s c i p a g Contents 1. Editorial scip monthly Security Summary

Größe: px
Ab Seite anzeigen:

Download "s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011"

Transkript

1 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Back to the Future Ich bin ein unermüdlicher Verfechter der darwinistischen Evolutionstheorie. Das Überleben des Stärkeren fasziniert mich dahingehend, dass durch dieses Konzept eine ständige Weiterentwicklung erzwungen wird. Darwinismus ist aber nicht nur ein Konzept, das sich auf biologische Mechanismen anwenden lässt. Ebenso ist es in anderen Gebieten, dazu kann ebenfalls der Fachbereich der Informationstechnologie gezählt werden, einsetzbar. Im Computerbereich setzen sich in der Regel ebenfalls jene Methoden, Mechanismen und Technologien durch, die am elegantesten und effizientesten sind. Klar, auch hier gibt es soziologische und ökonomische Effekte zu beobachten, die aus Sicht des Darwinismus nicht oder nur indirekt nachvollziehbar sind (die Einfachheit des iphones lässt so manchen Benutzer über die restriktive Geschlossenheit des Systems hinwegsehen und trotzdem scheint der Tradeoff bestehen bleiben zu können). Alles in allem führen aber die meisten Entwicklungen dazu, das schlussendlich die besseren davon weiterexistieren können. Dies hat zu wunderbaren Lösungen geführt, die die elektronische Datenverarbeitung bereichert hat. Dinge, die man vor Jahren noch in mühseliger Weise von Hand durchführen musste, können heute zu grossen Teilen automatisiert werden. Im Bereich der Bildbearbeitung finden sich eine Vielzahl an wunderschönen Beispielen, die die jeweils jüngere Generation in ihrer Retrospektive gar nicht mehr nachvollziehen kann. "Was, das hat man früher von Hand gemacht", wird man entsetzt gefragt. Soweit, sogut. Und doch gibt es immerwieder Situationen, in denen hoffnungslos veraltete und ineffiziente Mechanismen überleben, aus technologischer Sicht ist es oftmals ein unliebsames dahinsiechen, können. Da werden beispielsweise vielerorts auch heute noch grosse Datenmengen manuell gefiltert und weiterverarbeitet Und dies, obwohl Parsing Mechanismen samt regulären Ausdrücken schon lange ihre Mächtigkeit bewiesen haben. Dass sowohl die Geschwindigkeit als auch die Zuverlässigkeit einer manuellen Abarbeitung abhanden kommt, das wird im aktionären Wahn schlichtweg übergangen. Vorzugsweise Firmen grösserer Struktur pflegen auf archaischen Stilmitteln festzusitzen. Die Effizienz der Arbeiten sinken in den Keller, doch da man sich nichts anderes gewohnt ist, macht man weiter wie bisher. Ich selbst habe grosse Mühe damit. Mein Magen beginnt zu schmerzen und meine Augen zu tränen, werde ich gezwungen, wie in den 8er Jahren zu arbeiten. Und dies will was heissen, pflege ich nämlich freiwillig einige ganz archaische Mechanismen vorzuziehen (z.b. im Bereich des Windows Skripting ziehe ich VBS oftmals der eigentlich viel mächtigeren Powershell vor). In meinem BlogPost Ich lebe für Automation habe ich begründet und in Soziale Virtualisierung und ihre Automation bewiesen, dass automatisierte Mechanismen unabdingbar an die Informatik geknüpfte Vorteile vereinen. Wer sich derer nicht bemächtigen möchte, der ist in diesem Bereich falsch aufgehoben. Das Erbsenzählen überlassen wir, soll es denn nicht ein Computer für uns übernehmen, den Erbsenzählern. Marc Ruef <maruatscip.ch> Security Consultant Zürich, 15. August 211 1/16

2 2. scip AG Informationen 2.1 Source Code Review Software bestimmt unseren Alltag. Sei dies nun in der Auslösung von Finanztransaktionen, dem Verfassen einer , der täglichen Arbeitszeiterfassung oder der Konfiguration eines Webservers. Eine Applikation versteht sich selbst als eine Aneinanderreihung von Funktionen zur Bewältigung eines wohlgeformten Problems. Dabei kommt eine zusätzliche Logik, die sich für Entscheidungen innerhalb der Verarbeitung verantwortlich zeichnet, zum Einsatz. Vorzugsweise in sicherheitskritischen Bereichen stellen sich nun etliche Fragen wie z.b. ob ein Angreifer aus dem ihm durch die Software zugewiesenen Kontexte ausbrechen kann und dadurch seine Privilegien erweitern kann oder ob er gar durch das Ausnutzen programmiertechnischer Fehler Zugriff auf das System an sich erlangen kann. Diese und andere Fragestellungen können durch Source Code Reviews beantwortet werden. Entsprechend den Vorgaben des Kunden und der zu prüfenden Software werden unterschiedliche Test umgesetzt. Eine kleine Auswahl ist nachfolgend aufgelistet: Algorithmisches Debugging Delta Debugging Explizites Debugging Statisches Debugging Statistisches Debugging Program Slicing Dank unserer langjährigen Erfahrung in diesem Fachgebiet inklusive der Programmierung eigener Analysesoftware und unserem ausgewiesenen Expertenwissen haben wir als scip AG die Ehre die unterschiedlichsten Applikationen namhafter nationaler und internationaler Unternehmungen überprüft zu haben und dabei geholfen haben diese abzusichern. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Simon Zumstein unter der Telefonnummer oder senden Sie ihm eine Mail an 2/16

3 3. Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Inhalt Das Dienstleistungspaket VulDB Alert System liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind: Jul 11 Aug 11 sehr kritisch kritisch 4 5 problematisch Apple Safari verschiedene 44 BlackBerry Enterprise Server PNG and TIFF Image Processing 4399 Adobe Flash Player verschiedene 4398 Microsoft Internet Explorer Internet Explorer Iframe Cookie Disclosure 4397 Microsoft.NET Framework Chart Control File Disclosure Schwachstelle 4396 Microsoft Windows TCP/IP Stack Denial of Service 4395 Windows Client Server Runtime Subsystem Privilege Escalation 4394 Microsoft Windows DNS Service Domain Lookup Denial of Service Schwachstelle 4393 Microsoft Windows DNS Service verschiedene 4392 Windows Remote Access Service NDISTAPI Driver Privilege Escalation 4391 Microsoft.NET Framework Socket Restriction Bypass 439 Microsoft Windows Remote Desktop Web Access CrossSite Scripting 4389 Microsoft Windows Remote Desktop Protocol Denial of Service Vulnerability 4388 Microsoft Windows Kernel File Metadata Parsing Denial of Service 4387 Apple QuickTime verschiedene 4386 Microsoft Windows CSRSS "SrvGetConsoleTitle()" Type Casting Schwachstelle 4385 Google Chrome verschiedene 4384 Apple ios "basicconstraints" X.59 Certificate Chain Validation Schwachstelle 4383 Microsoft Internet Explorer verschiedene 3.1 Apple Safari verschiedene Risiko: kritisch Datum: VulDB: Safari ist ein Webbrowser des Unternehmens Apple für das hauseigene Betriebssystem Mac OS X und seit dem 11. Juni 7 auch für Microsoft Windows, zunächst als Betaversion, seit Version 3.1 als stabile Version, erhältlich. Safari gehört zum Lieferumfang von Mac OS X ab der Version 1.3 ("Panther") und ersetzte den vorher mitgelieferten Microsoft Internet Explorer für Mac als StandardBrowser. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.2 BlackBerry Enterprise Server PNG and TIFF Image Processing Risiko: kritisch Datum: VulDB: BlackBerry ist ein tragbares Gerät (Smartphone), speziell zum Lesen und Schreiben von s. Die von dem kanadischen Unternehmen Research In Motion (RIM) entwickelte Lösung für drahtlose Kommunikation und Verwaltung persönlicher Daten (Personal Information Manager) umfasst eine ClientServerArchitektur, 3/16

4 ein proprietäres Protokoll zwischen Clients und Servern und eine Serie von Endgeräten (Smartphones) von RIM. Die Netzverbindung wird über eine GPRS/EDGE, UMTS oder WLANAnbindung hergestellt. Die Firma RIM identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.3 Adobe Flash Player verschiedene Risiko: kritisch Datum: VulDB: Adobe Flash (kurz Flash, ehemals Macromedia Flash) ist eine proprietäre integrierte Entwicklungsumgebung von Adobe Systems zur Erstellung multimedialer, interaktiver Inhalte. Der Benutzer produziert mit dieser Software Dateien im proprietären SWFFormat. Bekannt und umgangssprachlich gemeint ist Flash als Adobe Flash Player, eine Softwarekomponente zum Betrachten dieser SWFDateien. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.4 Microsoft Internet Explorer Internet Explorer Iframe Cookie Disclosure Datum: VulDB: Der Internet Explorer (offiziell Windows Internet Explorer, früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser des Softwareherstellers Microsoft für dessen Betriebssystem Windows. Seit Windows 95B ist der Internet Explorer fester Bestandteil dieser Betriebssysteme. Bei älteren WindowsVersionen kann er nachinstalliert werden. Die aktuelle Version ist Internet Explorer 9. Der Researcher Rosario Valotta identifizierte unlängst eine Schwachstelle (Designfehler) in aktuellen Versionen der vorliegenden Applikation. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden. 3.5 Microsoft.NET Framework Chart Control File Disclosure Schwachstelle Datum: VulDB: bezeichnet eine von Microsoft entwickelte SoftwarePlattform zur Entwicklung und Ausführung von Anwendungsprogrammen. Eine zunehmende Anzahl von Programmen benötigt.net als Unterbau, um überhaupt ausgeführt werden zu können..net besteht aus einer Laufzeitumgebung (in der die Programme ausgeführt werden) sowie einer Sammlung von Klassenbibliotheken, Programmierschnittstellen und Dienstprogrammen (Services). Es bietet dem Programmierer viele Lösungen für Standard Aufgaben an, so dass er nur noch die eigentlichen Programmfunktionen erstellen muss. Die Firma Context Information Security beschreibt in einem Advisory eine Schwachstelle (Designfehler) in aktuellen Versionen der Applikation. Ein Angreifer kann durch die vorliegende Schwachstelle beliebigen Code zur Ausführung bringen und somit die Kompromittierung des Systems anstreben. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.6 Microsoft Windows TCP/IP Stack Denial of Service Risiko: problematisch 4/16

5 Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Die Firma Microsoft identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.7 Windows Client Server Runtime Subsystem Privilege Escalation Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Alex Ionescu der Firma Winsider Seminars & Solutions Inc. beschreibt in einem Advisory eine Schwachstelle (Unbekannt) in aktuellen Versionen der Applikation. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden. 3.8 Microsoft Windows DNS Service Domain Lookup Denial of Service Schwachstelle Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Die Firma Microsoft identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Angreifer einen Denial of Service Angriff erzeugen und unter bislang nicht gesicherten Umständen beliebigen Code zur Ausführung bringen. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden. 3.9 Microsoft Windows DNS Service verschiedene Risiko: kritisch Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Ein Kollektiv von 5/16

6 Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.1 Windows Remote Access Service NDISTAPI Driver Privilege Escalation Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Lufeng Li der Firma Neusoft Corporation beschreibt eine PufferüberlaufSchwachstelle in aktuellen Produktversionen. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden Microsoft.NET Framework Socket Restriction Bypass Datum: VulDB: bezeichnet eine von Microsoft entwickelte SoftwarePlattform zur Entwicklung und Ausführung von Anwendungsprogrammen. Eine zunehmende Anzahl von Programmen benötigt.net als Unterbau, um überhaupt ausgeführt werden zu können..net besteht aus einer Laufzeitumgebung (in der die Programme ausgeführt werden) sowie einer Sammlung von Klassenbibliotheken, Programmierschnittstellen und Dienstprogrammen (Services). Es bietet dem Programmierer viele Lösungen für Standard Aufgaben an, so dass er nur noch die eigentlichen Programmfunktionen erstellen muss. Der Researcher Michael J. Liu identifizierte unlängst eine Schwachstelle (Designfehler) in aktuellen Versionen der vorliegenden Applikation. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden Microsoft Windows Remote Desktop Web Access CrossSite Scripting Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden Sven Taute beschreibt in einem Advisory eine Schwachstelle (Cross Site Scripting (XSS)) in aktuellen Versionen der Applikation. Die Schwachstelle erlaubt es dem Angreifer XSS (Cross Site Scripting) Angriffe durchzuführen und dadurch beliebigen Kontext im Browser des Opfers zur Ausführung zu bringen. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden Microsoft Windows Remote 6/16

7 Desktop Protocol Denial of Service Vulnerability Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Die Firma Microsoft identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Angreifer einen Denial of Service Angriff erzeugen und damit den Betrieb des Systems und der entsprechenden Umsysteme empfindlich stören. Während diese Schwachstelle nicht zwingend kritisch ist, sollte aufgrund des verbleibenden Restrisikos das zeitnahe Einspielen entsprechender Patches angestrebt werden Microsoft Windows Kernel File Metadata Parsing Denial of Service Datum: VulDB: Angreifer einen Denial of Service Angriff erzeugen und unter bislang nicht gesicherten Umständen beliebigen Code zur Ausführung bringen. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden Apple QuickTime verschiedene Risiko: kritisch Datum: VulDB: QuickTime ist eine von dem Computerunternehmen Apple entwickelte MultimediaArchitektur für Mac OS und Windows. Diese besteht im Kern aus drei Elementen: dem Framework, dem API und dem Dateiformat. Basisanwendungen, die auf diese Architektur aufbauen, sind zum Beispiel der QuickTime Player, der QuickTime Broadcaster oder der QuickTime Streaming Server. QuickTime wird irrtümlicherweise zumeist auf den QuickTime Player reduziert. Dabei arbeitet es als zugrundeliegender technologischer Unterbau in zahlreichen Applikationen wie zum Beispiel Adobe Premiere, Apple Logic, Optibase Media 1, itunes, Final Cut Pro oder den Avid Videoschnittprogrammen. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Zheng Wenbin (Qihoo 36 Security Center) identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden Microsoft Windows CSRSS "SrvGetConsoleTitle()" Type Casting Schwachstelle Datum: VulDB: 7/16

8 grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Matthew Jurczyk identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Angreifer einen Denial of Service Angriff erzeugen und unter bislang nicht gesicherten Umständen beliebigen Code zur Ausführung bringen. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden Google Chrome verschiedene Risiko: kritisch Datum: VulDB: Google Chrome ist ein Webbrowser, der von Google Inc. entwickelt wird und seit dem 2. September 8 verfügbar ist. Am 11. Dezember 8 erschien die erste finale Version. Zentrales Konzept ist die Aufteilung des Browsers in optisch und auf Prozessebene getrennte BrowserTabs. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden Apple ios "basicconstraints" X.59 Certificate Chain Validation Schwachstelle Datum: VulDB: ios (bis Juni 21 iphone OS) ist das Standard Betriebssystem der AppleProdukte iphone, ipod touch, ipad und der zweiten Generation des Apple TV. ios basiert auf Mac OS X und bietet eine Anbindung zum itunes Store und zum App Store. Der Researcher Paul Kehrer der Firma SpiderLabs veröffentlichte unlängst ein Advisory, indem er eine Schwachstelle (Designfehler) in verschiedenen Versionen des Produktes beschreibt. Die Schwachstelle erlaubt es einem Angreifer die Validierung von gespooften Zertifikaten zu erreichen und damit Man in the Middle Attacken durchzufuehren. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden Microsoft Internet Explorer verschiedene Risiko: kritisch Datum: VulDB: Der Internet Explorer (offiziell Windows Internet Explorer, früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser des Softwareherstellers Microsoft für dessen Betriebssystem Windows. Seit Windows 95B ist der Internet Explorer fester Bestandteil dieser Betriebssysteme. Bei älteren WindowsVersionen kann er nachinstalliert werden. Die aktuelle Version ist Internet Explorer 9. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 8/16

9 4. Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an infoatscip.ch. Gerne nehmen wir Ihre Vorschläge entgegen Auswertungsdatum: 19. August sehr kritisch kritisch problematisch Verlauf der Anzahl pro Jahr Jun Jul Aug sehr kritisch 1 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Jun Jul Aug Cross Site Scripting (XSS) 4 1 Denial of Service (DoS) 3 5 Designfehler Directory Traversal Eingabeungültigkeit 3 Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String 1 1 Konfigurationsfehler Pufferüberlauf RaceCondition Schwache Authentifizierung Schwache Verschlüsselung SQLInjection SymlinkSchwachstelle UmgehungsAngriff Unbekannt 8 3 Verlauf der letzten drei Monate Schwachstelle/Kategorie 9/16

10 Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Registrierte by scip AG Verlauf der Anzahl pro Monat Zeitperiode Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez sehr kritisch kritisch problematisch Verlauf der Anzahl /Schweregrad pro Monat Zeitperiode 211 1/16

11 Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal 1 Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte 1 1 Fehlerhafte Schreibrechte 1 Format String 1 1 Konfigurationsfehler Pufferüberlauf RaceCondition 1 Schwache Authentifizierung 1 Schwache Verschlüsselung SQLInjection 2 SymlinkSchwachstelle 1 UmgehungsAngriff 1 1 Unbekannt Verlauf der Anzahl /Kategorie pro Monat Zeitperiode /16

12 Registrierte by scip AG Verlauf der Anzahl pro Quartal seit / Q4 Q4 Q4 Q4 Q4 Q4 Q4 Q4 sehr kritisch kritisch problematisch Verlauf der Anzahl /Schweregrad pro Quartal seit /3 12/16

13 Q Q Q Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf RaceCondition Schwache Authentifizierung Schwache Verschlüsselung SQLInjection SymlinkSchwachstelle UmgehungsAngriff Unbekannt Q Q Q4 9 Verlauf der Anzahl /Kategorie pro Quartal seit / Q Q /16

14 5. Labs In unseren scip Labs werden unter regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 Modell zur Umsetzung von Config Reviews Marc Ruef, maruatscip.ch Im Rahmen verschiedener Sicherheitsüberprüfungen führen wir ebenfalls sogenannte Configuration Reviews durch. Bei diesen wird die Konfiguration einer Komponente auf ihre Sicherheit hin untersucht. Das Prinzip einer solchen Analyse sowie die einhergehenden Schwierigkeiten sollen in diesem Beitrag illustriert werden. Gehen wir davon aus, dass ein nicht näher bestimmtes RouterProdukt untersucht werden soll. Dieses pflegt Konfigurationseinstellungen auf der Kommandozeile entgegenzunehmen. Beispielsweise wird folgendes Kommando verwendet, um eine Netzwerkschnittstelle zu konfigurieren: Router> add interface name=eth state=enabled icmp=enabled mgmtaccess=disabled In gleicher Weise wird die persistente Konfiguration einer Konfigurationsdatei abgelegt, die auf die gleiche sequentielle Eingabe der unterschiedlichen Einstellungen zurückgreift. Dabei entspricht jede Zeile in der Konfiguration einer einzelnen Eingabe. Eine einzelne Eingabe weist dabei beispielsweise die folgende Struktur auf (die einzelnen Objekte werden zur Vereinfachung der Illustration voneinander getrennt dargestellt): add interface name=eth state=ena BLED icmp =ENA BLED mgmtaccess=disa BLED Solche Konfigurationseinstellungen sind bei verschiedenen Netzwerkprodukten im professionellen Sektor zu sehen. Bei add handelt es sich um ein Kommando, das verschiedene Argumente erwartet. Durch interface wird die neue Netzwerkschnittstelle hinzugefügt. Dabei kommen nun verschiedene Parameter zum Tragen, welche eine Attributisierung des neu hinzuzufügenden Objekts zulassen. So wird mit dem Attributname der Name und mit state=[enabled DISABLED] der Status definiert. Zusätzlich wird mit icmp=[enabled DISABLED] die Unterstützung von ICMPKommunikationen und mit mgmtaccess=[enabled DISABLED] die Aktivierung des Zugriffs auf die Management Schnittstelle spezifiziert. add interface name=<name> state=[enabled DISABLED] icmp=[enabled DISABLED] mgmtaccess=[enabled DISABLED] Sicherheitstechnisch gesehen ist hierbei die Definition von icmp bedenklich. Denn durch das Aktivieren dessen Unterstützung mit dem Wert ENABLED werden entsprechende protokollabhängige Angriffe möglich. Im Rahmen einer Config Review würde hier also besagte Einstellung beanstandet werden add interface name=eth state=ena BLED icmp=en ABLED mgmtac cess=d ISABLE D Um dieser Schwachstelle zu entgegnen, sollte ICMP deaktiviert werden, indem die Direktive icmp=disabled zum Tragen kommt. Viele Administratoren haben die Angewohnheit, in der Konfiguration nur jene Einstellung vorzunehmen, die sie explizit definieren wollen. Alle Einstellungen, die nicht zwingend beeinflusst werden sollen, werden ignoriert. Viele Produkte erfordern aber eine explizite Definition einer Einstellung und verwenden beim Ausbleiben einer solchen die durch den Hersteller vordefinierte Standardeinstellung. Diese sähe in diesem Fall wie folgt aus (der Standard ist durch geschweifte Klammern dargestellt): add interface name=eth state={en ABLED} icmp={e NABLED} mgmtac cess={ DISABL ED} Dies bedeutet, dass wenn also eine der Parameter state, icmp oder mgmtaccess nicht definiert ist, die Vorauswahl genutzt wird. In diesem Fall werden damit aber entsprechende Sicherheitsrisiken aufgetan, wenn auf die explizite Deaktivierung von ICMP verzichtet wird. Denn ohne eine Definition wird das Protokoll standardmässig unterstützt. (In diesem Beispiel weist name keine Standardeinstellung auf. Die Angabe ist entsprechend nicht optional. Sie hat jedoch keinen Einfluss auf die sicherheitsbezogene Analyse. Wir würden ein Ausbleiben jedoch aus betrieblichen Gründen dokumentieren.) 14/16

15 Standardeinstellungen erschweren Config Reviews entsprechend ungemein. Denn man muss nicht nur um alle möglichen Einstellungen und die definierten Einstellungen wissen, sondern es müssen ebenfalls die abwesenden Einstellungen und ihre Standardwerte bekannt sein. Jenachdem ist es jedoch besonders aufwendig, diese Standardwerte ausfindig zu machen. Sollte der Hersteller keine Dokumentation diesbezüglich vorweisen können, muss durch eine praktische Analyse des Produkts der aktuelle Stand determiniert werden. Der generische Ablauf einer umfassenden Config Review gestaltet sich entsprechend wie folgt (unabhängig von Produkt und Format der Konfigurationsdateien): 1. Vorbereitungen 1. Dokumentation aller Einstellungsmöglichkeiten 2. Vermerk aller sicherheitsrelevanten Sicherheitseinstellungen 3. Identifikation aller Standardeinstellungen bei optionalen/abwesenden Einstellungen 2. Analyse 1. Identifikation aller expliziten Einstellungen 2. Identifikation aller abwesenden Einstellungen 3. Ableitung der abwesenden Einstellungen zu ihren Standardeinstellungen Interface State ICMP mgmtaccess eth ENABLED DISABLED DISABLED eth1 ENABLED ENABLED ENABLED eth2 DISABLED eth3 DISABLED Oftmals umfassen die zu untersuchenden Konfigurationsdateien mehrere hundert Zeilen mit einer Vielzahl an Anweisungen und expliziten bzw. impliziten Argumenten. Diese zu analysieren ist sodann mit einem sehr hohen Aufwand verbunden. Um die Effizienz sowie die Genauigkeit der Untersuchung zu verbessern, verwenden wir je nach Möglichkeit auf die zu untersuchenden Produkte zugeschnittene Parser (z.b. Cisco IOS/PIX/ASA, Nortel Alteon OS, Citrix Netscaler, etc.). Diese analysieren die Anweisungen und helfen entsprechend bei der Umsetzung der Schritte 2.1 bis 2.3. Sicherheitsrelevante bzw. sicherheitskritische Objekte werden sodann gemeldet und einer manuellen Untersuchung durch den Fachspezialisten unterzogen. Dadurch kann einerseits eine hohe Verarbeitungsgeschwindigkeit (durch Automatisierung) aber auch eine umfassende Genauigkeit (durch manuelle Nachprüfung) gewährleistet werden. 3. Dokumentation 1. Beschreibung aller gegebenen Fehleinstellungen (explizit definiert) 2. Beschreibung aller fehlenden Fehleinstellungen (implizit abgeleitet) Das Resultat einer Configuration Review eines RoutingProdukts könnte also folgendes Resultat zur Folge haben (Wir versuchen nach Möglichkeiten eine optische Darstellung von Fehleinstellungen bereitzustellen): 15/16

16 6. Impressum Herausgeber: scip AG Badenerstrasse 551 CH848 Zürich T infoatscip.ch Zuständige Person: Marc Ruef Security Consultant T maruatscip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener, dem Coding einer offenen Exploiting und Scanning Software als auch der Programmierung eines eigenen Log Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktivkritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 16/16

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009 scip monthly Security Summary 19.7.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken. Statistiken Verletzbarkeiten 5. Bilderrätsel. Impressum 1. Editorial Despotische Demokratie

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Geschlossene Systeme und ihre Zukunft am Beispiel

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Das Cookie ist mächtiger als das Schwert Unsere Firma

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011 scip monthly Security Summary 19.4.11 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Gesetz

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2009 scip monthly Security Summary 19.8.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Wer rechnen

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken 5. Bilderrätsel 6. Impressum 1. Editorial Prinzip der Datenklassifizierung Wer an Computersicherheit denkt, der denkt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.06.2008

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.06.2008 scip monthly Security Summary 19.6.8 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Fachartikel 6. Bilderrätsel 7. Impressum 1. Editorial Von

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2011 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Meine kurze Geschichte des Security Testing Mit

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009 scip monthly Security Summary 19.9.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Nichtexistenz

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Pentesting Experten System Seit meinem Eintritt

Mehr

Smartphone - Betriebssysteme. Smartphone - Betriebssysteme

Smartphone - Betriebssysteme. Smartphone - Betriebssysteme Smartphone - Betriebssysteme Peter Rami - Graz, 28.04.2009 Inhalt Smartphone Symbian OS Windows Mobile BlackBerry OS iphone OS Android Marktanteile & Ausblick Smartphone - Betriebssysteme Peter Rami -

Mehr

scip ag Contents 1. Editorial scip monthly Security Summary 19.07.2010

scip ag Contents 1. Editorial scip monthly Security Summary 19.07.2010 scip ag Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Infiltration eines Netzwerks Ein krimineller

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Software Analyse Das Untersuchen

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2012

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2012 scip monthly Security Summary 19.4.2 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Risikomanagement

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006 scip monthly Security Summary 19.12.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

Leistungsbeschreibung tengo desktop

Leistungsbeschreibung tengo desktop 1/5 Inhalt 1 Definition 2 2 Leistung 2 3 Optionale Leistungen 3 4 Systemanforderungen, Mitwirkungen des Kunden 3 4.1 Mitwirkung des Kunden 4 4.1.1 Active Directory Anbindung 4 4.1.2 Verwaltung über das

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006 scip monthly Security Summary 19.1.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Eingabeüberpüfung? Wozu?! Ich

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Dokumentenversion 2.0 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006 scip monthly Security Summary 19.11.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

DOK. ART GD1. Citrix Portal

DOK. ART GD1. Citrix Portal Status Vorname Name Funktion Erstellt: Datum DD-MMM-YYYY Unterschrift Handwritten signature or electronic signature (time (CET) and name) 1 Zweck Dieses Dokument beschreibt wie das auf einem beliebigem

Mehr

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch ARTS Server 3.5 Produktbeschreibung Uptime Services AG Inhaltsverzeichnis 1 Einleitung... 2 2

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2008

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2008 scip monthly Security Summary 19.5.8 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Unter Blinden wird

Mehr

TM1 mobile intelligence

TM1 mobile intelligence TM1 mobile intelligence TM1mobile ist eine hochportable, mobile Plattform State of the Art, realisiert als Mobile BI-Plug-In für IBM Cognos TM1 und konzipiert als Framework für die Realisierung anspruchsvoller

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary

s c i p a g Contents 1. Editorial scip monthly Security Summary scip monthly Security Summary 9.6. Contents. Editorial. scip AG Informationen 3. Neue Sicherheitslücken. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum. Editorial Hardening Massnahmen

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Glossar. Launching auf.

Glossar. Launching auf. 243 Ad Hoc Distribution Die Ad Hoc Distribution ist eine Möglichkeit, um Ihre entwickelte Anwendung auf anderen Endgeräten zu verteilen. Diese Art der Verteilung erfolgt ohne den App Store. Die Anzahl

Mehr

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Schwachstellen Gefahr erkennen Gefahr bewerten Gefahr beseitigen Thomas Ranke (Vertrieb Nord) baramundi

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke)

Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke) Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke) Verfasser/Referent: IT-Serviceline Hardware und Infrastruktur, DW 66890 Inhaltsverzeichnis 1 Allgemeines... 3 2 Windows XP

Mehr

Rolle des Penetration Testing

Rolle des Penetration Testing Rolle des Penetration Testing Marc Ruef www.scip.ch SGRP Frühlingsveranstaltung 07.05.2013 Credit Suisse Tower, Zürich-Oerlikon Agenda Rolle des Penetration Testing Fragen SGRP Frühlingsveranstaltung 2013

Mehr

SPECTRUM 4.0 Netzwerk-Installation

SPECTRUM 4.0 Netzwerk-Installation SPECTRUM 4.0 Netzwerk-Installation Allgemeines zu SPECTRUM 4.0 - Lieferumfang - Lizenzrechner + CodeMeter-Stick - Programmversion - Einzelkomponenten - Begriffe Basisdaten, Projektverzeichnis 1. Einrichten

Mehr

AIRWATCH. Mobile Device MGMT

AIRWATCH. Mobile Device MGMT AIRWATCH Mobile Device MGMT AIRWATCH Was ist Mobile Device Mgmt. Welche Methoden von Device Mgmt sind möglich Airwatch SAAS / on Premise Airwatch Konfiguration von Usern und Sites Airwatch Konfiguration

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2015. Alle Rechte vorbehalten. Dokumentenversion: 1.1 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Kunden, die auf der Version 8.x oder darunter arbeiten, empfehlen wir insbesondere das Kapitel Upgrade von Vorversionen ab Folie 26.

Kunden, die auf der Version 8.x oder darunter arbeiten, empfehlen wir insbesondere das Kapitel Upgrade von Vorversionen ab Folie 26. Input Management Was ist neu in KOFAX CAPTURE 10? Die Version KOFAX CAPTURE 10 bietet eine Vielzahl von Neuerungen, die den Einsatz der Software in Ihrem Unternehmen noch effizienter machen. Informieren

Mehr

ERNW Newsletter 23 / April 2007

ERNW Newsletter 23 / April 2007 ERNW Newsletter 23 / April 2007 Liebe Partner, liebe Kollegen, willkommen zur 23ten Ausgabe des ERNW-Newsletters mit dem Thema: Neuigkeiten aus dem Untergrund Ein Bericht der Blackhat Europe 2008 Version

Mehr

Testplan. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw, 16.04.2013

Testplan. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw, 16.04.2013 Software Komponenten FS13 Gruppe 03 Horw, 16.04.2013 Bontekoe Christian Estermann Michael Moor Simon Rohrer Felix Autoren Bontekoe Christian Studiengang Informatiker (Berufsbegleitend) Estermann Michael

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

Windows Terminalserver im PC-Saal

Windows Terminalserver im PC-Saal Windows Terminalserver im PC-Saal PC-Saal Anforderungen Einheitliche Arbeitsumgebung für die Benutzer (Hard- und Software) Aktuelles Softwareangebot Verschiedene Betriebssysteme Ergonomische Arbeitsumgebung

Mehr

Betriebssystemsicherheit am Beispiel UNIX

Betriebssystemsicherheit am Beispiel UNIX Betriebssystemsicherheit am Beispiel UNIX (1) Motivation Der Anteil von UNIX-Systemen in vernetzten Umgebungen, insbesondere als Server in TCP/IP-basierten Netzen, ist sehr gross und immer noch weiter

Mehr

VMware Workspace Portal- Benutzerhandbuch

VMware Workspace Portal- Benutzerhandbuch VMware Workspace Portal- Benutzerhandbuch Workspace Portal 2.1 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue Auflage ersetzt

Mehr

1 von 5 03.03.2010 19:10

1 von 5 03.03.2010 19:10 Statistik für kindgerechte-schule.ch (-02) - main 1 von 5 03.03. 19:10 Zuletzt aktualisiert: 03.03. - 15:55 Zeitraum: OK Zeitraum Monat Feb Erster Zugriff 01.02. - 00:18 Letzter Zugriff 28.02. - 23:53

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Client-Anpassungen für ExpertAdmin Server 2008

Client-Anpassungen für ExpertAdmin Server 2008 Client-Anpassungen für ExpertAdmin Server 2008 Dokument History Datum Autor Version Änderungen 15.04.2009 Andreas Flury V01 Erste Fassung 21.04.2009 Andreas Flury V02 Präzisierungen bez. RDP Client Einführung

Mehr

Übersicht. NOXnet Serial Device Server NPort 5110 oder NPort 5110A 1/13

Übersicht. NOXnet Serial Device Server NPort 5110 oder NPort 5110A 1/13 Serial Device Server NPort 5110 oder NPort 5110A 1/13 Übersicht Mit dem Serial Device Server MOXA NPort 5110 oder MOXA NPort 5110A können Sie das Gebäudeautomationssystem NOXnet mit Ihrem Heimnetzwerk

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Sophos Mobile Control Benutzerhandbuch für Apple ios

Sophos Mobile Control Benutzerhandbuch für Apple ios Sophos Mobile Control Benutzerhandbuch für Apple ios Produktversion: 2 Stand: Dezember 2011 Inhalt 1 Über Sophos Mobile Control... 3 2 Einrichten von Sophos Mobile Control auf einem Apple iphone... 4 3

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr

Zusatzkurs im SS 2012

Zusatzkurs im SS 2012 Zusatzkurs im SS 2012 Datennetze Forschung Sicherheit Kursinhalt: Computer Forensics in Today's World Computer Forensics Lab Computer Investigation Process First Responder Procedures Incident Handling

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben.

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Um alle Funktionen unserer Software nutzen zu können, sollten Sie bitte in Ihrem Browser folgende Einstellungen

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Nutzung der VDI Umgebung

Nutzung der VDI Umgebung Nutzung der VDI Umgebung Inhalt 1 Inhalt des Dokuments... 2 2 Verbinden mit der VDI Umgebung... 2 3 Windows 7... 2 3.1 Info für erfahrene Benutzer... 2 3.2 Erklärungen... 2 3.2.1 Browser... 2 3.2.2 Vertrauenswürdige

Mehr

Bin ich fit für myconvento?

Bin ich fit für myconvento? Bin ich fit für myconvento? Sie planen den Einsatz unserer innovativen Kommunikationslösung myconvento und fragen sich gerade, ob Ihr Rechner die Anforderungen erfüllt? Hier erfahren Sie mehr. Inhalt Was

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.02.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.02.2009 scip monthly Security Summary 19.2.9 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Banken, Terrorisums

Mehr

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 16.02.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Systemvoraussetzungen quickterm Server 3 2 Systemvoraussetzungen quickterm Client 5 3 Systemvoraussetzungen

Mehr

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben.

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Um alle Funktionen unserer Software nutzen zu können, sollten Sie bitte in Ihrem Browser folgende Einstellungen

Mehr

Hacking-Lab Online Hack&Learn 9. December 2008

Hacking-Lab Online Hack&Learn 9. December 2008 Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Hacking-Lab Online Hack&Learn 9. December 2008 Name des Dokumentes: DE_Hacking_Lab_V3.3_OpenVPN.doc

Mehr

Wir befinden uns inmitten einer Zeit des Wandels.

Wir befinden uns inmitten einer Zeit des Wandels. Wir befinden uns inmitten einer Zeit des Wandels. Geräte Apps Ein Wandel, der von mehreren Trends getrieben wird Big Data Cloud Geräte Mitarbeiter in die Lage versetzen, von überall zu arbeiten Apps Modernisieren

Mehr

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 06.07.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Server 3 2 Client 5 3 Web 6 4 Studio Plug-In 7 2 quickterm 5.6.0 - Systemvoraussetzungen Server 1 1

Mehr

Technische Voraussetzungen Stand: 29. Juli 2014

Technische Voraussetzungen Stand: 29. Juli 2014 Technische Voraussetzungen Stand: 29. Juli 2014 FineSolutions AG Culmannstrasse 37 8006 Zürich Telefon +41 44 245 85 85 Telefax +41 44 245 85 95 support@finesolutions.ch Inhaltsverzeichnis 1 Einführung...

Mehr

Marketing Update. Enabler / ENABLER aqua / Maestro II

Marketing Update. Enabler / ENABLER aqua / Maestro II Marketing Update Enabler / ENABLER aqua / Maestro II Quartal 01/2013 1 Kommentar des Herausgebers Liebe Kunden und Partner, dieser Marketing Update gibt Ihnen einen kurzen Überblick über die aktuell verfügbaren

Mehr

Kerberos Geheimnisse in der Oracle Datenbank Welt

<Insert Picture Here> Kerberos Geheimnisse in der Oracle Datenbank Welt 1 Kerberos Geheimnisse in der Oracle Datenbank Welt Helmut Eckstein Manager Global IT/SIS eckstein@de.pepperl-fuchs.com Suvad Sahovic Senior Systemberater suvad.sahovic@oracle.com

Mehr

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de Seite: 1 mit Tufin SecureTrack NUBIT 2006 Kiel, 17. Februar 2006 Martin Seeger NetUSE AG ms@netuse.de Seite: 2 mit Tufin SecureTrack Agenda Herausforderungen Aufbau und Funktionsweise Versionsstände Vergleiche

Mehr

VPN: Nochmal ein Kilo bitte?

VPN: Nochmal ein Kilo bitte? VPN Reloaded: Mac OS X 10.6 Server Snow Leopard VPN: Nochmal ein Kilo bitte? Autor: Dirk Küpper www.dirkkuepper.de Wie war das noch gleich: 1 Kilo VPN bitte? An der Theke bekomme ich sicherlich 100 Gramm

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

Systemvoraussetzungen

Systemvoraussetzungen [Stand: 16.01.2015 Version: 47] Hier erhalten Sie eine Übersicht zu den für alle Software-Produkte von ELO Digital Office GmbH. Inhalt 1 ELOprofessional Server 9... 5 1.1 Windows... 5 1.1.1 Betriebssystem...

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2006 scip monthly Security Summary 19.01.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Interview 6. Kreuzworträtsel 7. Literaturverzeichnis 8.

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

KABEG Portal. Anleitung für die Installation auf privaten Endgeräten. Hauptabteilung Technik und Bau

KABEG Portal. Anleitung für die Installation auf privaten Endgeräten. Hauptabteilung Technik und Bau Hauptabteilung Technik und Bau 9020 Klagenfurt am Wörthersee Kraßniggstraße 15 T +43 463 55212-0 F +43 463 55212-50009 www.kabeg.at KABEG Portal Anleitung für die Installation auf privaten Endgeräten Seite

Mehr

Systemvoraussetzungen

Systemvoraussetzungen [Stand: 06.08.2014 Version: 44] Hier erhalten Sie eine Übersicht zu den für alle Software-Produkte von ELO Digital Office GmbH. Inhalt 1 ELOprofessional Server 9... 4 1.1 Windows... 4 1.1.1 Betriebssystem...

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

Konfigurationsanleitung Hosted Exchange 2003 mit Outlook 2010 & iphone

Konfigurationsanleitung Hosted Exchange 2003 mit Outlook 2010 & iphone Konfigurationsanleitung Hosted Exchange 2003 mit Outlook 2010 & iphone Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

Mehr

VIVIT TQA Treffen in Köln am 18. 04. 2013. API- Programmierung und Nutzung bei HP Quality Center / ALM. Michael Oestereich IT Consultant QA

VIVIT TQA Treffen in Köln am 18. 04. 2013. API- Programmierung und Nutzung bei HP Quality Center / ALM. Michael Oestereich IT Consultant QA VIVIT TQA Treffen in Köln am 18. 04. 2013 API- Programmierung und Nutzung bei HP Quality Center / ALM Michael Oestereich IT Consultant QA Agenda Vorstellung der API- Versionen OTA- API SA- API REST- API

Mehr

Systemanforderungen Verlage & Akzidenzdruck

Systemanforderungen Verlage & Akzidenzdruck OneVision Software AG Inhalt Asura 10.2, Asura Pro 10.2,Garda 10.2...2 PlugBALANCEin 10.2, PlugCROPin 10.2, PlugFITin 10.2, PlugRECOMPOSEin 10.2, PlugSPOTin 10.2,...2 PlugTEXTin 10.2, PlugINKSAVEin 10.2,

Mehr

PrintMe Mobile 3.0 - Anleitung für Anwender

PrintMe Mobile 3.0 - Anleitung für Anwender PrintMe Mobile 3.0 - Anleitung für Anwender Inhalt Einführung in PrintMe Mobile Systemanforderungen Drucken Fehlerbehebung Einführung in PrintMe Mobile PrintMe Mobile ist eine Unternehmenslösung für das

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser Seite 1 von 14 Cookie-Einstellungen verschiedener Browser Cookie-Einstellungen verschiedener Browser, 7. Dezember 2015 Inhaltsverzeichnis 1.Aktivierung von Cookies... 3 2.Cookies... 3 2.1.Wofu r braucht

Mehr

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2 Mac OSX Consoliero Teil 14 Seite: 1/10 Mac OS X Consoliero Weiterführende Dokumentationen für Administratoren. Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2 Christoph Müller, PTS

Mehr

1. Software-Plattform Android Android. Was ist Android? Bibliotheken, Laufzeitumgebung, Application Framework

1. Software-Plattform Android Android. Was ist Android? Bibliotheken, Laufzeitumgebung, Application Framework 1. Software-Plattform Android Android Was ist Android? Plattform und Betriebssystem für mobile Geräte (Smartphones, Mobiltelefone, Netbooks), Open-Source Linux-Kernel 2.6 Managed Code, Angepasste Java

Mehr

Inhalt und Ziele. Homepage von Anfang an. Herzlich Willkommen! HTML Syntax; grundlegende Grafik- und Bildbearbeitung für das Internet;

Inhalt und Ziele. Homepage von Anfang an. Herzlich Willkommen! HTML Syntax; grundlegende Grafik- und Bildbearbeitung für das Internet; Homepage von Anfang an Herzlich Willkommen! Caroline Morhart-Putz caroline.morhart@wellcomm.at Inhalt und Ziele!! HTML Grundlagen - die Sprache im Netz; HTML Syntax;!! Photoshop - Optimieren von Bildern,

Mehr

CRM KINDERLEICHT NEUERUNGEN IM RELEASE 8.4

CRM KINDERLEICHT NEUERUNGEN IM RELEASE 8.4 CRM KINDERLEICHT NEUERUNGEN IM RELEASE 8.4 STRATEGISCHE ZIELE Terminumfrage, Termine und Aufgaben in GEDYS IntraWare 8.web Unabhängig vom E Mail und Kalendersystem Termine auch für Kunden Ablösung der

Mehr