Christopher Kunz Stefan Esser

Größe: px
Ab Seite anzeigen:

Download "Christopher Kunz Stefan Esser"

Transkript

1

2 PHP-Sicherheit

3 Christopher Kunz ist Mitinhaber der Filoo GmbH, die Housting, Housing und Consulting anbietet. Er hat bereits mehrere Dutzend Artikel über allerlei PHP-Themen verfasst und war als Referent auf mehreren PHP-Konferenzen zu sehen. Christopher Kunz lebt in Hannover und arbeitet dort nach seinem Studium an einer Promotion im Fach Informatik. Stefan Esser ist Gründer und Sicherheitsberater der SektionEins GmbH aus Köln, die sich ausschließlich mit der Sicherheit von Webapplikation befasst. Er ist bekannt für zahlreiche Advisories zur Sicherheit von weitverbreiteter Software wie Linux, Samba, Subversion, MySQL und PHP. Stefan Esser ist seit 2002 an der Entwicklung von PHP beteiligt und ist auch der Autor der PHP- Sicherheitserweiterung Suhosin. Nebenbei schreibt er Artikel über PHP Sicherheit für das PHP Magazin und PHP Architect.

4 Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 3., aktualisierte Auflage

5 Christopher Kunz Stefan Esser Peter Prochaska Lektorat: René Schönfeldt Copy-Editing: Ursula Zimpfer, Herrenberg Herstellung: Birgit Bäuerlein Umschlaggestaltung: Helmut Kraus, Druck und Bindung: Koninklijke Wöhrmann B.V., Zutphen, Niederlande Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.ddb.de> abrufbar. ISBN , aktualisierte Auflage 2008 Copyright 2008 dpunkt.verlag GmbH Ringstraße 19 B Heidelberg Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen

6 v Danksagungen Christopher Kunz Ich bedanke mich bei meinen Kompagnons, meinen Kollegen, meiner Familie und bei der gesamten deutschen PHP-Community für die Unterstützung, kritische Begutachtung sowie für wichtige Anregungen zu meiner Arbeit. Besonders danken möchte ich an dieser Stelle Henning Behme von der ix, der mir den Anstoß gab, über PHP zu schreiben. Stefan Esser Ich bedanke mich vor allem bei meiner Freundin Nam-Hee, die mich in allen Lebenslagen unterstützt und zu mir steht. Ich danke auch meiner Familie, ohne die ich niemals so weit gekommen wäre. Danke. Die Autoren bedanken sich gemeinsam bei Peter Prochaska für die wertvollen Beiträge zu diesem Buch, bei René Schönfeldt für die mittlerweile dritte Auflage einer hervorragenden Zusammenarbeit und allen ihren Lesern für das Interesse und entgegengebrachte Vertrauen.

7 vi Danksagungen

8 vii Inhaltsverzeichnis 1 Einleitung Über dieses Buch Was ist Sicherheit? Wichtige Begriffe Sicherheitskonzepte ISO Wie verkaufe ich Sicherheit? Wichtige Informationsquellen Mailinglisten Full Disclosure BugTraq WebAppSec OWASP PHP-Sicherheit.de Informationsgewinnung Grundlagen Webserver erkennen Server-Banner erfragen Webserver-Verhalten interpretieren Tools für Webserver-Fingerprinting Betriebssystem erkennen PHP-Installation erkennen Datenbanksystem erkennen

9 viii Inhaltsverzeichnis 2.6 Datei-Altlasten Temporäre Dateien Include- und Backup-Dateien Dateien von Entwicklungswerkzeugen Vergessene oder»versteckte«php-dateien Temporäre CVS-Dateien Pfade mod_speling robots.txt Standardpfade Pfade verkürzen Kommentare aus HTML-Dateien Applikationen erkennen Das Aussehen/Layout Typische Dateien bekannter Applikationen Header-Felder Bestimmte Pfade Kommentare im Quellcode HTML-Metatags Default-User Google Dork Fazit Parametermanipulation Grundlagen Werkzeuge zur Parametermanipulation Parametermanipulation mit dem Browser Einen Proxy benutzen Angriffsszenarien und Lösungen Fehlererzeugung HTTP Response Splitting Remote Command Execution Angriffe auf Dateisystemfunktionen Angriffe auf Shell-Ebene Cookie Poisoning Manipulation von Formulardaten Vordefinierte PHP-Variablen manipulieren Spam über Mailformulare

10 Inhaltsverzeichnis ix 3.4 Variablen richtig prüfen Auf Datentyp prüfen Datenlänge prüfen Inhalte prüfen Whitelist-Prüfungen Blacklist-Prüfung Clientseitige Validierung register_globals Fazit Cross-Site Scripting Grenzenlose Angriffe Was ist Cross-Site Scripting? Warum XSS gefährlich ist Erhöhte Gefahr dank Browserkomfort Formularvervollständigung verhindern XSS in LANs und WANs XSS einige Beispiele Ein klassisches XSS Angriffspunkte für XSS Angriffe verschleiern XSS Cheat Sheet Einfache Gegenmaßnahmen XSS verbieten, HTML erlauben wie? BBCode HTML-Filter mit XSS-Blacklist Whitelist-Filtern mit»html Purifier« Die Zwischenablage per XSS auslesen XSS-Angriffe über DOM XSS in HTTP-Headern Angriffe der ersten Ordnung mit Headern Second Order XSS per Header Attack API Second Order XSS per RSS

11 x Inhaltsverzeichnis 4.18 Cross-Site Request Forgery (CSRF) CSRF als Firewall-Brecher CSRF in BBCode Ein erster Schutz gegen CSRF CSRF-Schutzmechanismen Formular-Token gegen CSRF Unheilige Allianz: CSRF und XSS SQL-Injection Grundlagen Auffinden von SQL-Injection-Möglichkeiten GET-Parameter POST-Parameter Cookie-Parameter Servervariablen Syntax einer SQL-Injection Sonderzeichen in SQL Schlüsselwörter in SQL Einfache SQL-Injection UNION-Injections Advanced SQL-Injection LOAD_FILE Denial of Service mit SQL-Injection ORDER BY Injection Schutz vor SQL-Injection Sonderzeichen maskieren Ist Schlüsselwort-Filterung ein wirksamer Schutz? Parameter Binding/Prepared Statements Stored Procedures Fazit Authentisierung und Authentifizierung Wichtige Begriffe Authentisierung Authentifizierung Autorisierung

12 Inhaltsverzeichnis xi 6.2 Authentisierungssicherheit SSL Behandlung von Passwörtern Benutzernamen und Kennungen Sichere Passwörter Passwort-Sicherheit bestimmen Vergessene Passwörter Authentifizierungssicherheit Falsche Request-Methode Falsche SQL-Abfrage SQL-Injection XSS Spamvermeidung mit CAPTCHAs Fazit Sessions Grundlagen Permissive oder strikte Session-Systeme Session-Speicherung Schwache Algorithmen zur Session-ID-Generierung Session-Timeout Bruteforcing von Sessions Session Hijacking Session Fixation Zusätzliche Abwehrmethoden Page-Ticket-System Session-Dateien mittels Cronjob löschen Session-ID aus dem Referrer löschen Fazit Upload-Formulare Grundlagen Aufbau eines Upload-Formulars PHP-interne Verarbeitung Speicherung der hochgeladenen Dateien Bildüberprüfung PHP-Code in ein Bild einfügen

13 xii Inhaltsverzeichnis 8.7 Andere Dateitypen überprüfen Gefährliche Zip-Archive Fazit Variablenfilter mit ext/filter Überblick Installation Die Filter-API Verfügbare Filter Validierende Filter Reinigende Filter Zahlen prüfen und filtern Boolesche Werte URLs validieren IP-Adressen prüfen Syntaxcheck für -Adressen Reinigende Filter Prüfung externer Daten Callback-Funktionen Fazit PHP intern Fehler in PHP Month of PHP Bugs File-Upload-Bug Unsichere (De-)Serialisierung Verwirrter Speichermanager Speicherproblem dank htmlentities Bewertung Bestandteile eines sicheren Servers Unix oder Windows? Bleiben Sie aktuell! Installation Installation als Apache-Modul CGI suexec

14 Inhaltsverzeichnis xiii 10.7 Safe Mode Einrichtung des Safe Mode safe_mode_exec_dir safe_mode_include_dir Umgebungsvariablen im Safe Mode Safe Mode considered harmful? Weitere PHP-Einstellungen open_basedir disable_functions disable_classes max_execution_time max_input_time memory_limit Upload-Einstellungen allow_url_fopen allow_url_include register_globals Code-Sandboxing mit runkit Externe Ansätze suphp FastCGI Das Apache-Modul mod_suid Rootjail-Lösungen BSD-Rootjails User Mode Linux mod_security mod_chroot Fazit PHP-Hardening Warum PHP härten? Buffer Overflows Schutz vor Pufferüberläufen im Suhosin-Patch Schutz vor Format-String-Schwachstellen Simulationsmodus Include-Schutz gegen Remote-Includes und Nullbytes Funktions- und Evaluationsbeschränkungen Schutz gegen Response Splitting und Mailheader Injection Variablenschutz

15 xiv Inhaltsverzeichnis SQL Intrusion Detection Logging Transparente Cookie- und Session-Verschlüsselung Härtung des Speicherlimits Transparenter phpinfo() Schutz Kryptografische Funktionen Prinzipien hinter Suhosin Installation Installation des Patch Installation der Extension Zusammenarbeit mit anderen Zend-Extensions Konfiguration Generelle Optionen Log-Dateien Alarmskript Transparente Verschlüsselung Variablenfilter Upload-Konfiguration Beispielkonfiguration Fazit und Ausblick Webserver-Filter für Apache Einsatzgebiet von Filtermodulen Blacklist oder Whitelist? mod_security So funktioniert s Gefahren durch mod_security Installation Konfiguration Regelwerk von mod_security Alarmskript für mod_security Rootjail-Umgebungen mit mod_security mod_security mod_parmguard So funktioniert s Installation Webserver-Konfiguration XML-Whitelist manuell erstellen Automatische Erzeugung Fazit

16 Inhaltsverzeichnis xv Anhang 310 A Checkliste für sichere Webapplikationen 311 B Wichtige Optionen in php.ini 315 B.1 variables_order B.2 register_globals B.3 register_long_arrays B.4 register_argc_argv B.5 post_max_size B.6 magic_quotes_gpc B.7 magic_quotes_runtime B.8 always_populate_raw_post_data B.9 allow_url_fopen B.10 allow_url_include C Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung 319 C.1 Cross-Site Scripting C.2 Information Disclosure C.3 Full Path Disclosure C.4 SQL-Injection C.5 HTTP Response Splitting C.6 Cross-Site Request Forgery C.7 Remote Command Execution C.8 Mail-Header Injection D Glossar 323 Stichwortverzeichnis 331

17 xvi Inhaltsverzeichnis

18 1 1 Einleitung 1.1 Über dieses Buch Als im Herbst 2004 das Konzept für die erste Auflage dieses Buches erstellt wurde, hatte PHP bereits viele andere Web-Skriptsprachen hinter sich gelassen. Millionen von Websites bauen auf die dynamische Skriptsprache, und von einfachen Gästebüchern bis hochkomplexen mehrstufigen Business-Applikationen sind PHP-Anwendungen in allen Größen, Farben und Formen zu finden. Seitdem konnte PHP, nicht zuletzt dank der Fülle verfügbarer Webapplikationen, aber auch dank geringer Einstiegshürden für Entwickler, seinen Vorsprung gegenüber anderen Sprachen deutlich ausbauen. Zwar kommen mit dem vielgerühmten»web 2.0«neue Herausforderungen und Konkurrenten man denke an»ruby on Rails«aber auch diese Hürde nimmt PHP spielend. PHP 5 bietet all denen, die zuvor die etwas lückenhafte Implementierung objektorientierter Programmierung von ernsthaften Gehversuchen abgehalten hat, eine umfassendere OOP-Schnittstelle und dazu geführt, dass noch mehr große Projekte und Firmen den Sprung von Lösungen mit Java oder.net zu der freien Skriptsprache schaffen. Mit dem immensen Wachstum der Nutzer- und Entwicklergemeinde wuchsen allerdings auch die Schwierigkeiten. Waren sicherheitsrelevante Fehler in PHP-Programmen schon seit jeher ein ernst zu nehmendes Problem, so kam es im Laufe des Jahres 2004 zu einigen mehr oder weniger spektakulären Sicherheitslücken. Die Forensoftware phpbb war besonders schlimm betroffen, ist sie doch (aufgrund ihres reichhaltigen Feature-Umfangs und der relativ einfachen Administration) eine der Killer-Applikationen für PHP. Ohne freie und leicht zu benutzende Produkte wie phpbb wäre die Verbreitung von PHP sicher nicht so schnell gegangen allerdings auch nicht die Ver-

19 2 1 Einleitung breitung des ersten PHP-Wurms Santy 1, der eine Lücke in der Forensoftware ausnutzt, um Schadcode zu laden und auszuführen. Ironischerweise ist Santy ausgerechnet in Perl geschrieben, der Sprache, an der sich PHP lange Zeit messen lassen musste. Andere Sicherheitsprobleme auf Internetseiten mit dem Label»PHP powered«beschäftigten gleich die Staatsanwaltschaften 2 oder Mitarbeiter großer Telekommunikationskonzerne 3. Bei allen Fehlern handelte es sich um Programmier- oder Designschnitzer, die vermeidbar gewesen wären. Obwohl auch in PHP selbst Bugs entdeckt (und behoben) wurden, die von einem böswilligen Angreifer für seine finsteren Zwecke verwendet werden konnten, liegt die große Mehrzahl der für die erfolgreiche Installation von Rootkits, Backdoors oder anderen Exploits verantwortlichen Sicherheitslücken in den Anwendungen selbst. Seit 2004 hat sich die Struktur der Angriffe, aber auch die Struktur der Angreifer verändert. Wurden PHP-basierte Webapplikationen noch vor wenigen Jahren hauptsächlich»zum Spaß«angegriffen oder die sie beherbergenden Server als Ablageplatz für Raubkopien und Ähnliches missbraucht, stehen nun kommerzielle Interessen im Vordergrund. Professionelle Crackergruppen nutzen automatisierte Tools, um massenhaft Schwachstellen in PHP-Anwendungen auszunutzen, sich Zugang zu Webservern zu verschaffen und diese zu kriminellen Handlungen wie Spam, Phishing, Denial of Service oder gar illegaler Pornographie zu missbrauchen. Riesige»Botnetze«gehackter Serverund Clientrechner erwarten die Befehle ihrer mafiös organisierten Beherrscher. Obgleich es derlei Aktivitäten in engen Grenzen schon vor der ersten Auflage dieses Werkes gab, ist die Professionalität, Organisationsdichte und programmiertechnische Fähigkeit der Angreifer stark gewachsen. In zum Glück stärkerem Maße als Hacker, Cracker und Bauernfänger ist PHP den Kinderschuhen entwachsen, darüber besteht weitgehend Einigkeit. Anders als bei konventionellen Programmiersprachen wird allerdings in der Netzöffentlichkeit die Qualität einer Sprache nach wie vor an der Qualität der Anwendungen gemessen. So hat das Website-Management-System PHP-Nuke dem Ruf der Sprache PHP durch seine zahlreichen Sicherheitslücken nicht unerheblich geschadet ähnlich wie das berüchtigte formmail.pl in Perl das sprichwörtliche Negativbeispiel ist. Das scheint ungerecht, schließlich wird C++ auch nicht für Fehler in Windows verantwortlich gemacht oder Assembler für Bugs im Interrupt-Handling des Linux-Kernels beschul

20 1.1 Über dieses Buch 3 digt. Dennoch hat diese Haltung auch Vorteile: Sie zwingt das PHP- Team (die»php Group«) mittelfristig,»best Practices«zu entwickeln und PHP-Programmierer zu mehr Sicherheitsbewusstsein zu erziehen. Dieses Buch soll dabei helfen, indem es Problemfelder aufzeigt, Lösungsmöglichkeiten anbietet und anhand klarer Checklisten die Absicherung neuer und vorhandener Skripte erleichtert. An wen richtet sich dieses Buch? Das Buch»PHP-Sicherheit«wurde mit Blick auf zwei Gruppen von Lesern geschrieben: Fortgeschrittene und Profis mit Wartungsaufgaben sowie Systemadministratoren für Web- und Datenbankserver. Gerade Neulinge auf dem Feld der PHP-Entwicklung gehen das haben die Autoren zumindest in vielen Fällen beobachten können mit einer erfrischenden Naivität an die Programmierung ihrer ersten dynamischen Webseite heran. Das ist nicht grundsätzlich falsch, schließlich ist das Prinzip von»trial and Error«so alt wie die Programmierung selbst. Da aber PHP eine serverbasierte Skriptsprache ist und die Entwicklung direkt auf dem Webserver stattfindet, sind fehlerhafte»hallo Welt«-Elaborate nicht nur für ihren Schöpfer peinlich, sondern mit etwas Pech auch eine große Gefahr für andere Server im Internet. Wir möchten mit diesem Buch Einsteiger auf Gefahren und Risiken aufmerksam machen, die sie bei der Entwicklung und beim Einsatz von PHP-Skripten beachten müssen. Der Großteil aller Anfängerfehler lässt sich mit einigen grundlegenden Verhaltens- und Implementierungsregeln vermeiden und damit auch das persönliche Gästebuch sicherer gestalten. Auch fortgeschrittene PHP-Entwickler, die bereits mittlere bis große Anwendungen selbst oder als Teil eines Teams entwickelt haben, stehen oft vor ähnlichen Problemen. Sogenannter»Legacy Code«, also gewachsene Produkte, die seit langer Zeit»mitgeschleppt«werden, strotzen oft nur so vor Sicherheitsmängeln oder Designfehlern. Und doch ist ein kompletter Rewrite oft nicht machbar also steht eine Sicherheitsüberprüfung des gesamten Quellcodes an. Die Checklisten im Anhang helfen, diese Aufgabe zu systematisieren und selbst der versierteste PHP-Crack wird einige der in diesem Buch vorgestellten Lücken vielleicht noch nicht kennen. Der letzte Teil des Buches richtet sich an Systemadministratoren, also diejenigen, die unter schlecht geschriebenen und schlampig gewarteten Programmpaketen leiden und nach einem erfolgreichen oder misslungenen Hack die Aufräumarbeiten erledigen müssen. Obwohl sie meist Zugriff auf die Anwendung haben, können oder dürfen die PHP-Neulinge Fortgeschrittene PHP-Entwickler Systemadministratoren

21 4 1 Einleitung Administratoren nur selten selbst sicherheitskritische Änderungen durchführen. Um Schaden abzuwenden, müssen also die Webserver so konfiguriert werden, dass ein Angreifer auch ein sehr unsicheres Skript nicht für seine Zwecke missbrauchen kann der Webserver muss gegen Angriffe abgehärtet (»hardened«) werden. 1.2 Was ist Sicherheit? In der IT existiert ein geflügelter Spruch, der besagt, dass Daten erst dann sicher seien, wenn sie in einem Safe an einer unbekannten Stelle auf dem Meeresboden versenkt würden. So übertrieben das auch klingen mag, dieses Sprichwort enthält einen Funken Wahrheit. Absolute Sicherheit kann (ohne Tresore und Tiefsee-Lagerung in Betracht zu ziehen) nicht erzielt werden, alle Bemühungen müssen stets als»best effort«gelten. Eine sinnvolle Definition des Sicherheitsbegriffes kann stets nur kontextbezogen gefunden werden. Institutionen wie Finanz- oder Meldeämter, die mit hoch- und höchstvertraulichen Daten zu tun haben, werden unter Sicherheit etwas völlig anderes verstehen als jemand, der auf seiner privaten Homepage in einem einfachen CMS Bilder seines Goldfisches ausstellt. Daher kann man die Sicherheit von webbasierten Systemen (um die es in diesem Buch letztlich gehen soll) folgendermaßen umschreiben: Ein System kann als sicher gelten, wenn die Kosten für einen erfolgreichen Angriff den möglichen Nutzen übersteigen. Cracker und sonstige böse Buben verfügen nämlich nicht über unbegrenzte Zeit und Mittel. Die erste Gruppe von Angreifern,»Scriptkiddies«, rekrutiert sich überwiegend aus Jugendlichen und jungen Erwachsenen mit wenigen oder keinen Fachkenntnissen. Das typische Scriptkiddy verfügt über eine gut sortierte Bibliothek vorgefertigter Angriffstools für viele verschiedene Lücken und sucht sich seine Opfer meist anhand vorhandener Lücken aus. Derartige Angreifer werden sich vor allem leichte Ziele aussuchen, die gleichzeitig vielversprechende Möglichkeiten bieten. Ein Webserver, der schnell ans Internet angebunden ist und auf dem eine uralte Version des Forums phpbb verwendet wird, ist verlockende Beute für Scriptkiddies. Er ist leicht zu»knacken«und kann dann als Ablageplatz für Raubkopien oder als Relay, also Zwischenstation, für weitere Angriffe missbraucht werden. Ist aber die verwendete Software auf dem neuesten Stand oder auch recht unbekannt, wird mehr Aufwand notwendig, um in den Server einzudringen ein Einbruch lohnt sich oft nicht mehr und die meis-

22 1.3 Wichtige Begriffe 5 ten Scriptkiddies werden schnell von einem Server ablassen, der auf den ersten meist automatisierten Blick keine Angriffsfläche bietet. Ein Unternehmen, das sehr viele wertvolle Daten verwaltet, ist jedoch auch für erfahrenere Cracker, die ihre Raubzüge aus kommerziellen Gründen durchführen, ein sehr attraktives Ziel. Hacker werden viel Zeit und Mittel aufwenden, um an diese Daten zu gelangen, es reicht daher nicht, die Datei mit sämtlichen Kundendaten in einem versteckten, aber für den Webserver zugänglichen Verzeichnis abzulegen. Sobald die möglichen Eindringlinge das Ziel als sehr attraktiv eingestuft haben, werden sie sich so lange an den frei zugänglichen Teilen verbeißen, bis sie einen Zugang finden. Mit einer Kundendatenbank voller Kontoinformationen können sie schließlich wesentlich mehr anfangen als mit den Bildern einer erfolgreichen Goldfischzucht. 1.3 Wichtige Begriffe Um in den folgenden Kapiteln nicht stets neue Erklärungen finden zu müssen, möchten wir einige wichtige Begriffe aus dem Sicherheitsjargon vorab erklären. Defense in Depth Werden Sicherheitskonzepte angesprochen, taucht das Schlagwort»Defense in Depth«immer öfter auf, um ein möglichst schlagkräftiges Sicherheitsprinzip zu beschreiben. Und tatsächlich ist das Prinzip der»tiefenverteidigung«, wie eine deutsche Übersetzung des Begriffes lauten könnte, bei konsequenter Umsetzung sehr wirksam. Der von Defense in Depth verfolgte Ansatz geht von einer zwiebelschalenförmigen Sicherung aus, bei der eine Anwendung durch Sicherheitsmaßnahmen auf mehreren Ebenen geschützt ist. Diese Sicherung beginnt bereits auf der Netzwerkebene: Firewalls trennen die Webinfrastruktur vom internen Netzwerk oder VPN des Betreibers, und Paketfilter sorgen dafür, dass nur diejenigen Benutzer Zugriff auf sensible Bereiche haben, die auch administrativ dafür zugelassen sind. Auf Betriebssystemebene setzt die zweite Verteidigungslinie gegen Cracker und sonstige Finsterlinge an: Ein gehärteter Linux-Kernel wehrt selbsttätig Angriffe gegen den IP-Stack oder interne Funktionen ab und erlaubt kein Nachladen und Ausführen von Kernel-Modulen. Eine im Kernel implementierte Changeroot-Umgebung (chroot) separiert Anwendungen voneinander und weitere Maßnahmen, die auf Betriebssystemebene implementiert werden. Netzwerk Betriebssystem

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren von Christopher Kunz, Stefan Esser, Peter Prochaska überarbeitet PHP-Sicherheit Kunz / Esser / Prochaska schnell und portofrei erhältlich bei

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

1 Einleitung. 1.1 Über dieses Buch

1 Einleitung. 1.1 Über dieses Buch 1 1.1 Über dieses Buch Als im Herbst 2004 das Konzept für die erste Auflage dieses Buches erstellt wurde, hatte PHP bereits viele andere Web-Skriptsprachen hinter sich gelassen. Millionen von Websites

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren von Christopher Kunz, Stefan Esser, Peter Prochaska überarbeitet PHP-Sicherheit Kunz / Esser / Prochaska schnell und portofrei erhältlich bei

Mehr

Konfigurationsmanagement mit Subversion, Ant und Maven

Konfigurationsmanagement mit Subversion, Ant und Maven Gunther Popp Konfigurationsmanagement mit Subversion, Ant und Maven Grundlagen für Softwarearchitekten und Entwickler 2., aktualisierte Auflage Gunther Popp gpopp@km-buch.de Lektorat: René Schönfeldt Copy-Editing:

Mehr

Dominik Schadow. Java-Web-Security. Sichere Webanwendungen mit Java entwickeln

Dominik Schadow. Java-Web-Security. Sichere Webanwendungen mit Java entwickeln Dominik Schadow Java-Web-Security Sichere Webanwendungen mit Java entwickeln Dominik Schadow info@dominikschadow.de Lektorat: René Schönfeldt Copy-Editing: Friederike Daenecke, Zülpich Satz: Da-TeX, Leipzig

Mehr

Christopher Kunz Stefan Esser

Christopher Kunz Stefan Esser 320 PHP-Sicherheit Christopher Kunz ist Mitinhaber der Filoo GmbH, die Housting, Housing und Consulting anbietet. Er hat bereits mehrere Dutzend Artikel über allerlei PHP-Themen verfasst und war als Referent

Mehr

Nicolai Josuttis. SOA in der Praxis. System-Design für verteilte Geschäftsprozesse

Nicolai Josuttis. SOA in der Praxis. System-Design für verteilte Geschäftsprozesse Nicolai Josuttis SOA in der Praxis System-Design für verteilte Geschäftsprozesse Nicolai Josuttis Website zum Buch http://www.soa-in-der-praxis.de Die englische Ausgabe erschien unter dem Titel»SOA in

Mehr

Der Autor ist seit dem Jahr 2001 bei der Firma GeNUA mbh als Security Consultant und gegenwärtig als Koordinator für Intrusion Detection tätig.

Der Autor ist seit dem Jahr 2001 bei der Firma GeNUA mbh als Security Consultant und gegenwärtig als Koordinator für Intrusion Detection tätig. WLAN-Sicherheit Der Autor ist seit dem Jahr 2001 bei der Firma GeNUA mbh als Security Consultant und gegenwärtig als Koordinator für Intrusion Detection tätig. Seine Aufgabengebiete sind: Penetration Testing/Auditing

Mehr

Im Rahmen seiner Beratertätigkeit veröffentlicht er Artikel und hält Vorträge und Schulungen zu diesen und weiteren Themen.

Im Rahmen seiner Beratertätigkeit veröffentlicht er Artikel und hält Vorträge und Schulungen zu diesen und weiteren Themen. Dr. Wolf-Gideon Bleek ist seit 1997 in der Softwaretechnik-Gruppe der Universität Hamburg in Forschung und Lehre tätig. Er führt seit 1999 agile Projekte durch und berät Organisationen beim Einsatz agiler

Mehr

Inhaltsverzeichnis. Einleitung... 11

Inhaltsverzeichnis. Einleitung... 11 Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP

Mehr

IT-Servicemanagement mit ITIL V3

IT-Servicemanagement mit ITIL V3 Roland Böttcher IT-Servicemanagement mit ITIL V3 Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen Heise Roland Böttcher roland.boettcher@fh-bochum.de Lektorat: Dr. Michael Barabas

Mehr

Tobias Wassermann. Sichere Webanwendungen mit PHP

Tobias Wassermann. Sichere Webanwendungen mit PHP Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP

Mehr

IT-Projektverträge: Erfolgreiches Management

IT-Projektverträge: Erfolgreiches Management IT-Projektverträge: Erfolgreiches Management RA Dr. Christoph Zahrnt war nach dem Studium sowohl des Rechts als auch der Volkswirtschaft mehrere Jahre als Softwareentwickler und Einkaufsjurist in der hessischen

Mehr

Helge Dohle Rainer Schmidt Frank Zielke Thomas Schürmann ISO 20000. Eine Einführung für Manager und Projektleiter

Helge Dohle Rainer Schmidt Frank Zielke Thomas Schürmann ISO 20000. Eine Einführung für Manager und Projektleiter Helge Dohle Rainer Schmidt Frank Zielke Thomas Schürmann ISO 20000 Eine Einführung für Manager und Projektleiter Helge Dohle Rainer Schmidt Frank Zielke Thomas Schürmann Helge.Dohle@impaqgroup.com Rainer.Schmidt@fh-aalen.de

Mehr

Tobias H. Strömer. Online-Recht. Juristische Probleme der Internet-Praxis erkennen und vermeiden. 4., vollständig überarbeitete Auflage

Tobias H. Strömer. Online-Recht. Juristische Probleme der Internet-Praxis erkennen und vermeiden. 4., vollständig überarbeitete Auflage Tobias H. Strömer Online-Recht Juristische Probleme der Internet-Praxis erkennen und vermeiden 4., vollständig überarbeitete Auflage Tobias H. Strömer E-Mail: anwalt@stroemer.de http://www.stroemer.de

Mehr

Managementsysteme für IT-Serviceorganisationen

Managementsysteme für IT-Serviceorganisationen Bernhard M. Huber Managementsysteme für IT-Serviceorganisationen Entwicklung und Umsetzung mit EFQM COBIT ISO 20000 ITIL Bernhard M. Huber Bernhard.Huber@qmvision.de Lektorat: Christa Preisendanz Copy-Editing:

Mehr

er auch mit dem 3D-Programm Blender in Kontakt, über das er bisher zahlreiche Vorträge hielt und Artikel in Fachzeitschriften veröffentlichte.

er auch mit dem 3D-Programm Blender in Kontakt, über das er bisher zahlreiche Vorträge hielt und Artikel in Fachzeitschriften veröffentlichte. beschäftigt sich seit Beginn der 80er Jahre intensiv mit Computern und deren Programmierung anfangs mit einem VC-20 von Commodore sowie speziell mit Computergrafik. Der Amiga ermöglichte ihm dann die Erzeugung

Mehr

Basiswissen Software-Projektmanagement

Basiswissen Software-Projektmanagement isql-reihe Basiswissen Software-Projektmanagement Aus- und Weiterbildung zum Certified Professional for Project Management nach isqi-standard von Bernd Hindel, Klaus Hörmann, Markus Müller, Jürgen Schmied

Mehr

IT-Controlling für die Praxis

IT-Controlling für die Praxis Martin Kütz IT-Controlling für die Praxis Konzeption und Methoden 2., überarbeitete und erweiterte Auflage Martin Kütz kuetz.martin@tesycon.de Lektorat: Christa Preisendanz & Vanessa Wittmer Copy-Editing:

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Continuous Delivery. Der pragmatische Einstieg. von Eberhard Wolff. 1. Auflage. dpunkt.verlag 2014

Continuous Delivery. Der pragmatische Einstieg. von Eberhard Wolff. 1. Auflage. dpunkt.verlag 2014 Continuous Delivery Der pragmatische Einstieg von Eberhard Wolff 1. Auflage dpunkt.verlag 2014 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 86490 208 6 Zu Leseprobe schnell und portofrei erhältlich

Mehr

Prof. Dr. Matthias Knoll

Prof. Dr. Matthias Knoll Prof. Dr. Matthias Knoll ist Professor für Betriebswirtschaftslehre an der Hochschule Darmstadt. Sein Spezialgebiet ist die betriebliche Informationsverarbeitung mit den Schwerpunkten GRC-Management, IT-Prüfung

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Basiswissen Software- Projektmanagement

Basiswissen Software- Projektmanagement Bernd Hindel. Klaus Hörmann. Markus Müller. Jürgen Schmied Basiswissen Software- Projektmanagement Aus- und Weiterbildung zum Certified Professional for Project Management nach isqi-standard 2., überarbeitete

Mehr

Michael Kurz Martin Marinschek

Michael Kurz Martin Marinschek Michael Kurz studierte Informatik an der Technischen Universität Wien und hat sich seitdem in seiner beruflichen Tätigkeit dem Thema Webentwicklung verschrieben. Seit seinem Wechsel zu IRIAN beschäftigt

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

dpunkt.lehrbuch Bücher und Teachware für die moderne Informatikausbildung

dpunkt.lehrbuch Bücher und Teachware für die moderne Informatikausbildung Hanspeter Mössenböck ist Professor für Informatik an der Universität Linz und Leiter des Instituts für Systemsoftware. Er beschäftigt sich vor allem mit Programmiersprachen, Compilern und Systemsoftware.

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

SQL Server 2005. Eine umfassende Einführung

SQL Server 2005. Eine umfassende Einführung SQL Server 2005 Eine umfassende Einführung E-Mail: petkovic@fh-rosenheim.de Lektorat: Barbara Lauer, Bonn Copy-Editing: Sandra Gottmann, Münster Satz: Just in Print, Bonn Herstellung: Birgit Bäuerlein

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

VMware vrealize Automation Das Praxisbuch

VMware vrealize Automation Das Praxisbuch VMware vrealize Automation Das Praxisbuch Dr. Guido Söldner leitet den Geschäftsbereich Cloud Automation und Software Development bei der Söldner Consult GmbH in Nürnberg. Sein Unternehmen ist auf Virtualisierungsinfrastrukturen

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Dr. Carola Lilienthal www.dpunkt.de/plus

Dr. Carola Lilienthal www.dpunkt.de/plus Dr. Carola Lilienthal ist Senior-Softwarearchitektin und Mitglied der Geschäftsleitung der WPS Workplace Solutions GmbH in Hamburg. Dort verantwortet sie den Bereich Softwarearchitektur und gibt ihr Wissen

Mehr

JavaScript kinderleicht!

JavaScript kinderleicht! Nick Morgan JavaScript kinderleicht! Einfach programmieren lernen mit der Sprache des Web Übersetzung aus dem Amerikanischen von Isolde Kommer und Christoph Kommer Lektorat: Dr. Michael Barabas Übersetzung:

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Mike Burrows Übersetzer: Florian Eisenberg Wolfgang Wiedenroth www.dpunkt.de/plus

Mike Burrows Übersetzer: Florian Eisenberg Wolfgang Wiedenroth www.dpunkt.de/plus Mike Burrows ist Geschäftsführer und Principal Consultant von David J. Anderson and Associates (djaa.com). In seiner beruflichen Laufbahn, die sich von der Luftfahrt über das Bankwesen, das Energiewesen

Mehr

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver

Mehr

Leitfaden Web-Usability

Leitfaden Web-Usability Frank Puscher Leitfaden Web-Usability Strategien, Werkzeuge und Tipps für mehr Benutzerfreundlichkeit Lektorat: Barbara Lauer Copy-Editing: Alexander Reischert Satz: Frank Heidt Herstellung: Frank Heidt

Mehr

Praxiswissen TYPO3 CMS 7 LTS

Praxiswissen TYPO3 CMS 7 LTS Praxiswissen TYPO3 CMS 7 LTS 8. AUFLAGE Praxiswissen TYPO3 CMS 7 LTS Robert Meyer & Martin Helmich Robert Meyer & Martin Helmich Lektorat: Alexandra Follenius Korrektorat: Sibylle Feldmann Herstellung:

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

IT-Service-Management mit ITIL 2011 Edition

IT-Service-Management mit ITIL 2011 Edition Roland Böttcher IT-Service-Management mit ITIL 2011 Edition Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen 3., aktualisierte Auflage Heise Prof. Dr. Roland Böttcher roland.boettcher@hs-bochum.de

Mehr

Maik Schmidt arbeitet seit beinahe 20 Jahren als Softwareentwickler für mittelständische und Großunternehmen. Er schreibt seit einigen Jahren

Maik Schmidt arbeitet seit beinahe 20 Jahren als Softwareentwickler für mittelständische und Großunternehmen. Er schreibt seit einigen Jahren Maik Schmidt arbeitet seit beinahe 20 Jahren als Softwareentwickler für mittelständische und Großunternehmen. Er schreibt seit einigen Jahren Buchkritiken und Artikel für internationale Zeitschriften und

Mehr

Praxisbuch BI Reporting

Praxisbuch BI Reporting Alexander Adam Bernd Schloemer Praxisbuch BI Reporting Schritt für Schritt zum perfekten Report mit BEx Tools und BusinessObjects Alexander Adam alexander.adam@googlemail.com Bernd Schloemer bernd.schloemer@googlemail.de

Mehr

Software modular bauen

Software modular bauen Software modular bauen Architektur von langlebigen Softwaresystemen Grundlagen und Anwendung mit OSGi und Java von Ulf Fildebrandt 1. Auflage Software modular bauen Fildebrandt schnell und portofrei erhältlich

Mehr

München 2014) und»uml2 glasklar«(carl Hanser Verlag München

München 2014) und»uml2 glasklar«(carl Hanser Verlag München Prof. Dr. Klaus Pohl ist Professor für Software Systems Engineering und Direktor von»paluno The Ruhr Institute for Software Technology«an der Universität Duisburg-Essen. Er ist bzw. war Koordinator von

Mehr

Datawarehousing mit SAP BW 7

Datawarehousing mit SAP BW 7 Christian Mehrwald Datawarehousing mit SAP BW 7 BI in SAP NetWeaver 2004s Architektur, Konzeption, Implementierung 4., vollständig überarbeitete und erweiterte Auflage Christian Mehrwald Christian.Mehrwald@quadox.de

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Kennzahlen in der IT

Kennzahlen in der IT Kennzahlen in der IT Dr. Martin Kütz ist geschäftsführender Gesellschafter der TESYCON GMBH und Fachberater für IT-Controlling und Projektmanagement. Er verfügt über langjährige Erfahrungen im IT-Management

Mehr

Basiswissen Medizinische Software

Basiswissen Medizinische Software Basiswissen Medizinische Software Christian Johner ist Professor für Software Engineering, Softwarequalitätssicherung und Medizinische Informatik an der Hochschule Konstanz. Am»Johner Institut für IT im

Mehr

Basiswissen Softwaretest

Basiswissen Softwaretest Andreas Spillner. Tilo Linz Basiswissen Softwaretest Aus- und Weiterbildung zum Certified Tester Foundation Level nach ISTQB-Standard 3., überarbeitete und aktualisierte Auflage Andreas Spillner spillner@informatik.hs-bremen.de

Mehr

Dr. Michael Hahne www.dpunkt.de/plus

Dr. Michael Hahne www.dpunkt.de/plus Dr. Michael Hahne ist Geschäftsführender Gesellschafter der Hahne Consulting GmbH, einem auf Business-Intelligence-Architektur und -Strategie spezialisierten Beratungsunternehmen. Zuvor war er Vice President

Mehr

Maik Schmidt www.dpunkt.de/plus

Maik Schmidt www.dpunkt.de/plus Maik Schmidt arbeitet seit beinahe 20 Jahren als Softwareentwickler für mittelständische und Großunternehmen. Er schreibt seit einigen Jahren Buchkritiken und Artikel für internationale Zeitschriften und

Mehr

IT-Servicemanagement mit ITIL V3

IT-Servicemanagement mit ITIL V3 IT-Servicemanagement mit ITIL V3 Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen von Roland Böttcher 2., aktualisierte Auflage IT-Servicemanagement mit ITIL V3 Böttcher schnell und

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Dipl.-Inform. Henning Wolf Prof. Dr. ir. Rini van Solingen Eelco Rustenburg

Dipl.-Inform. Henning Wolf Prof. Dr. ir. Rini van Solingen Eelco Rustenburg Dipl.-Inform. Henning Wolf ist Geschäftsführer der it-agile GmbH mit Sitz in Hamburg und München. Er verfügt über langjährige Erfahrung aus agilen Softwareprojekten (extreme Programming, Scrum, Kanban)

Mehr

Professionell blitzen mit dem Nikon Creative Lighting System

Professionell blitzen mit dem Nikon Creative Lighting System Mike Hagen Professionell blitzen mit dem Nikon Creative Lighting System dpunkt.verlag Mike Hagen Lektorat: Gerhard Rossbach Copy-Editing: Alexander Reischert (Redaktion ALUAN, Köln) Layout und Satz: Almute

Mehr

kontakt@artepictura.de

kontakt@artepictura.de Cora und Georg Banek leben und arbeiten im Raum Mainz, wo sie Mitte 2009 ihr Unternehmen um eine Fotoschule (www.artepictura-akademie.de) erweitert haben. Vorher waren sie hauptsächlich im Bereich der

Mehr

Praxiswissen Softwaretest

Praxiswissen Softwaretest Praxiswissen Softwaretest Testmanagement Andreas Spillner ist Professor für Informatik an der Hochschule Bremen, Fakultät Elektrotechnik und Informatik. Er war über 10 Jahre Sprecher der Fachgruppe TAV»Test,

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

Alexander Geschonneck ix-edition www.dpunkt.de/plus

Alexander Geschonneck ix-edition www.dpunkt.de/plus Alexander Geschonneck leitet als Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist die Sicherstellung und Analyse von digitalen Beweismitteln

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Tilman Beitter Thomas Kärgel André Nähring Andreas Steil Sebastian Zielenski

Tilman Beitter Thomas Kärgel André Nähring Andreas Steil Sebastian Zielenski Tilman Beitter arbeitete mehrere Jahre als Softwareentwickler im ERP-Bereich und ist seit 2010 mit großer Begeisterung für die B1 Systems GmbH als Linux Consultant und Trainer unterwegs. Seine Themenschwerpunkte

Mehr

Cloud-Computing für Unternehmen

Cloud-Computing für Unternehmen Gottfried Vossen Till Haselmann Thomas Hoeren Cloud-Computing für Unternehmen Technische, wirtschaftliche, rechtliche und organisatorische Aspekte Prof. Dr. Gottfried Vossen vossen@helios.uni-muenster.de

Mehr

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de suhosin PHP-Patch und PHP-Security Extension Peter Prochaska Freiberuflicher Security-Consultant, PHP- Entwickler, Trainer und Autor. PHP-Entwickler seit 1998 Buchautor: PHP-Sicherheit, dpunkt.verlag Mitentwickler

Mehr

Dipl.-Inform. Sven Röpstorff Dipl.-Kaufm. Robert Wiechmann

Dipl.-Inform. Sven Röpstorff Dipl.-Kaufm. Robert Wiechmann Dipl.-Inform. Sven Röpstorff ist freiberuflicher Agiler Projektmanager und Coach mit 17 Jahren Berufserfahrung, Wandler zwischen der traditionellen und der agilen Welt mit Schwerpunkt in agilen Methoden

Mehr

Die Computerwerkstatt

Die Computerwerkstatt Klaus Dembowski Die Computerwerkstatt Für PCs, Notebooks, Tablets und Smartphones Klaus Dembowski Lektorat: Gabriel Neumann Herstellung: Nadine Thiele Umschlaggestaltung: Helmut Kraus, www.exclam.de Druck

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

PHP sicher, performant und skalierbar betreiben

PHP sicher, performant und skalierbar betreiben PHP sicher, performant und skalierbar betreiben Dipl.-Inform. Dominik Vallendor 26.09.2012 Tralios IT GmbH www.tralios.de Über mich Dominik Vallendor Studium der Informatik in Karlsruhe Seit 1995: Internet

Mehr

Über die Herausgeber

Über die Herausgeber Über die Herausgeber Frank R. Lehmann, Paul Kirchberg und Michael Bächle (von links nach rechts) sind Professoren im Studiengang Wirtschaftsinformatik an der Dualen Hochschule Baden-Württemberg (DHBW),

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Postfix. Ralf Hildebrandt Patrick Koetter. Einrichtung, Betrieb und Wartung

Postfix. Ralf Hildebrandt Patrick Koetter. Einrichtung, Betrieb und Wartung Ralf Hildebrandt Patrick Koetter Postfix Einrichtung, Betrieb und Wartung Übersetzt aus dem Amerikanischen, aktualisiert und überarbeitet von den Autoren Ralf Hildebrandt Ralf.Hildebrandt@charite.de Patrick

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Uwe Vigenschow Andrea Grass Alexandra Augstin Dr. Michael Hofmann www.dpunkt.de/plus

Uwe Vigenschow Andrea Grass Alexandra Augstin Dr. Michael Hofmann www.dpunkt.de/plus Uwe Vigenschow ist Abteilungsleiter bei Werum IT Solutions. In das Buch sind über 25 Jahre Erfahrung in der Softwareentwicklung als Entwickler, Berater, Projektleiter und Führungskraft eingeflossen. Mit

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information

Mehr

Basiswissen Medizinische Software

Basiswissen Medizinische Software Basiswissen Medizinische Software Aus- und Weiterbildung zum Certified Professional for Medical Software Bearbeitet von Christian Johner, Matthias Hölzer-Klüpfel, Sven Wittorf 2., überarbeitete und aktualisierte

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Über die Autoren. www.dpunkt.de/plus

Über die Autoren. www.dpunkt.de/plus Über die Autoren Joan Lambert beschäftigt sich seit 1986 umfassend mit Microsoft-Technologien und ist seit 1997 in der Schulungs- und Zertifizierungsbranche tätig. Als Vorsitzende und CEO von Online Training

Mehr

Sicherheit im Internet

Sicherheit im Internet 00_425_3.book Seite III Montag, 28. November 2005 11:21 11 Sicherheit im Internet Krzysztof Janowicz Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo 00_425_3.book Seite IV Montag, 28. November

Mehr

CNC-Fräsen für Maker und Modellbauer

CNC-Fräsen für Maker und Modellbauer Christian Rattat arbeitet seit etwa 20 Jahren als Softwareentwickler und begann seine Karriere 1987 auf einem Commodore Amiga 2000. Heute arbeitet er für Großunternehmen im Microsoft- und Unix-Umfeld,

Mehr

Soft Skills für Softwareentwickler

Soft Skills für Softwareentwickler Soft Skills für Softwareentwickler Uwe Vigenschow arbeitet als Abteilungsleiter bei der Werum IT Solutions AG in Lüneburg, dem international führenden Anbieter von Manufacturing Execution Systems (MES)

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Lothar Lochmaier. Die Bank sind wir. Chancen und Perspektiven von Social Banking. Heise

Lothar Lochmaier. Die Bank sind wir. Chancen und Perspektiven von Social Banking. Heise Lothar Lochmaier Die Bank sind wir Chancen und Perspektiven von Social Banking Heise Lothar Lochmaier lochmaier@gmx.de Reihenherausgeber: Florian Rötzer, München, fr@heise.de Lektorat: Susanne Rudi, Heidelberg

Mehr

Social Media Analytics & Monitoring

Social Media Analytics & Monitoring Andreas Werner Social Media Analytics & Monitoring Verfahren und Werkzeuge zur Optimierung des ROI Andreas Werner aw@datenonkel.com Lektorat: Dr. Michael Barabas Copy-Editing: Annette Schwarz, Ditzingen

Mehr

Soft Skills für Softwareentwickler

Soft Skills für Softwareentwickler Uwe Vigenschow Björn Schneider Soft Skills für Softwareentwickler Fragetechniken, Konfliktmanagement, Kommunikationstypen und -modelle Unter Mitarbeit von Ines Meyrose Uwe Vigenschow Uwe.Vigenschow@oose.de

Mehr

Sicherheits-Leitfaden

Sicherheits-Leitfaden Sicherheits-Leitfaden Sehr geehrter Kunde, bei dem von Ihnen genutzten Angebot handelt es sich um Webspace auf einem Shared-Server. Dies bedeutet, dass auf einem Server mehrere Kunden gehostet werden.

Mehr

Marcus Schießer Martin Schmollinger. Workshop Java EE 7. Ein praktischer Einstieg in die Java Enterprise Edition mit dem Web Profile

Marcus Schießer Martin Schmollinger. Workshop Java EE 7. Ein praktischer Einstieg in die Java Enterprise Edition mit dem Web Profile Marcus Schießer Martin Schmollinger Workshop Java EE 7 Ein praktischer Einstieg in die Java Enterprise Edition mit dem Web Profile Marcus Schießer marcus.schiesser@javaee7.de Martin Schmollinger martin.schmollinger@javaee7.de

Mehr

Web-Apps mit jquery Mobile

Web-Apps mit jquery Mobile Philipp Friberg Web-Apps mit jquery Mobile Mobile Multiplattform-Entwicklung mit HTML5 und JavaScript Philipp Friberg jqm@xapps.ch Lektorat: René Schönfeldt Copy Editing: Christoph Ecken, Heidelberg Herstellung:

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

IT-Unternehmensarchitektur

IT-Unternehmensarchitektur Wolfgang Keller IT-Unternehmensarchitektur Von der Geschäftsstrategie zur optimalen IT-Unterstützung 2., überarbeitete und erweiterte Auflage Wolfgang Keller wk@objectarchitects.de Lektorat: Christa Preisendanz

Mehr

Kim Nena Duggen ist Vorstand und Trainerin der oose Innovative Informatik eg. Ihre thematischen Schwerpunkte sind das Geschäftsprozessmanagement,

Kim Nena Duggen ist Vorstand und Trainerin der oose Innovative Informatik eg. Ihre thematischen Schwerpunkte sind das Geschäftsprozessmanagement, Tim Weilkiens ist Vorstand und Trainer der oose Innovative Informatik eg. Seine thematischen Schwerpunkte sind die Modellierung von Systemen, Software und Unternehmen. Er ist für oose Repräsentant bei

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr