Sichere Webanwendungen

Größe: px
Ab Seite anzeigen:

Download "Sichere Webanwendungen"

Transkript

1 Mario Heiderich, Christian Matthies, fukami, Johannes Dahse Sichere Webanwendungen Das Praxishandbuch

2 Auf einen Blick 1 Einleitung Rechtslage Vergangene Angriffe und Hacks Sicherheit im Web Webentwicklung mit Adobe Flash Sichere Webapplikationen bauen Testphase Pflege- und Erweiterungsphase XSS Cross Site Request Forgeries SQL Injection Directory Traversal RCE und LFI URI-Attacken Projekte und Tools

3 Inhalt Geleitwort des Fachgutachters Einleitung An wen richtet sich dieses Buch? Was ist der Zweck dieses Buches? Was leistet dieses Buch nicht Wie ist dieses Buch aufgebaut? Einleitung und Grundlagen Sichere Webapplikationen bauen Angriff und Verteidigung Nützliches und Interessantes Über die Autoren Mario Heiderich Christian Matthies fukami Johannes Dahse Rechtslage c Der Hackerparagraph Erste Konsequenzen und Folgen Wir sind dann mal weg Das BSI im juristischen Fadenkreuz Kriminell um jeden Preis Das EICAR-Positionspapier Fazit? Wie verhält man sich nun am besten? Darf man so was überhaupt? Kommt darauf an Manchmal ist es sogar erwünscht Fazit Ein Blick in die rechtliche Zukunft Zusammenfassung

4 Inhalt 3 Vergangene Angriffe und Hacks Samy Der Wurm, der keiner sein wollte Wie alles begann Technische Grundlagen des Angriffs Wie die Geschichte endete Yamanner Mailworming mit XSS Die Vorgeschichte Wie Yamanner funktionierte Konsequenzen Nduja Connection XWW made in Italy XWWie bitte? Der eigentliche Wurm Wie ging es weiter? Gaiaworm Online-Games als Zielscheibe Ein halb-reflektiver Wurm Ist reflektives XSS ungefährlich? Phishing Das älteste Handwerk der Welt Wie alles begann A Phisher s bag of tricks Homographische Angriffe und IDNs Phishing und XSS Redirects Sich selbst phishende Seiten? Fazit Deine Post ist meine Post Fazit Zusammenfassung Sicherheit im Web Das neue Web Privatsphäre im Social Web Ein verändertes Nutzerverhalten Wie sicher ist das (Social) Web 2.0 wirklich? Auswirkungen auf Nutzer und Unternehmen Gefahr aus der Wolke Dabble DB Datenbanken für alle PHP per URL freehostia.com OnlyWire Bookmarking mal anders Sicherheitslücken mit der Google Code Search Engine googeln

5 Inhalt OpenKapow Angriff der Roboterkrieger Das Internet als Payload Ajax Security XHR Die Same Origin Policy Das X in Ajax JSON statt XML Das Problem mit den Headern Die Perle in der JSON-Auster Probleme mit Ajax-Libraries Fazit Zusammenfassung Webentwicklung mit Adobe Flash Die Geschichte von Flash Acronym Soup Die Fähigkeiten von Flash Aufruf und Einbindung Parameter und Attribute Die Sicherheitsmechanismen in Flash Verantwortliche für die Sicherheit von Flash Administrative Sicherheitseinstellungen Sicherheitseinstellungen durch den User Sicherheitseinstellungen durch Entwickler Sandbox Security Model Mögliche Sandboxen Netzwerk-Protokolle Port Blocking Cross Domain Policies ActionScript Die Unterschiede zwischen AS2 und AS Kritische ActionScript-Funktionen Daten aus Flash auf dem Server speichern Werkzeuge zum Testen von Flash-Anwendungen Angriffe auf Clients mithilfe des Flash-Plug-ins Sinn und Unsinn von Obfuscation Ausblick auf zukünftige Flash-Versionen Zusammenfassung Links

6 Inhalt 6 Sichere Webapplikationen bauen Einleitung Wichtige Grundlagen Das HTTP-Protokoll Encoding Entities verstehen und nutzen Was versteht man unter Filtering? Warum Stripping selten sinnvoll ist Reguläre Ausdrücke Zusammenfassung Planungs- und Designphase Datenbankstruktur Die Datenbank weiß, wer was darf ACL im Detail Backend und Pflegeskripte härten Keine unnötige Preisgabe von Informationen Zusammenfassung Die Implementationsphase GET-Parameter und Formulare Validierung A und O der Absicherung Escapen Filtering und Encoding Links und Formulare gegen CSRF schützen Zufallszahlen aber richtig CAPTCHAs Sinn und Unsinn der Menscherkennung Zusammenfassung Sichere Datei-Uploads Verbreitete Sicherheitslücken Schutzmaßnahmen Zusammenfassung Kontaktformulare und Form-Mailer Aufbau einer Mail Header Injections Weitere Risiken Zusammenfassung Redirects Redirects per HTML Redirects per JavaScript Die Weiterleitung ins Grauen HRS und die Kröte auf dem Grund des Brunnens

7 Inhalt Immer und immer wieder Redirects sicher implementieren Zusammenfassung Includes, Pfade und Konfigurationen Local File Inclusions Includes von fremden Servern Vorsicht vor weiteren Include-Methoden Schutzmaßnahmen Ordner-Relikte und Backups Zusammenfassung Eval, Shell-Methoden und User Generated Code Serverseitiges eval() Clientseitiges eval() Schutzmaßnahmen User Generated Code Geht das überhaupt? Zusammenfassung Sessions Was genau sind eigentlich Sessions? Offensichtliche Fehlerquellen Session Fixation Mehr Sicherheitsrelevantes zu Sessions Zusammenfassung Cookies Sind Cookies Würmer? Der Aufbau eines Cookies Cookies und Domains Cookies und JavaScript HTTPOnly als Rettung? Fast tadellos Was bleibt zur Defensive? Zusammenfassung Login und Authentifizierung Information Disclosure XSS im Login-Formular SQL Injections in Login-Formularen Mir nach, User! Apropos Cookies und Logins Schutzmaßnahmen Zusammenfassung

8 Inhalt 6.13 WYSIWYG-Editoren Wie WYSIWYG-Editoren funktionieren WYSIWYG und XSS WYSIWYG aber bitte sicher WYSIWYG Editor of Death Zusammenfassung Feeds Verbreitete Sicherheitslücken Lokale Exploits und Chrome Zusammenfassung Fehlermeldungen Zusammenfassung Testphase Die eigene Applikation hacken Manuelles Vorgehen Source Code Reviews Automatisiertes Vorgehen Pflege- und Erweiterungsphase Monitoring und Logging Bestehende Applikationen absichern Eine Datei, sie alle zu filtern Plug-ins, Extensions und Themes Zusammenfassung XSS Was ist XSS? Kontextsensitives Schadpotential XSS-Würmer XSS in allen Facetten Reflektives XSS Persistentes XSS Lazy-XSS Angriffe auf das Backend Untraceable XSS Der unsichtbare Exploit XSS per Stylesheet XSS via XXE und UTF-7 ohne UTF Zusammenfassung

9 Inhalt 10 Cross Site Request Forgeries CSRF und XSS Anti-XSRF-Schutzmaßnahmen vs. XSS Exploiting Anti-XSRF geschütztes XSS Exploiting Logged-Out XSS Lesende Requests und Information Disclosure Zustandschecks mit JavaScript JavaScript Hijacking Schutzmaßnahmen Real Life Examples Der Amazon-Exploit von Chris Shiflett Der Gmail-Exploit von pdp Der Gmail-Exploit von Jeremiah Grossman SQL Injection Vorgehensweise und Aufbau Folgen eines Angriffs Authentication Bypass Informationsdiebstahl Denial of Service Datenmanipulation Übernahme des Servers Unterarten von SQL Injections Blind SQL Injections Stored Procedure Injection Datenbanksystemspezifische SQL Injections Fingerprinting des Datenbanksystems Mapping der Datenbank Angriffe auf das System Umgehen von Filtern Zusammenfassung Directory Traversal Schutzmaßnahmen mit zweifelhafter Wirkung Code Execution via Directory Traversal Zusammenfassung

10 Inhalt 13 RCE und LFI Zusammenfassung URI-Attacken Der Browser als Gateway Schutzmaßnahmen und Abwehr Zusammenfassung Projekte und Tools NoScript HTML Purifier ratproxy PHPIDS Warum man das PHPIDS einsetzen sollte Anforderungen Installation und Benutzung Arbeiten mit dem Impact Logging und Ergebnisanalyse Allgemeine Angriffserkennung Performance Ausblick Index

11 »There is no security on this earth. Only opportunity.«general Douglas MacArthur 1 Einleitung 1.1 An wen richtet sich dieses Buch? Eigentlich ist diese Frage recht schnell beantwortet: Dieses Buch richtet sich an alle, die mit der Erstellung, Pflege und Konzeption von Webapplikationen zu tun haben oder in Zukunft involviert sein werden. Dies schließt sowohl technische Projektmanager, neugierige Administratoren sowie natürlich und gleichermaßen Entwickler und Programmierer von Webapplikationen ein. Aber gehen wir zunächst noch einen kleinen Schritt zurück und denken darüber nach, was eigentlich eine Webapplikation ist. Klar, werden Sie jetzt sagen, bei Webapplikationen handelt es sich um Online-Shops und Suchmaschinen, Foren und Blogs, Onlin clients und vieles mehr. Aber was ist eigentlich genau der Unterschied zwischen einer Website und einer Webapplikation? Um uns diesen Unterschied und damit auch die Antwort auf die Frage, an wen sich das Buch richtet, ein wenig eindeutiger erklären zu können, vergnügen wir uns zunächst mit einer kleinen Zeitreise. Es ist noch gar nicht so lange her, da bestand das Internet zu einem nicht unbedeutenden Teil aus einer riesigen Ansammlung von einfachen Webseiten. Diese Daten lagerten meist als statische HTML-Dateien in den Docroots der zuständigen Webserver, und demzufolge gab es kaum Möglichkeiten für User, mit diesen tatsächlich zu interagieren, sie zu verändern und anzureichern oder gar untereinander in semantischen Zusammenhang zu bringen mal ganz abgesehen von den klassischen Verlinkungen, ohne die eben diese Dokumente jedes für sich kaum mehr als eine verlorene Insel in einem immer schneller wachsenden Meer an Informationen gewesen wären. Zu diesen Zeiten existierte der Begriff Webapplikation noch nicht im heutigen Sinne, und demzufolge war auch die Sicherheit von Webapplikationen kein Thema. Bösewichte gab es damals auch schon, aber die beschäftigten sich größtenteils damit, in größere Industrierechner einzudringen oder kleinere Webserver zu hacken, um darüber Pornobildchen und Warez zu verteilen. 17

12 1 Einleitung Abbildung 1.1 Eine typische Website schlicht, grafikarm, reine Information Aber die Zeiten änderten sich rasch, und es wurden immer neue Technologien auf den Markt gespült, die es dem Entwickler (damals zumeist noch als Webmaster bekannt) ermöglichten, seinen Applikationen (analog zum Webmaster meist als Homepage bezeichnet) immer mehr Interaktivität einzuhauchen. In vielen Küchen wurden vergleichbare Technologien gekocht, und in einer davon garte ein grönländischer Informatiker ein Süppchen, das heute auf weit über 20 Millionen Domains eingesetzt wird: PHP. In den Jahren 1994 und 1995 entstand die erste Version von PHP aus der Feder von besagtem Rasmus Lerdorf. Kaum mehr als eine lose Sammlung von Perl-Scripten, waren die ersten PHP- oder auch PHP/FI-Versionen gerade mal in der Lage, eine grundlegende Art von Logging zu ermöglichen. Später besann sich Lerdorf und begann eine Überarbeitung seines Projekts diesmal in C. In den nachfolgenden Versionen gab es dann bereits Möglichkeiten zur Interaktion mit Datenbanken, und im Juni 1998 wurde die erste, als stabil bezeichnete Version von PHP 3 freigegeben. Bis dahin wurde PHP bereits nicht mehr allein von Lerdorf entwickelt auch Andi Gutmans und Zeev Suraski (zwei Entwickler aus Israel) waren mittlerweile an Bord, und das Projekt nannte sich 18

13 An wen richtet sich dieses Buch? 1.1 auch nicht mehr»personal Homepage Tools/Forms Interpreter«, sondern PHP Hypertext Preprocessor. Es war nicht schwer, mit PHP kleinere, richtige Applikationen zusammenzubauen, und die Verbreitung der Sprache auf den Webservern wuchs stark an. Wichtig an dieser Entwicklung ist nun ein entscheidender Punkt: Entwickler konnten jetzt sehr leicht Webseiten bauen, deren Verhalten von Eingaben des Users abhing. Der User konnte also nicht mehr nur auf Links klicken und sich einen linearen Weg durch das Informationsangebot der Website suchen, sondern war beispielsweise in der Lage, Suchbegriffe einzugeben und tatsächlich Treffer zu erhalten oder auch nicht. Klar, all dies war vorher ebenfalls nicht unmöglich, aber PHP erlaubte es durch die einfache und relativ tolerante Syntax sowie dank guter und verständlicher Dokumentation auch Einsteigern, schnell Fuß zu fassen und Applikationen zu kreieren. Sie ahnen nun bestimmt schon, wohin diese Schlussfolgerung führt? Genau das Internet war nach kurzer Zeit mit allerlei Angeboten überschwemmt, die zum größten Teil eines taten: mehr oder weniger gut zu funktionieren. Von sicherer Programmierung und sicherem Applikationsdesign war in diesen Tagen zumeist wenig zu sehen. Sie erinnern sich: Die.COM-Blase dehnte sich in diesen Jahren synchron zur Weiterentwicklung von Sprachen wie z. B. PHP auf, und viele Webmaster (Versprochen: Wir verwenden dieses fürchterlichen Begriff an dieser Stelle zum letzten Male!) mussten Websites und Applikationen unter großem Zeitdruck und mit wenig Vorwissen aus dem Boden stampfen koste es, was es wolle. Kommen wir zurück zu unserer anfänglichen Frage: Was ist eigentlich der Unterschied zwischen einer Website und einer Webapplikation? Im Prinzip haben wir die Frage ja schon beantwortet: Eine Website ist statisch, während eine Webapplikation dynamisch ist, also auf Eingaben von außen reagiert, und diese Eingaben können von einem User, einer anderen Applikation oder etwas ganz Anderem stammen. Wenn Sie sich also nicht mit dem Erstellen von Websites, sondern echten Applikationen (und sei auch nur der kleinste Teil derselbigen tatsächlich dynamisch) beschäftigen und nicht in die gleiche Falle tappen wollen wie unsere Väter und Mütter während des.com-booms und unsere großen Brüder und Schwestern im Web 2.0, dann ist dieses Buch genau richtig für Sie. Auf den folgenden Seiten werden wir noch ein wenig mehr ins Detail gehen und Ihnen erklären, was Sie von diesem Buch zu erwarten habe und was nicht. Sie werden außerdem in knapper Form durch den Inhalt dieses Buches geführt, um schon einmal einen Vorgeschmack auf die folgenden Kapitel zu erhalten. Wenn Sie es also geschafft haben, bis hierhin durchzuhalten, ist es nur noch ein kurzer Weg, bis es richtig losgeht. 19

14 1 Einleitung Abbildung 1.2 Google Reader Eine typische Webapplikation 1.2 Was ist der Zweck dieses Buches? Diese Frage ist ebenso leicht beantwortet wie die Frage, an wen sich dieses Buch richtet: Es hilft Ihnen dabei, Ihre Webapplikationen und Projekte so wenig aufdringlich wie möglich gegen Angriffe fast beliebiger Art abzusichern und das mit so wenig Aufwand wie möglich. Leicht gesagt, denn es gibt in der Wolke namens Internet zu diesem einen Thema fast unendlich viele Meinungen, Tipps, mahnend erhobene Zeigefinger, manchmal weniger mahnend erhobene Mittelfinger, Tools, Foren, Mailinglists und vieles mehr. Doch das soll uns an dieser Stelle noch nicht Beweis genug sei, die Behauptung zu untermauern, dass das Absichern einer Webapplikation gar nicht so leicht ist. Stellen Sie sich einmal folgende Situation vor, die sich vielleicht sogar genau so vor einiger Zeit zugetragen hat: Ein junger Informatiker, frisch von der Fachhochschule, fängt in einer bekannten Internetagentur als PHP-Entwickler an. Eines seiner ersten Projekte dreht sich um das Erstellen einer News-Seite, auf der redaktionell gepflegte Inhalte als HTML und RSS angeboten und in regelmäßigen Abständen aktualisiert werden. Unser junger Freund erstellt also eine Datenbank- 20

15 Was ist der Zweck dieses Buches? 1.2 struktur, die diese Anforderungen abbilden kann, dazu einen Admin-Bereich und ein Frontend. Da er bereits diverse Male vom Thema WebAppSec gelesen und eine grobe Vorstellung davon hat, worum es sich bei XSS, SQL Injection und Konsorten handelt, beschließt er, Angreifern einen Strich durch die Rechnung zu machen und die Applikation sicher aufzubauen. Die Absicherung gegen SQL Injections war schnell erledigt: Die Firma stellte einen Wrapper bereit, der alle Anfragen gefiltert weiterleitet, Parameter bindet etc. Bliebe also so dachte sich unser junger Padawan eigentlich nur noch XSS. Und da XSS ja ohne HTML nicht funktionieren kann, sollte es ja reichen, jede Eingabe einfach mit strip_tags zu filtern. Er scrollte also durch die bereits vorhandenen Sourcen und fügte an jedem Punkt, an dem GETund POST-Parameter verarbeitet und ausgegeben wurden, ein strip_tags() hinzu fertig: $clean = strip_tags($_get['dirty']) //könnte klappen, oder? Fällt Ihnen was auf? Falls nicht, werden Sie sehr viel mehr Nutzen aus diesem Buch ziehen, als Sie vielleicht ursprünglich dachten. Denn nach einigen Kapiteln werden Sie bereits erkennen, was unser Protagonist falsch verstanden hat, und nur noch wenige Schritte davon entfernt sein, solche Fehler nicht nur zu vermeiden, sondern Ihre Applikationen meisterlich gegen Angriffe abzusichern. Falls Sie jedoch mit schreckgeweiteten Augen den groben Fehler in seinem Handeln sofort erkannt haben, werden Sie neben großem Nutzen an diesem Buch vermutlich auch sehr viel Spaß haben, da Sie nicht nur lernen werden, wie man es besser macht als der junge Entwickler, sondern wie man mit einem Minimum an Zeitaufwand Lösungen für teils ganz konkrete und teils sehr allgemeine Probleme hinsichtlich der WebAppSec nachhaltig und elegant lösen kann. Der Zweck dieses Buches besteht weiterhin nicht darin, Ihnen lediglich aufzuzeigen, was Sie tun sollten, um eine sichere Applikation zu bauen oder eine bestehende Applikation nachträglich zu härten. Nein, hier geht es primär darum, dass Sie verstehen, wie Angreifer denken, welcher Techniken sie sich bedienen, wo sie ihre Informationen sammeln und wie echte Angriffsvektoren aufgebaut sind. Nach Lektüre der Kapitel über XSS und CSRF werden Sie Dinge über JavaScript wissen, die sich manch einer nicht zu träumen gewagt hätte. Wir werden über nicht oder wenig dokumentierte Features sprechen und gemeinsam gebräuchliche Filter überlisten. Gleiches gilt freilich für die anderen Kapitel, in denen Sie lernen, wie Statements wie SOUNDS LIKE Zugriff auf Admin-Bereiche ermöglichen, warum Firefox alles andere als ein sicherer Browser ist und welche Charaktere aus dem Unicode-Zeichensatz Ihrer Applikation richtig weh tun können (wussten Sie zum Beispiel, welch»grausames«werk das Zeichen anrichten kann?). 21

16 .bak 357.htaccess 356.old 357.svn c 29 als Delimiter für Attribute 224 0days people 81 24C Bit UCS/Unicode Tranformation Format 218 A ABC 124 abc 124 Access Control List 260 ACL 260, 261, 287 Access Control Object 261 Access Request Object 261 ACO 261 ARO 261 ARO/ACO-Tabellen 265 CakePHP ACL 266 Dendrogramm 262 Matrix 261 Modified Preorder Tree Traversal 263 MPTT 263 RBAC 260 Role Based Access Control 260 Ruby On Rails 266 sfguard 266 ActiveX 428 AdBlock Plus 246 Add'N Edit Cookie 37, 407 Adminpanel 267 AIR 122 Ajax 101 Ajax Security 101 alert('xss') 39 allow_furl_open 589 Alshanetsky, Ilia 93 AltoroMutual Testseite 404 Amazon 521 American Standard Code for Information Interchange 206 Anderson, Tom 46 Angriff Hacks und frühere Angriffe 45 homographischer 62 Anti XSRF Token 520 Anti-Pattern 275 Anti-XSS-Filter 605 Apache 355, 357 AddHandler 355 mod_rewrite 273, 277 MultiViews 357 php_admin_value 431 AppJet 398 Apple Quicktime 605 Application Security Array-Konstruktor überladen 518 as 124 ASCII 206 Non-Printable-Character 580 Steuerzeichen 208 Tabelle 209, 225 ASCII-Tabelle 279 ATOM 422 Attachment 323 Authentication Bypass 529 Automatisierter Test 444 AWStats 267 B Backend härten 266 Backframe 486 Badges 96 Ball of Mud 275 base64 211, 322 BBCode 507 BeautifulSoup 293, 370 Bestehende Applikation absichern 456 $_GET, $_POST und $_COOKIE 457 array_walk_recursive

17 auto_prepend_file 456 Extensions 461 Frameworks 456 Inkonsistenz 461 REQUEST 458 variables_order 458 Virtual Host Datei 457 BIG-5 256, 289 Bilder mit eingebettetem Code 310 Binary Large Object 252 Blacklist 233, 309 Blind SQL Injection 536 BLOB 252 Blogger.com 98 Bookmarklets 89 Brandt, Daniel 386 Browser-Caches auslesen 512 BSI 33 C Cache Poisoning 337 CakePHP 113, 252, 259, 272, 294, 296, 344, 369, 410 query 369 Callback-Funktion 518 CAPTCHA 299, 301 3D-Captcha 302 Audio-Captcha 302 OCR Tools 301 Optical Character Recognition 301 Spam-Bots 300 Cartner, Ryan 331 Character Encoding 206 Chrome 426 launch 428 nsilocalfile 428, 596 nsiprocess 428 Quicktime 428 run 428 Chrome-Kontext 426 ClickFraud 184 Clientseitiges IDS 496 Cline, Craig 75 Cloud Computing 85 Conditional Error 538 Conditional Response 537 console.dir 112 Content-Types Validierung 306 Control Characters 285 Cookie-Header 277, 294 Cookies 384, 407 Aufbau eines Cookies 387 Cross-Cooking-Lücken 394 HTTPOnly 392 JavaScript 390 Long-Life Cookies 386 Same Origin Policy 389 SQLite Datenbank 385 SSL 388 Third-Party-Cookies 386 Tracking-Cookies 386 XSS 391 CPanel 88 create_function 284, 592 PHP 284, 592 CRLF 194, 200, 207, 285, 289, 324, 426 Crockford, Douglas 111 Cron 255 Cronjob 255 Cross Site Request Forgeries CSRF Cross-User Defacement 339 CRUD 253 CSRF 51, 70, 114, 192, 293, 378, 409, 429, 505 Barrierefreiheit 303 Beispiele 521 Captcha 299 Cookie-Header 294 Cross Site Request Forgeries 505 csrf-magic 295, 298 CSRFx 295 Exploiting Anti-XSRF geschütztes XSS 509 Exploiting Logged-Out XSS 510 GET 294 Passwort erneut eingeben 303 POST 294 Post Redirection Service 294 Schutzmaßnahmen 519 Schutzmaßnamen 509 Semi Logging Out Attack 512 Token 294 csrf-magic 295 CSRFx 295 CSS 628

18 background, Property 48 min-height 499 min-width 499 -moz-binding 500 Properties 487 Selektoren 487 XBL 487 CSSTidy 293, 370, 487 CURL 600 D Dabble DB 85 Dabirsiaghi, Arshan 201 Dahse, Johannes 591 data:uri kitchen 595 DataURI 335, 342, 414, 501, 593 in Stylesheets 594 Testcases 594 Dateiendung überprüfen 308 Dateiupload Executables 305 Dateiuploads sichere 304 Sicherheitslücken 305 Datenbank 526 Datenbankmanagementsystem (DBMS) 525 Angriff auf MSSQL 565 Angriff auf MySQL 563 Angriff auf Oracle 567 Angriff auf PostgreSQL 569 Fingerprinting 547 Übersicht der Angriffsmöglichkeiten 572 Datenbankstruktur 253 DBA 258 DDoS 72, 329 Decimal Entity 225 Decoding 206 Defacement 65 Denial of Service 532, 533 Design Pattern 251 Designphase 250 DeXSS 370 Dhanjani, Nitesh 93 Dictionary-Attacks 35 Digg 76 Direct Character 270 Directory Traversal 577 /etc/passwd 578 Access-Log 582 Error-Log 582 file_exists 581 Includes 577 magic_quotes_gpc 580 Nullbyte 580 UTF disable_functions 363, 592 PHP 592 Disclosure 25 RFPolicy 25 Distributed Denial of Service 72, 329 DNS (Domain Name System) 543 DNS Rebinding 185 DoctorDan 492 DOCTYPE 328 DOM globalstorage 496 localstorage 497 sessionstorage 496 Domain 282 Domain Name System (DNS) 543 DoS 202, 425 Double Quote 225 DoubleClick 84 Doublequotes 402 Dougherty, Dale 75 E E4X Anhänge 305 Encoding 206, 291 American Standard Code for Information Interchange 206 ASCII 206 ASCII-Tabelle 213 atob 212 base16, base32, base62 und andere 213 base64 206, 211 base64 umrechnen 211 btoa 212 Character Encoding 206 CRLF 207 diakritische Zeichen 219 Direct Characters 213, 217, 218 double encodings

19 encodeuri 209 encodeuricomponent 209 IFRAME MIME Type Inheritance 216 mb_convert_encoding 214 MIME Type Guessing 215 Oktett 207 Online-Converter 217 Paritäts-Bit 207 PHP Charset Encoder 219 Punycode 62 Unicode 218 URL Encoding 209 urlencode 209 urlencode vs. rawurlencode 210 US-ASCII 206, 213 UTF UTF-7 via Meta-Tag 214 UTF-8 214, 218 Entity 221 ASCII-Tabelle 225 Decimal Entities 225 Hex Entities 225, 226 JavaScript 227 Least Significant Bit 227 LSB 227 Most Significant Bit 227 MST 227 Named Entities 222 W3C 222, 225 EOT-Datei 426 Escaping 288 Double Quotes 288 Prepared Statements 289 Stored Procedures 289 Esser, Stefan 298, 384, 403, 581 EUC-JP 289 European Expert Group for IT Security 36 EV SSL 204 Eval 360 Eventhandler 415, 475 Evron, Gadi Evron 93 Executables Upload 305 Exploit lokaler 426 Exploiting Logged-Out XSS 510 Externe Ressource 345 F Facebook 80 Feedly 448 Feed-Reader 422 Feeds 422 ATOM 422 Chrome 426 CSRF-Attacken über Feeds 425 DoS 425 EOT-Dateien 426 Feedly 426 OPML 422 RSS 422 Sage 426 SimpleXML 423 Universal Feed Parser 423 vergiftete Feeds 429 WYSIWYG-Editor 424 XML 423 XML_Feed_Parser 423 XSS-Attacken 425 Fehlermeldung 430 Fileinfo 310 file-uri 428 Filtering 229, 291 End-Of-Transmission-Zeichen 230 Eventhandler 230 LEFT-TO-RIGHT EMBEDDING 232 LEFT-TO-RIGHT OVERRIDE 232 Nullbyte 230 RIGHT-TO-LEFT EMBEDDING 232 strip_tags 229 Styles 230 Unicode-Leerzeichen 229 Fingerprinting (Datenbanken) 547 Firebug 37, 102, 112, 198, 324, 603 Firefox 38, 235 Password Manager 513 FirefoxURL 596 Firewall 508 fla 124 Flash ActionScript 156 AIR 122, 123, 124, 126, 188 allow-access-from 152 allowfullscreen 128 allow-http-request-headers-from 153 allownetworking 128, 129,

20 allowscriptaccess 128, 129, 145 AllowUserLocalTrust 134 AMF 123, 124, 126, 148, 173, 176, 183 asfunction 161 AssetCacheSize 134 AutoUpdateDisable 134 AutoUpdateInterval 134 AVHardwareDisable 134 AVM1 157 AVM2 125, 146, 157 Charles Web Debugging Proxy 183 ConstantPool 181 Cross Domain Policy 132, 147, 149, 150, 151, 155, 165, 185 crossdomain.xml 149, 150, 151, 152, 164, 187 cross-domain-policy 151 Debug-Movie 126 DisableDeviceFontEnumeration 134 DisableLocalSecurity 145 DisableNetworkAndFilesystemInHostApp 135 DisableProductDownload 135 DisableSockets 135 Domain Matching 154 E4X 157 EnableSocketsTo 135 EnforceLocalSecurity 145 EnforceLocalSecurityInActiveXHostApp 135 ErrorReportingEnable 142 ExternalInterface 126, 171 Fähigkeiten 125 File API 188 FileDownloadDisable 135 FileUploadDisable 135 FlashAuthor.cfg 145 Flash-Cookies 125, 172, 173 FlashPlayerTrust 136 FlashVars 127, 128, 163 Flex 121, 125, 168, 177, 178, 190 Flex 3 SDK 168 Flex SDK 177, 190 FullScreenDisable 135 geturl() 129, 161, 162, 163, 184 Globales Player Trust Verzeichnis 136 LegacyDomainMatching 135 loaderinfo.parameters 160 Local Shared Objects 138, 173, 496 LocalConnection.allowDomain() 144 LocalConnection.allowInsecureDomain() 144 LocalConnections 146, 147, 173 LocalFileLegacyAction 136 LocalFileReadDisable 136 LocalStorageLimit 136 localtrusted 137 localtrusted 147 local-with-filesystem 147 local-with-networking 147, 149 Master Policy 150, 151, 152 MaxWarnings 142 Method Bodies 181 mm.cfg 142 mms.cfg 131, 133, 134 navigatetourl() 129, 149, 162, 184 NetStream.play() 161 NoScript 156 OverrideGPUValidation 136 PNDF 158, 159 PolicyFileLog 142 PolicyFileLogAppend 142 policy-file-request 150, 154, 155 Potentially Dangerous Native Functions 158 Projektor 126 register_globals 159 Same Origin Policy 126, 131, 146, 149, 174, 185 Sandbox Security 145 Security.allowDomain() 144, 147 Security.allowInsecureDomain() 144 Security.exactSettings 144 Security.loadPolicyFile() 144 Security.sandboxType 137, 144 Settings Manager 137, 139 Shared Objects 173 Sicherheitsmechanismen 130 site-control 151 Socket Policy 154 Socket.timeout() 187 SWF-Dateiformat 126 SWFDecompiler 181 swfdump 177 SWFIntruder 182, 190 SWLiveConnect 127 System.security.loadPolicyFile() 150 System.security.sandboxType

21 ThirdPartyStorage 136 trace() 142 TraceOutputFileEnable 142 URLLoader.load() 146 User Flash Player Trust Verzeichnis 142 Validierung 166 XML.load() 129, 161, 163, 168 XMLSocket.timeout() 187 XML-Sockets 165 Flash Cookie Spoofing 512 Flickr 76 Flock 235 flp 124 FLV 125 flv 124 Forcierter Logout 511 1Cross Site Request Forgeries 511 Form-Mailer 321 Formular zum Registrieren 434 Fragment Identifier 494 Framework 252 freehostia.com 88 Friedl, Jeffrey E. F. 244 ftp 426 G Gabrilovich, Evgeniy 62 Gadgets 96 Gaiaworm 55 GBK 256 GCal 77 Gecko 235 GET 277, 279, 405 get_defined_functions 592 PHP 592 getimagesize() 317 GIF 310 Gmail 70, 77 Exploit 522 GME 96 GNUCITIZEN 428 Gontmakher, Alex 62 Google 350 Google Analytics 79, 267 Google Caja 503 Google Code Search Engine 93, 350, 362, 585 Google Hacking Database 355 Google Mail 515 Angriff 517 Google Mashup Editor 96 Google Reader 425 Google Search Appliances 215 Google Webmaster Tools 359 Greasemonkey 37, 603 Grossman, Jeremiah 518, 523 Guninski, Gregor 53 Gutmans, Andi 18 H Hackerparagraph 29 Hansen, Robert 472, 504 Härten von Backend und Pflegeskripten 266 Hasegawa 502 Hash-Tabellen 201 Hazel, Philip 237 Header Injection 323 Henderson, Cal 282 Hex Entity 225, 226 Heyes, Gareth 107, 303, 332, 421, 492 Hinks, Martin 500 Hofmann, Billy 90, 474 Homographischer Angriff 62 HTC 345, 498 HTML 475 HTML HTML Components 498 HTML Purifier 291, 293, 370, 419, 424, 429, 481, 487, 606 HTMLArea 420 htmlawed 418 HTML- 69 HTTP 192 Authentication 200 Basic Authentication 200 CAcert.org 203 CONNECT 199 content-type 502 CRLF 194 CSRF 192 Digest Access Authentication 200 EV SSL 204 HEAD 197 HTTP Authentication

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

PHP 6 Beliebte Webskriptsprache wird erwachsen. Linux User Group Bern 14.05.2009 René Moser

PHP 6 Beliebte Webskriptsprache wird erwachsen. Linux User Group Bern 14.05.2009 René Moser <mail@renemoser.net> PHP 6 Beliebte Webskriptsprache wird erwachsen Linux User Group Bern 14.05.2009 René Moser Inhalt 1.Wie entstand PHP? 2.Was PHP? 3.Warum PHP? 4.Wie installiere ich PHP? 5.Wie programmiere

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann MySQL Webinar 30.01.2007 Johann-Peter Hartmann Agenda Ajax und XSS Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders schmerzt Ajax Security Xml HTTP Request,

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Joomla!-Sicherheit. von Joomla-Security.de. Jan Erik Zassenhaus & Christian Schmidt. www.joomla-security.de. Seite 1

Joomla!-Sicherheit. von Joomla-Security.de. Jan Erik Zassenhaus & Christian Schmidt. www.joomla-security.de. Seite 1 Joomla!-Sicherheit von Joomla-Security.de Jan Erik Zassenhaus & Christian Schmidt Seite 1 Wollen Sie sowas? Seite 2 PC Passwörter Allgemeines Anti-Viren-Software Firewall Updates des Systems und von der

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3 Alexander Weidinger FH STP, IT Security Gliederung PHP potentielle Sicherheitslücken & Schutz Typo3 Werkzeuge für Extension-Entwicklung Zielgruppe

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte : Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte Zur Person GF Mayflower GmbH (35 MA, Webschmiede, Premium-/High-Performance Development) PHP Pionier (1999: phpcenter.de) Internet

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Spurenarm surfen. Kire. Swiss Privacy Foundation www.privacyfoundation.ch

Spurenarm surfen. Kire. Swiss Privacy Foundation www.privacyfoundation.ch Spurenarm surfen Kire Swiss Privacy Foundation www.privacyfoundation.ch Swiss Privacy Foundation Der gemeinnützige Verein Swiss Privacy Foundation setzt sich für den Schutz der digitalen Privatsphäre,

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

PHP sicher, performant und skalierbar betreiben

PHP sicher, performant und skalierbar betreiben PHP sicher, performant und skalierbar betreiben Dipl.-Inform. Dominik Vallendor 26.09.2012 Tralios IT GmbH www.tralios.de Über mich Dominik Vallendor Studium der Informatik in Karlsruhe Seit 1995: Internet

Mehr

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1. Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Mapbender3 Workshop. Christian Wygoda. FOSSGIS Dessau 2012

Mapbender3 Workshop. Christian Wygoda. FOSSGIS Dessau 2012 Mapbender3 Workshop Christian Wygoda FOSSGIS Dessau 2012 Christian Wygoda Mapbender3 Developer Team PSC (Project Steering Commitee) WhereGroup Bonn http:///www.wheregroup.com Mapbender3 Einführung in Mapbender

Mehr

Web Exploit Toolkits - Moderne Infektionsroutinen -

Web Exploit Toolkits - Moderne Infektionsroutinen - Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Grundlagen der sicheren PHP Programmierung

Grundlagen der sicheren PHP Programmierung Grundlagen der sicheren PHP Programmierung Parametermanipulationen und Injektionslücken Stefan Esser Hardened-PHP Project Worüber gesprochen wird... Was sind Parametermanipulationen? Was sind Injektionslücken?

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Inhaltsverzeichnis. Hinweise zum Gebrauch des Buches... XIII. Teil I Grundlagen der Web-Programmierung

Inhaltsverzeichnis. Hinweise zum Gebrauch des Buches... XIII. Teil I Grundlagen der Web-Programmierung Hinweise zum Gebrauch des Buches... XIII Teil I Grundlagen der Web-Programmierung 1 Entwicklung der Web-Programmierung... 3 1.1 DerWegzumWorldWideWeb... 3 1.2 Komponenten der frühen Technik..... 5 1.3

Mehr

PHP Sicherheit. GNU Linux User Group Bamberg/Forchheim 04.11.2004. Alexander Meindl / meindlsoft am@meindlsoft.com

PHP Sicherheit. GNU Linux User Group Bamberg/Forchheim 04.11.2004. Alexander Meindl / meindlsoft am@meindlsoft.com PHP Sicherheit GNU Linux User Group Bamberg/Forchheim 04.11.2004 Alexander Meindl / meindlsoft am@meindlsoft.com PHP Sicherheit: Agenda Installation Konfiguration php.ini Webserver (Apache) Anpassungen

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

SQL-Injection by. SQL Injection Teil 2 R. Mirzaev & J. Kresslein 1

SQL-Injection by. SQL Injection Teil 2 R. Mirzaev & J. Kresslein 1 SQL-Injection by SQL Injection Teil 2 R. Mirzaev & J. Kresslein 1 Inhalt Schon bekannte Angriffsformen? User-Agent based SQL Injection + Demo Zeitbasierte SQL Injection Blind SQL Injection + Demo PostgreSQL

Mehr

Dynamische Webseiten

Dynamische Webseiten Dynamische Webseiten Seminar Medientechnik 30.06.2003 Dynamische Webseiten 1 Inhalt Allgemeine Funktionsweise eines Webservers Grundgedanke von dynamischen Webseiten Einschub: Dynamische Seitenerzeugung

Mehr

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem:

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem: !! "!!##$ %& es gibt keine 100 %ige Sicherheit Fehler zu machen ist menschlich man muss es so gut wie möglich machen es ist GROB FAHRLÄSSIG es nicht einmal zu versuchen Ziel: Methoden entwickeln, die Sicherheit

Mehr

Web 2.0 Architekturen und Frameworks

Web 2.0 Architekturen und Frameworks Web 2.0 Architekturen und Frameworks codecentric GmbH Mirko Novakovic codecentric GmbH Quality Technische Qualitätssicherung in Software-Projekten mit Fokus auf Performance, Verfügbarkeit und Wartbarkeit

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

Hochschule Darmstadt Fachbereich Informatik

Hochschule Darmstadt Fachbereich Informatik Hochschule Darmstadt Fachbereich Informatik Entwicklung webbasierter Anwendungen Tipps und Tricks zur Software Installation 1 Vorbemerkung Auf den Laborrechnern ist natürlich alles installiert! Die Installation

Mehr

Besser PHP programmieren

Besser PHP programmieren Carsten Möhrke Besser PHP programmieren Handbuch professioneller PHP-Techniken Galileo Press Vorwort zur dritten Auflage ц JjlJlli!fJÜIj SI!IS* 1.1 Lernen Sie Ihr Arbeitsgerät kennen 13 1.2 Der Editor,

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

Mobile Backend in der

Mobile Backend in der Mobile Backend in der Cloud Azure Mobile Services / Websites / Active Directory / Kontext Auth Back-Office Mobile Users Push Data Website DevOps Social Networks Logic Others TFS online Windows Azure Mobile

Mehr

FAQ - Script gaesteform

FAQ - Script gaesteform FAQ - Script gaesteform www.kundencenter.ws 9. April 2009 Salvatore Spadaro 1 2 Inhaltsverzeichnis 1 Script - gaesteform 3 1.1 Welchen Funktionumfang bietet das Script gaesteform und welche Technik steckt

Mehr

WMAP Metasploit 3.2 Module für Pentester von Webapplikationen. OWASP Frankfurt, 25.11.08. The OWASP Foundation http://www.owasp.

WMAP Metasploit 3.2 Module für Pentester von Webapplikationen. OWASP Frankfurt, 25.11.08. The OWASP Foundation http://www.owasp. Germany 2008 Conference http://www.owasp.org/index.php/germany WMAP Metasploit 3.2 Module für Pentester von Webapplikationen Frankfurt, 25.11.08 Hans-Martin Münch it.sec GmbH & Co KG mmuench@it-sec.de

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Websockets: Leichtgewichtige Verbindungen für Web-Applikationen

Websockets: Leichtgewichtige Verbindungen für Web-Applikationen Websockets: Leichtgewichtige Verbindungen für Web-Applikationen Seite: 1 / 16 Über mich Stefan Neufeind Mit-Geschäftsführer der SpeedPartner GmbH aus Neuss ein Internet-Service-Provider (ISP) Individuelle

Mehr

Die ideale PHP-Entwicklungsumgebung für IBM i Programmierer

Die ideale PHP-Entwicklungsumgebung für IBM i Programmierer Die ideale PHP-Entwicklungsumgebung für IBM i Programmierer Jan Burkl Solution Consultant jan@zend.com Agenda Zend Server 5.1 Update Technische Übersicht von Zend Studio Remote Server Setup Remote Projects

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Browser-(Un)Sicherheit Ein buntes Programm

Browser-(Un)Sicherheit Ein buntes Programm Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009 http://testlab.sit.fraunhofer.de Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy?

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL TCP/IP: Standard Protokolle Konrad Rosenbaum, 2006/7 DNS - Domain Name System hierarchische, global verteilte Datenbank löst Namen in IP-Adressen auf Host hat einen primären Nameserver, der Fragen selbst

Mehr

Anwendungsprotokolle: HTTP, POP, SMTP

Anwendungsprotokolle: HTTP, POP, SMTP Anwendungsprotokolle: HTTP, POP, SMTP TCP? UDP? Socket? eingesetzt, um Webseiten zu übertragen Zustandslos Nutzt TCP Client schickt Anfrage ( HTTP-Request ) an Server, Server schickt daraufhin Antwort

Mehr

Carsten Eilers / www.ceilers-it.de. Client Security im Web 2.0 und mit HTML5

Carsten Eilers / www.ceilers-it.de. Client Security im Web 2.0 und mit HTML5 Carsten Eilers / www.ceilers-it.de Client Security im Web 2.0 und mit HTML5 Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

SecureNet GmbH 2009. For personal use only. Distribution not allowed.

SecureNet GmbH 2009. For personal use only. Distribution not allowed. 1 Die Datenbank als Erfüllungsgehilfe für Datendiebe Eine Kurzeinführung in Injection-Angriffe Stream Security Ralf Reinhardt, 19.11.2009 2 Eine Kurzeinführung in Injection-Angriffe Inhalte HTML-Injection

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

Sicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach 263 8488 Turbenthal Schweiz

Sicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach 263 8488 Turbenthal Schweiz QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2 Sicherheit 1. Benutzernamen und Passwörter werden weder telefonisch noch per Email bekannt gegeben. Diese werden per normaler Post oder Fax zugestellt. Ebenso ist

Mehr

Von 0 zur Private Cloud in 1h

Von 0 zur Private Cloud in 1h Von 0 zur Private Cloud in 1h - oder wie baue ich mir eine Demoumgebung Bernhard Frank Technical Evangelist Microsoft Deutschland GmbH Carsten Rachfahl MVP Virtual Machine Rachfahl IT Solutions Wieviele

Mehr

y Hypertext braucht Ressourcen-Identifikation y Unterschied zwischen Link und Identifier

y Hypertext braucht Ressourcen-Identifikation y Unterschied zwischen Link und Identifier +\SHUWH[W7UDQVIHU3URWRFRO +773 (ULN:LOGH 7,.² (7+= ULFK 6RPPHUVHPHVWHU hehuvlfkw y Hypertext braucht Ressourcen-Identifikation y Unterschied zwischen Link und Identifier y Universal Resource Identifier

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr