Datensicherheit. Vorlesung 4: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
|
|
- Swen Heinrich
- vor 8 Jahren
- Abrufe
Transkript
1 Vorlesung 4: Sommersemester 2015 h_da, Lehrbeauftragter
2 Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP 3. Netzwerksicherheit / TLS / Grundlagen Softwaresicherheit 4. Softwaresicherheit + PGP-Installation auf Laptops 5. Hacking / Datenschutz / Privatsphäre / Anonymität 6. Malware / Firewalls / Was ist sichere Software? 7. Evaluation / Wiederholung / Beispielklausuraufgaben 4-2
3 Terminologie (Wiederholung) Schwachstelle (Weakness) ein Software-Fehlertyp, der in gewissen Situationen zu einer Verwundbarkeit der Software führen kann Verwundbarkeit (Vulnerability) das Auftreten einer oder mehrerer Schwachstellen in einer Software, in der diese Schwachstelle genutzt werden kann, um ein Fehlverhalten hervorzurufen Offenlegung (Exposure) das Auftreten einer oder mehrerer Schwachstellen in einer Software, die Informationen oder Funktionen offenlegen, die einen Angriff auf ein System erleichtern Auswirkung (Impact) das Ergebnis, welches eine erfolgreich ausgenutzte Verwundbarkeit in einer Software haben kann 4-3
4 CWE/SANS Top 25 Most Dangerous Software Errors CWE/SANS Top 25 Most Dangerous Software Errors ist eine Liste der meistverbreitetsten und kritischsten Schwachstellen, die zu schwerwiegenden Verwundbarkeiten in Software führen können diese Schwachstellen sind üblicherweise einfach zu finden und leicht auszunutzen und sind gefährlich, weil sie den Angreifer_innen häufig ermöglichen ein System zu kapern, Daten zu klauen oder sie verhindern können, dass ein System normal funktioniert 4-4
5 CWE/SANS Top 25 Most Dangerous Software Errors 1. CWE CWE CWE CWE CWE-306 SQL Injection OS Command Injection Classic Buffer Overflow Cross-site Scripting Missing Authentication for Critical Function 6. CWE CWE CWE CWE CWE-807 Missing Authorization Use of Hard-coded Credentials Missing Encryption of Sensitive Data Unrestricted Upload of File with Dangerous Type Reliance on Untrusted Inputs in a Security Decision 11. CWE CWE CWE CWE CWE-863 Execution with Unnecessary Privileges Cross-Site Request Forgery Path Traversal Download of Code Without Integrity Check Incorrect Authorization 16. CWE CWE CWE CWE-327 Inclusion of Functionality from Untrusted Control Sphere Incorrect Permission Assignment for Critical Resource 20. CWE-131 Use of Potentially Dangerous Function 21. CWE CWE CWE CWE CWE-759 Improper Restriction of Excessive Authentication Attempts Open Redirect Uncontrolled Format String Integer Overflow or Wraparound Use of a One-Way Hash without a Salt 4-5 Use of a Broken or Risky Cryptographic Algorithm Incorrect Calculation of Buffer Size
6 CWE/SANS Top 25 Most Dangerous Software Errors 1. CWE CWE CWE CWE CWE-306 SQL Injection OS Command Injection Classic Buffer Overflow Cross-site Scripting Missing Authentication for Critical Function 6. CWE CWE CWE CWE CWE-807 Missing Authorization Use of Hard-coded Credentials Missing Encryption of Sensitive Data Unrestricted Upload of File with Dangerous Type Reliance on Untrusted Inputs in a Security Decision 14. CWE CWE-863 Download of Code Without Integrity Check Incorrect Authorization 19. CWE CWE CWE-250 siehe13. CWE CWE-352 VorlesungPath5Traversal Execution with Unnecessary Privileges Cross-Site Request Forgery 16. CWE CWE-732 Inclusion of Functionality from Untrusted Control Sphere Incorrect Permission Assignment for Critical Resource Use of Potentially Dangerous Function 21. CWE CWE CWE CWE CWE-759 Improper Restriction of Excessive Authentication Attempts Open Redirect Uncontrolled Format String Integer Overflow or Wraparound Use of a One-Way Hash without a Salt 18. CWE Use of a Broken or Risky Cryptographic Algorithm Incorrect Calculation of Buffer Size
7 CWE/SANS Top 25 Most Dangerous Software Errors 1. CWE CWE CWE CWE CWE-306 SQL Injection OS Command Injection Classic Buffer Overflow Cross-site Scripting Missing Authentication for Critical Function 6. CWE CWE CWE CWE CWE-807 Missing Authorization Use of Hard-coded Credentials Missing Encryption of Sensitive Data Unrestricted Upload of File with Dangerous Type Reliance on Untrusted Inputs in a Security Decision 11. CWE CWE CWE-22 Execution with Unnecessary Privileges Cross-Site Request Forgery Path Traversal 16. CWE CWE CWE-676 Inclusion of Functionality from Untrusted Control Sphere Incorrect Permission Assignment for Critical Resource Use of Potentially Dangerous Function 21. CWE CWE CWE CWE CWE-759 Improper Restriction of Excessive Authentication Attempts Open Redirect Uncontrolled Format String Integer Overflow or Wraparound Use of a One-Way Hash without a Salt 4-7 siehe 14. CWE-494 Vorlesung Download of Code CWE-863 Without Integrity Check Incorrect Authorization 19. CWE CWE-131 Use of a Broken or Risky Cryptographic Algorithm Incorrect Calculation of Buffer Size
8 CWE/SANS Top 25 Most Dangerous Software Errors 1. CWE CWE CWE CWE CWE-306 SQL Injection OS Command Injection Classic Buffer Overflow Cross-site Scripting Missing Authentication for Critical Function 6. CWE CWE CWE CWE CWE-807 Missing Authorization Use of Hard-coded Credentials Missing Encryption of Sensitive Data Unrestricted Upload of File with Dangerous Type Reliance on Untrusted Inputs in a Security Decision 11. CWE CWE CWE CWE CWE-863 Execution with Unnecessary Privileges Cross-Site Request Forgery Path Traversal Download of Code Without Integrity Check Incorrect Authorization 16. CWE CWE CWE CWE-327 Inclusion of Functionality from Untrusted Control Sphere Incorrect Permission Assignment for Critical Resource 20. CWE-131 Use of Potentially Dangerous Function 21. CWE CWE CWE CWE CWE-759 Improper Restriction of Excessive Authentication Attempts Open Redirect Uncontrolled Format String Integer Overflow or Wraparound Use of a One-Way Hash without a Salt 4-8 Use of a Broken or Risky Cryptographic Algorithm Incorrect Calculation of Buffer Size
9 CWE-20: Improper Input Validation (unvollständige Eingabeüberprüfung) Wenn Software die Eingabewerte nicht vollständig überprüft, können im Rahmen eines Angriffs Daten an die Anwendung geschickt werden, die so nicht erwartet wurden in den Bereichen, wo die Daten verarbeitet werden. Dies kann dazu führen, dass das System mit diesen Daten nicht umgehen kann und es zu Veränderungen im Kontrollfluss der Anwendung kommt, Kontrolle über beliebige Ressourcen erreicht oder beliebiger Code ausgeführt werden kann. kann sich auf folgende Schutzziele auswirken: Verfügbarkeit Vertraulichkeit Integrität Nichtabstreitbarkeit 4-9
10 Schwachstellen, die zu CWE-20 gehören aus den Top 25: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-134: Uncontrolled Format String CWE-190: Integer Overflow or Wraparound weitere interessante: CWE-73: External Control of File Name or Path CWE-99: Improper Control of Resource Identifiers ('Resource Injection') CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers CWE-158: Improper Neutralization of Null Byte or NUL Character 4-10
11 CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') Die Anwendung konstruiert einen Teil oder eine komplette SQLAnweisung basierend auf Eingabewerten, ohne spezielle Teile der Eingabewerte zu neutralisieren, welche die beabsichtigte SQLAnweisung verändern könnten, wenn sie an die Datenbank geschickt wird. Datenbankanfragen können manipuliert werden beliebige Daten können - aus der Datenbank gelesen werden - in die Datenbank geschrieben werden - aus der Datenbank gelöscht werden Mögliche Auswirkungen Schutzziel verletzt Daten lesen Vertraulichkeit Schutzmechanismus umgehen Zugriffskontrolle Daten verändern Integrität 4-11
12 CWE-89: Beispiel lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht) PHP Beispiel: $name = $_REQUEST["name"]; $query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name"; $result = mysql_query($query); 4-12
