwehrrate Kurze Einführung in Penetration Testing Resultate durch etablierte Penetration-Testing-Verfahren Der betriebliche Mehrwert durch Google Hacking Ungeschützte Systeme Durch Vulnerability Scanning geschützte Systeme Durch Penetration Testing geschützte Systeme Durch Vulnerability Scanning und Penetration Testing geschützte Systeme Kosten-/Nutzen-Verhältnisse auf Basis des messbaren Anteils am Sicherheitsgewinn Zusammenfassung Präventive Abwehr Einleitung Alarmsysteme Server-Konfiguration Google Hacking Honeypots / Verbreitung von Falschinformationen Blockieren des Zugriffs für offensichtliche Google-Hacker Betrachtung des Inhalts von Websites unter Verwendung eines Webcrawlers VI

7 6.7 Zusammenfassung Zusammenfassung Fazit A Quellcode 74 A.1 Das Scheduling-Modul von GooScanner A.2 Das Google-Scan-Modul von GooScanner B Fallbeispiele 82 B.1 Einleitung B.2 Firma B.3 Firma B.4 Firma B.5 Zusammenfassung VII

8 Abbildungsverzeichnis 1.1 Ergebnis der Anwendung eines einfachen Suchmusters Die Google-Startseite Ergebnis der Suche nach einer Drucker-Schnittstelle Ergebnisse der Suche nach Index of: inurl:private Ergebnis der Suche nach inurl:passwd Ergebnis der Suche nach filetype:pwd inurl:service Ergebnis der Suche -www.gmail.com Ablaufplan Google Scanning in Pseudocode Datenmodell von GooScanner Konfiguration eines Jobs in GooScanner Bewertung eines Fundes in GooScanner Bewertung mehrerer Funde gleichzeitig in GooScanner Quellcode eines Nessus-Plugins Beispiel einer sitemap.xml Honeypot-Funktion zum Sammeln von Informationen über Angreifer 69 VIII

9 Tabellenverzeichnis 2.1 Zeit zwischen Besuch durch Webcrawler und Aktualisierung des Cache Limitierung der Anzahl gelieferter Ergebnisse Funde und Gegenmaßnahmen Vergleich von Entfernungszeiten Zeitbedarf von Google Scanning Grundlagen der Statistik in Tabelle Verlauf der Anzahl neuer Treffer bei Scans von t-mobile.de Vergleich von Google Hacking und Vulnerability Scanning Die UserAgents der Suchmaschinen Vergleich von Google Hacking und Vulnerability Scanning bzgl. Mehrwerts durch Google Hacking Vergleich von Google Hacking und Penetration Testing bzgl. Mehrwerts durch Google Hacking Vergleich von Google Hacking und Penetration Testing zusammen mit Vulnerability Scanning bzgl. Mehrwerts durch Google Hacking B.1 Konfiguration der Scan-Jobs für Firma B.2 Der erste Scan für Firma B.3 Verlauf der Anzahl neuer Treffer bei Scans der Domains von Firma B.4 Falschtreffer bei Scans der Domains von Firma B.5 Dauer eines Scans der Domains von Firma B.6 Konfiguration der Scan-Jobs für Firma B.7 Der erste Scan für Firma B.8 Verlauf der Anzahl neuer Treffer bei Scans der Domains von Firma B.9 Falschtreffer bei Scans der Domains von Firma B.10 Dauer eines Scans der Domains von Firma B.11 Konfiguration der Scan-Jobs für Firma B.12 Der erste Scan für Firma B.13 Verlauf der Anzahl neuer Treffer bei Scans der Domains von Firma B.14 Beispielhafte Falschtreffer bei Scans der Domains von Firma B.15 Dauer eines Scans der Domains von Firma IX

10 Zusammenfassung Google Hacking ist eine Methode, mit welcher Suchmaschinen als Hacker-Werkzeuge verwendet werden. Mittels Google Hacking kann man beispielsweise die Angreifbarkeit von Webservern erforschen, Zugangsdaten aufspüren und Informationen sammeln, die den Angriff auf ein Netzwerk mittels anderer Methoden erleichtern. Hierzu werden keine geheimen Funktionen der Suchmaschinen verwendet, sondern hochspezialisierte Suchmuster als Anfragen an die Suchmaschinen gesendet. Diese Diplomarbeit bietet einen Überblick über die beim Google Hacking verwendeten Techniken. Zudem werden verschiedene Möglichkeiten der Abwehr untersucht. Der Schwerpunkt liegt hierbei auf der Untersuchung und Entdeckung möglicher Schwachstellen der Web-Applikationen und Netze eines Unternehmens mittels regelmäßig durchgeführter Überprüfung von Suchergebnissen. Hierzu wird eine Strategie erarbeitet sowie ein Programm entwickelt, welches in festgelegten Intervallen große Mengen von Anfragen an Suchmaschinen schickt und bei auffälligen Funden Alarm auslöst. Anhand einer exemplarischen Anwendung wird untersucht, wie erfolgsversprechend der Einsatz der Methoden des Google Hackings für eine unternehmensinterne Systemüberwachung sind. Ferner werden Vulnerability-Scanner vorgestellt, die bereits von der Technik des Google Hacking Gebrauch machen. Diese, sowie Google Hacking im Allgemeinen, werden mit den Möglichkeiten, die etablierte Vulnerability- Scanning-Werkzeuge bieten, verglichen. 1

11 Kapitel 1 Einführung Um die Fülle von Informationen im Internet für den Menschen sinnvoll nutzbar zu machen, gibt es Suchmaschinen. Sie sind die erste Anlaufadresse, wenn es im Allgemeinen um die Suche nach Informationen im World Wide Web geht. Für die Suchmaschinen ist es daher wichtig, die charakteristischen Merkmale von möglichst vielen Seiten im Web zu erfassen, also den in Form von Text erfassbaren Inhalt. Die Bots oder Webcrawler der Suchmaschinen suchen daher unablässig nach Daten und sind bei deren Aufnahme in ihren Index relativ unkritisch, wobei es für die Eigner der Daten Methoden gibt, diese Aufnahme von Informationen zu beeinflussen oder zu verhindern. Wenn diese Methoden allerdings nicht angewendet werden, können Webcrawler auch Informationen speichern, welche evtl. überhaupt nicht für die Öffentlichkeit gedacht sind, aber trotzdem meist unbeabsichtigt in einem öffentlich zugänglichen Bereich eines Web-Servers zu finden sind. Dabei kann es sich um Passwörter, Konten-Daten, oder auch andere Informationen handeln, die auf den ersten Blick gar kein Gefahrenpotential für ihren Eigner mit sich bringen aber indirekt Angriffsmöglichkeiten eröffnen. Genau diese Informationen kann man mit Hilfe von Google und weiteren großen Suchmaschinen dank ihrer genauen Suchmöglichkeiten gezielt suchen und finden. Dies bezeichnet man als Google Hacking. Wie man an der Anzahl von Ergebnissen in Abbildung 1.1 erahnt, können bereits mit Hilfe einfacher Suchmuster wie etwa intitle:index of parent directory inurl:private interessante Funde gemacht werden. Hier wurde zwar nur relativ ungezielt nach allgemeinen, privaten Daten gesucht, jedoch wird daran deutlich, dass private Daten wohl nicht immer ausreichend geschützt sind. 1.1 Motivation Google Hacking stellt eine Gefahr für jedes Netzwerk dar, in welchem es Informationen gibt, die nicht für jedermann zugänglich sein sollen - falls dieses Netzwerk an das Internet angebunden ist. Mit Hilfe von Google Hacking lässt sich zwar nur in Spezialfällen ein direkter Angriff auf ein Netz durchführen, welcher dem klassischen Verständnis des Begriffs Hacking entsprechen würde. Doch manchmal macht ein Fund im Speicher einer Suchmaschine den eigentlichen Angriff auch überflüssig, da man die gewünschte Information schon durch den Zwischenspeicher ( Cache ) der Suchmaschine erhält. Je nach Fund kann ein Stück Information den eigentlichen Angriff manchmal nur ein bisschen, gelegentlich aber auch erheblich erleichtern. Somit stellen 2

12 Abbildung 1.1: Ergebnis der Anwendung eines einfachen Suchmusters sich die folgenden Fragen: Wie funktioniert Google Hacking? Wie findet man systematisch heraus, ob ein Netz für Google Hacking anfällig ist? Kann man Google Hacking dafür einsetzen, um mögliche Schwachstellen und Sicherheitsmängel (frühzeitig) auf systematische Weise zu entdecken? Wie kann man ein IT-System vor Google Hacking schützen? 1.2 Suchmaschinen Bisher wurde als Suchmaschine für das Internet nur Google erwähnt, da gerade unter ihrer Verwendung das Google Hacking entstand. Als wichtige Ergänzungen zu Google sollten noch Yahoo! Search [yahb] (im Folgenden Yahoo Search genannt) und Windows Live Search [livb] (vormals MSN, im Folgenden kurz Live Search genannt) erwähnt werden, da sie eine ähnlich mächtige Anfragesyntax und vergleichbar große Suchindizes haben. Anfragen an diese Suchmaschinen geschehen in Form so genannter Suchmuster. Ein Suchmuster ist ein Ausdruck, welcher einer Suchmaschine als Parameter übergeben wird. Es definiert, welchen Inhalt bzw. welche Eigenschaften ein gesuchtes Dokument haben soll. Im Laufe dieser Arbeit wird sich zeigen, dass für systematisches Google Hacking oft große Mengen an Anfragen an Suchmaschinen gestellt werden müssen. Dies kann über die wohlbekannten Web-Schnittstellen kaum in zufriedenstellender Geschwindigkeit bewerkstelligt werden. Zudem würden Anfragen, die automatisiert und in hoher 3

13 Abbildung 1.2: Die Google-Startseite Frequenz an diese Schnittstellen gestellt würden, in den meisten Fällen zu einer Sperrung des Zugriffs auf die jeweilige Suchmaschine für die IP des anfragenden Rechners zur Folge haben. Für große Mengen von Anfragen stellen die drei genannten Suchmaschinen allerdings spezielle Schnittstellen zur Verfügung. Diese sind bei Google und Live Search jeweils eine SOAP 1 -API. Yahoo Search ermöglicht Anfragen über das REST 2 -Protokoll. 1.3 Google Hacking Zum Google Hacking gibt es mindestens eine Community, die sich ausschließlich mit diesem Thema beschäftigt. Eine große Sammlung von interessanten Suchmustern für Google, die Google-Hacking-Database (GHDB) befindet sich auf der Homepage des Begründers dieser Community und Ikone des Google Hacking, Johnny Long [ghd07]. Diese Datenbank wird durch die Community stetig ergänzt und beinhaltet teilweise auch Suchmuster, die zu weniger interessanten Ergebnissen führen ist aber dafür sehr umfangreich. Mehrere Penetration-Testing- bzw. Vulnerability-Scan-Tools, die entweder auf das Google Hacking spezialisiert sind oder es als Zusatz-Feature anbieten, greifen für ihren Test auf die GHDB zurück. Für die Suche nach Schwachstellen im Quelltext von Programmen, welche in C, PHP, Java oder einigen anderen Sprachen programmiert sind, gibt es die spezielle Code-Suchmaschine Google Codesearch [gcs07]. Auf die Suche nach Sicherheitslücken mit Hilfe dieser Suchmaschine soll innerhalb dieser Arbeit allerdings nicht weiter eingegangen werden. Diese Art von Suche ist sicherlich sinnvoll, doch würde sie einen Schritt weiter als das hier betrachtete Google Hacking führen, denn zunächst müsste der Quellcode eines Programms gefunden werden. 1 Simple Object Access Protocol 2 Representational State Transfer 4

14 1.4 Ziele und Strukturierung der Diplomarbeit Innerhalb dieser Diplomarbeit soll insbesondere auf die folgenden Punkte eingegangen werden: 1. Übersicht über Google Hacking und die verwendeten Techniken 2. Untersuchung und Bewertung: Eignung der Techniken des Google Hackings für die Überprüfung und Überwachung von Web-Applikationen und Netzen hinsichtlich möglicher Sicherheitsschwächen 3. Entwicklung einer automatisierten Schnittstelle, über welche täglich neu hinzugekommene Webseiten klassifiziert und überprüft werden 4. Ist eine Anbindung von Google Webservices bzw. Google Alerts sinnvoll möglich? 5. Gibt es einen betrieblichen Mehrwert beim Einsatz solcher Techniken gegenüber den etablierten Vulnerability Scannern (z.b. Qualys)? 6. Exemplarische Anwendung der Google-Hacking-Techniken auf die Webseiten einiger Unternehmen: Welche Erkenntnisse konnten gewonnen werden? Scheint Google Hacking ein vielversprechender Ansatz? Zu Punkt 1 wird in Kapitel 2 das Google Hacking vorgestellt, indem zunächst auf die Syntax der Suchmaschine, und danach unter Verwendung von Beispielen auf speziell für das Google Hacking formulierte Suchmuster eingegangen wird. Die Punkte 2 bis 4 werden in Kapitel 3 und 4 behandelt. Es wird zunächst auf die Funktionsweise und Entwicklung einer automatisierten Schnittstelle eingegangen, welche danach in der praktischen Anwendung zum Einsatz kommt. Bei der Entwicklung der Schnittstelle wird sich Näheres über die Relevanz von Google Web Services und Google Alerts für das Google Hacking herausstellen. Punkt 5 wird in Kapitel 5 auf Basis der Erkenntnisse durch die vorherigen Kapitel behandelt. In Kapitel 6 werden zudem Ideen und Erfahrungen zur Abwehr gegen Google Hacking vorgestellt. In Kapitel 7 werden die Erkenntnisse aller Kapitel zusammengefasst. In Anhang B werden zudem einige Fallstudien beschrieben, in welchen die Web- Applikationen und Netze von IT-Firmen mit Hilfe des entwickelten Werkzeugs auf Anfälligkeit gegenüber Google Hacking untersucht werden. Hierdurch wird die Eignung der Techniken des Google Hackings für die Überprüfung und Überwachung von Applikationen und Netzen hinsichtlich möglicher Schwachstellen in der Praxis erprobt. 5

15 Kapitel 2 Grundlagen 2.1 Einleitung In diesem Kapitel soll zunächst ein grundlegender Überblick über das Google Hacking gegeben werden. Hierzu werden die Möglichkeiten, die sich einem Hacker aufgrund der Syntax für Anfragen an Google bieten, anhand von Beispielen erläutert. Ähnliche Möglichkeiten bieten sich auch bei weiteren Suchmaschinen außer Google. Hier sind besonders Yahoo Search und Live Search hervorzuheben, welche in einem weiteren Abschnitt hinsichtlich ihrer Syntax betrachtet werden. Die Art und Weise, auf welche Informationen in die Indizes und Zwischenspeicher der Suchmaschinen gelangen, wird durch eine Betrachtung der Webcrawler der Suchmaschinen verdeutlicht. Viele Möglichkeiten und Gefahren hinsichtlich längerfristiger Offenlegung von sensiblen Informationen gehen vom Google Cache und dem Internet Archive aus. Diese werden im letzten Abschnitt dieses Kapitels betrachtet. 2.2 Einführung in Google Hacking Google Hacking ist die Kunst, mit Hilfe von Suchmaschinen und geschickt formulierten Suchmustern sensible Informationen im World Wide Web zu finden. Zu diesen sensiblen Informationen können u.a. solche der folgenden Arten gehören: Zugangsdaten / Passwort-Dateien persönliche Daten / vertrauliche Informationen Versionsnummern von - oder genauere Infos über Webapplikationen Fehlermeldungen von Webapplikationen Genaue Verzeichnisinhalte Administrationsschnittstellen (z.b. von Druckern) Intranet-Seiten Authentifikation-voraussetzende Seiten Voraussetzung für die Formulierung von möglichst erfolgreichen Suchmustern ist die genaue Kenntnis der Syntax der Anfragen an Suchmaschinen. 6

16 2.2.1 Die Google-Syntax Die Parameter, welche Google bei der Suche zulässt, sind (abgesehen von einigen weiteren, hier aber nicht relevanten) die folgenden [ses07]: site: Einschränkung der Suche auf Seiten, die sich unterhalb der als Argument eingesetzten Domäne befinden. inurl: Das Argument muss sich irgendwo in der URL befinden. allinurl: Alle hierauf folgenden Worte müssen sich in der URL befinden. link: Auf der gesuchten Seite muss sich ein Link auf das hier eingesetzte Argument befinden. related: Findet Seiten mit ähnlichem Themenkontext, wie die Seite, deren URL als Parameter angegeben wird. intitle: Das Argument muss sich im Titel der Seite befinden (also innerhalb des Title-Tags des Headers der HTML-Datei). allintitle: Alle folgenden Worte müssen sich im Titel der Seite befinden. intext: Das Argument muss sich im Text, also nicht etwa im Titel oder der URL befinden. allintext: Alle folgenden Worte müssen sich im Text befinden. filetype: Das gesuchte Dokument hat diese Dateiendung. Wenn nur dieser Parameter ein Argument erhält, wird von Google kein Ergebnis geliefert. ext: Selbe Funktion wie filetype. cache: Als Argument wird eine URL eingesetzt. Das Suchergebnis liefert dann bei Vorhandensein die in den Google-Cache aufgenommene Version der Seite. define: Sucht in Online-Nachschlagewerken wie Wikipedia Definitionen des Begriffs, der als Argument angegeben wurde. numrange:x y Es werden Zahlen z im Bereich x z y gesucht. Operatoren für die einzelnen Parameter: + bzw. AND: Logisches und ; hiermit werden Suchbegriffe standardmäßig verknüpft. - : Negation bzw. OR: Logisches Oder...: Exakter Match des Ausdrucks zwischen den Anführungszeichen [#]...[#]: Suche nach Zahlen zwischen einer Unter- und einer Obergrenze Joker-Symbole: *: Beliebiges Wort von beliebiger Länge 7

17 Abbildung 2.1: Ergebnis der Suche nach einer Drucker-Schnittstelle.: Beliebiges Zeichen In Abbildung 2.1 ist das Ergebnis der Suche nach einer Web-Schnittstelle einer bestimmten Art von Drucker zu sehen. Diese Schnittstelle wurde im vorliegenden Fall offensichtlich nur unzureichend geschützt. Die Suche wurde mit Hilfe des site: - Parameters auf eine bestimmte Domain eingeschränkt. Hier hat das Suchmuster Xerox Phaser 6250 ausgereicht, um zu dem Fund zu gelangen. Noch effektiver für das Finden von sensiblen Bereichen dieser speziellen Art von Schnittstellen wäre etwa das Suchmuster Delete Secure Jobs Klassifizierung von Suchmustern Es gibt typische Arten von Informationen, die man mittels Google Hacking finden möchte. Die zugehörigen Suchmuster lassen sich aufgrund ihrer ähnlichen Ziele zu Gruppen zusammenfassen. Im Folgenden werden diese Gruppen kurz vorgestellt. Zu jeder Gruppe wird ein Beispiel eines Suchmusters angegeben Suche nach Verzeichnissen In den meisten Fällen von Webserver-Verzeichnissen, die per HTTP zugänglich sind, wird für jedes Verzeichnis eine Oberfläche in HTML gestaltet. Ausnahmen sind beispielsweise Verzeichnisse, in denen Software zum Download angeboten wird, deren Versionsnummer und damit zusammenhängend deren Dateiname sich so oft ändert, dass die Pflege der HTML-Oberfläche zu aufwendig wäre. Ein Verzeichnis ohne eigene HTML-Oberfläche kann allerdings auch unbeabsichtigt der Öffentlichkeit zugänglich gemacht sein. Dies kann etwa bei unzureichender Konfiguration eines Webservers passieren. Solche Verzeichnisse findet man beispielsweise durch: Beispiel 1 Suche nach Verzeichnissen ohne Index-Datei intitle:index of: Dieses Suchmuster in Verbindung mit Stichworten wie private, backup etc. führt schnell zu interessanten Ergebnissen Login-Daten Zugangsdaten können in verschiedenen Formen zu finden sein. Ein User kann zum Beispiel seine Login-Daten als URL hinterlegt haben, falls das zugehörige Login-Portal 8

18 Abbildung 2.2: Ergebnisse der Suche nach Index of: inurl:private Abbildung 2.3: Ergebnis der Suche nach inurl:passwd die Annahme von GET-Parametern unterstützt. Ein passendes Suchmuster könnte so oder ähnlich aussehen: Beispiel 2 Suche nach Zugangsdaten in URLs inurl:passwd Bei der Suche nach Zugangsdaten für bestimmte Portale kann der Name des relevanten Parameters noch angepasst werden. Die Daten können allerdings auch in Form von Listen vorliegen, welche je nach Server-Software bestimmte Namen und Speicherorte haben. Ein einfaches Beispiel (Ergebnis der Suche in Abb. 2.4): Beispiel 3 Suche nach User-Datenbanken inurl:admin inurl:userlist oder filetype:pwd inurl:service Abbildung 2.4: Ergebnis der Suche nach filetype:pwd inurl:service 9

19 Login-Portale Login-Portale für Administratoren können Ausgangspunkte der Suche nach Schwachstellen sein. Der Fund eines Login-Portals eines Intranets ist noch weitaus schwerwiegender, da der Zugriff auf dieses (in den meisten Fällen) nicht vom Internet aus möglich sein sollte. Die gezielte Suche nach Formularen für Login-Vorgänge ist allerdings nicht auf Basis von charakteristischen HTML-Elementen möglich. Allerdings gibt es charakteristische Formulierungen im Text mancher Login-Seiten, anhand derer sich diese finden lassen. Ein allgemeines Beispiel: Beispiel 4 Suche nach Login-Portalen von Intranets intitle:employee Intranet Login Persönliche Daten / Kreditkartennummern Diese Daten sollten natürlich in keinem Falle an die Öffentlichkeit gelangen und somit auch nicht im Index einer Suchmaschine auftauchen. Beispiel: Beispiel 5 Suche nach Kundendaten Comersus.mdb inurl:database Hiermit wird die Kunden-Datenbank der e-shopping-anwendung Comersus gesucht Fehlermeldungen Fehlermeldungen geben oft zu viele Informationen über einen Server preis, wie etwa seine interne Verzeichnis- oder Datenbankstruktur, Software-Versionsnummern und Teile von Code. Fehlermeldungen enthalten oft signifikante Phrasen, also kann beispielweise das folgende Suchmuster zum Erfolg führen: Beispiel 6 Suche nach SQL-Fehlermeldungen SQL syntax error Logdateien In Logdateien könnten evtl. Usernamen oder Passwörter oder zumindest Daten, die einen Angriff erleichtern würden, enthalten sein, wie Versionsnummern von Software. Die Suche nach solchen Dateien ist denkbar einfach: Beispiel 7 Suche nach Logdateien ext:log Web-Schnittstellen von Hardware Eine oft unterschätzte Art von Sicherheitslücke kann ein Gerät wie beispielsweise ein Drucker, eine WebCam, ein Scanner o.ä. darstellen. Viele Druckermodelle bieten beispielsweise eine Konfigurationsseite über das HTTP-Protokoll an. Neben der Konfiguration kann auf solchen Seiten oft auch eine Liste der zuletzt gedruckten Dokumente zusammen mit einer ID des Users, der den Druck in Auftrag gegeben hat aufgerufen 10

20 werden. Mit etwas Geschick und Kenntnis über die Funktionsweise des Geräts kann möglicherweise auch der Inhalt dieser Dokumente gefunden und heruntergeladen werden. Wenn diese Geräte nicht vom Internet abgeschnitten werden, kann beispielsweise das folgende Suchmuster Ergebnisse bringen: Beispiel 8 Suche nach Epson-Druckerschnittstellen intitle:epsonnet WebAssist Rev Hiermit wird die Administrations-Schnittstelle von Epson-Druckern gesucht Angreifbare Server Webserver wie Apache oder der Microsoft Internet Information Server sind häufige Ziele von Angriffen. Daher ist es nicht schwierig, zu einem Webserver mit bestimmter Versionsnummer einen funktionierenden Exploit 1 zu finden. Das Herausfinden der Versionsnummer eines Servers kann somit schon einen wesentlichen Schritt eines Angriffs darstellen. Man kann also nach den typischen Formulierungen suchen, die Webserver verwenden, um ihre Version zu verraten. Beispiel: Beispiel 9 Suche nach IIS-Servern Microsoft-IIS/5.0 server at oder allgemeiner Beispiel 10 Suche nach Webserver-Informationen intitle:index.of server at Vertrauliche Daten Diese Art von Suche bezieht sich nicht auf Informationen, die dabei helfen sollen, vertrauliche Daten aufzuspüren, sondern auf die vertraulichen Daten selbst. Dokumente, die diese enthalten, haben oft das Format doc (welches von Google, Live Search und Yahoo Search indiziert und gecacht wird) und beinhalten oft typische Phrasen - wie eben vertraulich. Daher kann eine Suche nach solchen Dokumenten sehr simpel funktionieren, wie im folgenden Beispiel: Beispiel 11 Suche nach vertraulichen Dokumenten filetype:doc intitle:vertraulich Auf weitere, auf speziellere Ziele ausgerichtete Suchmuster soll hier zunächst nicht eingegangen werden Erweiterung der Google-Hacking-Datenbank / Suche nach neuen Suchmustern Die Technik des Google Hackings ist beliebt genug, um eine ganze Community mit dem Finden von neuen, erfolgreichen Suchmustern zu beschäftigen. Grenzen liegen 1 Programm, das eine Sicherheitslücke für einen Angriff ausnutzt 11

21 hier nur in der Kreativität des Einzelnen. Zudem gibt es zu jeder neuen Web-Anwendungs-Version auch neue Muster von Fehlermeldungen, bestimmte Namen von Konfigurationsdateien etc.. Für einen guten Schutz ist es somit wichtig, über alle gängigen Suchmuster auf dem Laufenden zu sein. Hierzu sollte man sich die Kreativität der Gemeinschaft zunutze machen und die eigene Datenbank an Suchmustern regelmäßig aktualisieren und erweitern. Ein Beispiel für die Datenbank einer Google-Hacking- Community findet man unter [ghd07]. Ein sinnvoller Weg, nach neuen Suchmustern zu forschen, ist, mit dem Betrachten einer bekannten Sicherheitsschwäche zu beginnen, zum Beispiel einer bestimmten Webserver-Version. Ein einfaches Beispiel: Angenommen, es ist bekannt, dass die Datei passwords.pwd des Webservers xy v1.0 nicht ordentlich von der Öffentlichkeit abgesichert ist. Dann lautet ein passendes Suchmuster: inurl:passwords.pwd. Das systematische Finden sinnvoller Suchmuster wird in Abschnitt genauer behandelt Exkurs: Die Verwendung von Google als Proxy-Server Über den Übersetzungs-Dienst von Google kann man sich den Inhalt von Webseiten anzeigen lassen, ohne sie direkt aufzurufen. Auf der Seite [goob] befindet sich ein Eingabefeld für URLs. Nach Eingabe einer Adresse und Klick auf Übersetzen befindet sich in der resultierenden URL unter Anderem der Parameter langpair. Das Argument lautet an dieser Stelle beispielsweise en de für eine Übersetzung von Englisch nach Deutsch. Wenn man dieses in en en oder de de ändert, findet keine Übersetzung statt, und der User sieht die Webseite, wie sie im Original aussieht. Unabhängig von diesem inhaltlichen Aspekt, kann man durch den Übersetzerdienst URLs aufrufen, ohne von dem zugehörigen Server als Aufrufer registriert zu werden. Als aufrufender Client wird vom jeweiligen Server ein Google-Server registriert Die Suche nach -Adressen mittels Google Das Ziel, -Adressen zu finden, kann unterschiedliche Motivationen haben. Für Versender von -Werbung ( Spammer ) ist die Motivation offensichtlich. Für Angreifer eines Firmen-Netzwerkes können Mailadressen wertvoll für Social-Engineering-Attacken oder Ziel für Spionage-Code als Mailanhang sein. Aus diesem Grunde machen es Google, Yahoo Search und Live Search ihren Usern nicht leicht, Mailadressen zu finden. Die Suche nach -Zeichen bzw. Zeichenketten, die dieses beinhalten, bringt auf diese direkte Art und Weise kein Ergebnis. Es existiert allerdings ein Weg, diese Einschränkung zu umgehen. Johnny Long demonstriert dies durch ein Perl-Script (siehe [Lon05], S ), welches auf das Sammeln von Mail-Adressen aus dem World Wide Web und den Google Groups spezialisiert ist. Der Trick besteht hier darin, die Suche folgendermaßen zu formulieren: Beispiel 12 Suche nach -www.domain.com Hierdurch werden bei Google Mail-Adressen mit der gefunden allerdings nicht ausschließlich, sondern auch jede beliebige Formulierung, die endet. Auch bei Yahoo Search führt diese Art von Suche zu dem gewünschten Ergebnis, bei Live Search allerdings nicht. 12

Was ist Google-Hacking? 2. Möglichkeiten von Google-Hacking 2. Befehlssyntax Google, Yahoo und Bing 3,4. Kombinationen von Suchbegriffen 5,6

Was ist Google-Hacking? 2. Möglichkeiten von Google-Hacking 2. Befehlssyntax Google, Yahoo und Bing 3,4. Kombinationen von Suchbegriffen 5,6 W h i t e p a p e r Unternehmensbezogen Table of Contents: Was ist Google-Hacking? 2 Möglichkeiten von Google-Hacking 2 Befehlssyntax Google, Yahoo und Bing 3,4 Kombinationen von Suchbegriffen 5,6 Ansprechbare

Mehr

Danksagungen... 11. Über den Autor... 15

Danksagungen... 11. Über den Autor... 15 Danksagungen............................................. 11 Über den Autor............................................ 15 1 Einfache Suche mit Google.................................. 19 1.1 Einführung................................................

Mehr

Konzepte zur Datenhaltung für Webseiten in einem Web-Content- Management-System

Konzepte zur Datenhaltung für Webseiten in einem Web-Content- Management-System Konzepte zur Datenhaltung für Webseiten in einem Web-Content- Management-System Web-Content-Management-Systeme () dienen dazu, komplexe Websites zu verwalten und den Autoren einzelner Webseiten möglichst

Mehr

Anbindung an Wer-hat-Fotos.net

Anbindung an Wer-hat-Fotos.net Anbindung an Wer-hat-Fotos.net Stand: 7. Juni 2012 2012 Virthos Systems GmbH www.pixtacy.de Anbindung an Wer-hat-Fotos.net Einleitung Einleitung Dieses Dokument beschreibt, wie Sie Ihren Pixtacy-Shop an

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

- Google als Suchmaschine richtig nutzen -

- Google als Suchmaschine richtig nutzen - - Google als Suchmaschine richtig nutzen - Google ist die wohl weltweit bekannteste und genutzte Suchmaschine der Welt. Google indexiert und aktualisiert eingetragene Seiten in bestimmten Intervallen um

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Universitätsbibliothek. Technische Universität München. Internetsuche. Wissenswertes und Wissenschaftliches

Universitätsbibliothek. Technische Universität München. Internetsuche. Wissenswertes und Wissenschaftliches Internetsuche Wissenswertes und Wissenschaftliches 1. Allgemeine Suchmaschinen 2 Gezielter Suchen in Google Bestimmt nutzen Sie allgemeine Suchmaschinen (beinahe) täglich. Allerdings ist die Menge und

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

Tracking Dog A Privacy Tool Against Google Hacking

Tracking Dog A Privacy Tool Against Google Hacking 1. Google Hacking 2. Kryptographische Geheimnisse 3. Persönlische Daten 4. Tracking Dog 1.0 1. Google Hacking - beschreibt die Technik mittels Google, bzw. dessen erweiterter Suchfunktionen, Sicherheitslücken

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Footprinting Footprinting stellt bei Sicherheitstests oder vor einem Angriff die Phase der Informationsbeschaffung dar, durch die IP-

Mehr

Dokumentation Authentische Strukturdaten

Dokumentation Authentische Strukturdaten Dokumentation Version 1.1 Version 1.0 Seite 1/18 31.10.2008 Inhaltsverzeichnis 1. Allgemeines...3 1.1 Phasenmodell...3 1.1.1 Phase I...3 1.1.2 Phase II...3 1.1.3 Phase III...3 1.2 Datenaktualität...3 2.

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Web Services Einsatzmöglichkeiten für das Information Retrieval im WWW

Web Services Einsatzmöglichkeiten für das Information Retrieval im WWW Web Services Einsatzmöglichkeiten für das Information Retrieval im WWW Fabio Tosques & Philipp Mayr Frankfurt am Main, den 24. Mai 2005 27. Online-Tagung der DGI 2005 1 Überblick Datenanalyse mittels screen

Mehr

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM Server-Eye Stand 30.07.2013 Copyright 2012 by REDDOXX GmbH REDDOXX GmbH Neue Weilheimer Str. 14 D-73230 Kirchheim Fon: +49 (0)7021 92846-0 Fax: +49 (0)7021 92846-99 E-Mail: info@reddoxx.com Internet: http://www.reddoxx.com

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

Erklärung der Webalizer Statistik

Erklärung der Webalizer Statistik Webhost Linux Erklärung der Webalizer Statistik - 1 - Erklärung der Webalizer-Statistik Dieses Dokument beschreibt den Aufbau der Auswertung der Webserver-Statistiken. Die Auswertungen sind täglich ab

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien 3. Installation Ihres Shops im Internet / Kurzanleitung Kurzanleitung: Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien Geben Sie während der Webbasierten Installationsroutine alle

Mehr

Die folgenden Features gelten für alle isquare Spider Versionen:

Die folgenden Features gelten für alle isquare Spider Versionen: isquare Spider Die folgenden s gelten für alle isquare Spider Versionen: webbasiertes Management (Administratoren) Monitoring Sichten aller gefundenen Beiträge eines Forums Statusüberprüfung Informationen

Mehr

Kurzbeschreibung der Intranet Software für das Christophorus Projekt (CP)

Kurzbeschreibung der Intranet Software für das Christophorus Projekt (CP) Kurzbeschreibung der Intranet Software für das Christophorus Projekt (CP) 1 Inhaltsverzeichnis Einleitung 3 Benutzerrechte 4 Schwarzes Brett 5 Umfragen 6 Veranstaltungen 7 Protokolle 9 Mitgliederverzeichnis

Mehr

Workshop Keyword recherche Am Anfang war das "Keyword"!

Workshop Keyword recherche Am Anfang war das Keyword! Workshop Keyword recherche Am Anfang war das "Keyword"! Wir beschäftigen uns in diesem Workshop mit dem KEYWORD Marketing. Jede Suchmaschinenoptimierung einer Internetseite oder auch Webseite genannt fängt

Mehr

Suchmaschinenoptimierung SEO

Suchmaschinenoptimierung SEO Mai 2013 Bei der Suchmaschinenoptimierung (search engine optimization SEO) wird der Internetauftritt im Hinblick auf Suchmaschinen optimiert. Im Folgenden geben wir Ihnen einige Tipps, die Sie bei der

Mehr

Anleitung Webalizer. Inhaltsverzeichnis

Anleitung Webalizer. Inhaltsverzeichnis Inhaltsverzeichnis. Aufgabe / Nutzen des s... 2. Allgemeine Informationen...2.2 Begriffserklärungen...2 2. Zugang zum... 2 3. Die Eingangsseite... 3 4. Die Monatsübersichten und Tagesübersichten... 3 4.

Mehr

BANKETTprofi Web-Client

BANKETTprofi Web-Client BANKETTprofi Web-Client Konfiguration und Bedienung Handout für die Einrichtung und Bedienung des BANKETTprofi Web-Clients im Intranet / Extranet Der BANKETTprofi Web-Client Mit dem BANKETTprofi Web-Client

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

Google Earth und Telefonbücher im Internet

Google Earth und Telefonbücher im Internet Merkblatt 80 www.computeria-olten.ch Monatstreff für Menschen ab 50 Google Earth und Telefonbücher im Internet Google Earth ist ein virtueller Globus. Das schreibt Google dazu: Die Welt entdecken ist jetzt

Mehr

Inhalt und Ziele. Homepage von Anfang an. Herzlich Willkommen! HTML Syntax; grundlegende Grafik- und Bildbearbeitung für das Internet;

Inhalt und Ziele. Homepage von Anfang an. Herzlich Willkommen! HTML Syntax; grundlegende Grafik- und Bildbearbeitung für das Internet; Homepage von Anfang an Herzlich Willkommen! Caroline Morhart-Putz caroline.morhart@wellcomm.at Inhalt und Ziele!! HTML Grundlagen - die Sprache im Netz; HTML Syntax;!! Photoshop - Optimieren von Bildern,

Mehr

Das Internet. Das Internet. Das Internet. Was ist das Internet? Was ist das Internet? Was ist das Internet?

Das Internet. Das Internet. Das Internet. Was ist das Internet? Was ist das Internet? Was ist das Internet? Das Internet Was ist das Internet? Das Internet Was ist das Internet? Gesamtheit aller weltweit zusammengeschlossener Computer-Netzwerke Vorraussetzung für Datenaustausch ist Kommunikation über ein standardisiertes

Mehr

Anleitung zur Aktualisierung

Anleitung zur Aktualisierung CONTREXX AKTUALISIERUNG 2010 COMVATION AG. Alle Rechte vorbehalten. Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte, auch die der Modifikation, der Übersetzung, des Nachdrucks und der Vervielfältigung,

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Black-Hat Search Engine Optimization (SEO) Practices for Websites

Black-Hat Search Engine Optimization (SEO) Practices for Websites Beispielbild Black-Hat Search Engine Optimization (SEO) Practices for Websites Damla Durmaz - 29. Januar. 2009 Proseminar Technisch Informatik Leitung: Georg Wittenburg Betreuer: Norman Dziengel Fachbereich

Mehr

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation bnsyncservice Voraussetzungen: Tobit DAVID Version 12, DVWIN32: 12.00a.4147, DVAPI: 12.00a.0363 Exchange Server (Microsoft Online Services) Grundsätzlich wird von Seiten KWP ausschließlich die CLOUD-Lösung

Mehr

:: Anleitung First Connection 1cloud.ch ::

:: Anleitung First Connection 1cloud.ch :: :: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung First Connection

Mehr

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten AVM GmbH Alt-Moabit 95 D-10559 Berlin Faxversand mit dem FRITZ! LAN Assistenten Mit dem FRITZ! LAN Assistenten können Sie einen Computer als FRITZ!fax Server einrichten, über den dann Faxe von anderen

Mehr

Administrator-Anleitung

Administrator-Anleitung Administrator-Anleitung für die Typ 2 Installation der LEC-Web-Anwendung auf einem Microsoft Windows Server Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU) Danziger

Mehr

Tutorium Learning by doing WS 2001/ 02 Technische Universität Berlin. Erstellen der Homepage incl. Verlinken in Word 2000

Tutorium Learning by doing WS 2001/ 02 Technische Universität Berlin. Erstellen der Homepage incl. Verlinken in Word 2000 Erstellen der Homepage incl. Verlinken in Word 2000 1. Ordner für die Homepagematerialien auf dem Desktop anlegen, in dem alle Bilder, Seiten, Materialien abgespeichert werden! Befehl: Desktop Rechte Maustaste

Mehr

INSTALLATION. Voraussetzungen

INSTALLATION. Voraussetzungen INSTALLATION Voraussetzungen Um Papoo zu installieren brauchen Sie natürlich eine aktuelle Papoo Version die Sie sich auf der Seite http://www.papoo.de herunterladen können. Papoo ist ein webbasiertes

Mehr

Penetrante Suchmaschinen

Penetrante Suchmaschinen Seite 1 von 10 Management und Wissen Suchmaschinengestütztes Hacking Penetrante Suchmaschinen Wo Angreifer über Suchmaschinen verwundbare Systeme oder vertrauliche Dateien finden, spricht man gemeinhin

Mehr

CARM-Server. Users Guide. Version 4.65. APIS Informationstechnologien GmbH

CARM-Server. Users Guide. Version 4.65. APIS Informationstechnologien GmbH CARM-Server Version 4.65 Users Guide APIS Informationstechnologien GmbH Einleitung... 1 Zugriff mit APIS IQ-Software... 1 Zugang konfigurieren... 1 Das CARM-Server-Menü... 1 Administration... 1 Remote-Konfiguration...

Mehr

7 SharePoint Online und Office Web Apps verwenden

7 SharePoint Online und Office Web Apps verwenden 7 SharePoint Online und Office Web Apps verwenden Wenn Sie in Ihrem Office 365-Paket auch die SharePoint-Dienste integriert haben, so können Sie auf die Standard-Teamsite, die automatisch eingerichtet

Mehr

4 Installation und Verwaltung

4 Installation und Verwaltung Installation und Verwaltung 4 Installation und Verwaltung 4.1 Installation der Microsoft Internet Information Services 8.0 IIS 8.0 ist Bestandteil von Windows 8 und Windows Server 2012. Windows 8 Professional

Mehr

Wie kann ich das Webserver-Paket XAMPP auf einem Win7 System installieren?

Wie kann ich das Webserver-Paket XAMPP auf einem Win7 System installieren? Wie kann ich das Webserver-Paket XAMPP auf einem Win7 System installieren? 1. Allgemeins über XAMPP XAMPP ist ein kostenloses Programmpaket, das die gängigen Komponenten für einen eigenen Webserver enthält.

Mehr

WordPress installieren und erste Einblicke ins Dashboard

WordPress installieren und erste Einblicke ins Dashboard WordPress installieren und erste Einblicke ins Dashboard Von: Chris am 16. Dezember 2013 In diesem Tutorial zeige ich euch wie ihr WordPress in der aktuellen Version 3.7.1 auf eurem Webspace installieren

Mehr

Microsoft PowerPoint 2013 YouTube-Video einfügen

Microsoft PowerPoint 2013 YouTube-Video einfügen Hochschulrechenzentrum Justus-Liebig-Universität Gießen Microsoft PowerPoint 2013 YouTube-Video einfügen YouTube-Video einfügen in PowerPoint 2013 Seite 1 von 6 Inhaltsverzeichnis Einleitung... 2 Vorbereitungen...

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Hosting Control Panel - Anmeldung und Funktionen

Hosting Control Panel - Anmeldung und Funktionen Hosting Control Panel - Anmeldung und Funktionen Unser technischer Support steht Ihnen von Montag bis Freitag von 09:00-12:00 Uhr und von 14:00-17:00 Uhr zur Seite. Sie können uns Ihre Fragen selbstverständlich

Mehr

BSH-FX (File Exchange) Datenaustausch mit registrierten Mailbox-Usern

BSH-FX (File Exchange) Datenaustausch mit registrierten Mailbox-Usern BSH-FX (File Exchange) Dokumentation für BSH-Mitarbeiter und externe Partner für den Datenaustausch mit registrierten Mailbox-Usern Stand: 24.06.2015, Version 1.01 Inhalt Inhalt... 2 Allgemeines zum BSH-FX

Mehr

Websites optimieren für Google & Co.

Websites optimieren für Google & Co. Sebastian Röring Websites optimieren für Google & Co. schnell+kompakt Suchmaschinen link zu meiner Seite Diesen

Mehr

AxCMS.net ENTERPRISE CONTENT MANAGEMENT SYSTEM. Module. AxCMS.net. Module. Copyright 2001-2006 Axinom GmbH AxCMS.net Seite 1

AxCMS.net ENTERPRISE CONTENT MANAGEMENT SYSTEM. Module. AxCMS.net. Module. Copyright 2001-2006 Axinom GmbH AxCMS.net Seite 1 AxCMS.net Copyright 2001-2006 Axinom GmbH AxCMS.net Seite 1 AxCMS.net Das AxCMS.net steht mit einem umfangreichen Template-Projekt als Visual Studio Projekt im Quellcode zum Download. Darin enthalten sind

Mehr

Mein Internetauftritt auf dem Prüfstand

Mein Internetauftritt auf dem Prüfstand Mein Internetauftritt auf dem Prüfstand Praxisseminar am 13.03.2008 Dr. Wolfgang Krauß Krauß-Marketing Unternehmensberatung Chemnitz www.krauss-marketing.de Das Marketing befindet sich im Umbruch These:

Mehr

Handbuch zum besseren Verständnis des Webalizers Kurzanleitung

Handbuch zum besseren Verständnis des Webalizers Kurzanleitung Handbuch zum besseren Verständnis des Webalizers Kurzanleitung Eine Orientierungshilfe von die-netzwerkstatt.de Vorwort Inhalt Dieses Dokument beschreibt den Aufbau der Auswertung der Webserver-Statistiken.

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

SCADA SOFT AG. Technische Fragen zu Wizcon (TFW035): Installation von Apache 1.3.x / 2.0.x

SCADA SOFT AG. Technische Fragen zu Wizcon (TFW035): Installation von Apache 1.3.x / 2.0.x Wiesengasse 20 CH-8222 Beringen TFW035_Installation_von_Apache.doc Tel: +41 52 687 20 20 Fax: +41 52 687 20 29 Technische Fragen zu Wizcon (TFW035): Installation von Apache 1.3.x / 2.0.x Voraussetzung

Mehr

Inhalt. 1 Einführung... 11. 2 Funktionsweise von Suchmaschinen... 21. 3 So werden Suchergebnisse gewichtet... 39

Inhalt. 1 Einführung... 11. 2 Funktionsweise von Suchmaschinen... 21. 3 So werden Suchergebnisse gewichtet... 39 1 Einführung.......................................................... 11 1.1 Eine kurze Geschichte von fast allem.................................. 12 1.2 Die Bedeutung von Suchmaschinen gestern, heute

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Administrator-Anleitung

Administrator-Anleitung Administrator-Anleitung für die Typ 1 Installation der LEC-Web-Anwendung auf einem Microsoft Windows Netzwerkserver Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU)

Mehr

Installationsanleitung zur Extension bluegate DirectURL

Installationsanleitung zur Extension bluegate DirectURL Installationsanleitung zur Extension bluegate DirectURL WICHTIGE HINWEISE VOR DER INSTALLATION: Die Installation dieser Extension darf nur von Fachpersonal vorgenommen werden. Eine unsachgemäße Installation

Mehr

Lösungen zur Lernzielkontrolle Internet

Lösungen zur Lernzielkontrolle Internet Lösungen zur Lernzielkontrolle Internet 18 Fragen 1. Was ist das Internet im Vergleich zum WWW? 2. Ein ISP ist WWW ist ein Dienst des Internets ein Anbieter von Internetdiensten 3. Was ist bei der Adresse

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Carl-Engler-Schule Karlsruhe Datenbank 1 (5)

Carl-Engler-Schule Karlsruhe Datenbank 1 (5) Carl-Engler-Schule Karlsruhe Datenbank 1 (5) Informationen zur Datenbank 1. Definition 1.1 Datenbank-Basis Eine Datenbank-Basis ist eine Sammlung von Informationen über Objekte (z.b Musikstücke, Einwohner,

Mehr

Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten. Empfehlung 1/99

Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten. Empfehlung 1/99 5093/98/DE/final WP 17 Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten Empfehlung 1/99 über die unsichtbare und automatische Verarbeitung personenbezogener Daten im Internet

Mehr

GKSpro WebServer. Überblick. Web Server. GKSpro. Datenbank. GKSpro. InfoBrief Nr. 61 November 2012. GKSpro WebServer.

GKSpro WebServer. Überblick. Web Server. GKSpro. Datenbank. GKSpro. InfoBrief Nr. 61 November 2012. GKSpro WebServer. InfoBrief Nr. 61 Überblick ist eine unter Microsoft Windows-Betriebssystemen lauffähige Software, die dem Anwender eine umfangreiche Benutzeroberfläche u.a. mit folgenden Funktionsbereichen zur Verfügung

Mehr

CRM - Word Connector (CWC) für das vtiger CRM Anwenderbeschreibung Handbuchversion 1.0

CRM - Word Connector (CWC) für das vtiger CRM Anwenderbeschreibung Handbuchversion 1.0 CRM - Word Connector (CWC) für das vtiger CRM Anwenderbeschreibung Handbuchversion 1.0 Copyright 2004-2012 CRM Word Connector - Anwenderbeschreibung Copyright 2004-2012, Alle Rechte vorbehalten. 1. Ausgabe

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

.TEL Eine innovative Nutzung des DNS

.TEL Eine innovative Nutzung des DNS .TEL Eineinnovative NutzungdesDNS 1 von 5 DAS KONZEPT Die.tel-Registry nutzt das Domain Name System (DNS) auf eine Weise, die Inhabern einer.tel-domain Unternehmen oder Einzelpersonen die Kontrolle in

Mehr

INTRO VERLAG. Spezifikationen. und Flash Spezifikationen. Stand 01.09.2008 www.intro.de www.festivalguide.de www.gig-guide.de www.11freunde.

INTRO VERLAG. Spezifikationen. und Flash Spezifikationen. Stand 01.09.2008 www.intro.de www.festivalguide.de www.gig-guide.de www.11freunde. INTRO VERLAG Spezifikationen Standard Online-Werbemittel und Flash Spezifikationen Stand 01.09.2008 www.intro.de www.festivalguide.de www.gig-guide.de www.11freunde.de 1. Einleitung Diese Spezifikationen

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Visendo SMTP Extender

Visendo SMTP Extender Inhalt Einleitung... 2 1. Aktivieren und Konfigurieren des IIS SMTP Servers... 2 2. Installation des SMTP Extenders... 6 3. Konfiguration... 7 3.1 Konten... 7 3.2 Dienst... 9 3.3 Erweitert... 11 3.4 Lizenzierung

Mehr

Antwortzeitverhalten von Online Storage Services im Vergleich

Antwortzeitverhalten von Online Storage Services im Vergleich EPOD Encrypted Private Online Disc Antwortzeitverhalten von Online Storage Services im Vergleich Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee

Mehr

PC Software PPS-FM11 Windows Auswertung und Monitor BDE Betriebsdatenerfassung mit Terminals, RFID und SQL Client

PC Software PPS-FM11 Windows Auswertung und Monitor BDE Betriebsdatenerfassung mit Terminals, RFID und SQL Client PC Software PPS-FM11 Windows Auswertung und Monitor BDE Betriebsdatenerfassung mit Terminals, RFID und SQL Client DOC PPSFM11 Win - AE SYSTEME www.terminal-systems.de Seite 1 Inhaltsverzeichnis PPS-FM11

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Effektive Suche im Internetangebot

Effektive Suche im Internetangebot Effektive Suche im Internetangebot Roland Hallau Magdeburger Electronic Commerce Zentrum Barleben, 30. November 2005 1 Agenda Informationen zu Suchmaschinen Die eigene Homepage im Internet Recherchevorbereitung

Mehr

Hinweis: Der Zugriff ist von intern per Browser über die gleiche URL möglich.

Hinweis: Der Zugriff ist von intern per Browser über die gleiche URL möglich. Was ist das DDX Portal Das DDX Portal stellt zwei Funktionen zur Verfügung: Zum Ersten stellt es für den externen Partner Daten bereit, die über einen Internetzugang ähnlich wie von einem FTP-Server abgerufen

Mehr

Übersicht Die Übersicht zeigt die Zusammenfassung der wichtigsten Daten.

Übersicht Die Übersicht zeigt die Zusammenfassung der wichtigsten Daten. Webalizer Statistik Bedeutung der Begriffe Übersicht Die Übersicht zeigt die Zusammenfassung der wichtigsten Daten. Anfragen Gesamtheit aller Anfragen an Ihren Account. Jede Anfrage auf eine Grafik, eine

Mehr

Mac Quick Guide für die Migration zum HIN Client

Mac Quick Guide für die Migration zum HIN Client Mac Quick Guide für die Migration zum HIN Client Anleitung zur Migration vom ASAS Client zum neuen HIN Client in Schritten:. Schritt 2. Schritt. Schritt Installation HIN Client Software Installiert die

Mehr

42: Das Erste-Hilfe- System im WWW

42: Das Erste-Hilfe- System im WWW INFOS & KOMMUNIKATION 42: Das Erste-Hilfe-System im WWW Technische Grundlagen Aufruf und Bedienung Themen Weitere Informationsquellen Forschungs- & Entwicklungsberichte Implementierung eines 3D-Strömungscodes

Mehr

Handbuch: PlagScan PlugIn in Moodle 2.X und 3.X für den Administrator

Handbuch: PlagScan PlugIn in Moodle 2.X und 3.X für den Administrator Handbuch: PlagScan PlugIn in Moodle 2.X und 3.X für den Administrator Stand: November 2015 Inhaltsverzeichnis Phase 1: Registrierung Schritt 1 von 2: Nutzungsart Organisation wählen Schritt 2 von 2: Organisation

Mehr

Herzlich willkommen im Modul Informatik Grundlagen

Herzlich willkommen im Modul Informatik Grundlagen Herbstsemester 2010/2011 Herzlich willkommen im Modul Informatik Grundlagen Wirtschaftsingenieurwesen: 1. Semester Dozent: Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Martin Hüsler 1 Ablauf: 1.

Mehr

2. DFG- Workshop 3.1. Erfassung/Bewertung/Transfer. Beitrag von Peter Küsters. Spiegelung. Archiv. Bild 1: Unterschied zwischen FTP und Spiegelung

2. DFG- Workshop 3.1. Erfassung/Bewertung/Transfer. Beitrag von Peter Küsters. Spiegelung. Archiv. Bild 1: Unterschied zwischen FTP und Spiegelung 2. DFG- Workshop 3.1. Erfassung/Bewertung/Transfer Beitrag von Peter Küsters Formen des Datentransfers bei der Erfassung von Websites Im folgenden werden Methoden und Software zur Erfassung vorgestellt.

Mehr

TYPO3 Schritt für Schritt - Einführung für Redakteure

TYPO3 Schritt für Schritt - Einführung für Redakteure TYPO3 Version 4.0 Schritt für Schritt Einführung für Redakteure zeitwerk GmbH Basel - Schweiz http://www.zeitwerk.ch ++4161 383 8216 TYPO3_einfuehrung_redakteure.pdf - 07.07.2006 TYPO3 Schritt für Schritt

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

KOGIS Checkservice Benutzerhandbuch

KOGIS Checkservice Benutzerhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 KOGIS Checkservice Benutzerhandbuch Zusammenfassung Diese Dokumentation beschreibt die Bedienung des KOGIS Checkservice. 4.2.2015

Mehr

Benutzerhandbuch Managed ShareFile

Benutzerhandbuch Managed ShareFile Benutzerhandbuch Managed ShareFile Kurzbeschrieb Das vorliegende Dokument beschreibt die grundlegenden Funktionen von Managed ShareFile Auftraggeber/in Autor/in Manuel Kobel Änderungskontrolle Version

Mehr

ESB - Elektronischer Service Bericht

ESB - Elektronischer Service Bericht Desk Software & Consulting GmbH ESB - Elektronischer Service Bericht Dokumentation des elektronischen Serviceberichts Matthias Hoffmann 25.04.2012 DESK Software und Consulting GmbH Im Heerfeld 2-4 35713

Mehr

Suchen, um zu finden. Sta,s,k BRD (Quelle: Comscore, 2013) Beziehungsgeflecht der Suchmaschinen. Antworten auf folgende Fragen: 24.06.

Suchen, um zu finden. Sta,s,k BRD (Quelle: Comscore, 2013) Beziehungsgeflecht der Suchmaschinen. Antworten auf folgende Fragen: 24.06. Suchen, um zu finden Sta,s,k BRD (Quelle: Comscore, 2013) Steffen- Peter Ballstaedt 24.6.2015 etwa 6 Milliarden Suchanfragen pro Monat etwa 2.500 Anfragen pro Sekunde 96% der Suchanfragen über Google Beziehungsgeflecht

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

FLOCOM. Google beachtet nicht die Groß- bzw. Kleinschreibung: KOCHREZEPTE, kochrezepte und Kochrezepte bringen alle das gleiche Ergebnis.

FLOCOM. Google beachtet nicht die Groß- bzw. Kleinschreibung: KOCHREZEPTE, kochrezepte und Kochrezepte bringen alle das gleiche Ergebnis. Suchmaschinen richtig Mit über 200 Millionen Suchanfragen täglich hat sich Google zu der wichtigsten und meist genutzten Suchmaschine im WWW entwickelt. Deshalb werden wir für unsere Übungen auch Google

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Internet-Suchmaschinen Ein kurzes Exposee zu drei wichtigen Informationsseiten im Internet. 04.03.2012 Computeria Rorschach Roland Liebing

Internet-Suchmaschinen Ein kurzes Exposee zu drei wichtigen Informationsseiten im Internet. 04.03.2012 Computeria Rorschach Roland Liebing Internet-Suchmaschinen Ein kurzes Exposee zu drei wichtigen Informationsseiten im Internet 04.03.2012 Computeria Rorschach Roland Liebing Internet-Suchmaschinen Eine Suchmaschine ist ein Programm zur Recherche

Mehr

Homepageerstellung mit WordPress

Homepageerstellung mit WordPress Homepageerstellung mit WordPress Eine kurze Einführung in die Installation und Einrichtung von WordPress als Homepage-System. Inhalt 1.WordPress installieren... 2 1.1Download... 2 1.2lokal... 2 1.2.1 lokaler

Mehr