s c i p a g Contents 1. Editorial scip monthly Security Summary

Größe: px
Ab Seite anzeigen:

Download "s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011"

Transkript

1 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Back to the Future Ich bin ein unermüdlicher Verfechter der darwinistischen Evolutionstheorie. Das Überleben des Stärkeren fasziniert mich dahingehend, dass durch dieses Konzept eine ständige Weiterentwicklung erzwungen wird. Darwinismus ist aber nicht nur ein Konzept, das sich auf biologische Mechanismen anwenden lässt. Ebenso ist es in anderen Gebieten, dazu kann ebenfalls der Fachbereich der Informationstechnologie gezählt werden, einsetzbar. Im Computerbereich setzen sich in der Regel ebenfalls jene Methoden, Mechanismen und Technologien durch, die am elegantesten und effizientesten sind. Klar, auch hier gibt es soziologische und ökonomische Effekte zu beobachten, die aus Sicht des Darwinismus nicht oder nur indirekt nachvollziehbar sind (die Einfachheit des iphones lässt so manchen Benutzer über die restriktive Geschlossenheit des Systems hinwegsehen und trotzdem scheint der Tradeoff bestehen bleiben zu können). Alles in allem führen aber die meisten Entwicklungen dazu, das schlussendlich die besseren davon weiterexistieren können. Dies hat zu wunderbaren Lösungen geführt, die die elektronische Datenverarbeitung bereichert hat. Dinge, die man vor Jahren noch in mühseliger Weise von Hand durchführen musste, können heute zu grossen Teilen automatisiert werden. Im Bereich der Bildbearbeitung finden sich eine Vielzahl an wunderschönen Beispielen, die die jeweils jüngere Generation in ihrer Retrospektive gar nicht mehr nachvollziehen kann. "Was, das hat man früher von Hand gemacht", wird man entsetzt gefragt. Soweit, sogut. Und doch gibt es immerwieder Situationen, in denen hoffnungslos veraltete und ineffiziente Mechanismen überleben, aus technologischer Sicht ist es oftmals ein unliebsames dahinsiechen, können. Da werden beispielsweise vielerorts auch heute noch grosse Datenmengen manuell gefiltert und weiterverarbeitet Und dies, obwohl Parsing Mechanismen samt regulären Ausdrücken schon lange ihre Mächtigkeit bewiesen haben. Dass sowohl die Geschwindigkeit als auch die Zuverlässigkeit einer manuellen Abarbeitung abhanden kommt, das wird im aktionären Wahn schlichtweg übergangen. Vorzugsweise Firmen grösserer Struktur pflegen auf archaischen Stilmitteln festzusitzen. Die Effizienz der Arbeiten sinken in den Keller, doch da man sich nichts anderes gewohnt ist, macht man weiter wie bisher. Ich selbst habe grosse Mühe damit. Mein Magen beginnt zu schmerzen und meine Augen zu tränen, werde ich gezwungen, wie in den 8er Jahren zu arbeiten. Und dies will was heissen, pflege ich nämlich freiwillig einige ganz archaische Mechanismen vorzuziehen (z.b. im Bereich des Windows Skripting ziehe ich VBS oftmals der eigentlich viel mächtigeren Powershell vor). In meinem BlogPost Ich lebe für Automation habe ich begründet und in Soziale Virtualisierung und ihre Automation bewiesen, dass automatisierte Mechanismen unabdingbar an die Informatik geknüpfte Vorteile vereinen. Wer sich derer nicht bemächtigen möchte, der ist in diesem Bereich falsch aufgehoben. Das Erbsenzählen überlassen wir, soll es denn nicht ein Computer für uns übernehmen, den Erbsenzählern. Marc Ruef <maruatscip.ch> Security Consultant Zürich, 15. August 211 1/16

2 2. scip AG Informationen 2.1 Source Code Review Software bestimmt unseren Alltag. Sei dies nun in der Auslösung von Finanztransaktionen, dem Verfassen einer , der täglichen Arbeitszeiterfassung oder der Konfiguration eines Webservers. Eine Applikation versteht sich selbst als eine Aneinanderreihung von Funktionen zur Bewältigung eines wohlgeformten Problems. Dabei kommt eine zusätzliche Logik, die sich für Entscheidungen innerhalb der Verarbeitung verantwortlich zeichnet, zum Einsatz. Vorzugsweise in sicherheitskritischen Bereichen stellen sich nun etliche Fragen wie z.b. ob ein Angreifer aus dem ihm durch die Software zugewiesenen Kontexte ausbrechen kann und dadurch seine Privilegien erweitern kann oder ob er gar durch das Ausnutzen programmiertechnischer Fehler Zugriff auf das System an sich erlangen kann. Diese und andere Fragestellungen können durch Source Code Reviews beantwortet werden. Entsprechend den Vorgaben des Kunden und der zu prüfenden Software werden unterschiedliche Test umgesetzt. Eine kleine Auswahl ist nachfolgend aufgelistet: Algorithmisches Debugging Delta Debugging Explizites Debugging Statisches Debugging Statistisches Debugging Program Slicing Dank unserer langjährigen Erfahrung in diesem Fachgebiet inklusive der Programmierung eigener Analysesoftware und unserem ausgewiesenen Expertenwissen haben wir als scip AG die Ehre die unterschiedlichsten Applikationen namhafter nationaler und internationaler Unternehmungen überprüft zu haben und dabei geholfen haben diese abzusichern. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Simon Zumstein unter der Telefonnummer oder senden Sie ihm eine Mail an 2/16

3 3. Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Inhalt Das Dienstleistungspaket VulDB Alert System liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind: Jul 11 Aug 11 sehr kritisch kritisch 4 5 problematisch Apple Safari verschiedene 44 BlackBerry Enterprise Server PNG and TIFF Image Processing 4399 Adobe Flash Player verschiedene 4398 Microsoft Internet Explorer Internet Explorer Iframe Cookie Disclosure 4397 Microsoft.NET Framework Chart Control File Disclosure Schwachstelle 4396 Microsoft Windows TCP/IP Stack Denial of Service 4395 Windows Client Server Runtime Subsystem Privilege Escalation 4394 Microsoft Windows DNS Service Domain Lookup Denial of Service Schwachstelle 4393 Microsoft Windows DNS Service verschiedene 4392 Windows Remote Access Service NDISTAPI Driver Privilege Escalation 4391 Microsoft.NET Framework Socket Restriction Bypass 439 Microsoft Windows Remote Desktop Web Access CrossSite Scripting 4389 Microsoft Windows Remote Desktop Protocol Denial of Service Vulnerability 4388 Microsoft Windows Kernel File Metadata Parsing Denial of Service 4387 Apple QuickTime verschiedene 4386 Microsoft Windows CSRSS "SrvGetConsoleTitle()" Type Casting Schwachstelle 4385 Google Chrome verschiedene 4384 Apple ios "basicconstraints" X.59 Certificate Chain Validation Schwachstelle 4383 Microsoft Internet Explorer verschiedene 3.1 Apple Safari verschiedene Risiko: kritisch Datum: VulDB: Safari ist ein Webbrowser des Unternehmens Apple für das hauseigene Betriebssystem Mac OS X und seit dem 11. Juni 7 auch für Microsoft Windows, zunächst als Betaversion, seit Version 3.1 als stabile Version, erhältlich. Safari gehört zum Lieferumfang von Mac OS X ab der Version 1.3 ("Panther") und ersetzte den vorher mitgelieferten Microsoft Internet Explorer für Mac als StandardBrowser. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.2 BlackBerry Enterprise Server PNG and TIFF Image Processing Risiko: kritisch Datum: VulDB: BlackBerry ist ein tragbares Gerät (Smartphone), speziell zum Lesen und Schreiben von s. Die von dem kanadischen Unternehmen Research In Motion (RIM) entwickelte Lösung für drahtlose Kommunikation und Verwaltung persönlicher Daten (Personal Information Manager) umfasst eine ClientServerArchitektur, 3/16

4 ein proprietäres Protokoll zwischen Clients und Servern und eine Serie von Endgeräten (Smartphones) von RIM. Die Netzverbindung wird über eine GPRS/EDGE, UMTS oder WLANAnbindung hergestellt. Die Firma RIM identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.3 Adobe Flash Player verschiedene Risiko: kritisch Datum: VulDB: Adobe Flash (kurz Flash, ehemals Macromedia Flash) ist eine proprietäre integrierte Entwicklungsumgebung von Adobe Systems zur Erstellung multimedialer, interaktiver Inhalte. Der Benutzer produziert mit dieser Software Dateien im proprietären SWFFormat. Bekannt und umgangssprachlich gemeint ist Flash als Adobe Flash Player, eine Softwarekomponente zum Betrachten dieser SWFDateien. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.4 Microsoft Internet Explorer Internet Explorer Iframe Cookie Disclosure Datum: VulDB: Der Internet Explorer (offiziell Windows Internet Explorer, früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser des Softwareherstellers Microsoft für dessen Betriebssystem Windows. Seit Windows 95B ist der Internet Explorer fester Bestandteil dieser Betriebssysteme. Bei älteren WindowsVersionen kann er nachinstalliert werden. Die aktuelle Version ist Internet Explorer 9. Der Researcher Rosario Valotta identifizierte unlängst eine Schwachstelle (Designfehler) in aktuellen Versionen der vorliegenden Applikation. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden. 3.5 Microsoft.NET Framework Chart Control File Disclosure Schwachstelle Datum: VulDB: bezeichnet eine von Microsoft entwickelte SoftwarePlattform zur Entwicklung und Ausführung von Anwendungsprogrammen. Eine zunehmende Anzahl von Programmen benötigt.net als Unterbau, um überhaupt ausgeführt werden zu können..net besteht aus einer Laufzeitumgebung (in der die Programme ausgeführt werden) sowie einer Sammlung von Klassenbibliotheken, Programmierschnittstellen und Dienstprogrammen (Services). Es bietet dem Programmierer viele Lösungen für Standard Aufgaben an, so dass er nur noch die eigentlichen Programmfunktionen erstellen muss. Die Firma Context Information Security beschreibt in einem Advisory eine Schwachstelle (Designfehler) in aktuellen Versionen der Applikation. Ein Angreifer kann durch die vorliegende Schwachstelle beliebigen Code zur Ausführung bringen und somit die Kompromittierung des Systems anstreben. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.6 Microsoft Windows TCP/IP Stack Denial of Service Risiko: problematisch 4/16

5 Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Die Firma Microsoft identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.7 Windows Client Server Runtime Subsystem Privilege Escalation Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Alex Ionescu der Firma Winsider Seminars & Solutions Inc. beschreibt in einem Advisory eine Schwachstelle (Unbekannt) in aktuellen Versionen der Applikation. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden. 3.8 Microsoft Windows DNS Service Domain Lookup Denial of Service Schwachstelle Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Die Firma Microsoft identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Angreifer einen Denial of Service Angriff erzeugen und unter bislang nicht gesicherten Umständen beliebigen Code zur Ausführung bringen. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden. 3.9 Microsoft Windows DNS Service verschiedene Risiko: kritisch Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Ein Kollektiv von 5/16

6 Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.1 Windows Remote Access Service NDISTAPI Driver Privilege Escalation Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Lufeng Li der Firma Neusoft Corporation beschreibt eine PufferüberlaufSchwachstelle in aktuellen Produktversionen. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden Microsoft.NET Framework Socket Restriction Bypass Datum: VulDB: bezeichnet eine von Microsoft entwickelte SoftwarePlattform zur Entwicklung und Ausführung von Anwendungsprogrammen. Eine zunehmende Anzahl von Programmen benötigt.net als Unterbau, um überhaupt ausgeführt werden zu können..net besteht aus einer Laufzeitumgebung (in der die Programme ausgeführt werden) sowie einer Sammlung von Klassenbibliotheken, Programmierschnittstellen und Dienstprogrammen (Services). Es bietet dem Programmierer viele Lösungen für Standard Aufgaben an, so dass er nur noch die eigentlichen Programmfunktionen erstellen muss. Der Researcher Michael J. Liu identifizierte unlängst eine Schwachstelle (Designfehler) in aktuellen Versionen der vorliegenden Applikation. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden Microsoft Windows Remote Desktop Web Access CrossSite Scripting Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden Sven Taute beschreibt in einem Advisory eine Schwachstelle (Cross Site Scripting (XSS)) in aktuellen Versionen der Applikation. Die Schwachstelle erlaubt es dem Angreifer XSS (Cross Site Scripting) Angriffe durchzuführen und dadurch beliebigen Kontext im Browser des Opfers zur Ausführung zu bringen. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden Microsoft Windows Remote 6/16

7 Desktop Protocol Denial of Service Vulnerability Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Die Firma Microsoft identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Angreifer einen Denial of Service Angriff erzeugen und damit den Betrieb des Systems und der entsprechenden Umsysteme empfindlich stören. Während diese Schwachstelle nicht zwingend kritisch ist, sollte aufgrund des verbleibenden Restrisikos das zeitnahe Einspielen entsprechender Patches angestrebt werden Microsoft Windows Kernel File Metadata Parsing Denial of Service Datum: VulDB: Angreifer einen Denial of Service Angriff erzeugen und unter bislang nicht gesicherten Umständen beliebigen Code zur Ausführung bringen. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden Apple QuickTime verschiedene Risiko: kritisch Datum: VulDB: QuickTime ist eine von dem Computerunternehmen Apple entwickelte MultimediaArchitektur für Mac OS und Windows. Diese besteht im Kern aus drei Elementen: dem Framework, dem API und dem Dateiformat. Basisanwendungen, die auf diese Architektur aufbauen, sind zum Beispiel der QuickTime Player, der QuickTime Broadcaster oder der QuickTime Streaming Server. QuickTime wird irrtümlicherweise zumeist auf den QuickTime Player reduziert. Dabei arbeitet es als zugrundeliegender technologischer Unterbau in zahlreichen Applikationen wie zum Beispiel Adobe Premiere, Apple Logic, Optibase Media 1, itunes, Final Cut Pro oder den Avid Videoschnittprogrammen. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Zheng Wenbin (Qihoo 36 Security Center) identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden Microsoft Windows CSRSS "SrvGetConsoleTitle()" Type Casting Schwachstelle Datum: VulDB: 7/16

8 grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Matthew Jurczyk identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Angreifer einen Denial of Service Angriff erzeugen und unter bislang nicht gesicherten Umständen beliebigen Code zur Ausführung bringen. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden Google Chrome verschiedene Risiko: kritisch Datum: VulDB: Google Chrome ist ein Webbrowser, der von Google Inc. entwickelt wird und seit dem 2. September 8 verfügbar ist. Am 11. Dezember 8 erschien die erste finale Version. Zentrales Konzept ist die Aufteilung des Browsers in optisch und auf Prozessebene getrennte BrowserTabs. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden Apple ios "basicconstraints" X.59 Certificate Chain Validation Schwachstelle Datum: VulDB: ios (bis Juni 21 iphone OS) ist das Standard Betriebssystem der AppleProdukte iphone, ipod touch, ipad und der zweiten Generation des Apple TV. ios basiert auf Mac OS X und bietet eine Anbindung zum itunes Store und zum App Store. Der Researcher Paul Kehrer der Firma SpiderLabs veröffentlichte unlängst ein Advisory, indem er eine Schwachstelle (Designfehler) in verschiedenen Versionen des Produktes beschreibt. Die Schwachstelle erlaubt es einem Angreifer die Validierung von gespooften Zertifikaten zu erreichen und damit Man in the Middle Attacken durchzufuehren. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden Microsoft Internet Explorer verschiedene Risiko: kritisch Datum: VulDB: Der Internet Explorer (offiziell Windows Internet Explorer, früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser des Softwareherstellers Microsoft für dessen Betriebssystem Windows. Seit Windows 95B ist der Internet Explorer fester Bestandteil dieser Betriebssysteme. Bei älteren WindowsVersionen kann er nachinstalliert werden. Die aktuelle Version ist Internet Explorer 9. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 8/16

9 4. Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an infoatscip.ch. Gerne nehmen wir Ihre Vorschläge entgegen Auswertungsdatum: 19. August sehr kritisch kritisch problematisch Verlauf der Anzahl pro Jahr Jun Jul Aug sehr kritisch 1 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Jun Jul Aug Cross Site Scripting (XSS) 4 1 Denial of Service (DoS) 3 5 Designfehler Directory Traversal Eingabeungültigkeit 3 Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String 1 1 Konfigurationsfehler Pufferüberlauf RaceCondition Schwache Authentifizierung Schwache Verschlüsselung SQLInjection SymlinkSchwachstelle UmgehungsAngriff Unbekannt 8 3 Verlauf der letzten drei Monate Schwachstelle/Kategorie 9/16

10 Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Registrierte by scip AG Verlauf der Anzahl pro Monat Zeitperiode Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez sehr kritisch kritisch problematisch Verlauf der Anzahl /Schweregrad pro Monat Zeitperiode 211 1/16

11 Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal 1 Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte 1 1 Fehlerhafte Schreibrechte 1 Format String 1 1 Konfigurationsfehler Pufferüberlauf RaceCondition 1 Schwache Authentifizierung 1 Schwache Verschlüsselung SQLInjection 2 SymlinkSchwachstelle 1 UmgehungsAngriff 1 1 Unbekannt Verlauf der Anzahl /Kategorie pro Monat Zeitperiode /16

12 Registrierte by scip AG Verlauf der Anzahl pro Quartal seit / Q4 Q4 Q4 Q4 Q4 Q4 Q4 Q4 sehr kritisch kritisch problematisch Verlauf der Anzahl /Schweregrad pro Quartal seit /3 12/16

13 Q Q Q Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf RaceCondition Schwache Authentifizierung Schwache Verschlüsselung SQLInjection SymlinkSchwachstelle UmgehungsAngriff Unbekannt Q Q Q4 9 Verlauf der Anzahl /Kategorie pro Quartal seit / Q Q /16

14 5. Labs In unseren scip Labs werden unter regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 Modell zur Umsetzung von Config Reviews Marc Ruef, maruatscip.ch Im Rahmen verschiedener Sicherheitsüberprüfungen führen wir ebenfalls sogenannte Configuration Reviews durch. Bei diesen wird die Konfiguration einer Komponente auf ihre Sicherheit hin untersucht. Das Prinzip einer solchen Analyse sowie die einhergehenden Schwierigkeiten sollen in diesem Beitrag illustriert werden. Gehen wir davon aus, dass ein nicht näher bestimmtes RouterProdukt untersucht werden soll. Dieses pflegt Konfigurationseinstellungen auf der Kommandozeile entgegenzunehmen. Beispielsweise wird folgendes Kommando verwendet, um eine Netzwerkschnittstelle zu konfigurieren: Router> add interface name=eth state=enabled icmp=enabled mgmtaccess=disabled In gleicher Weise wird die persistente Konfiguration einer Konfigurationsdatei abgelegt, die auf die gleiche sequentielle Eingabe der unterschiedlichen Einstellungen zurückgreift. Dabei entspricht jede Zeile in der Konfiguration einer einzelnen Eingabe. Eine einzelne Eingabe weist dabei beispielsweise die folgende Struktur auf (die einzelnen Objekte werden zur Vereinfachung der Illustration voneinander getrennt dargestellt): add interface name=eth state=ena BLED icmp =ENA BLED mgmtaccess=disa BLED Solche Konfigurationseinstellungen sind bei verschiedenen Netzwerkprodukten im professionellen Sektor zu sehen. Bei add handelt es sich um ein Kommando, das verschiedene Argumente erwartet. Durch interface wird die neue Netzwerkschnittstelle hinzugefügt. Dabei kommen nun verschiedene Parameter zum Tragen, welche eine Attributisierung des neu hinzuzufügenden Objekts zulassen. So wird mit dem Attributname der Name und mit state=[enabled DISABLED] der Status definiert. Zusätzlich wird mit icmp=[enabled DISABLED] die Unterstützung von ICMPKommunikationen und mit mgmtaccess=[enabled DISABLED] die Aktivierung des Zugriffs auf die Management Schnittstelle spezifiziert. add interface name=<name> state=[enabled DISABLED] icmp=[enabled DISABLED] mgmtaccess=[enabled DISABLED] Sicherheitstechnisch gesehen ist hierbei die Definition von icmp bedenklich. Denn durch das Aktivieren dessen Unterstützung mit dem Wert ENABLED werden entsprechende protokollabhängige Angriffe möglich. Im Rahmen einer Config Review würde hier also besagte Einstellung beanstandet werden add interface name=eth state=ena BLED icmp=en ABLED mgmtac cess=d ISABLE D Um dieser Schwachstelle zu entgegnen, sollte ICMP deaktiviert werden, indem die Direktive icmp=disabled zum Tragen kommt. Viele Administratoren haben die Angewohnheit, in der Konfiguration nur jene Einstellung vorzunehmen, die sie explizit definieren wollen. Alle Einstellungen, die nicht zwingend beeinflusst werden sollen, werden ignoriert. Viele Produkte erfordern aber eine explizite Definition einer Einstellung und verwenden beim Ausbleiben einer solchen die durch den Hersteller vordefinierte Standardeinstellung. Diese sähe in diesem Fall wie folgt aus (der Standard ist durch geschweifte Klammern dargestellt): add interface name=eth state={en ABLED} icmp={e NABLED} mgmtac cess={ DISABL ED} Dies bedeutet, dass wenn also eine der Parameter state, icmp oder mgmtaccess nicht definiert ist, die Vorauswahl genutzt wird. In diesem Fall werden damit aber entsprechende Sicherheitsrisiken aufgetan, wenn auf die explizite Deaktivierung von ICMP verzichtet wird. Denn ohne eine Definition wird das Protokoll standardmässig unterstützt. (In diesem Beispiel weist name keine Standardeinstellung auf. Die Angabe ist entsprechend nicht optional. Sie hat jedoch keinen Einfluss auf die sicherheitsbezogene Analyse. Wir würden ein Ausbleiben jedoch aus betrieblichen Gründen dokumentieren.) 14/16

15 Standardeinstellungen erschweren Config Reviews entsprechend ungemein. Denn man muss nicht nur um alle möglichen Einstellungen und die definierten Einstellungen wissen, sondern es müssen ebenfalls die abwesenden Einstellungen und ihre Standardwerte bekannt sein. Jenachdem ist es jedoch besonders aufwendig, diese Standardwerte ausfindig zu machen. Sollte der Hersteller keine Dokumentation diesbezüglich vorweisen können, muss durch eine praktische Analyse des Produkts der aktuelle Stand determiniert werden. Der generische Ablauf einer umfassenden Config Review gestaltet sich entsprechend wie folgt (unabhängig von Produkt und Format der Konfigurationsdateien): 1. Vorbereitungen 1. Dokumentation aller Einstellungsmöglichkeiten 2. Vermerk aller sicherheitsrelevanten Sicherheitseinstellungen 3. Identifikation aller Standardeinstellungen bei optionalen/abwesenden Einstellungen 2. Analyse 1. Identifikation aller expliziten Einstellungen 2. Identifikation aller abwesenden Einstellungen 3. Ableitung der abwesenden Einstellungen zu ihren Standardeinstellungen Interface State ICMP mgmtaccess eth ENABLED DISABLED DISABLED eth1 ENABLED ENABLED ENABLED eth2 DISABLED eth3 DISABLED Oftmals umfassen die zu untersuchenden Konfigurationsdateien mehrere hundert Zeilen mit einer Vielzahl an Anweisungen und expliziten bzw. impliziten Argumenten. Diese zu analysieren ist sodann mit einem sehr hohen Aufwand verbunden. Um die Effizienz sowie die Genauigkeit der Untersuchung zu verbessern, verwenden wir je nach Möglichkeit auf die zu untersuchenden Produkte zugeschnittene Parser (z.b. Cisco IOS/PIX/ASA, Nortel Alteon OS, Citrix Netscaler, etc.). Diese analysieren die Anweisungen und helfen entsprechend bei der Umsetzung der Schritte 2.1 bis 2.3. Sicherheitsrelevante bzw. sicherheitskritische Objekte werden sodann gemeldet und einer manuellen Untersuchung durch den Fachspezialisten unterzogen. Dadurch kann einerseits eine hohe Verarbeitungsgeschwindigkeit (durch Automatisierung) aber auch eine umfassende Genauigkeit (durch manuelle Nachprüfung) gewährleistet werden. 3. Dokumentation 1. Beschreibung aller gegebenen Fehleinstellungen (explizit definiert) 2. Beschreibung aller fehlenden Fehleinstellungen (implizit abgeleitet) Das Resultat einer Configuration Review eines RoutingProdukts könnte also folgendes Resultat zur Folge haben (Wir versuchen nach Möglichkeiten eine optische Darstellung von Fehleinstellungen bereitzustellen): 15/16

16 6. Impressum Herausgeber: scip AG Badenerstrasse 551 CH848 Zürich T infoatscip.ch Zuständige Person: Marc Ruef Security Consultant T maruatscip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener, dem Coding einer offenen Exploiting und Scanning Software als auch der Programmierung eines eigenen Log Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktivkritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 16/16

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009 scip monthly Security Summary 19.7.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken. Statistiken Verletzbarkeiten 5. Bilderrätsel. Impressum 1. Editorial Despotische Demokratie

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Geschlossene Systeme und ihre Zukunft am Beispiel

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Das Cookie ist mächtiger als das Schwert Unsere Firma

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011 scip monthly Security Summary 19.4.11 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Gesetz

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2009 scip monthly Security Summary 19.8.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Wer rechnen

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken 5. Bilderrätsel 6. Impressum 1. Editorial Prinzip der Datenklassifizierung Wer an Computersicherheit denkt, der denkt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.06.2008

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.06.2008 scip monthly Security Summary 19.6.8 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Fachartikel 6. Bilderrätsel 7. Impressum 1. Editorial Von

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009 scip monthly Security Summary 19.9.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Nichtexistenz

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2011 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Meine kurze Geschichte des Security Testing Mit

Mehr

Smartphone - Betriebssysteme. Smartphone - Betriebssysteme

Smartphone - Betriebssysteme. Smartphone - Betriebssysteme Smartphone - Betriebssysteme Peter Rami - Graz, 28.04.2009 Inhalt Smartphone Symbian OS Windows Mobile BlackBerry OS iphone OS Android Marktanteile & Ausblick Smartphone - Betriebssysteme Peter Rami -

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Pentesting Experten System Seit meinem Eintritt

Mehr

scip ag Contents 1. Editorial scip monthly Security Summary 19.07.2010

scip ag Contents 1. Editorial scip monthly Security Summary 19.07.2010 scip ag Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Infiltration eines Netzwerks Ein krimineller

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Software Analyse Das Untersuchen

Mehr

Leistungsbeschreibung tengo desktop

Leistungsbeschreibung tengo desktop 1/5 Inhalt 1 Definition 2 2 Leistung 2 3 Optionale Leistungen 3 4 Systemanforderungen, Mitwirkungen des Kunden 3 4.1 Mitwirkung des Kunden 4 4.1.1 Active Directory Anbindung 4 4.1.2 Verwaltung über das

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch ARTS Server 3.5 Produktbeschreibung Uptime Services AG Inhaltsverzeichnis 1 Einleitung... 2 2

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2012

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2012 scip monthly Security Summary 19.4.2 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Risikomanagement

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006 scip monthly Security Summary 19.12.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

DOK. ART GD1. Citrix Portal

DOK. ART GD1. Citrix Portal Status Vorname Name Funktion Erstellt: Datum DD-MMM-YYYY Unterschrift Handwritten signature or electronic signature (time (CET) and name) 1 Zweck Dieses Dokument beschreibt wie das auf einem beliebigem

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006 scip monthly Security Summary 19.1.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Dokumentenversion 2.0 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

AIRWATCH. Mobile Device MGMT

AIRWATCH. Mobile Device MGMT AIRWATCH Mobile Device MGMT AIRWATCH Was ist Mobile Device Mgmt. Welche Methoden von Device Mgmt sind möglich Airwatch SAAS / on Premise Airwatch Konfiguration von Usern und Sites Airwatch Konfiguration

Mehr

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser Seite 1 von 14 Cookie-Einstellungen verschiedener Browser Cookie-Einstellungen verschiedener Browser, 7. Dezember 2015 Inhaltsverzeichnis 1.Aktivierung von Cookies... 3 2.Cookies... 3 2.1.Wofu r braucht

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

Sophos Mobile Control Benutzerhandbuch für Apple ios

Sophos Mobile Control Benutzerhandbuch für Apple ios Sophos Mobile Control Benutzerhandbuch für Apple ios Produktversion: 2 Stand: Dezember 2011 Inhalt 1 Über Sophos Mobile Control... 3 2 Einrichten von Sophos Mobile Control auf einem Apple iphone... 4 3

Mehr

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben.

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Um alle Funktionen unserer Software nutzen zu können, sollten Sie bitte in Ihrem Browser folgende Einstellungen

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary

s c i p a g Contents 1. Editorial scip monthly Security Summary scip monthly Security Summary 9.6. Contents. Editorial. scip AG Informationen 3. Neue Sicherheitslücken. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum. Editorial Hardening Massnahmen

Mehr

SPECTRUM 4.0 Netzwerk-Installation

SPECTRUM 4.0 Netzwerk-Installation SPECTRUM 4.0 Netzwerk-Installation Allgemeines zu SPECTRUM 4.0 - Lieferumfang - Lizenzrechner + CodeMeter-Stick - Programmversion - Einzelkomponenten - Begriffe Basisdaten, Projektverzeichnis 1. Einrichten

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2015. Alle Rechte vorbehalten. Dokumentenversion: 1.1 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de Seite: 1 mit Tufin SecureTrack NUBIT 2006 Kiel, 17. Februar 2006 Martin Seeger NetUSE AG ms@netuse.de Seite: 2 mit Tufin SecureTrack Agenda Herausforderungen Aufbau und Funktionsweise Versionsstände Vergleiche

Mehr

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11 Systemanforderungen für EnlightKS Online Certification Management Services ET2.13 Juni 2011 EnlightKS Candidate, EnlightKS TestStation Manager, EnlightKS Certification Manager Betriebssystem: Microsoft

Mehr

Windows Terminalserver im PC-Saal

Windows Terminalserver im PC-Saal Windows Terminalserver im PC-Saal PC-Saal Anforderungen Einheitliche Arbeitsumgebung für die Benutzer (Hard- und Software) Aktuelles Softwareangebot Verschiedene Betriebssysteme Ergonomische Arbeitsumgebung

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

TM1 mobile intelligence

TM1 mobile intelligence TM1 mobile intelligence TM1mobile ist eine hochportable, mobile Plattform State of the Art, realisiert als Mobile BI-Plug-In für IBM Cognos TM1 und konzipiert als Framework für die Realisierung anspruchsvoller

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006 scip monthly Security Summary 19.11.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Eingabeüberpüfung? Wozu?! Ich

Mehr

Automatisierte Durchführung von Transporten in der Automic (UC4) Automation Engine - ONE Automation

Automatisierte Durchführung von Transporten in der Automic (UC4) Automation Engine - ONE Automation WF2Trans Automatisierte Durchführung von Transporten in der Automic (UC4) Automation Engine - ONE Automation Aus unserer langjährigen Erfahrung in Kundenprojekten wissen wir, dass ein klares und eindeutiges

Mehr

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29)

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der

Mehr

IT Systeme / Mobile Kommunikation HOB privacy-cube - Remote Desktop Zugang über das Internet

IT Systeme / Mobile Kommunikation HOB privacy-cube - Remote Desktop Zugang über das Internet IT Systeme / Mobile Kommunikation HOB privacy-cube - Remote Desktop Zugang über das Internet Seite 1 / 5 HOB privacy-cube Wir können ihnen das Gerät nach ihren Wünschen vorkonfigurieren. Angaben des Herstellers

Mehr

Konfigurationsanleitung Hosted Exchange 2003 mit Outlook 2010 & iphone

Konfigurationsanleitung Hosted Exchange 2003 mit Outlook 2010 & iphone Konfigurationsanleitung Hosted Exchange 2003 mit Outlook 2010 & iphone Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

Mehr

Kunden, die auf der Version 8.x oder darunter arbeiten, empfehlen wir insbesondere das Kapitel Upgrade von Vorversionen ab Folie 26.

Kunden, die auf der Version 8.x oder darunter arbeiten, empfehlen wir insbesondere das Kapitel Upgrade von Vorversionen ab Folie 26. Input Management Was ist neu in KOFAX CAPTURE 10? Die Version KOFAX CAPTURE 10 bietet eine Vielzahl von Neuerungen, die den Einsatz der Software in Ihrem Unternehmen noch effizienter machen. Informieren

Mehr

Glossar. Launching auf.

Glossar. Launching auf. 243 Ad Hoc Distribution Die Ad Hoc Distribution ist eine Möglichkeit, um Ihre entwickelte Anwendung auf anderen Endgeräten zu verteilen. Diese Art der Verteilung erfolgt ohne den App Store. Die Anzahl

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Betriebssystemsicherheit am Beispiel UNIX

Betriebssystemsicherheit am Beispiel UNIX Betriebssystemsicherheit am Beispiel UNIX (1) Motivation Der Anteil von UNIX-Systemen in vernetzten Umgebungen, insbesondere als Server in TCP/IP-basierten Netzen, ist sehr gross und immer noch weiter

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

SAP Mobile Platform MÜNSTER 10.04.2013. best practice consulting Aktiengesellschaft Raboisen 32 20095 Hamburg T +49 40 303752-0 F +49 40 303752-77

SAP Mobile Platform MÜNSTER 10.04.2013. best practice consulting Aktiengesellschaft Raboisen 32 20095 Hamburg T +49 40 303752-0 F +49 40 303752-77 MÜNSTER 10.04.2013 SAP Mobile Platform best practice consulting Aktiengesellschaft Raboisen 32 20095 Hamburg T +49 40 303752-0 F +49 40 303752-77 E info@bpc.ag W www.bpc.ag Seite 1 18.04.2013 Agenda Einleitung

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 06.07.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Server 3 2 Client 5 3 Web 6 4 Studio Plug-In 7 2 quickterm 5.6.0 - Systemvoraussetzungen Server 1 1

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.

Mehr

Testplan. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw, 16.04.2013

Testplan. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw, 16.04.2013 Software Komponenten FS13 Gruppe 03 Horw, 16.04.2013 Bontekoe Christian Estermann Michael Moor Simon Rohrer Felix Autoren Bontekoe Christian Studiengang Informatiker (Berufsbegleitend) Estermann Michael

Mehr

Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke)

Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke) Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke) Verfasser/Referent: IT-Serviceline Hardware und Infrastruktur, DW 66890 Inhaltsverzeichnis 1 Allgemeines... 3 2 Windows XP

Mehr

ERNW Newsletter 23 / April 2007

ERNW Newsletter 23 / April 2007 ERNW Newsletter 23 / April 2007 Liebe Partner, liebe Kollegen, willkommen zur 23ten Ausgabe des ERNW-Newsletters mit dem Thema: Neuigkeiten aus dem Untergrund Ein Bericht der Blackhat Europe 2008 Version

Mehr

Inhalt und Ziele. Homepage von Anfang an. Herzlich Willkommen! HTML Syntax; grundlegende Grafik- und Bildbearbeitung für das Internet;

Inhalt und Ziele. Homepage von Anfang an. Herzlich Willkommen! HTML Syntax; grundlegende Grafik- und Bildbearbeitung für das Internet; Homepage von Anfang an Herzlich Willkommen! Caroline Morhart-Putz caroline.morhart@wellcomm.at Inhalt und Ziele!! HTML Grundlagen - die Sprache im Netz; HTML Syntax;!! Photoshop - Optimieren von Bildern,

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Wir befinden uns inmitten einer Zeit des Wandels.

Wir befinden uns inmitten einer Zeit des Wandels. Wir befinden uns inmitten einer Zeit des Wandels. Geräte Apps Ein Wandel, der von mehreren Trends getrieben wird Big Data Cloud Geräte Mitarbeiter in die Lage versetzen, von überall zu arbeiten Apps Modernisieren

Mehr

Administrator-Anleitung

Administrator-Anleitung Administrator-Anleitung für die Installation und Konfiguration eines Microsoft SQL Server zur Nutzung der Anwendung Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU)

Mehr

Bin ich fit für myconvento?

Bin ich fit für myconvento? Bin ich fit für myconvento? Sie planen den Einsatz unserer innovativen Kommunikationslösung myconvento und fragen sich gerade, ob Ihr Rechner die Anforderungen erfüllt? Hier erfahren Sie mehr. Inhalt Was

Mehr

Neues Microsoft Office 2011 für Mac ist da! Neu mit dem beliebten Mailprogramm Microsoft Outlook anstelle von Entourage

Neues Microsoft Office 2011 für Mac ist da! Neu mit dem beliebten Mailprogramm Microsoft Outlook anstelle von Entourage Newsletter Apple Neues Microsoft Office 2011 für Mac ist da! Neu mit dem beliebten Mailprogramm Microsoft Outlook anstelle von Entourage Mit Office für Mac 2011 können Sie Ihren Mac ganz nach den eigenen

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Grundlegende Sicherheitseinstellungen ios

Grundlegende Sicherheitseinstellungen ios Grundlegende Sicherheitseinstellungen ios Ausgewählte Konfigurationsmöglichkeiten für Ihre Privatsphäre und Sicherheit beim iphone FH JOANNEUM Jänner, 2016! KMU GOES MOBILE! 1 /! 6 Sicherheitstipps für

Mehr

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Schwachstellen Gefahr erkennen Gefahr bewerten Gefahr beseitigen Thomas Ranke (Vertrieb Nord) baramundi

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

Nutzung der VDI Umgebung

Nutzung der VDI Umgebung Nutzung der VDI Umgebung Inhalt 1 Inhalt des Dokuments... 2 2 Verbinden mit der VDI Umgebung... 2 3 Windows 7... 2 3.1 Info für erfahrene Benutzer... 2 3.2 Erklärungen... 2 3.2.1 Browser... 2 3.2.2 Vertrauenswürdige

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

IBM SPSS Data Access Pack Installationsanweisung für Windows

IBM SPSS Data Access Pack Installationsanweisung für Windows IBM SPSS Data Access Pack Installationsanweisung für Windows Inhaltsverzeichnis Kapitel 1. Übersicht.......... 1 Einführung............... 1 Bereitstellen einer Datenzugriffstechnologie.... 1 ODBC-Datenquellen...........

Mehr

Systemvoraussetzungen

Systemvoraussetzungen [Stand: 12.12.2016 Version: 59] Hier erhalten Sie eine Übersicht zu den für alle Software-Produkte Produkte von ELO Digital Office GmbH. Inhalt 1 ELOprofessional Server 10... 5 1.1 Windows... 5 1.1.1 Betriebssystem...

Mehr

map.apps Version Systemvoraussetzungen

map.apps Version Systemvoraussetzungen map.apps Version 3.6.0 Systemvoraussetzungen Version 3.6.0 Urheberschutz Der rechtmäßige Erwerb der con terra Softwareprodukte und der zugehörigen Dokumente berechtigt den Lizenznehmer zur Nutzung dieser

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2008

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2008 scip monthly Security Summary 19.5.8 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Unter Blinden wird

Mehr

Kerberos Geheimnisse in der Oracle Datenbank Welt

<Insert Picture Here> Kerberos Geheimnisse in der Oracle Datenbank Welt 1 Kerberos Geheimnisse in der Oracle Datenbank Welt Helmut Eckstein Manager Global IT/SIS eckstein@de.pepperl-fuchs.com Suvad Sahovic Senior Systemberater suvad.sahovic@oracle.com

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Technische Voraussetzungen Stand: 29. Juli 2014

Technische Voraussetzungen Stand: 29. Juli 2014 Technische Voraussetzungen Stand: 29. Juli 2014 FineSolutions AG Culmannstrasse 37 8006 Zürich Telefon +41 44 245 85 85 Telefax +41 44 245 85 95 support@finesolutions.ch Inhaltsverzeichnis 1 Einführung...

Mehr

Skyfillers Hosted SharePoint. Kundenhandbuch

Skyfillers Hosted SharePoint. Kundenhandbuch Skyfillers Hosted SharePoint Kundenhandbuch Kundenhandbuch Inhalt Generell... 2 Online Zugang SharePoint Seite... 2 Benutzerpasswort ändern... 2 Zugriff & Einrichtung... 3 Windows... 3 SharePoint als

Mehr

Systemvoraussetzungen

Systemvoraussetzungen [Stand: 06.08.2014 Version: 44] Hier erhalten Sie eine Übersicht zu den für alle Software-Produkte von ELO Digital Office GmbH. Inhalt 1 ELOprofessional Server 9... 4 1.1 Windows... 4 1.1.1 Betriebssystem...

Mehr

Systemvoraussetzungen

Systemvoraussetzungen [Stand: 16.01.2015 Version: 47] Hier erhalten Sie eine Übersicht zu den für alle Software-Produkte von ELO Digital Office GmbH. Inhalt 1 ELOprofessional Server 9... 5 1.1 Windows... 5 1.1.1 Betriebssystem...

Mehr

KABEG Portal. Anleitung für die Installation auf privaten Endgeräten. Hauptabteilung Technik und Bau

KABEG Portal. Anleitung für die Installation auf privaten Endgeräten. Hauptabteilung Technik und Bau Hauptabteilung Technik und Bau 9020 Klagenfurt am Wörthersee Kraßniggstraße 15 T +43 463 55212-0 F +43 463 55212-50009 www.kabeg.at KABEG Portal Anleitung für die Installation auf privaten Endgeräten Seite

Mehr

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben.

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Um alle Funktionen unserer Software nutzen zu können, sollten Sie bitte in Ihrem Browser folgende Einstellungen

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.02.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.02.2009 scip monthly Security Summary 19.2.9 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Banken, Terrorisums

Mehr

SCHWACHSTELLE MENSCH

SCHWACHSTELLE MENSCH KAPITEL 2: SICHERHEIT BEGINNT UND ENDET BEIM BENUTZER SCHWACHSTELLE MENSCH 1 SCHWACHSTELLE MENSCH 2014 hat die NTT Group Millionen von Sieben der zehn häufigsten Sicherheitslücken auf Kundensystemen Sicherheitslücken

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Zusatzkurs im SS 2012

Zusatzkurs im SS 2012 Zusatzkurs im SS 2012 Datennetze Forschung Sicherheit Kursinhalt: Computer Forensics in Today's World Computer Forensics Lab Computer Investigation Process First Responder Procedures Incident Handling

Mehr

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1): Supportanfrage ESN Bitte füllen Sie zu jeder Supportanfrage diese Vorlage aus. Sie helfen uns damit, Ihre Anfrage kompetent und schnell beantworten zu können. Verwenden Sie für jedes einzelne Thema jeweils

Mehr

Konfigurationsanleitung Hosted Exchange mit Outlook 2007

Konfigurationsanleitung Hosted Exchange mit Outlook 2007 Konfigurationsanleitung Hosted Exchange mit Outlook 2007 Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden. Everyware

Mehr

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 16.02.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Systemvoraussetzungen quickterm Server 3 2 Systemvoraussetzungen quickterm Client 5 3 Systemvoraussetzungen

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Paynet Adapter Spezifikationen Voraussetzungen Datum : 21.07.08 Version : 1.0.0.2 21.07.2008 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Architektur... 3 2.1 Grundsätze

Mehr

:: Anleitung Demo Benutzer 1cloud.ch ::

:: Anleitung Demo Benutzer 1cloud.ch :: :: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Demo Benutzer

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Übersicht. NOXnet Serial Device Server NPort 5110 oder NPort 5110A 1/13

Übersicht. NOXnet Serial Device Server NPort 5110 oder NPort 5110A 1/13 Serial Device Server NPort 5110 oder NPort 5110A 1/13 Übersicht Mit dem Serial Device Server MOXA NPort 5110 oder MOXA NPort 5110A können Sie das Gebäudeautomationssystem NOXnet mit Ihrem Heimnetzwerk

Mehr