13 CWE-89: Beispiel lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht) PHP Beispiel: $name = $_REQUEST["name"]; $query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name"; $result = mysql_query($query); Eingabewert: Heiko where: public=1 AND name='heiko' gibt nur die Infos zu Heiko aus, wenn sie öffentlich sind 4-13
14 CWE-89: Beispiel lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht) PHP Beispiel: $name = $_REQUEST["name"]; $query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name"; $result = mysql_query($query); Eingabewert: x' OR public=0 OR name='heiko where: public=1 AND name='x' OR public=0 OR name='heiko' gibt auch die Infos zu Heiko aus, wenn sie privat sind 4-14
15 CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') Die Anwendung konstruiert einen Teil oder einen kompletten Betriebssystemaufruf basierend auf Eingabewerten, ohne spezielle Teile der Eingabewerte zu neutralisieren, die den beabsichtigten Betriebssystemaufruf verändern könnten, wenn er ausgeführt wird. Betriebssystemaufrufe können manipuliert werden beliebige Befehle können auf der Kommandozeile aufgerufen werden Mögliche Auswirkungen Schutzziel verletzt unzuverlässiges Ausführen von Befehlen DoS: crash / exit / restart Daten verändern Daten lesen Aktivitäten verbergen Vertraulichkeit Integrität Verfügbarkeit Nichtabstreitbarkeit 4-15
16 CWE-78: Beispiel erhalte den Username und zeige die Daten des Users an PHP Beispiel: $username = $_POST["user"]; $command = 'ls -l /home/'. $username; system($command); 4-16
17 Mögliche Mitigationen gegen CWE-20-Schwachstellen Mitigation = Entschärfung eine Maßnahme, um potentielle Schwachstellen zu verhindern oder deren Auswirkung zu reduzieren Eingabeüberprüfung einheitliche Eingabeüberprüfungssysteme einsetzen nur gültige Werte zulassen (White Lists) nur auf ungültige Werte überprüfen, wenn die Liste der gültigen nicht überprüfbar ist es ist schwer alle ungültigen Fälle zu kennen wenn Werte aus verschiedenen Quellen kombiniert werden, die Überprüfung erst nach dem Kombinieren der Werte anwenden Angriffsoberfläche erkennen und verkleinern alle Stellen, in denen Eingaben in die Anwendung gelangen, müssen erkannt und analysiert werden 4-17
18 Schwachstellen, die zu CWE-20 gehören aus den Top 25: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-134: Uncontrolled Format String CWE-190: Integer Overflow or Wraparound weitere interessante: CWE-73: External Control of File Name or Path CWE-99: Improper Control of Resource Identifiers ('Resource Injection') CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers CWE-158: Improper Neutralization of Null Byte or NUL Character 4-18
19 CWE-116: Improper Encoding or Escaping of Output (falsche Codierung oder Formatierung von Ausgaben) Die Anwendung generiert eine strukturierte Nachricht, um mit einer anderen Softwarekomponente zu kommunizieren, aber die Codierung oder Formatierung der Daten in der Nachricht fehlt oder wurde falsch durchgeführt. Dadurch kann die beabsichtigte Struktur der Nachricht verfälscht werden. kann sich auf folgende Schutzziele auswirken: Verfügbarkeit Vertraulichkeit Integrität Zugriffskontrolle 4-19
20 Beziehung zu CWE-20 (Improper Input Validation) je nach Beschaffenheit der strukturierten Nachricht, kann durch korrekt Eingabeüberprüfung verhindert werden, dass spezielle Zeichen und Zeichenfolgen die Struktur der Nachricht manipulieren können Eingabeüberprüfung ist aber nicht immer ausreichend, weil gewisse Zeichen in verschiedenen Kontexten erlaubt oder auch nicht erlaubt sein könnten z.b. Sonderzeichen in Namen: O'Reilly 4-20
21 Anwendungs-Eingabe und -Ausgabe ANWENDUNG EINGABE INTERN 4-21 AUSGABE
22 Anwendungs-Eingabe und -Ausgabe ANWENDUNG EINGABE CWE 20 INTERN 4-22 CWE 116 AUSGABE
23 Anwendungs-Eingabe und -Ausgabe ANWENDUNG Konfigurationdateien Datenbanken Benutzereingaben Webanwendungen usw. CWE 20 INTERN 4-23 CWE 116 Logdateien Datenbanken Systemaufrufe Webanwendungen usw.
24 Auszug aus der deutschen Webseite: OWASP ist eine unabhängige, weltweite Community [...]. Ziel des OWASP ist die Unterstützung von Unternehmen und Organisationen bei der Entwicklung und beim Betrieb sicherer Webanwendungen und das «Sichtbar-Machen» der Bedeutung der Sicherheit von Webanwendungen. Sämtliche OWASP-Instrumente, wie Dokumente, Foren oder die jeweiligen Länder-Chapters stehen kostenlos allen zur Verfügung, die daran interessiert sind, die Sicherheit von Webanwendungen zu erhöhen. Die Community ist frei und offen und heißt alle Interessierten sowie Wissens- und Erfahrungsträger herzlich willkommen. Zwanglos kann dies z. B. im Rahmen der OWASP Stammtische erfolgen, die regelmäßig in vielen deutschen Großstädten stattfinden.
25 OWASP Top 10 Risiken für die Anwendungssicherheit A1: Injection A2: Fehler in Authentifizierung und Session-Management A3: Cross-Site Scripting (XSS) A4: Unsichere direkte Objektreferenzen A5: Sicherheits-relevante Fehlkonfiguration A6: Verlust der Vertraulichkeit sensibler Daten A7: Fehlerhafte Autorisierung auf Anwendungsebene A8: Cross-Site Request Forgery (CSRF) A9: Nutzung von Komponenten mit bekannten Schwachstellen A10: Ungeprüfte Um- und Weiterleitungen 4-25
26 OWASP Top 10 Risiken für die Anwendungssicherheit A1: Injection A2: Fehler in Authentifizierung und Session-Management A3: Cross-Site Scripting (XSS) A4: Unsichere direkte Objektreferenzen A5: Sicherheits-relevante Fehlkonfiguration A6: Verlust der Vertraulichkeit sensibler Daten A7: Fehlerhafte Autorisierung auf Anwendungsebene A8: Cross-Site Request Forgery (CSRF) A9: Nutzung von Komponenten mit bekannten Schwachstellen A10: Ungeprüfte Um- und Weiterleitungen 4-26
27
28
29
30
31
32
33
34
35
36
37
38 SCHÖNE URLAUBSZEIT! weiter geht s am 11. Januar 2016
Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrDatensicherheit. Vorlesung 4: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter
Vorlesung 4: Wintersemester 2017/2018 h_da, Lehrbeauftragter Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrSDD System Design Document
SDD Software Konstruktion WS01/02 Gruppe 4 1. Einleitung Das vorliegende Dokument richtet sich vor allem an die Entwickler, aber auch an den Kunden, der das enstehende System verwenden wird. Es soll einen
MehrAbbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrDatensicherheit. Vorlesung 3: 7.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 3: 7.12.2015 Sommersemester 2015 h_da, Lehrbeauftragter Teil 2: Datensicherheit Themenübersicht der Vorlesung 1. Einführung / Grundlagen der Datensicherheit / Authentifizierung
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrSicher sein, statt in Sicherheit wiegen Sicherheit bei. Web-Anwendungen. Vortrag bei Infotech 08.06.2015
Sicher sein, statt in Sicherheit wiegen Sicherheit bei Web-Anwendungen Vortrag bei Infotech 08.06.2015 2 Ist Sicherheit bei Web-Anwendungen ein Thema? 3 Zusammenfassung Verizon Data-Breach-Report 2014,
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrWas ist bei der Entwicklung sicherer Apps zu beachten?
Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung
MehrBetroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite
Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY
MehrMail encryption Gateway
Mail encryption Gateway Anwenderdokumentation Copyright 06/2015 by arvato IT Support All rights reserved. No part of this document may be reproduced or transmitted in any form or by any means, electronic
MehrSicherheit in Software
Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrCommunity Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate
Community Zertifizierungsstelle für Digitale Identität & Privatsphäre SSL / S/MIME Zertifikate www.cacert.org 2010 / ab OSS an Schulen, Zürich, 2010-05-29, Folie 1 Agenda Identität und Vertrauen WoT und
MehrAktuelle Bedrohungen im Internet
Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung
MehrMetaQuotes Empfehlungen zum Gebrauch von
MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS Auch wenn viele kommerzielle Angebote im Internet existieren, so hat sich MetaQuotes, der Entwickler von MetaTrader 4, dazu entschieden
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrSicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013
Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4
MehrÖkonomik der Agrar und Ernährungswirtschaft in ILIAS
ILIAS Open Source elearning Die ersten Schritte in ILIAS & Der Zugriff auf das Modul Ökonomik der Agrar und Ernährungswirtschaft in ILIAS Gliederung Login Einführung Was versteht man unter ILIAS? Hauptansichten
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrSparkasse Vogtland. Secure E-Mail Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure E-Mail 1
Secure E-Mail Datensicherheit im Internet Sparkasse Kundenleitfaden Sparkasse Kundeninformation Secure E-Mail 1 Willkommen bei Secure E-Mail In unserem elektronischen Zeitalter ersetzen E-Mails zunehmend
Mehrteischl.com Software Design & Services e.u. office@teischl.com www.teischl.com/booknkeep www.facebook.com/booknkeep
teischl.com Software Design & Services e.u. office@teischl.com www.teischl.com/booknkeep www.facebook.com/booknkeep 1. Erstellen Sie ein neues Rechnungsformular Mit book n keep können Sie nun Ihre eigenen
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrTeil 1: IT- und Medientechnik
Matrikelnummer Punkte Note Verwenden Sie nur dieses Klausurformular für Ihre Lösungen. Die Blätter müssen zusammengeheftet bleiben. Es dürfen keine Hilfsmittel oder Notizen in der Klausur verwendet werden
MehrInformation zum SQL Server: Installieren und deinstallieren. (Stand: September 2012)
Information zum SQL Server: Installieren und deinstallieren (Stand: September 2012) Um pulsmagic nutzen zu können, wird eine SQL-Server-Datenbank benötigt. Im Rahmen der Installation von pulsmagic wird
MehrErstellen eines Formulars
Seite 1 von 5 Word > Erstellen bestimmter Dokumente > Formen Erstellen von Formularen, die in Word ausgefüllt werden können Basierend auf einer Vorlage können Sie dieser Inhaltssteuerelemente und Hinweistext
MehrWEBINAR@LUNCHTIME THEMA: "SAS STORED PROCESSES - SCHNELL GEZAUBERT" HELENE SCHMITZ
WEBINAR@LUNCHTIME THEMA: "SAS STORED PROCESSES - SCHNELL GEZAUBERT" HELENE SCHMITZ HERZLICH WILLKOMMEN BEI WEBINAR@LUNCHTIME Moderation Anne K. Bogner-Hamleh SAS Institute GmbH Education Consultant Training
MehrÜbungen 19.01.2012 Programmieren 1 Felix Rohrer. Übungen
Übungen if / else / else if... 2... 2 Aufgabe 2:... 2 Aufgabe 3:... 2 Aufgabe 4:... 2 Aufgabe 5:... 2 Aufgabe 6:... 2 Aufgabe 7:... 3 Aufgabe 8:... 3 Aufgabe 9:... 3 Aufgabe 10:... 3 switch... 4... 4 Aufgabe
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
Mehr5.3.4.3 Übung - Festplattenwartung in Windows Vista
5.0 5.3.4.3 Übung - Festplattenwartung in Windows Vista Einführung Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung untersuchen Sie die Ergebnisse, nachdem Sie eine Festplattenüberprüfung
MehrSuche schlecht beschriftete Bilder mit Eigenen Abfragen
Suche schlecht beschriftete Bilder mit Eigenen Abfragen Ist die Bilderdatenbank über einen längeren Zeitraum in Benutzung, so steigt die Wahrscheinlichkeit für schlecht beschriftete Bilder 1. Insbesondere
MehrISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote
Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet
MehrSichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?
Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information
MehrDer große VideoClip- Wettbewerb von Media Markt.
Der große VideoClip- Wettbewerb von Media Markt. Zeig was du drauf hast! Am 1. Juli startet eine Aktion, wie sie die Schweiz noch nicht gesehen hat. Unter dem Motto Zeig was Du drauf hast! suchen wir den
MehrYouTube: Video-Untertitel übersetzen
Der Easytrans24.com-Ratgeber YouTube: Video-Untertitel übersetzen Wie Sie mit Hilfe von Easytrans24.com in wenigen Schritten Untertitel für Ihre YouTube- Videos in mehrere Sprachen übersetzen lassen können.
MehrAktualisierung der Lizenzierungsrichtlinien für Adobe Produkte
Aktualisierung der Lizenzierungsrichtlinien für Adobe Produkte verbindlich ab 23.04.2012, sie ergänzen den CLP-Vertrag und die EULA (End User License Agreement) 23.05.2012 1 Quelle: www.adobe.com/de/volume-licensing/policies.html
MehrStefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung
1. Remote ISDN Einwahl 1.1 Einleitung Im Folgenden wird die Konfiguration einer Dialup ISDN Verbindungen beschrieben. Sie wählen sich über ISDN von einem Windows Rechner aus in das Firmennetzwerk ein und
MehrInteraktive Medien Richtlinien für das Codieren Version vom 18. Juni 2014
Interaktive Medien Richtlinien für das Codieren Version vom 18. Juni 2014 Martin Vollenweider Dateinamen im Internet Da wir im Internet in gemischten Hard- und Softwareumgebungen (z.b. Windows, Unix, Macintosh,
MehrSoftwaretechnologie Wintersemester 2009/2010 Dr. Günter Kniesel, Pascal Bihler
Übungen zur Vorlesung Softwaretechnologie Wintersemester 2009/2010 Dr. Günter Kniesel, Pascal Bihler Übungsblatt 4 Lösungshilfe. Aufgabe 1. Zustandsdiagramm (8 Punkte) Geben Sie ein Zustandsdiagramm für
Mehrsidoku - Quickstart Beschreibung des Vorgangs Einladung annehmen Release 2.3.1 Stand 20.06.2012
sidoku - Quickstart Beschreibung des Vorgangs Release 2.3.1 Stand 20.06.2012 erstellt von: EXEC Software Team GmbH Südstraße 24 56235 Ransbach-Baumbach www.exec.de sidoku - Quickstart Inhalt Inhalt 1 Einleitung...
MehrSicher kommunizieren dank Secure E-Mail der Suva
Sicher kommunizieren dank Secure E-Mail der Suva Was ist Secure E-Mail? Mit Secure E-Mail der Suva erhalten unsere Kunden und Geschäftspartner die Möglichkeit, vertrauliche Informationen sicher per E-Mail
MehrNorton Internet Security
Norton Internet Security Norton Internet Security Diese CD enthält die Norton Internet Security-Software, mit der Sie Ihre Daten und Ihren PC wirksam schützen können, während Sie im Internet surfen. Sie
MehrDokumentenkontrolle Matthias Wohlgemuth Telefon 043 259 42 33 Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015
CITRIX DESKTOP CITRIX REMOTE ACCESS Dokumentenkontrolle Autor Matthias Wohlgemuth Telefon 043 259 42 33 E-Mail Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015 Status Draft Klassifizierung vertraulich
MehrNeues Modul für individuelle Anlagen. Änderung bei den Postleitzahl-Mutationen
NEWSLETTER APRIL 2015 Neues Modul für individuelle Anlagen Die LESS Informatik hat in Zusammenarbeit mit einem Kunden die Umsetzung des neuen Moduls 1e für die Anwendung von individuelle Anlagen in Angriff
MehrFragen und Antworten zu Secure E-Mail
Fragen und Antworten zu Secure E-Mail Inhalt Secure E-Mail Sinn und Zweck Was ist Secure E-Mail? Warum führt die Suva Secure E-Mail ein? Welche E-Mails sollten verschlüsselt gesendet werden? Wie grenzt
MehrWindows 7 - Whoami. Whoami liefert Informationen wie z.b. die SID, Anmelde-ID eines Users, sowie Gruppenzuordnungen, Berechtigungen und Attribute.
Bei Windows 8/7 und Vista ist die Benutzerverwaltung, die zentrale Stelle zur Verwaltung der angelegten Benutzer. Wer weitere Informationen zu einem Benutzer erfahren möchte, der nutzt den DOS Befehl whoami.
MehrAnleitung Grundsetup C3 Mail & SMS Gateway V02-0314
Anleitung Grundsetup C3 Mail & SMS Gateway V02-0314 Kontakt & Support Brielgasse 27. A-6900 Bregenz. TEL +43 (5574) 61040-0. MAIL info@c3online.at loxone.c3online.at Liebe Kundin, lieber Kunde Sie haben
MehrEin neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.
Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen. Wählen Sie nun Show Profiles und danach Add. Sie können einen beliebigen Namen für das neue Outlook Profil einsetzen.
Mehr10.07.2013 Seite 1 von 6
Diese Anleitung soll dabei helfen, PGP unter Mac OS X mit dem Email- Client Thunderbird einzurichten. In dieser Anleitung wird nicht beschrieben, wie Thunderbird installiert oder eingerichtet wird. Dies
MehrOnline-Dienste des EPA
Online-Dienste des EPA MyFiles Verwaltung 1 Inhaltsverzeichnis Online-Dienste des EPA...1 1. MyFiles aktivieren...3 2. Auf MyFiles zugreifen...4 3. Was Sie in MyFiles tun können...5 4. Vertretung zurücknehmen...6
MehrDie Post hat eine Umfrage gemacht
Die Post hat eine Umfrage gemacht Bei der Umfrage ging es um das Thema: Inklusion Die Post hat Menschen mit Behinderung und Menschen ohne Behinderung gefragt: Wie zufrieden sie in dieser Gesellschaft sind.
MehrBaustein Webanwendungen. Stephan Klein, Jan Seebens
Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische
MehrShowtime Anleitung. Zeigen Sie anderen, über was Sie sprechen. Warum Showtime? So verwenden Sie Showtime. So geht s
Showtime Anleitung Zeigen Sie anderen, über was Sie sprechen Warum Showtime? Sie kennen ja die vielen Vorteile einer Telefonkonferenz. Aber wie wäre es, wenn Sie auch Bilder sprechen lassen könnten? Mit
MehrDB2 Kurzeinführung (Windows)
DB2 Kurzeinführung (Windows) Michaelsen c 25. Mai 2010 1 1 Komponenten von DB2 DB2 bietet zahlreiche graphische Oberflächen für die Verwaltung der verschiedenen Komponenten und Anwendungen. Die wichtigsten
MehrFLACO Info-Service FIS Ausgabe: 10.028-1 ersetzt: - Datum: 19.11.10
Registrierung für FLACO intern Dieses Dokument dient als Leitfaden für die vollständige Registrierung für FLACO intern. Dabei handelt es sich um ein zweistufiges Verfahren: Registrierung für FLACO intern
MehrAUF LETZTER SEITE DIESER ANLEITUNG!!!
BELEG DATENABGLEICH: Der Beleg-Datenabgleich wird innerhalb des geöffneten Steuerfalls über ELSTER-Belegdaten abgleichen gestartet. Es werden Ihnen alle verfügbaren Belege zum Steuerfall im ersten Bildschirm
MehrInstallation der 4Dv12sql Software für Verbindungen zum T.Base Server
Installation der 4Dv12sql Software für Verbindungen zum T.Base Server Die Server-Software für die T.Base Datenbank wird aktualisiert. Damit Sie eine Verbindung zur T.Base Server herstellen können, müssen
MehrHerzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10.
Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen Udo H. Kalinna Nürnberg, den 10.10.2013 AGENDA Kein Tag ohne Hack! Sind diese Schwachstellen
MehrTelenet SocialCom. verbindet Sie mit Social Media.
Telenet SocialCom verbindet Sie mit Social Media. (Titelseite des Vortrags: Kurze Begrüßung bzw. Überleitung von einem anderen Thema. Die Einleitung folgt ab der nächsten Seite...) Ein Kunde ruft an...
Mehrsecunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.
secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.com Übersicht Aktuelle Angriffe auf Web-Anwendungen Grenzen heutiger Schutzstrategien
MehrRT Request Tracker. Benutzerhandbuch V2.0. Inhalte
RT Request Tracker V2.0 Inhalte 1 Was ist der RT Request Tracker und wo finde ich ihn?...2 2 Was möchten wir damit erreichen?...2 3 Wie erstelle ich ein Ticket?...2 4 Wie wird das Ticket abgearbeitet?...4
MehrFragen zur GridVis MSSQL-Server
Fragen zur GridVis MSSQL-Server Frage Anmerkung 1.0 Server allgemein 1.1 Welche Sprache benötigt die Software bzgl. Betriebssystem/SQL Server (deutsch/englisch)? 1.2 Welche MS SQL Server-Edition wird mindestens
MehrPCC Outlook Integration Installationsleitfaden
PCC Outlook Integration Installationsleitfaden Kjell Guntermann, bdf solutions gmbh PCC Outlook Integration... 3 1. Einführung... 3 2. Installationsvorraussetzung... 3 3. Outlook Integration... 3 3.1.
MehrInternet Explorer Version 6
Internet Explorer Version 6 Java Runtime Ist Java Runtime nicht installiert, öffnet sich ein PopUp-Fenster, welches auf das benötigte Plugin aufmerksam macht. Nach Klicken auf die OK-Taste im PopUp-Fenster
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrZusammenfassung Web-Security-Check ZIELSYSTEM
Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt
MehrVersion 0.3. Installation von MinGW und Eclipse CDT
Version 0.3 Installation von MinGW und Eclipse CDT 1. Stellen Sie fest, ob Sie Windows in der 32 Bit Version oder in der 64 Bit Version installiert haben. 2. Prüfen Sie, welche Java Runtime vorhanden ist.
Mehritsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com
itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der
MehrRegistrierungsanleitung ecom-system DARC e.v. OV Velbert
Willkommen zur Registrierung im ecom-system des OV Velbert! Dies ist eine kurze Einführung in die grundlegende Registrierung und Nutzung des ecom-systems des OV Velbert. Zu Beginn sollte man die Webseite
MehrSich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. www.blogger.com ist einer davon.
www.blogger.com Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. www.blogger.com ist einer davon. Sie müssen sich dort nur ein Konto anlegen. Dafür gehen Sie auf
MehrS TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E
S TAND N OVEMBE R 2012 HANDBUCH T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E Herausgeber Referat Informationstechnologie in der Landeskirche und im Oberkirchenrat Evangelischer Oberkirchenrat
MehrInhalt... 1 Einleitung... 1 Systemanforderungen... 1 Software Download... 1 Prüfdokumentation... 4 Probleme... 5 Hintergrund... 5
Inhalt Inhalt... 1 Einleitung... 1 Systemanforderungen... 1 Software Download... 1 Prüfdokumentation... 4 Probleme... 5 Hintergrund... 5 Dieses Dokument gibt ist eine Anleitung zur sicheren und einfachen
Mehr10.3.1.10 Übung - Konfigurieren einer Windows-XP-Firewall
5.0 10.3.1.10 Übung - Konfigurieren einer Windows-XP-Firewall Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie erfahren, wie man die Windows XP-Firewall konfiguriert und
MehrDas digitale Scheunentor
Folie 1 "Das digitale Scheunentor" Folie 2 "Das digitale Scheunentor" Das digitale Scheunentor Prüferfahrungen des Landesbeauftragten für den Datenschutz Rheinland-Pfalz aus der Kontrolle von Internetangeboten
MehrProtect 7 Anti-Malware Service. Dokumentation
Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der
MehrBenutzerhandbuch - Elterliche Kontrolle
Benutzerhandbuch - Elterliche Kontrolle Verzeichnis Was ist die mymaga-startseite? 1. erste Anmeldung - Administrator 2. schnittstelle 2.1 Administrator - Hautbildschirm 2.2 Administrator - rechtes Menü
MehrLokale Installation von DotNetNuke 4 ohne IIS
Lokale Installation von DotNetNuke 4 ohne IIS ITM GmbH Wankelstr. 14 70563 Stuttgart http://www.itm-consulting.de Benjamin Hermann hermann@itm-consulting.de 12.12.2006 Agenda Benötigte Komponenten Installation
MehrLeistungsbeschreibung Click2SMS 1.0
Leistungsbeschreibung Click2SMS 1.0 Kontakt bei Fragen: oder 0800-MaTelSo Der Dienst ermöglicht das Versenden von SMS über einen Web Service von MaTelSo. Charakteristika: Die Länge einer Einzel SMS beträgt:
MehrSEMINAR Modifikation für die Nutzung des Community Builders
20.04.2010 SEMINAR Modifikation für die Nutzung des Community Builders Step by Step Anleitung ecktion SEMINAR Modifikation für die Nutzung des Community Builders Step by Step Anleitung Bevor Sie loslegen
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrWie oft soll ich essen?
Wie oft soll ich essen? Wie sollen Sie sich als Diabetiker am besten ernähren? Gesunde Ernährung für Menschen mit Diabetes unterscheidet sich nicht von gesunder Ernährung für andere Menschen. Es gibt nichts,
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrKvBK: Basic Authentication, Digest Authentication, OAuth
14.07.2010 Julian Reisser Julian.Reisser@ce.stud.uni-erlangen.de KvBK: Basic Authentication, Digest Authentication, OAuth Motivation Authentifizierung Nachweis, dass man der ist für den man sich ausgibt
MehrPython SVN-Revision 12
Python SVN-Revision 12 Uwe Ziegenhagen 7. Januar 2012 Vorwort Dieses Skript erhebt keinen Anspruch auf Vollständigkeit oder Richtigkeit. Es wird geschrieben, um mir als Gedächtnisstütze für den Umgang
Mehr