Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier
|
|
- Leon Raske
- vor 8 Jahren
- Abrufe
Transkript
1 Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier
2 Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp und XMLHttpRequest Funktionsweise des XMLHttpRequest Ajax und die Architektur Die Angriffsfläche Größere Angriffsfläche? Jein! Angriffspunkte von Webanwendungen Angriffspunkte von Webservices Angriffspunkte von Ajax-Anwendungen Angriffe auf Webanwendungen SQL-Injection Was ist SQL-Injection? Einige Beispiele Weitere Angriffe Blind SQL-Injection SQL-Injection verhindern XPath-Injection Ein einfaches Beispiel XPath-Injection verhindern Command Injection Command Injection verhindern Cross-Site Scripting Wie funktioniert XSS? Reflektiertes XSS Persistentes XSS 0avaScript-Injection) DOM-basiertes XSS Was kann XSS? Cross-Site Scripting verhindern CO CO CO CO Ajax Security 5
3 2.5 Cross-Site Request Forgery (CSRF) 42 CSRF - Ein alter Hut? 42 Wie funktioniert CSRF? 43 Wie wird der CSRF-Request eingeschleust? 45 CSRF-Schwachstellen finden 46 CSRF verhindern Lesen lokaler Dateien / Directory Traversal 47 Einbinden lokaler Dateien in PHP-Skripte 48 Directory Traversal verhindern Einbinden entfernter Dateien 51 Einbinden entfernter Dateien verhindern Session-Hijacking 52 Session-Hijacking verhindern Session Fixation 54 Session Fixation verhindern Cookie Poisoning 56 Cookie Poisoning verhindern Denial of Service (DoS) Buffer Overflow 57 Was passiert bei einem Pufferüberlauf? 57 Schutzmaßnahmen 59 Pufferüberläufe verhindern Formatstring-Schwachstellen 61 Formatstring-Schwachstellen verhindern Nicht verlinkte Ressourcen 62 Gegenmaßnahmen Brute-Force 62 Brute-Force-Angriffe verhindern Indirekte Angriffe 63 Man in the Middle 63 Social Engineering 63 3 Angriffe auf HTTP HTTP Request Smuggling 65 Vergiften des Webcaches 65 Request Hijacking 67 Request Credential Hijacking 68 Täuschung von Firewalls und Intrusion-Detection- bzw. Prevention Systemen 69 HTTP Request Smuggling erkennen und verhindern HTTP Response Splitting 72 Durchführung eines Angriffs 72 Schwierigkeiten beim HTTP Response Splitting 75
4 Vergiften von Webcaches 76 Angriffe erkennen 82 Angriffe verhindern 83 4 Angriffe auf TCP/IP Denial of Service-Angriffe Spoofing 87 IP-Spoofing TCP-Hijacking 89 Vor dem Angriff: Sniffen 90 Es geht los: Verbindung stören, Pakete einschleusen 90 ARP-Spoofing DNS-Spoofing 93 Die Namens-Auflösung 93 Cache Verschmutzung HTTP-Hijacking 98 Beispiel: HTTPS-Hijacking Distributed Denial of Service Angriffe 101 DDoS am Beispiel von Trinoo 102 DDoS durch Botnets 102 DDoS durch DNS Amplification Attacks 103 Gegenmaßnahmen Weitere Schutzmaßnahmen Was kann Cross-Site-Scriptinq? Ausspähen von Cookies Ausspähen von Tastatureingaben Auslesen von Passwörtern Einschleusen falscher Informationen Ausspähen der Browser-History Portscan über JavaScript 114 Zusammenfassung HTTP-Auth-Popup verhindern Ziel erkannt - Attacke! 120 Cross-Site Request Forgery 121 Ausprobieren von Default-Passwörtern Weitere Ziele Fernsteuerung Ausnutzen von Browser-Schwachstellen Fazit 124 Ajax Security
5 6 Webservices Geschichte SOA REST 126 Grundlagen von REST Webservices 126 Aufbau von REST Webservices SOAP 128 Arbeitsweise von SOAP UDDI WSDL Sicherheit und Webservices 131 Identifizierung 131 Authentifizierung 131 Autorisierung 132 Sicherheit auf Transportebene 132 Sicherheit auf Nachrichtenebene 133 Alle Schwachstellen sind schon da Mashups Die Grundlagen Einmal mischen, bitte! Konstruktion von Mashups Ajax-Proxies und Sicherheit 139 Wie kann ein Angreifer den Ajax-Proxy nutzen? 139 Angriffe verhindern Ajax-Portale oder»aggregate-sites«143 Schutzmaßnahmen Vertraulichkeit und Integrität 146 Vertrauen und Vertraulichkeit 147 Integrität 148 Gefahren für Mashup-Betreiber 148 Schutzmaßnahmen Verfügbarkeit JSON und JavaScript-Hijackinq JSON is evil Ajax-Hijacking 152 Funktionen umdefinieren 152 Ajax-Hijacking verhindern 156 Probleme beim Hijacking 156 On-Demand-Ajax und Hijacking 156
6 8.3 JSON-Hijacking 158 Angriff mit Mozilla-spezifischen Funktionen 158 Angriff ohne Mozilla-spezifische Funktionen 159 Verhindern von JSON-Hijacking Requests und ihre Herkunft Wer oder was ist der Client? 163 Mensch oder Maschine? 164 Gegenmaßnahmen Webwürmer Der erste seiner Art: Samy 167 Die Technik hinter Samy Nach Samy kam Yamanner 170 Der Wurm-Code 171 Die Folgen Ein letztes Beispiel: Der Orkut-XSS-Wurm 171 Der Code 172 Die Folgen Zusammenfassung 173 Was wäre wenn Wieso ist es bisher nicht passiert? 174 Worm for fun - und wo bleibt der Profit? 175 Web würmer verhindern Zertifikate und SSL/TLS Identitätsprüfung 179 Hierarchische Zertifizierungssysteme Das TLS-Protokoll 181 Einsatz von Zertifikaten bei SSL/TLS 183 X.509-Zertifikat 183 Verwendung der Zertifikate Nutzung von SSL/TLS in eigenen Programmen Der Ajax-Client Allgemeine Probleme im Client 187 Ein Beispiel Datenumwandlungen auf dem Client 188 Beispiel: SQL-Injection 189 Gegenmaßnahmen Der Ajax-Quelltext 190 Gegenmaßnahmen Asynchronität 190 Race Conditions Schlussbemerkung 192 Ajax Security 9
7 A A.l A.2 B B.l B.2 B.3 C C.l D D.l D.2 D.3 E E.l E.2 E.3 F El F.2 Literaturverzeichnis Vorbemerkung Literaturverzeichnis Die Same Origin Policy Die Funktion der Same Origin Policy Umgehen der Same Origin Policy Anti-DNS-Pinning JavaScript-Portscan Quelltext Der Quelltext eines JavaScript-Portscanners: Die Ausgabe Quelltexte der Webwürmer Samy, der MySpace-Wurm Der eigentliche Quelltext von Samy Der formatierte Quelltext von Samy Yamanner, der Yahoo!-Wurm Der Quelltext von Yamanner Der Orkut-XSS-Wurm Die Flash-Datei des Orkut-Wurms Der getarnte Schadcode des Orkut-Wurms Der entpackte Schadcode des Orkut-Wurms Kryptographie Grundlagen Symmetrische Systeme Asymmetrische Systeme Konzelationssysteme Authentikationssysteme Hash-Funktionen Vorstellung einiger Verfahren Symmetrische Verfahren Asymmetrische Verfahren Ein hybrides Verfahren Hash-Algorithmen Links & Literatur TCP/IP Grundlagen Das TCP/IP-Schichtenmodell Die Netzzugangsschicht Ethernet-Paket (Version 2) B
8 Die Netzwerkschicht IP-Paket (RFC 791) ICMP-Paket (RFC 792) Die Transportschicht TCP-Paket (RFC 793) UDP-Paket (RFC 768) Kapselung der Daten Aufbau eines Botnets Der Aufbau Die Nutzung Stichwortverzeichnis Ajax Security 11
Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor
Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor 1 Ajax - Grundlagen 1.1 Vom Web 1.0 zum Web 2.0 1.2 XMLHttp und XMLHttpRequest Funktionsweise des XMLHttpRequest 1.3
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
MehrAjax, aber sicher! Carsten Eilers
Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrMashups, aber sicher. Carsten Eilers
Mashups, aber sicher Carsten Eilers Vorstellung Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Buch Ajax Security und anderes... Schwachstellen-Datenbank Security Aktuell auf entwickler.de
MehrTCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen
TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrSicherheit in Rich Internet Applications
Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
Mehr25.11.1999 25.11.1999
1 nur ein Sicherheitsaspekt ist etwas irreführend - es berührt auch viele anderen der Schwächen und Angriffspunkte, die scheinbar nichts mit dem Netz zu tun haben: Viele Angriffe nutzen eine Kombination
MehrEinleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006
Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrCarsten Eilers www.ceilers-it.de. Pentesters Toolbox
Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank
MehrDas digitale Scheunentor
Folie 1 "Das digitale Scheunentor" Folie 2 "Das digitale Scheunentor" Das digitale Scheunentor Prüferfahrungen des Landesbeauftragten für den Datenschutz Rheinland-Pfalz aus der Kontrolle von Internetangeboten
MehrAbbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich
MehrPraktikum IT-Sicherheit
IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Angriffstechniken In diesem Versuch werden verschiedene Angriffstechniken anhand von Beispielen vorgestellt. Die Ausarbeitung der Übungen
MehrSZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht
SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:
MehrAGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b
AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrFlash, Network und Facebook. Steven Mohr steven@stevenmohr.de
Flash, Network und Facebook Steven Mohr steven@stevenmohr.de Gliederung 1. Wie ist eine Facebook-App aufgebaut 2. Basics 3. Erste Demo einer kleinen Flash-Facebook-App 4. Friends, Achievements und Invites
MehrIst das so mit HTTPS wirklich eine gute Lösung?
SSL/TLS und PKI im Internet Erik Tews erik@datenzone.de Ist das so mit HTTPS wirklich eine gute Lösung? 21.05.2012 Erik Tews 1 Was ist PKI Asymmetrische Kryptographie ist echt praktisch Schlüssel bestehen
MehrAktuelle Sicherheitsprobleme im Internet
Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt
MehrMH3 D2/3 DB/4. Name: Matr.-Nr. Seite: 3. Aufgabe 1. (6 Punkte) a) Gegeben sei eine kryptographische Hashfunktion h^o,!}* mit Hashwert h^mo) = 4.
Aufgabe 1 a) Gegeben sei eine kryptographische Hashfunktion h^o,!} mit Hashwert h^mo) = 4. (14 Punkte) {0,2,4} sowie eine Nachricht M 0 Wie hoch ist die Wahrscheinlichkeit, dass bei einerweiteren Nachricht
MehrSicherheit in Netzen- Tiny-Fragment
Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische
Mehrmsm net ingenieurbüro meissner kompetent - kreativ - innovativ
Das nachfolgende Dokument wird unter der GPL- Lizenz veröffentlicht. - Technical Whitepaper - Konfiguration L2TP-IPSEC VPN Verbindung unter Linux mit KVpnc - VPN Gateway basierend auf strongswan Voraussetzungen
MehrDestructive AJAX. Stefan Proksch Christoph Kirchmayr
Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell
MehrCarsten Eilers ceilers-it.de. Schwachstellen-Scans im Web 2.0
Carsten Eilers ceilers-it.de Schwachstellen-Scans im Web 2.0 Vorstellung» Berater für IT-Sicherheit» Autor» About Security» Standpunkt Sicherheit» und anderes...» Schwachstellen-Datenbank» Security Aktuell
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrAudit von Authentifizierungsverfahren
Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch
MehrAktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische
MehrBaustein Webanwendungen. Stephan Klein, Jan Seebens
Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische
MehrWhen your browser turns against you Stealing local files
Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester
MehrErste Vorlesung Kryptographie
Erste Vorlesung Kryptographie Andre Chatzistamatiou October 14, 2013 Anwendungen der Kryptographie: geheime Datenübertragung Authentifizierung (für uns = Authentisierung) Daten Authentifizierung/Integritätsprüfung
MehrARCHITEKTUR VON INFORMATIONSSYSTEMEN
ARCHITEKTUR VON INFORMATIONSSYSTEMEN File Transfer Protocol Einleitung Das World Wide Web war ja ursprünglich als verteiltes Dokumentenverwaltungssystem für die akademische Welt gedacht. Das Protokoll
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrOWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
MehrPraktikum IT-Sicherheit
Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Bevor ein Angreifer in ein System eindringen kann, muss er sich Informationen über dieses System beschaffen. Er muss wissen, welche Ports offen sind,
MehrWebapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum
Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites
MehrRechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen
Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen Ziel Kennenlernen des Netzwerkprotokolls Http mit unterschiedlichen Formen der Authentifizierung sowie Absicherung des Netzwerkverkehrs
MehrVerbreitete Angriffe
Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung
MehrUCS 2.4 Sicherheits-Update 3
UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße
MehrSicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I
Sicherheitsaspekte in Service Orientierten Architekturen Eike Falkenberg Sommersemester 2006 Anwendungen I Agenda SOA? Web Services? Sicherheitsrisiko Web Services Web Services & Sicherheit Sichere SOAs
MehrMSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003
Page 1 of 11 Konfiguration NNTP unter Exchange 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 14.03.2005 Das Network News Transfer Protocol (NNTP) wird durch die Request for Comments
MehrIT Sicherheit: Lassen Sie sich nicht verunsichern
IT Sicherheit: Lassen Sie sich nicht verunsichern Guido Bunsen IT Manager Security IT Center AGENDA Betrieb von Firewalls Webfilter E-Mail-Filter Netzwerküberwachung / Blast-O-Mat Virenschutz-Software
MehrWebapplikationssicherheit (inkl. Livehack) TUGA 15
Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich
MehrHTTPS Checkliste. Version 1.0 (26.08.2015) Copyright Hahn und Herden Netzdenke GbR
HTTPS Checkliste Version 1.0 (26.08.2015) Copyright Hahn und Herden GbR Inhaltsverzeichnis Best Practices...2 1 Private Key und Zertifikat...2 1.1 2048-Bit Private Keys...2 1.2 Geheimhalten der Private
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrInfrastruktur: Vertrauen herstellen, Zertifikate finden
TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,
MehrGanz sicher sicher surfen. it-sa 2013 Nürnberg
Ganz sicher sicher surfen it-sa 2013 Nürnberg + Soforthilfe gegen kritische Reader-Lücken heise.de, 14.02.2013 Wer mit den aktuellen Versionen des Adobe Reader ein PDF-Dokument öffnet, läuft Gefahr, sich
Mehrsecunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.
secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.com Übersicht Aktuelle Angriffe auf Web-Anwendungen Grenzen heutiger Schutzstrategien
MehrAufgabe 3 Storm-Worm
Aufgabe 3 Storm-Worm Bot: kompromittierte Maschine Kommunikationskanal, der dem Angreifer die Kontrolle über den Bot und somit das System gestattet Botnetz: Zusammenschluss mehrerer Bots koordinierte Distributed-Denial-Of-Service-Angriffe
MehrEnterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.
Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2007: Einführung in die IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter)
MehrAnmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)
Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv) Über den Link https://www.edudip.com/academy/dbv erreichen Sie unsere Einstiegsseite: Hier finden Sie die Ankündigung unseres
MehrELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen
ELIT2012: Security Security: Potentielle Gefahren und Gegenmaßnahmen Gefahrenquellen Brute-Force-Logins Scans Exploits Malware: Viren, Würmer, Trojaner Website-Hijacking DOS, DDOS Gefahrenquellen Internet
MehrThema: Web Services. Was ist ein Web Service?
Willkommen zum Component Ware Seminar Thema: Achim Grimm & Fabian Unterschütz Folie 1 Was ist ein Web Service? Web Services sind selbstbeschreibende, modulare Softwarekomponenten im Internet, die sich
MehrLive Hacking auf eine Citrix Umgebung
Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung
MehrCLX.Sentinel Kurzanleitung
CLX.Sentinel Kurzanleitung Wichtig! Beachten Sie die in der Kurzanleitung beschriebenen e zur Personalisierung Ihres CLX.Sentinels. Ziehen Sie den CLX.Sentinel während des Vorgangs nicht aus dem USB-Port.
Mehr1. Vorwort 1 1.1. Warum gibt es brand-wand?... 2 1.2. Der etwas andere Weg... 2 1.3. Zielgruppe... 3 1.4. Danksagung... 3
Inhaltsverzeichnis 1. Vorwort 1 1.1. Warum gibt es brand-wand?............................ 2 1.2. Der etwas andere Weg................................. 2 1.3. Zielgruppe......................................
MehrWeb Applications Vulnerabilities
Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt
MehrVerteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrDownloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler
Downloadfehler in DEHSt-VPSMail Workaround zum Umgang mit einem Downloadfehler Downloadfehler bremen online services GmbH & Co. KG Seite 2 Inhaltsverzeichnis Vorwort...3 1 Fehlermeldung...4 2 Fehlerbeseitigung...5
MehrDatenempfang von crossinx
Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über
MehrProSecure Sales Training 4/6. Vielseitige Verteidigung des SMB
ProSecure Sales Training 4/6 Vielseitige Verteidigung des SMB Vielseitige Verteidigung Firewall / Verbindungs-Screening (Hacking, Angreifer, DoS-Attacken ) Virus- / Malware-Scanning (Vermischte Gefahren,
MehrVerteilte Systeme. Übung 10. Jens Müller-Iden
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
Mehrwww.computeria-olten.ch Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies
www.computeria-olten.ch Monatstreff für Menschen ab 50 Merkblatt 42 Temporäre Dateien / Browserverlauf löschen / Cookies Im Internet-Explorer Extras / Browserverlauf löschen Jetzt entscheiden, was man
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrIEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de
IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung
MehrWie funktioniert das WWW? Sicher im WWW
Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/
MehrSparkasse Duisburg. E-Mail versenden aber sicher! Sichere E-Mail. Anwendungsleitfaden für Kunden
Sparkasse Duisburg E-Mail versenden aber sicher! Sichere E-Mail Anwendungsleitfaden für Kunden ,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität.
MehrICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...
MehrHow-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003
MehrCOMPUTER MULTIMEDIA SERVICE
Umgang mit Web-Zertifikaten Was ist ein Web-Zertifikat? Alle Webseiten, welche mit https (statt http) beginnen, benötigen zwingend ein Zertifikat, welches vom Internet-Browser eingelesen wird. Ein Web
MehrEine eigene Seite auf Facebook-Fanseiten einbinden und mit einem Tab verbinden.
Eine eigene Seite auf Facebook-Fanseiten einbinden und mit einem Tab verbinden. Nach den Änderungen die Facebook vorgenommen hat ist es einfacher und auch schwerer geworden eigene Seiten einzubinden und
MehrDeveloper Week 2013 Offline (mobile) Webdevelopment
Developer Week 2013 Offline (mobile) Webdevelopment Kerstin Blumenstein Grischa Schmiedl Wer bin ich & Woher komm ich? Warum eigentlich? Problemstellung Nutzungssituationen Zu Hause, auf Arbeit Unterwegs
MehrKommunikation als kreativer Prozess: Im Dialog mit dem Kunden
VOM MARKETING ZUR AKQUISITON Kommunikation als kreativer Prozess: Im Dialog mit dem Kunden Riklef Rambow Die Kommunikation mit dem Bauherren [1] ist ein wesentlicher Teil des Entwurfsprozesses in der Architektur.
MehrMobility: Hoher Nutzen
Mobility: Hoher Nutzen Aber was ist der Preis dafür? Prof. Dr. Jan vom Brocke 27. Januar 2011 Hochschule Liechtenstein Agenda 1. Mobilität im digitalen Alltag 2. Einige Zahlen und Fakten 3. Zusammenfassung
MehrInhaltsverzeichnis. Vorwort... 13. Einleitung... 15
Vorwort.................................................. 13 Einleitung................................................ 15 1 Aufwand versus Sicherheit was ist angemessen?.............. 17 1.1 Warum ist
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrInternet: Was ist das? - Routing
Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer
MehrFL1 Hosting Technische Informationen
FL1 Hosting Verfasser Version: V1.0 (ersetzt alle früheren Versionen) Gültig ab: 18. Oktober 2015 Version 2.1 Seite 1/6 Inhaltsverzeichnis 1 DNS Eintrag bei Registrierungsstellen (NIC) FTP... 3 2 Allgemeine
MehrIT-Sicherheit Kapitel 11 SSL/TLS
IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)
MehrDr. Guido Schwarz Forschung, Schulung, Beratung; A - 1180 Wien, Edelhofgasse 31/8; Tel: +43-1-478 34 44 Mobil: +43-676 431 91 12 E-mail:
1 PROTOKOLL 2 Der Startschuss verlief erfolgreich, wenn auch mit Geburtswehen. Bei herrlichem Wetter gab es einen diskussionsreichen Nachmittag mit dem Fazit: Lauter nette Menschen und interessant genug,
MehrZeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI
Zeitstempel für digitale Dokumente Ein neuer Dienst in der DFN-PKI DFN-Betriebstagung 26. Februar 2008 Gerti Foest (pki@dfn.de) Was ist ein Zeitstempel? Zeitstempel sind gemäß [ISO18014-1] digitale Daten,
MehrInkrementelles Backup
Inkrementelles Backup Im Gegensatz zu einer kompletten Sicherung aller Daten werden bei einer inkrementellen Sicherung immer nur die Dateien gesichert, die seit der letzten inkrementellen Sicherung neu
MehrReale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools
IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe
Mehr2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:
2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway
MehrDigital signierte Rechnungen mit ProSaldo.net
Digital signierte Rechnungen mit ProSaldo.net Digitale Signatur der PDF-Rechnungen Hier finden Sie eine Anleitung, wie beim erstmaligen Öffnen von digital signierten PDF- Rechnungen, die mit ProSaldo.net
Mehr