Christopher Kunz Stefan Esser

Größe: px
Ab Seite anzeigen:

Download "Christopher Kunz Stefan Esser"

Transkript

1

2 PHP-Sicherheit

3 Christopher Kunz ist Mitinhaber der Filoo GmbH, die Housting, Housing und Consulting anbietet. Er hat bereits mehrere Dutzend Artikel über allerlei PHP-Themen verfasst und war als Referent auf mehreren PHP-Konferenzen zu sehen. Christopher Kunz lebt in Hannover und arbeitet dort nach seinem Studium an einer Promotion im Fach Informatik. Stefan Esser ist Gründer und Sicherheitsberater der SektionEins GmbH aus Köln, die sich ausschließlich mit der Sicherheit von Webapplikation befasst. Er ist bekannt für zahlreiche Advisories zur Sicherheit von weitverbreiteter Software wie Linux, Samba, Subversion, MySQL und PHP. Stefan Esser ist seit 2002 an der Entwicklung von PHP beteiligt und ist auch der Autor der PHP- Sicherheitserweiterung Suhosin. Nebenbei schreibt er Artikel über PHP Sicherheit für das PHP Magazin und PHP Architect.

4 Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 3., aktualisierte Auflage

5 Christopher Kunz Stefan Esser Peter Prochaska Lektorat: René Schönfeldt Copy-Editing: Ursula Zimpfer, Herrenberg Herstellung: Birgit Bäuerlein Umschlaggestaltung: Helmut Kraus, Druck und Bindung: Koninklijke Wöhrmann B.V., Zutphen, Niederlande Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.ddb.de> abrufbar. ISBN , aktualisierte Auflage 2008 Copyright 2008 dpunkt.verlag GmbH Ringstraße 19 B Heidelberg Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen

6 v Danksagungen Christopher Kunz Ich bedanke mich bei meinen Kompagnons, meinen Kollegen, meiner Familie und bei der gesamten deutschen PHP-Community für die Unterstützung, kritische Begutachtung sowie für wichtige Anregungen zu meiner Arbeit. Besonders danken möchte ich an dieser Stelle Henning Behme von der ix, der mir den Anstoß gab, über PHP zu schreiben. Stefan Esser Ich bedanke mich vor allem bei meiner Freundin Nam-Hee, die mich in allen Lebenslagen unterstützt und zu mir steht. Ich danke auch meiner Familie, ohne die ich niemals so weit gekommen wäre. Danke. Die Autoren bedanken sich gemeinsam bei Peter Prochaska für die wertvollen Beiträge zu diesem Buch, bei René Schönfeldt für die mittlerweile dritte Auflage einer hervorragenden Zusammenarbeit und allen ihren Lesern für das Interesse und entgegengebrachte Vertrauen.

7 vi Danksagungen

8 vii Inhaltsverzeichnis 1 Einleitung Über dieses Buch Was ist Sicherheit? Wichtige Begriffe Sicherheitskonzepte ISO Wie verkaufe ich Sicherheit? Wichtige Informationsquellen Mailinglisten Full Disclosure BugTraq WebAppSec OWASP PHP-Sicherheit.de Informationsgewinnung Grundlagen Webserver erkennen Server-Banner erfragen Webserver-Verhalten interpretieren Tools für Webserver-Fingerprinting Betriebssystem erkennen PHP-Installation erkennen Datenbanksystem erkennen

9 viii Inhaltsverzeichnis 2.6 Datei-Altlasten Temporäre Dateien Include- und Backup-Dateien Dateien von Entwicklungswerkzeugen Vergessene oder»versteckte«php-dateien Temporäre CVS-Dateien Pfade mod_speling robots.txt Standardpfade Pfade verkürzen Kommentare aus HTML-Dateien Applikationen erkennen Das Aussehen/Layout Typische Dateien bekannter Applikationen Header-Felder Bestimmte Pfade Kommentare im Quellcode HTML-Metatags Default-User Google Dork Fazit Parametermanipulation Grundlagen Werkzeuge zur Parametermanipulation Parametermanipulation mit dem Browser Einen Proxy benutzen Angriffsszenarien und Lösungen Fehlererzeugung HTTP Response Splitting Remote Command Execution Angriffe auf Dateisystemfunktionen Angriffe auf Shell-Ebene Cookie Poisoning Manipulation von Formulardaten Vordefinierte PHP-Variablen manipulieren Spam über Mailformulare

10 Inhaltsverzeichnis ix 3.4 Variablen richtig prüfen Auf Datentyp prüfen Datenlänge prüfen Inhalte prüfen Whitelist-Prüfungen Blacklist-Prüfung Clientseitige Validierung register_globals Fazit Cross-Site Scripting Grenzenlose Angriffe Was ist Cross-Site Scripting? Warum XSS gefährlich ist Erhöhte Gefahr dank Browserkomfort Formularvervollständigung verhindern XSS in LANs und WANs XSS einige Beispiele Ein klassisches XSS Angriffspunkte für XSS Angriffe verschleiern XSS Cheat Sheet Einfache Gegenmaßnahmen XSS verbieten, HTML erlauben wie? BBCode HTML-Filter mit XSS-Blacklist Whitelist-Filtern mit»html Purifier« Die Zwischenablage per XSS auslesen XSS-Angriffe über DOM XSS in HTTP-Headern Angriffe der ersten Ordnung mit Headern Second Order XSS per Header Attack API Second Order XSS per RSS

11 x Inhaltsverzeichnis 4.18 Cross-Site Request Forgery (CSRF) CSRF als Firewall-Brecher CSRF in BBCode Ein erster Schutz gegen CSRF CSRF-Schutzmechanismen Formular-Token gegen CSRF Unheilige Allianz: CSRF und XSS SQL-Injection Grundlagen Auffinden von SQL-Injection-Möglichkeiten GET-Parameter POST-Parameter Cookie-Parameter Servervariablen Syntax einer SQL-Injection Sonderzeichen in SQL Schlüsselwörter in SQL Einfache SQL-Injection UNION-Injections Advanced SQL-Injection LOAD_FILE Denial of Service mit SQL-Injection ORDER BY Injection Schutz vor SQL-Injection Sonderzeichen maskieren Ist Schlüsselwort-Filterung ein wirksamer Schutz? Parameter Binding/Prepared Statements Stored Procedures Fazit Authentisierung und Authentifizierung Wichtige Begriffe Authentisierung Authentifizierung Autorisierung

12 Inhaltsverzeichnis xi 6.2 Authentisierungssicherheit SSL Behandlung von Passwörtern Benutzernamen und Kennungen Sichere Passwörter Passwort-Sicherheit bestimmen Vergessene Passwörter Authentifizierungssicherheit Falsche Request-Methode Falsche SQL-Abfrage SQL-Injection XSS Spamvermeidung mit CAPTCHAs Fazit Sessions Grundlagen Permissive oder strikte Session-Systeme Session-Speicherung Schwache Algorithmen zur Session-ID-Generierung Session-Timeout Bruteforcing von Sessions Session Hijacking Session Fixation Zusätzliche Abwehrmethoden Page-Ticket-System Session-Dateien mittels Cronjob löschen Session-ID aus dem Referrer löschen Fazit Upload-Formulare Grundlagen Aufbau eines Upload-Formulars PHP-interne Verarbeitung Speicherung der hochgeladenen Dateien Bildüberprüfung PHP-Code in ein Bild einfügen

13 xii Inhaltsverzeichnis 8.7 Andere Dateitypen überprüfen Gefährliche Zip-Archive Fazit Variablenfilter mit ext/filter Überblick Installation Die Filter-API Verfügbare Filter Validierende Filter Reinigende Filter Zahlen prüfen und filtern Boolesche Werte URLs validieren IP-Adressen prüfen Syntaxcheck für -Adressen Reinigende Filter Prüfung externer Daten Callback-Funktionen Fazit PHP intern Fehler in PHP Month of PHP Bugs File-Upload-Bug Unsichere (De-)Serialisierung Verwirrter Speichermanager Speicherproblem dank htmlentities Bewertung Bestandteile eines sicheren Servers Unix oder Windows? Bleiben Sie aktuell! Installation Installation als Apache-Modul CGI suexec

14 Inhaltsverzeichnis xiii 10.7 Safe Mode Einrichtung des Safe Mode safe_mode_exec_dir safe_mode_include_dir Umgebungsvariablen im Safe Mode Safe Mode considered harmful? Weitere PHP-Einstellungen open_basedir disable_functions disable_classes max_execution_time max_input_time memory_limit Upload-Einstellungen allow_url_fopen allow_url_include register_globals Code-Sandboxing mit runkit Externe Ansätze suphp FastCGI Das Apache-Modul mod_suid Rootjail-Lösungen BSD-Rootjails User Mode Linux mod_security mod_chroot Fazit PHP-Hardening Warum PHP härten? Buffer Overflows Schutz vor Pufferüberläufen im Suhosin-Patch Schutz vor Format-String-Schwachstellen Simulationsmodus Include-Schutz gegen Remote-Includes und Nullbytes Funktions- und Evaluationsbeschränkungen Schutz gegen Response Splitting und Mailheader Injection Variablenschutz

15 xiv Inhaltsverzeichnis SQL Intrusion Detection Logging Transparente Cookie- und Session-Verschlüsselung Härtung des Speicherlimits Transparenter phpinfo() Schutz Kryptografische Funktionen Prinzipien hinter Suhosin Installation Installation des Patch Installation der Extension Zusammenarbeit mit anderen Zend-Extensions Konfiguration Generelle Optionen Log-Dateien Alarmskript Transparente Verschlüsselung Variablenfilter Upload-Konfiguration Beispielkonfiguration Fazit und Ausblick Webserver-Filter für Apache Einsatzgebiet von Filtermodulen Blacklist oder Whitelist? mod_security So funktioniert s Gefahren durch mod_security Installation Konfiguration Regelwerk von mod_security Alarmskript für mod_security Rootjail-Umgebungen mit mod_security mod_security mod_parmguard So funktioniert s Installation Webserver-Konfiguration XML-Whitelist manuell erstellen Automatische Erzeugung Fazit

16 Inhaltsverzeichnis xv Anhang 310 A Checkliste für sichere Webapplikationen 311 B Wichtige Optionen in php.ini 315 B.1 variables_order B.2 register_globals B.3 register_long_arrays B.4 register_argc_argv B.5 post_max_size B.6 magic_quotes_gpc B.7 magic_quotes_runtime B.8 always_populate_raw_post_data B.9 allow_url_fopen B.10 allow_url_include C Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung 319 C.1 Cross-Site Scripting C.2 Information Disclosure C.3 Full Path Disclosure C.4 SQL-Injection C.5 HTTP Response Splitting C.6 Cross-Site Request Forgery C.7 Remote Command Execution C.8 Mail-Header Injection D Glossar 323 Stichwortverzeichnis 331

17 xvi Inhaltsverzeichnis

18 1 1 Einleitung 1.1 Über dieses Buch Als im Herbst 2004 das Konzept für die erste Auflage dieses Buches erstellt wurde, hatte PHP bereits viele andere Web-Skriptsprachen hinter sich gelassen. Millionen von Websites bauen auf die dynamische Skriptsprache, und von einfachen Gästebüchern bis hochkomplexen mehrstufigen Business-Applikationen sind PHP-Anwendungen in allen Größen, Farben und Formen zu finden. Seitdem konnte PHP, nicht zuletzt dank der Fülle verfügbarer Webapplikationen, aber auch dank geringer Einstiegshürden für Entwickler, seinen Vorsprung gegenüber anderen Sprachen deutlich ausbauen. Zwar kommen mit dem vielgerühmten»web 2.0«neue Herausforderungen und Konkurrenten man denke an»ruby on Rails«aber auch diese Hürde nimmt PHP spielend. PHP 5 bietet all denen, die zuvor die etwas lückenhafte Implementierung objektorientierter Programmierung von ernsthaften Gehversuchen abgehalten hat, eine umfassendere OOP-Schnittstelle und dazu geführt, dass noch mehr große Projekte und Firmen den Sprung von Lösungen mit Java oder.net zu der freien Skriptsprache schaffen. Mit dem immensen Wachstum der Nutzer- und Entwicklergemeinde wuchsen allerdings auch die Schwierigkeiten. Waren sicherheitsrelevante Fehler in PHP-Programmen schon seit jeher ein ernst zu nehmendes Problem, so kam es im Laufe des Jahres 2004 zu einigen mehr oder weniger spektakulären Sicherheitslücken. Die Forensoftware phpbb war besonders schlimm betroffen, ist sie doch (aufgrund ihres reichhaltigen Feature-Umfangs und der relativ einfachen Administration) eine der Killer-Applikationen für PHP. Ohne freie und leicht zu benutzende Produkte wie phpbb wäre die Verbreitung von PHP sicher nicht so schnell gegangen allerdings auch nicht die Ver-

19 2 1 Einleitung breitung des ersten PHP-Wurms Santy 1, der eine Lücke in der Forensoftware ausnutzt, um Schadcode zu laden und auszuführen. Ironischerweise ist Santy ausgerechnet in Perl geschrieben, der Sprache, an der sich PHP lange Zeit messen lassen musste. Andere Sicherheitsprobleme auf Internetseiten mit dem Label»PHP powered«beschäftigten gleich die Staatsanwaltschaften 2 oder Mitarbeiter großer Telekommunikationskonzerne 3. Bei allen Fehlern handelte es sich um Programmier- oder Designschnitzer, die vermeidbar gewesen wären. Obwohl auch in PHP selbst Bugs entdeckt (und behoben) wurden, die von einem böswilligen Angreifer für seine finsteren Zwecke verwendet werden konnten, liegt die große Mehrzahl der für die erfolgreiche Installation von Rootkits, Backdoors oder anderen Exploits verantwortlichen Sicherheitslücken in den Anwendungen selbst. Seit 2004 hat sich die Struktur der Angriffe, aber auch die Struktur der Angreifer verändert. Wurden PHP-basierte Webapplikationen noch vor wenigen Jahren hauptsächlich»zum Spaß«angegriffen oder die sie beherbergenden Server als Ablageplatz für Raubkopien und Ähnliches missbraucht, stehen nun kommerzielle Interessen im Vordergrund. Professionelle Crackergruppen nutzen automatisierte Tools, um massenhaft Schwachstellen in PHP-Anwendungen auszunutzen, sich Zugang zu Webservern zu verschaffen und diese zu kriminellen Handlungen wie Spam, Phishing, Denial of Service oder gar illegaler Pornographie zu missbrauchen. Riesige»Botnetze«gehackter Serverund Clientrechner erwarten die Befehle ihrer mafiös organisierten Beherrscher. Obgleich es derlei Aktivitäten in engen Grenzen schon vor der ersten Auflage dieses Werkes gab, ist die Professionalität, Organisationsdichte und programmiertechnische Fähigkeit der Angreifer stark gewachsen. In zum Glück stärkerem Maße als Hacker, Cracker und Bauernfänger ist PHP den Kinderschuhen entwachsen, darüber besteht weitgehend Einigkeit. Anders als bei konventionellen Programmiersprachen wird allerdings in der Netzöffentlichkeit die Qualität einer Sprache nach wie vor an der Qualität der Anwendungen gemessen. So hat das Website-Management-System PHP-Nuke dem Ruf der Sprache PHP durch seine zahlreichen Sicherheitslücken nicht unerheblich geschadet ähnlich wie das berüchtigte formmail.pl in Perl das sprichwörtliche Negativbeispiel ist. Das scheint ungerecht, schließlich wird C++ auch nicht für Fehler in Windows verantwortlich gemacht oder Assembler für Bugs im Interrupt-Handling des Linux-Kernels beschul

20 1.1 Über dieses Buch 3 digt. Dennoch hat diese Haltung auch Vorteile: Sie zwingt das PHP- Team (die»php Group«) mittelfristig,»best Practices«zu entwickeln und PHP-Programmierer zu mehr Sicherheitsbewusstsein zu erziehen. Dieses Buch soll dabei helfen, indem es Problemfelder aufzeigt, Lösungsmöglichkeiten anbietet und anhand klarer Checklisten die Absicherung neuer und vorhandener Skripte erleichtert. An wen richtet sich dieses Buch? Das Buch»PHP-Sicherheit«wurde mit Blick auf zwei Gruppen von Lesern geschrieben: Fortgeschrittene und Profis mit Wartungsaufgaben sowie Systemadministratoren für Web- und Datenbankserver. Gerade Neulinge auf dem Feld der PHP-Entwicklung gehen das haben die Autoren zumindest in vielen Fällen beobachten können mit einer erfrischenden Naivität an die Programmierung ihrer ersten dynamischen Webseite heran. Das ist nicht grundsätzlich falsch, schließlich ist das Prinzip von»trial and Error«so alt wie die Programmierung selbst. Da aber PHP eine serverbasierte Skriptsprache ist und die Entwicklung direkt auf dem Webserver stattfindet, sind fehlerhafte»hallo Welt«-Elaborate nicht nur für ihren Schöpfer peinlich, sondern mit etwas Pech auch eine große Gefahr für andere Server im Internet. Wir möchten mit diesem Buch Einsteiger auf Gefahren und Risiken aufmerksam machen, die sie bei der Entwicklung und beim Einsatz von PHP-Skripten beachten müssen. Der Großteil aller Anfängerfehler lässt sich mit einigen grundlegenden Verhaltens- und Implementierungsregeln vermeiden und damit auch das persönliche Gästebuch sicherer gestalten. Auch fortgeschrittene PHP-Entwickler, die bereits mittlere bis große Anwendungen selbst oder als Teil eines Teams entwickelt haben, stehen oft vor ähnlichen Problemen. Sogenannter»Legacy Code«, also gewachsene Produkte, die seit langer Zeit»mitgeschleppt«werden, strotzen oft nur so vor Sicherheitsmängeln oder Designfehlern. Und doch ist ein kompletter Rewrite oft nicht machbar also steht eine Sicherheitsüberprüfung des gesamten Quellcodes an. Die Checklisten im Anhang helfen, diese Aufgabe zu systematisieren und selbst der versierteste PHP-Crack wird einige der in diesem Buch vorgestellten Lücken vielleicht noch nicht kennen. Der letzte Teil des Buches richtet sich an Systemadministratoren, also diejenigen, die unter schlecht geschriebenen und schlampig gewarteten Programmpaketen leiden und nach einem erfolgreichen oder misslungenen Hack die Aufräumarbeiten erledigen müssen. Obwohl sie meist Zugriff auf die Anwendung haben, können oder dürfen die PHP-Neulinge Fortgeschrittene PHP-Entwickler Systemadministratoren

21 4 1 Einleitung Administratoren nur selten selbst sicherheitskritische Änderungen durchführen. Um Schaden abzuwenden, müssen also die Webserver so konfiguriert werden, dass ein Angreifer auch ein sehr unsicheres Skript nicht für seine Zwecke missbrauchen kann der Webserver muss gegen Angriffe abgehärtet (»hardened«) werden. 1.2 Was ist Sicherheit? In der IT existiert ein geflügelter Spruch, der besagt, dass Daten erst dann sicher seien, wenn sie in einem Safe an einer unbekannten Stelle auf dem Meeresboden versenkt würden. So übertrieben das auch klingen mag, dieses Sprichwort enthält einen Funken Wahrheit. Absolute Sicherheit kann (ohne Tresore und Tiefsee-Lagerung in Betracht zu ziehen) nicht erzielt werden, alle Bemühungen müssen stets als»best effort«gelten. Eine sinnvolle Definition des Sicherheitsbegriffes kann stets nur kontextbezogen gefunden werden. Institutionen wie Finanz- oder Meldeämter, die mit hoch- und höchstvertraulichen Daten zu tun haben, werden unter Sicherheit etwas völlig anderes verstehen als jemand, der auf seiner privaten Homepage in einem einfachen CMS Bilder seines Goldfisches ausstellt. Daher kann man die Sicherheit von webbasierten Systemen (um die es in diesem Buch letztlich gehen soll) folgendermaßen umschreiben: Ein System kann als sicher gelten, wenn die Kosten für einen erfolgreichen Angriff den möglichen Nutzen übersteigen. Cracker und sonstige böse Buben verfügen nämlich nicht über unbegrenzte Zeit und Mittel. Die erste Gruppe von Angreifern,»Scriptkiddies«, rekrutiert sich überwiegend aus Jugendlichen und jungen Erwachsenen mit wenigen oder keinen Fachkenntnissen. Das typische Scriptkiddy verfügt über eine gut sortierte Bibliothek vorgefertigter Angriffstools für viele verschiedene Lücken und sucht sich seine Opfer meist anhand vorhandener Lücken aus. Derartige Angreifer werden sich vor allem leichte Ziele aussuchen, die gleichzeitig vielversprechende Möglichkeiten bieten. Ein Webserver, der schnell ans Internet angebunden ist und auf dem eine uralte Version des Forums phpbb verwendet wird, ist verlockende Beute für Scriptkiddies. Er ist leicht zu»knacken«und kann dann als Ablageplatz für Raubkopien oder als Relay, also Zwischenstation, für weitere Angriffe missbraucht werden. Ist aber die verwendete Software auf dem neuesten Stand oder auch recht unbekannt, wird mehr Aufwand notwendig, um in den Server einzudringen ein Einbruch lohnt sich oft nicht mehr und die meis-

22 1.3 Wichtige Begriffe 5 ten Scriptkiddies werden schnell von einem Server ablassen, der auf den ersten meist automatisierten Blick keine Angriffsfläche bietet. Ein Unternehmen, das sehr viele wertvolle Daten verwaltet, ist jedoch auch für erfahrenere Cracker, die ihre Raubzüge aus kommerziellen Gründen durchführen, ein sehr attraktives Ziel. Hacker werden viel Zeit und Mittel aufwenden, um an diese Daten zu gelangen, es reicht daher nicht, die Datei mit sämtlichen Kundendaten in einem versteckten, aber für den Webserver zugänglichen Verzeichnis abzulegen. Sobald die möglichen Eindringlinge das Ziel als sehr attraktiv eingestuft haben, werden sie sich so lange an den frei zugänglichen Teilen verbeißen, bis sie einen Zugang finden. Mit einer Kundendatenbank voller Kontoinformationen können sie schließlich wesentlich mehr anfangen als mit den Bildern einer erfolgreichen Goldfischzucht. 1.3 Wichtige Begriffe Um in den folgenden Kapiteln nicht stets neue Erklärungen finden zu müssen, möchten wir einige wichtige Begriffe aus dem Sicherheitsjargon vorab erklären. Defense in Depth Werden Sicherheitskonzepte angesprochen, taucht das Schlagwort»Defense in Depth«immer öfter auf, um ein möglichst schlagkräftiges Sicherheitsprinzip zu beschreiben. Und tatsächlich ist das Prinzip der»tiefenverteidigung«, wie eine deutsche Übersetzung des Begriffes lauten könnte, bei konsequenter Umsetzung sehr wirksam. Der von Defense in Depth verfolgte Ansatz geht von einer zwiebelschalenförmigen Sicherung aus, bei der eine Anwendung durch Sicherheitsmaßnahmen auf mehreren Ebenen geschützt ist. Diese Sicherung beginnt bereits auf der Netzwerkebene: Firewalls trennen die Webinfrastruktur vom internen Netzwerk oder VPN des Betreibers, und Paketfilter sorgen dafür, dass nur diejenigen Benutzer Zugriff auf sensible Bereiche haben, die auch administrativ dafür zugelassen sind. Auf Betriebssystemebene setzt die zweite Verteidigungslinie gegen Cracker und sonstige Finsterlinge an: Ein gehärteter Linux-Kernel wehrt selbsttätig Angriffe gegen den IP-Stack oder interne Funktionen ab und erlaubt kein Nachladen und Ausführen von Kernel-Modulen. Eine im Kernel implementierte Changeroot-Umgebung (chroot) separiert Anwendungen voneinander und weitere Maßnahmen, die auf Betriebssystemebene implementiert werden. Netzwerk Betriebssystem

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren von Christopher Kunz, Stefan Esser, Peter Prochaska überarbeitet PHP-Sicherheit Kunz / Esser / Prochaska schnell und portofrei erhältlich bei

Mehr

Christopher Kunz Stefan Esser

Christopher Kunz Stefan Esser 320 PHP-Sicherheit Christopher Kunz ist Mitinhaber der Filoo GmbH, die Housting, Housing und Consulting anbietet. Er hat bereits mehrere Dutzend Artikel über allerlei PHP-Themen verfasst und war als Referent

Mehr

Konfigurationsmanagement mit Subversion, Ant und Maven

Konfigurationsmanagement mit Subversion, Ant und Maven Gunther Popp Konfigurationsmanagement mit Subversion, Ant und Maven Grundlagen für Softwarearchitekten und Entwickler 2., aktualisierte Auflage Gunther Popp gpopp@km-buch.de Lektorat: René Schönfeldt Copy-Editing:

Mehr

Dominik Schadow. Java-Web-Security. Sichere Webanwendungen mit Java entwickeln

Dominik Schadow. Java-Web-Security. Sichere Webanwendungen mit Java entwickeln Dominik Schadow Java-Web-Security Sichere Webanwendungen mit Java entwickeln Dominik Schadow info@dominikschadow.de Lektorat: René Schönfeldt Copy-Editing: Friederike Daenecke, Zülpich Satz: Da-TeX, Leipzig

Mehr

Nicolai Josuttis. SOA in der Praxis. System-Design für verteilte Geschäftsprozesse

Nicolai Josuttis. SOA in der Praxis. System-Design für verteilte Geschäftsprozesse Nicolai Josuttis SOA in der Praxis System-Design für verteilte Geschäftsprozesse Nicolai Josuttis Website zum Buch http://www.soa-in-der-praxis.de Die englische Ausgabe erschien unter dem Titel»SOA in

Mehr

Der Autor ist seit dem Jahr 2001 bei der Firma GeNUA mbh als Security Consultant und gegenwärtig als Koordinator für Intrusion Detection tätig.

Der Autor ist seit dem Jahr 2001 bei der Firma GeNUA mbh als Security Consultant und gegenwärtig als Koordinator für Intrusion Detection tätig. WLAN-Sicherheit Der Autor ist seit dem Jahr 2001 bei der Firma GeNUA mbh als Security Consultant und gegenwärtig als Koordinator für Intrusion Detection tätig. Seine Aufgabengebiete sind: Penetration Testing/Auditing

Mehr

IT-Servicemanagement mit ITIL V3

IT-Servicemanagement mit ITIL V3 Roland Böttcher IT-Servicemanagement mit ITIL V3 Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen Heise Roland Böttcher roland.boettcher@fh-bochum.de Lektorat: Dr. Michael Barabas

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Tobias H. Strömer. Online-Recht. Juristische Probleme der Internet-Praxis erkennen und vermeiden. 4., vollständig überarbeitete Auflage

Tobias H. Strömer. Online-Recht. Juristische Probleme der Internet-Praxis erkennen und vermeiden. 4., vollständig überarbeitete Auflage Tobias H. Strömer Online-Recht Juristische Probleme der Internet-Praxis erkennen und vermeiden 4., vollständig überarbeitete Auflage Tobias H. Strömer E-Mail: anwalt@stroemer.de http://www.stroemer.de

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Basiswissen Software-Projektmanagement

Basiswissen Software-Projektmanagement isql-reihe Basiswissen Software-Projektmanagement Aus- und Weiterbildung zum Certified Professional for Project Management nach isqi-standard von Bernd Hindel, Klaus Hörmann, Markus Müller, Jürgen Schmied

Mehr

SQL Server 2005. Eine umfassende Einführung

SQL Server 2005. Eine umfassende Einführung SQL Server 2005 Eine umfassende Einführung E-Mail: petkovic@fh-rosenheim.de Lektorat: Barbara Lauer, Bonn Copy-Editing: Sandra Gottmann, Münster Satz: Just in Print, Bonn Herstellung: Birgit Bäuerlein

Mehr

IT-Controlling für die Praxis

IT-Controlling für die Praxis Martin Kütz IT-Controlling für die Praxis Konzeption und Methoden 2., überarbeitete und erweiterte Auflage Martin Kütz kuetz.martin@tesycon.de Lektorat: Christa Preisendanz & Vanessa Wittmer Copy-Editing:

Mehr

Basiswissen Software- Projektmanagement

Basiswissen Software- Projektmanagement Bernd Hindel. Klaus Hörmann. Markus Müller. Jürgen Schmied Basiswissen Software- Projektmanagement Aus- und Weiterbildung zum Certified Professional for Project Management nach isqi-standard 2., überarbeitete

Mehr

Continuous Delivery. Der pragmatische Einstieg. von Eberhard Wolff. 1. Auflage. dpunkt.verlag 2014

Continuous Delivery. Der pragmatische Einstieg. von Eberhard Wolff. 1. Auflage. dpunkt.verlag 2014 Continuous Delivery Der pragmatische Einstieg von Eberhard Wolff 1. Auflage dpunkt.verlag 2014 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 86490 208 6 Zu Leseprobe schnell und portofrei erhältlich

Mehr

Kennzahlen in der IT

Kennzahlen in der IT Kennzahlen in der IT Dr. Martin Kütz ist geschäftsführender Gesellschafter der TESYCON GMBH und Fachberater für IT-Controlling und Projektmanagement. Er verfügt über langjährige Erfahrungen im IT-Management

Mehr

er auch mit dem 3D-Programm Blender in Kontakt, über das er bisher zahlreiche Vorträge hielt und Artikel in Fachzeitschriften veröffentlichte.

er auch mit dem 3D-Programm Blender in Kontakt, über das er bisher zahlreiche Vorträge hielt und Artikel in Fachzeitschriften veröffentlichte. beschäftigt sich seit Beginn der 80er Jahre intensiv mit Computern und deren Programmierung anfangs mit einem VC-20 von Commodore sowie speziell mit Computergrafik. Der Amiga ermöglichte ihm dann die Erzeugung

Mehr

Basiswissen Softwaretest

Basiswissen Softwaretest Andreas Spillner. Tilo Linz Basiswissen Softwaretest Aus- und Weiterbildung zum Certified Tester Foundation Level nach ISTQB-Standard 3., überarbeitete und aktualisierte Auflage Andreas Spillner spillner@informatik.hs-bremen.de

Mehr

Alexander Geschonneck ix-edition www.dpunkt.de/plus

Alexander Geschonneck ix-edition www.dpunkt.de/plus Alexander Geschonneck leitet als Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist die Sicherstellung und Analyse von digitalen Beweismitteln

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Prof. Dr. Matthias Knoll

Prof. Dr. Matthias Knoll Prof. Dr. Matthias Knoll ist Professor für Betriebswirtschaftslehre an der Hochschule Darmstadt. Sein Spezialgebiet ist die betriebliche Informationsverarbeitung mit den Schwerpunkten GRC-Management, IT-Prüfung

Mehr

Praxisbuch BI Reporting

Praxisbuch BI Reporting Alexander Adam Bernd Schloemer Praxisbuch BI Reporting Schritt für Schritt zum perfekten Report mit BEx Tools und BusinessObjects Alexander Adam alexander.adam@googlemail.com Bernd Schloemer bernd.schloemer@googlemail.de

Mehr

VMware vrealize Automation Das Praxisbuch

VMware vrealize Automation Das Praxisbuch VMware vrealize Automation Das Praxisbuch Dr. Guido Söldner leitet den Geschäftsbereich Cloud Automation und Software Development bei der Söldner Consult GmbH in Nürnberg. Sein Unternehmen ist auf Virtualisierungsinfrastrukturen

Mehr

Identity Management - eine Einführung

Identity Management - eine Einführung Identity Management - eine Einführung Grundlagen, Technik, wirtschaftlicher Nutzen von Christian Mezler-Andelberg 1. Auflage Identity Management - eine Einführung Mezler-Andelberg schnell und portofrei

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Social Media Analytics & Monitoring

Social Media Analytics & Monitoring Andreas Werner Social Media Analytics & Monitoring Verfahren und Werkzeuge zur Optimierung des ROI Andreas Werner aw@datenonkel.com Lektorat: Dr. Michael Barabas Copy-Editing: Annette Schwarz, Ditzingen

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

IT-Service-Management mit ITIL 2011 Edition

IT-Service-Management mit ITIL 2011 Edition Roland Böttcher IT-Service-Management mit ITIL 2011 Edition Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen 3., aktualisierte Auflage Heise Prof. Dr. Roland Böttcher roland.boettcher@hs-bochum.de

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

Leitfaden Web-Usability

Leitfaden Web-Usability Frank Puscher Leitfaden Web-Usability Strategien, Werkzeuge und Tipps für mehr Benutzerfreundlichkeit Lektorat: Barbara Lauer Copy-Editing: Alexander Reischert Satz: Frank Heidt Herstellung: Frank Heidt

Mehr

IT-Servicemanagement mit ITIL V3

IT-Servicemanagement mit ITIL V3 IT-Servicemanagement mit ITIL V3 Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen von Roland Böttcher 2., aktualisierte Auflage IT-Servicemanagement mit ITIL V3 Böttcher schnell und

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Professionelle XML-Verarbeitung in Word

Professionelle XML-Verarbeitung in Word Professionelle XML-Verarbeitung in Word Manuel Montero Pineda studierte Geschichte, Psychologie und Erziehungswissenschaften in Heidelberg. Nach einem Aufbaustudium in Informatik an der FH Heidelberg arbeitete

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Maik Schmidt www.dpunkt.de/plus

Maik Schmidt www.dpunkt.de/plus Maik Schmidt arbeitet seit beinahe 20 Jahren als Softwareentwickler für mittelständische und Großunternehmen. Er schreibt seit einigen Jahren Buchkritiken und Artikel für internationale Zeitschriften und

Mehr

Tilman Beitter Thomas Kärgel André Nähring Andreas Steil Sebastian Zielenski

Tilman Beitter Thomas Kärgel André Nähring Andreas Steil Sebastian Zielenski Tilman Beitter arbeitete mehrere Jahre als Softwareentwickler im ERP-Bereich und ist seit 2010 mit großer Begeisterung für die B1 Systems GmbH als Linux Consultant und Trainer unterwegs. Seine Themenschwerpunkte

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Firewalls im Unternehmenseinsatz

Firewalls im Unternehmenseinsatz Firewalls im Unternehmenseinsatz Grundlagen, Betrieb und Produkte von Jörg Fritsch, Steffen Gundel 2., überarb. u. aktualis. Aufl. Firewalls im Unternehmenseinsatz Fritsch / Gundel schnell und portofrei

Mehr

Cloud-Computing für Unternehmen

Cloud-Computing für Unternehmen Gottfried Vossen Till Haselmann Thomas Hoeren Cloud-Computing für Unternehmen Technische, wirtschaftliche, rechtliche und organisatorische Aspekte Prof. Dr. Gottfried Vossen vossen@helios.uni-muenster.de

Mehr

ITIL Change Management

ITIL Change Management ITIL Change Management Gerhard Lienemann arbeitete seit 1991 als Netzwerkadministrator in einem produzierenden Betrieb bevor er 2004 begann, sich mit ITIL zu beschäftigen und sich in einem internationalen

Mehr

PHP sicher, performant und skalierbar betreiben

PHP sicher, performant und skalierbar betreiben PHP sicher, performant und skalierbar betreiben Dipl.-Inform. Dominik Vallendor 26.09.2012 Tralios IT GmbH www.tralios.de Über mich Dominik Vallendor Studium der Informatik in Karlsruhe Seit 1995: Internet

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Dr. Michael Hahne www.dpunkt.de/plus

Dr. Michael Hahne www.dpunkt.de/plus Dr. Michael Hahne ist Geschäftsführender Gesellschafter der Hahne Consulting GmbH, einem auf Business-Intelligence-Architektur und -Strategie spezialisierten Beratungsunternehmen. Zuvor war er Vice President

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Uwe Vigenschow Andrea Grass Alexandra Augstin Dr. Michael Hofmann www.dpunkt.de/plus

Uwe Vigenschow Andrea Grass Alexandra Augstin Dr. Michael Hofmann www.dpunkt.de/plus Uwe Vigenschow ist Abteilungsleiter bei Werum IT Solutions. In das Buch sind über 25 Jahre Erfahrung in der Softwareentwicklung als Entwickler, Berater, Projektleiter und Führungskraft eingeflossen. Mit

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben

Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben Heinlein Support GmbH Peer Heinlein Selbstschutz Wo sind meine Risiken? Haben wir Geheimnisse?.htaccess und.htpasswd

Mehr

Elliot Jay Stocks. Sexy Webdesign. Wie man mit guten Konzepten tolle Websites gestaltet

Elliot Jay Stocks. Sexy Webdesign. Wie man mit guten Konzepten tolle Websites gestaltet Elliot Jay Stocks Sexy Webdesign Wie man mit guten Konzepten tolle Websites gestaltet Lektorat: Nina Lötsch, René Schönfeldt Übersetzung: Cornelia Boenigk Copy-Editing: Alexander Reischert Herstellung:Nadine

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

Basiswissen Softwaretest

Basiswissen Softwaretest Andreas Spillner Tilo Linz Basiswissen Softwaretest Aus- und Weiterbildung zum Certified Tester Foundation Level nach ISTQB-Standard 5., überarbeitete und aktualisierte Auflage Andreas Spillner andreas.spillner@hs-bremen.de

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Lothar Lochmaier. Die Bank sind wir. Chancen und Perspektiven von Social Banking. Heise

Lothar Lochmaier. Die Bank sind wir. Chancen und Perspektiven von Social Banking. Heise Lothar Lochmaier Die Bank sind wir Chancen und Perspektiven von Social Banking Heise Lothar Lochmaier lochmaier@gmx.de Reihenherausgeber: Florian Rötzer, München, fr@heise.de Lektorat: Susanne Rudi, Heidelberg

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Fotografieren lernen Band 2

Fotografieren lernen Band 2 Fotografieren lernen Band 2 Cora und Georg Banek leben und arbeiten in Mainz, wo sie Mitte 2009 ihr Unternehmen um eine Fotoakademie (www.artepictura-akademie.de) erweitert haben. Vorher waren sie hauptsächlich

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Praxiswissen Softwaretest Testmanagement

Praxiswissen Softwaretest Testmanagement Andreas Spillner Thomas Roßner Mario Winter Tilo Linz Praxiswissen Softwaretest Testmanagement Aus- und Weiterbildung zum Certified Tester Advanced Level nach ISTQB-Standard Andreas Spillner spillner@informatik.hs-bremen.de

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Projektfahrplan für erstklassige Websites

Projektfahrplan für erstklassige Websites Shirley Kaiser Projektfahrplan für erstklassige Websites Checklisten für die Konzeption, Entwicklung und Wartung Übersetzt aus dem Amerikanischen Lektorat: René Schönfeldt Copy-Editing: Nikolaus Schüler,

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

PHP-Sicherheit. Christopher Kunz kunz@rvs.uni-hannover.de. Regionales Rechenzentrum für Niedersachsen

PHP-Sicherheit. Christopher Kunz kunz@rvs.uni-hannover.de. Regionales Rechenzentrum für Niedersachsen PHP-Sicherheit Christopher Kunz kunz@rvs.uni-hannover.de Vorstellung PHP-Erfahrung seit 1999 Studium (M. Sc. Informatik) in Hannover Mitglied im Hardened-PHP Project URLs http://www.christopher-kunz.de/

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Andy Hunt. Programmieren lernen mit Minecraft-Plugins

Andy Hunt. Programmieren lernen mit Minecraft-Plugins Andy Hunt ist Autor bzw. Co-Autor von mehr als einem halben Dutzend Büchern rund um die Themen Pragmatic Programming und Agile. Er spricht regelmäßig und weltweit auf Entwicklerkonferenzen. Minecraft nutzt

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Sebastian Kübeck Web-Sicherheit Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Einleitung................................................. 11 Teil I Grundlagen der Informationssicherheit......................

Mehr

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Michael Messner www.dpunkt.de/plus

Michael Messner www.dpunkt.de/plus Michael Messner arbeitet als IT Security Consultant bei der Corporate Technology der Siemens AG in München und führt dort technische Sicherheitsanalysen und Penetrationstests durch. Neben der technischen

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

Florence Maurice www.dpunkt.de/plus

Florence Maurice www.dpunkt.de/plus Florence Maurice gibt Trainings, Inhouseschulungen und individuelle Coachings zu Webthemen, setzt eigene Webprojekte um und schreibt regelmäßig Artikel in Fachzeitschriften. Sie ist Autorin mehrerer Fachbücher

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen Sicherheit auf Anwendungsebene Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr