Sichere Webanwendungen

Größe: px
Ab Seite anzeigen:

Download "Sichere Webanwendungen"

Transkript

1 Mario Heiderich, Christian Matthies, fukami, Johannes Dahse Sichere Webanwendungen Das Praxishandbuch

2 Auf einen Blick 1 Einleitung Rechtslage Vergangene Angriffe und Hacks Sicherheit im Web Webentwicklung mit Adobe Flash Sichere Webapplikationen bauen Testphase Pflege- und Erweiterungsphase XSS Cross Site Request Forgeries SQL Injection Directory Traversal RCE und LFI URI-Attacken Projekte und Tools

3 Inhalt Geleitwort des Fachgutachters Einleitung An wen richtet sich dieses Buch? Was ist der Zweck dieses Buches? Was leistet dieses Buch nicht Wie ist dieses Buch aufgebaut? Einleitung und Grundlagen Sichere Webapplikationen bauen Angriff und Verteidigung Nützliches und Interessantes Über die Autoren Mario Heiderich Christian Matthies fukami Johannes Dahse Rechtslage c Der Hackerparagraph Erste Konsequenzen und Folgen Wir sind dann mal weg Das BSI im juristischen Fadenkreuz Kriminell um jeden Preis Das EICAR-Positionspapier Fazit? Wie verhält man sich nun am besten? Darf man so was überhaupt? Kommt darauf an Manchmal ist es sogar erwünscht Fazit Ein Blick in die rechtliche Zukunft Zusammenfassung

4 Inhalt 3 Vergangene Angriffe und Hacks Samy Der Wurm, der keiner sein wollte Wie alles begann Technische Grundlagen des Angriffs Wie die Geschichte endete Yamanner Mailworming mit XSS Die Vorgeschichte Wie Yamanner funktionierte Konsequenzen Nduja Connection XWW made in Italy XWWie bitte? Der eigentliche Wurm Wie ging es weiter? Gaiaworm Online-Games als Zielscheibe Ein halb-reflektiver Wurm Ist reflektives XSS ungefährlich? Phishing Das älteste Handwerk der Welt Wie alles begann A Phisher s bag of tricks Homographische Angriffe und IDNs Phishing und XSS Redirects Sich selbst phishende Seiten? Fazit Deine Post ist meine Post Fazit Zusammenfassung Sicherheit im Web Das neue Web Privatsphäre im Social Web Ein verändertes Nutzerverhalten Wie sicher ist das (Social) Web 2.0 wirklich? Auswirkungen auf Nutzer und Unternehmen Gefahr aus der Wolke Dabble DB Datenbanken für alle PHP per URL freehostia.com OnlyWire Bookmarking mal anders Sicherheitslücken mit der Google Code Search Engine googeln

5 Inhalt OpenKapow Angriff der Roboterkrieger Das Internet als Payload Ajax Security XHR Die Same Origin Policy Das X in Ajax JSON statt XML Das Problem mit den Headern Die Perle in der JSON-Auster Probleme mit Ajax-Libraries Fazit Zusammenfassung Webentwicklung mit Adobe Flash Die Geschichte von Flash Acronym Soup Die Fähigkeiten von Flash Aufruf und Einbindung Parameter und Attribute Die Sicherheitsmechanismen in Flash Verantwortliche für die Sicherheit von Flash Administrative Sicherheitseinstellungen Sicherheitseinstellungen durch den User Sicherheitseinstellungen durch Entwickler Sandbox Security Model Mögliche Sandboxen Netzwerk-Protokolle Port Blocking Cross Domain Policies ActionScript Die Unterschiede zwischen AS2 und AS Kritische ActionScript-Funktionen Daten aus Flash auf dem Server speichern Werkzeuge zum Testen von Flash-Anwendungen Angriffe auf Clients mithilfe des Flash-Plug-ins Sinn und Unsinn von Obfuscation Ausblick auf zukünftige Flash-Versionen Zusammenfassung Links

6 Inhalt 6 Sichere Webapplikationen bauen Einleitung Wichtige Grundlagen Das HTTP-Protokoll Encoding Entities verstehen und nutzen Was versteht man unter Filtering? Warum Stripping selten sinnvoll ist Reguläre Ausdrücke Zusammenfassung Planungs- und Designphase Datenbankstruktur Die Datenbank weiß, wer was darf ACL im Detail Backend und Pflegeskripte härten Keine unnötige Preisgabe von Informationen Zusammenfassung Die Implementationsphase GET-Parameter und Formulare Validierung A und O der Absicherung Escapen Filtering und Encoding Links und Formulare gegen CSRF schützen Zufallszahlen aber richtig CAPTCHAs Sinn und Unsinn der Menscherkennung Zusammenfassung Sichere Datei-Uploads Verbreitete Sicherheitslücken Schutzmaßnahmen Zusammenfassung Kontaktformulare und Form-Mailer Aufbau einer Mail Header Injections Weitere Risiken Zusammenfassung Redirects Redirects per HTML Redirects per JavaScript Die Weiterleitung ins Grauen HRS und die Kröte auf dem Grund des Brunnens

7 Inhalt Immer und immer wieder Redirects sicher implementieren Zusammenfassung Includes, Pfade und Konfigurationen Local File Inclusions Includes von fremden Servern Vorsicht vor weiteren Include-Methoden Schutzmaßnahmen Ordner-Relikte und Backups Zusammenfassung Eval, Shell-Methoden und User Generated Code Serverseitiges eval() Clientseitiges eval() Schutzmaßnahmen User Generated Code Geht das überhaupt? Zusammenfassung Sessions Was genau sind eigentlich Sessions? Offensichtliche Fehlerquellen Session Fixation Mehr Sicherheitsrelevantes zu Sessions Zusammenfassung Cookies Sind Cookies Würmer? Der Aufbau eines Cookies Cookies und Domains Cookies und JavaScript HTTPOnly als Rettung? Fast tadellos Was bleibt zur Defensive? Zusammenfassung Login und Authentifizierung Information Disclosure XSS im Login-Formular SQL Injections in Login-Formularen Mir nach, User! Apropos Cookies und Logins Schutzmaßnahmen Zusammenfassung

8 Inhalt 6.13 WYSIWYG-Editoren Wie WYSIWYG-Editoren funktionieren WYSIWYG und XSS WYSIWYG aber bitte sicher WYSIWYG Editor of Death Zusammenfassung Feeds Verbreitete Sicherheitslücken Lokale Exploits und Chrome Zusammenfassung Fehlermeldungen Zusammenfassung Testphase Die eigene Applikation hacken Manuelles Vorgehen Source Code Reviews Automatisiertes Vorgehen Pflege- und Erweiterungsphase Monitoring und Logging Bestehende Applikationen absichern Eine Datei, sie alle zu filtern Plug-ins, Extensions und Themes Zusammenfassung XSS Was ist XSS? Kontextsensitives Schadpotential XSS-Würmer XSS in allen Facetten Reflektives XSS Persistentes XSS Lazy-XSS Angriffe auf das Backend Untraceable XSS Der unsichtbare Exploit XSS per Stylesheet XSS via XXE und UTF-7 ohne UTF Zusammenfassung

9 Inhalt 10 Cross Site Request Forgeries CSRF und XSS Anti-XSRF-Schutzmaßnahmen vs. XSS Exploiting Anti-XSRF geschütztes XSS Exploiting Logged-Out XSS Lesende Requests und Information Disclosure Zustandschecks mit JavaScript JavaScript Hijacking Schutzmaßnahmen Real Life Examples Der Amazon-Exploit von Chris Shiflett Der Gmail-Exploit von pdp Der Gmail-Exploit von Jeremiah Grossman SQL Injection Vorgehensweise und Aufbau Folgen eines Angriffs Authentication Bypass Informationsdiebstahl Denial of Service Datenmanipulation Übernahme des Servers Unterarten von SQL Injections Blind SQL Injections Stored Procedure Injection Datenbanksystemspezifische SQL Injections Fingerprinting des Datenbanksystems Mapping der Datenbank Angriffe auf das System Umgehen von Filtern Zusammenfassung Directory Traversal Schutzmaßnahmen mit zweifelhafter Wirkung Code Execution via Directory Traversal Zusammenfassung

10 Inhalt 13 RCE und LFI Zusammenfassung URI-Attacken Der Browser als Gateway Schutzmaßnahmen und Abwehr Zusammenfassung Projekte und Tools NoScript HTML Purifier ratproxy PHPIDS Warum man das PHPIDS einsetzen sollte Anforderungen Installation und Benutzung Arbeiten mit dem Impact Logging und Ergebnisanalyse Allgemeine Angriffserkennung Performance Ausblick Index

11 »There is no security on this earth. Only opportunity.«general Douglas MacArthur 1 Einleitung 1.1 An wen richtet sich dieses Buch? Eigentlich ist diese Frage recht schnell beantwortet: Dieses Buch richtet sich an alle, die mit der Erstellung, Pflege und Konzeption von Webapplikationen zu tun haben oder in Zukunft involviert sein werden. Dies schließt sowohl technische Projektmanager, neugierige Administratoren sowie natürlich und gleichermaßen Entwickler und Programmierer von Webapplikationen ein. Aber gehen wir zunächst noch einen kleinen Schritt zurück und denken darüber nach, was eigentlich eine Webapplikation ist. Klar, werden Sie jetzt sagen, bei Webapplikationen handelt es sich um Online-Shops und Suchmaschinen, Foren und Blogs, Onlin clients und vieles mehr. Aber was ist eigentlich genau der Unterschied zwischen einer Website und einer Webapplikation? Um uns diesen Unterschied und damit auch die Antwort auf die Frage, an wen sich das Buch richtet, ein wenig eindeutiger erklären zu können, vergnügen wir uns zunächst mit einer kleinen Zeitreise. Es ist noch gar nicht so lange her, da bestand das Internet zu einem nicht unbedeutenden Teil aus einer riesigen Ansammlung von einfachen Webseiten. Diese Daten lagerten meist als statische HTML-Dateien in den Docroots der zuständigen Webserver, und demzufolge gab es kaum Möglichkeiten für User, mit diesen tatsächlich zu interagieren, sie zu verändern und anzureichern oder gar untereinander in semantischen Zusammenhang zu bringen mal ganz abgesehen von den klassischen Verlinkungen, ohne die eben diese Dokumente jedes für sich kaum mehr als eine verlorene Insel in einem immer schneller wachsenden Meer an Informationen gewesen wären. Zu diesen Zeiten existierte der Begriff Webapplikation noch nicht im heutigen Sinne, und demzufolge war auch die Sicherheit von Webapplikationen kein Thema. Bösewichte gab es damals auch schon, aber die beschäftigten sich größtenteils damit, in größere Industrierechner einzudringen oder kleinere Webserver zu hacken, um darüber Pornobildchen und Warez zu verteilen. 17

12 1 Einleitung Abbildung 1.1 Eine typische Website schlicht, grafikarm, reine Information Aber die Zeiten änderten sich rasch, und es wurden immer neue Technologien auf den Markt gespült, die es dem Entwickler (damals zumeist noch als Webmaster bekannt) ermöglichten, seinen Applikationen (analog zum Webmaster meist als Homepage bezeichnet) immer mehr Interaktivität einzuhauchen. In vielen Küchen wurden vergleichbare Technologien gekocht, und in einer davon garte ein grönländischer Informatiker ein Süppchen, das heute auf weit über 20 Millionen Domains eingesetzt wird: PHP. In den Jahren 1994 und 1995 entstand die erste Version von PHP aus der Feder von besagtem Rasmus Lerdorf. Kaum mehr als eine lose Sammlung von Perl-Scripten, waren die ersten PHP- oder auch PHP/FI-Versionen gerade mal in der Lage, eine grundlegende Art von Logging zu ermöglichen. Später besann sich Lerdorf und begann eine Überarbeitung seines Projekts diesmal in C. In den nachfolgenden Versionen gab es dann bereits Möglichkeiten zur Interaktion mit Datenbanken, und im Juni 1998 wurde die erste, als stabil bezeichnete Version von PHP 3 freigegeben. Bis dahin wurde PHP bereits nicht mehr allein von Lerdorf entwickelt auch Andi Gutmans und Zeev Suraski (zwei Entwickler aus Israel) waren mittlerweile an Bord, und das Projekt nannte sich 18

13 An wen richtet sich dieses Buch? 1.1 auch nicht mehr»personal Homepage Tools/Forms Interpreter«, sondern PHP Hypertext Preprocessor. Es war nicht schwer, mit PHP kleinere, richtige Applikationen zusammenzubauen, und die Verbreitung der Sprache auf den Webservern wuchs stark an. Wichtig an dieser Entwicklung ist nun ein entscheidender Punkt: Entwickler konnten jetzt sehr leicht Webseiten bauen, deren Verhalten von Eingaben des Users abhing. Der User konnte also nicht mehr nur auf Links klicken und sich einen linearen Weg durch das Informationsangebot der Website suchen, sondern war beispielsweise in der Lage, Suchbegriffe einzugeben und tatsächlich Treffer zu erhalten oder auch nicht. Klar, all dies war vorher ebenfalls nicht unmöglich, aber PHP erlaubte es durch die einfache und relativ tolerante Syntax sowie dank guter und verständlicher Dokumentation auch Einsteigern, schnell Fuß zu fassen und Applikationen zu kreieren. Sie ahnen nun bestimmt schon, wohin diese Schlussfolgerung führt? Genau das Internet war nach kurzer Zeit mit allerlei Angeboten überschwemmt, die zum größten Teil eines taten: mehr oder weniger gut zu funktionieren. Von sicherer Programmierung und sicherem Applikationsdesign war in diesen Tagen zumeist wenig zu sehen. Sie erinnern sich: Die.COM-Blase dehnte sich in diesen Jahren synchron zur Weiterentwicklung von Sprachen wie z. B. PHP auf, und viele Webmaster (Versprochen: Wir verwenden dieses fürchterlichen Begriff an dieser Stelle zum letzten Male!) mussten Websites und Applikationen unter großem Zeitdruck und mit wenig Vorwissen aus dem Boden stampfen koste es, was es wolle. Kommen wir zurück zu unserer anfänglichen Frage: Was ist eigentlich der Unterschied zwischen einer Website und einer Webapplikation? Im Prinzip haben wir die Frage ja schon beantwortet: Eine Website ist statisch, während eine Webapplikation dynamisch ist, also auf Eingaben von außen reagiert, und diese Eingaben können von einem User, einer anderen Applikation oder etwas ganz Anderem stammen. Wenn Sie sich also nicht mit dem Erstellen von Websites, sondern echten Applikationen (und sei auch nur der kleinste Teil derselbigen tatsächlich dynamisch) beschäftigen und nicht in die gleiche Falle tappen wollen wie unsere Väter und Mütter während des.com-booms und unsere großen Brüder und Schwestern im Web 2.0, dann ist dieses Buch genau richtig für Sie. Auf den folgenden Seiten werden wir noch ein wenig mehr ins Detail gehen und Ihnen erklären, was Sie von diesem Buch zu erwarten habe und was nicht. Sie werden außerdem in knapper Form durch den Inhalt dieses Buches geführt, um schon einmal einen Vorgeschmack auf die folgenden Kapitel zu erhalten. Wenn Sie es also geschafft haben, bis hierhin durchzuhalten, ist es nur noch ein kurzer Weg, bis es richtig losgeht. 19

14 1 Einleitung Abbildung 1.2 Google Reader Eine typische Webapplikation 1.2 Was ist der Zweck dieses Buches? Diese Frage ist ebenso leicht beantwortet wie die Frage, an wen sich dieses Buch richtet: Es hilft Ihnen dabei, Ihre Webapplikationen und Projekte so wenig aufdringlich wie möglich gegen Angriffe fast beliebiger Art abzusichern und das mit so wenig Aufwand wie möglich. Leicht gesagt, denn es gibt in der Wolke namens Internet zu diesem einen Thema fast unendlich viele Meinungen, Tipps, mahnend erhobene Zeigefinger, manchmal weniger mahnend erhobene Mittelfinger, Tools, Foren, Mailinglists und vieles mehr. Doch das soll uns an dieser Stelle noch nicht Beweis genug sei, die Behauptung zu untermauern, dass das Absichern einer Webapplikation gar nicht so leicht ist. Stellen Sie sich einmal folgende Situation vor, die sich vielleicht sogar genau so vor einiger Zeit zugetragen hat: Ein junger Informatiker, frisch von der Fachhochschule, fängt in einer bekannten Internetagentur als PHP-Entwickler an. Eines seiner ersten Projekte dreht sich um das Erstellen einer News-Seite, auf der redaktionell gepflegte Inhalte als HTML und RSS angeboten und in regelmäßigen Abständen aktualisiert werden. Unser junger Freund erstellt also eine Datenbank- 20

15 Was ist der Zweck dieses Buches? 1.2 struktur, die diese Anforderungen abbilden kann, dazu einen Admin-Bereich und ein Frontend. Da er bereits diverse Male vom Thema WebAppSec gelesen und eine grobe Vorstellung davon hat, worum es sich bei XSS, SQL Injection und Konsorten handelt, beschließt er, Angreifern einen Strich durch die Rechnung zu machen und die Applikation sicher aufzubauen. Die Absicherung gegen SQL Injections war schnell erledigt: Die Firma stellte einen Wrapper bereit, der alle Anfragen gefiltert weiterleitet, Parameter bindet etc. Bliebe also so dachte sich unser junger Padawan eigentlich nur noch XSS. Und da XSS ja ohne HTML nicht funktionieren kann, sollte es ja reichen, jede Eingabe einfach mit strip_tags zu filtern. Er scrollte also durch die bereits vorhandenen Sourcen und fügte an jedem Punkt, an dem GETund POST-Parameter verarbeitet und ausgegeben wurden, ein strip_tags() hinzu fertig: $clean = strip_tags($_get['dirty']) //könnte klappen, oder? Fällt Ihnen was auf? Falls nicht, werden Sie sehr viel mehr Nutzen aus diesem Buch ziehen, als Sie vielleicht ursprünglich dachten. Denn nach einigen Kapiteln werden Sie bereits erkennen, was unser Protagonist falsch verstanden hat, und nur noch wenige Schritte davon entfernt sein, solche Fehler nicht nur zu vermeiden, sondern Ihre Applikationen meisterlich gegen Angriffe abzusichern. Falls Sie jedoch mit schreckgeweiteten Augen den groben Fehler in seinem Handeln sofort erkannt haben, werden Sie neben großem Nutzen an diesem Buch vermutlich auch sehr viel Spaß haben, da Sie nicht nur lernen werden, wie man es besser macht als der junge Entwickler, sondern wie man mit einem Minimum an Zeitaufwand Lösungen für teils ganz konkrete und teils sehr allgemeine Probleme hinsichtlich der WebAppSec nachhaltig und elegant lösen kann. Der Zweck dieses Buches besteht weiterhin nicht darin, Ihnen lediglich aufzuzeigen, was Sie tun sollten, um eine sichere Applikation zu bauen oder eine bestehende Applikation nachträglich zu härten. Nein, hier geht es primär darum, dass Sie verstehen, wie Angreifer denken, welcher Techniken sie sich bedienen, wo sie ihre Informationen sammeln und wie echte Angriffsvektoren aufgebaut sind. Nach Lektüre der Kapitel über XSS und CSRF werden Sie Dinge über JavaScript wissen, die sich manch einer nicht zu träumen gewagt hätte. Wir werden über nicht oder wenig dokumentierte Features sprechen und gemeinsam gebräuchliche Filter überlisten. Gleiches gilt freilich für die anderen Kapitel, in denen Sie lernen, wie Statements wie SOUNDS LIKE Zugriff auf Admin-Bereiche ermöglichen, warum Firefox alles andere als ein sicherer Browser ist und welche Charaktere aus dem Unicode-Zeichensatz Ihrer Applikation richtig weh tun können (wussten Sie zum Beispiel, welch»grausames«werk das Zeichen anrichten kann?). 21

16 .bak 357.htaccess 356.old 357.svn c 29 als Delimiter für Attribute 224 0days people 81 24C Bit UCS/Unicode Tranformation Format 218 A ABC 124 abc 124 Access Control List 260 ACL 260, 261, 287 Access Control Object 261 Access Request Object 261 ACO 261 ARO 261 ARO/ACO-Tabellen 265 CakePHP ACL 266 Dendrogramm 262 Matrix 261 Modified Preorder Tree Traversal 263 MPTT 263 RBAC 260 Role Based Access Control 260 Ruby On Rails 266 sfguard 266 ActiveX 428 AdBlock Plus 246 Add'N Edit Cookie 37, 407 Adminpanel 267 AIR 122 Ajax 101 Ajax Security 101 alert('xss') 39 allow_furl_open 589 Alshanetsky, Ilia 93 AltoroMutual Testseite 404 Amazon 521 American Standard Code for Information Interchange 206 Anderson, Tom 46 Angriff Hacks und frühere Angriffe 45 homographischer 62 Anti XSRF Token 520 Anti-Pattern 275 Anti-XSS-Filter 605 Apache 355, 357 AddHandler 355 mod_rewrite 273, 277 MultiViews 357 php_admin_value 431 AppJet 398 Apple Quicktime 605 Application Security Array-Konstruktor überladen 518 as 124 ASCII 206 Non-Printable-Character 580 Steuerzeichen 208 Tabelle 209, 225 ASCII-Tabelle 279 ATOM 422 Attachment 323 Authentication Bypass 529 Automatisierter Test 444 AWStats 267 B Backend härten 266 Backframe 486 Badges 96 Ball of Mud 275 base64 211, 322 BBCode 507 BeautifulSoup 293, 370 Bestehende Applikation absichern 456 $_GET, $_POST und $_COOKIE 457 array_walk_recursive

17 auto_prepend_file 456 Extensions 461 Frameworks 456 Inkonsistenz 461 REQUEST 458 variables_order 458 Virtual Host Datei 457 BIG-5 256, 289 Bilder mit eingebettetem Code 310 Binary Large Object 252 Blacklist 233, 309 Blind SQL Injection 536 BLOB 252 Blogger.com 98 Bookmarklets 89 Brandt, Daniel 386 Browser-Caches auslesen 512 BSI 33 C Cache Poisoning 337 CakePHP 113, 252, 259, 272, 294, 296, 344, 369, 410 query 369 Callback-Funktion 518 CAPTCHA 299, 301 3D-Captcha 302 Audio-Captcha 302 OCR Tools 301 Optical Character Recognition 301 Spam-Bots 300 Cartner, Ryan 331 Character Encoding 206 Chrome 426 launch 428 nsilocalfile 428, 596 nsiprocess 428 Quicktime 428 run 428 Chrome-Kontext 426 ClickFraud 184 Clientseitiges IDS 496 Cline, Craig 75 Cloud Computing 85 Conditional Error 538 Conditional Response 537 console.dir 112 Content-Types Validierung 306 Control Characters 285 Cookie-Header 277, 294 Cookies 384, 407 Aufbau eines Cookies 387 Cross-Cooking-Lücken 394 HTTPOnly 392 JavaScript 390 Long-Life Cookies 386 Same Origin Policy 389 SQLite Datenbank 385 SSL 388 Third-Party-Cookies 386 Tracking-Cookies 386 XSS 391 CPanel 88 create_function 284, 592 PHP 284, 592 CRLF 194, 200, 207, 285, 289, 324, 426 Crockford, Douglas 111 Cron 255 Cronjob 255 Cross Site Request Forgeries CSRF Cross-User Defacement 339 CRUD 253 CSRF 51, 70, 114, 192, 293, 378, 409, 429, 505 Barrierefreiheit 303 Beispiele 521 Captcha 299 Cookie-Header 294 Cross Site Request Forgeries 505 csrf-magic 295, 298 CSRFx 295 Exploiting Anti-XSRF geschütztes XSS 509 Exploiting Logged-Out XSS 510 GET 294 Passwort erneut eingeben 303 POST 294 Post Redirection Service 294 Schutzmaßnahmen 519 Schutzmaßnamen 509 Semi Logging Out Attack 512 Token 294 csrf-magic 295 CSRFx 295 CSS 628

18 background, Property 48 min-height 499 min-width 499 -moz-binding 500 Properties 487 Selektoren 487 XBL 487 CSSTidy 293, 370, 487 CURL 600 D Dabble DB 85 Dabirsiaghi, Arshan 201 Dahse, Johannes 591 data:uri kitchen 595 DataURI 335, 342, 414, 501, 593 in Stylesheets 594 Testcases 594 Dateiendung überprüfen 308 Dateiupload Executables 305 Dateiuploads sichere 304 Sicherheitslücken 305 Datenbank 526 Datenbankmanagementsystem (DBMS) 525 Angriff auf MSSQL 565 Angriff auf MySQL 563 Angriff auf Oracle 567 Angriff auf PostgreSQL 569 Fingerprinting 547 Übersicht der Angriffsmöglichkeiten 572 Datenbankstruktur 253 DBA 258 DDoS 72, 329 Decimal Entity 225 Decoding 206 Defacement 65 Denial of Service 532, 533 Design Pattern 251 Designphase 250 DeXSS 370 Dhanjani, Nitesh 93 Dictionary-Attacks 35 Digg 76 Direct Character 270 Directory Traversal 577 /etc/passwd 578 Access-Log 582 Error-Log 582 file_exists 581 Includes 577 magic_quotes_gpc 580 Nullbyte 580 UTF disable_functions 363, 592 PHP 592 Disclosure 25 RFPolicy 25 Distributed Denial of Service 72, 329 DNS (Domain Name System) 543 DNS Rebinding 185 DoctorDan 492 DOCTYPE 328 DOM globalstorage 496 localstorage 497 sessionstorage 496 Domain 282 Domain Name System (DNS) 543 DoS 202, 425 Double Quote 225 DoubleClick 84 Doublequotes 402 Dougherty, Dale 75 E E4X Anhänge 305 Encoding 206, 291 American Standard Code for Information Interchange 206 ASCII 206 ASCII-Tabelle 213 atob 212 base16, base32, base62 und andere 213 base64 206, 211 base64 umrechnen 211 btoa 212 Character Encoding 206 CRLF 207 diakritische Zeichen 219 Direct Characters 213, 217, 218 double encodings

19 encodeuri 209 encodeuricomponent 209 IFRAME MIME Type Inheritance 216 mb_convert_encoding 214 MIME Type Guessing 215 Oktett 207 Online-Converter 217 Paritäts-Bit 207 PHP Charset Encoder 219 Punycode 62 Unicode 218 URL Encoding 209 urlencode 209 urlencode vs. rawurlencode 210 US-ASCII 206, 213 UTF UTF-7 via Meta-Tag 214 UTF-8 214, 218 Entity 221 ASCII-Tabelle 225 Decimal Entities 225 Hex Entities 225, 226 JavaScript 227 Least Significant Bit 227 LSB 227 Most Significant Bit 227 MST 227 Named Entities 222 W3C 222, 225 EOT-Datei 426 Escaping 288 Double Quotes 288 Prepared Statements 289 Stored Procedures 289 Esser, Stefan 298, 384, 403, 581 EUC-JP 289 European Expert Group for IT Security 36 EV SSL 204 Eval 360 Eventhandler 415, 475 Evron, Gadi Evron 93 Executables Upload 305 Exploit lokaler 426 Exploiting Logged-Out XSS 510 Externe Ressource 345 F Facebook 80 Feedly 448 Feed-Reader 422 Feeds 422 ATOM 422 Chrome 426 CSRF-Attacken über Feeds 425 DoS 425 EOT-Dateien 426 Feedly 426 OPML 422 RSS 422 Sage 426 SimpleXML 423 Universal Feed Parser 423 vergiftete Feeds 429 WYSIWYG-Editor 424 XML 423 XML_Feed_Parser 423 XSS-Attacken 425 Fehlermeldung 430 Fileinfo 310 file-uri 428 Filtering 229, 291 End-Of-Transmission-Zeichen 230 Eventhandler 230 LEFT-TO-RIGHT EMBEDDING 232 LEFT-TO-RIGHT OVERRIDE 232 Nullbyte 230 RIGHT-TO-LEFT EMBEDDING 232 strip_tags 229 Styles 230 Unicode-Leerzeichen 229 Fingerprinting (Datenbanken) 547 Firebug 37, 102, 112, 198, 324, 603 Firefox 38, 235 Password Manager 513 FirefoxURL 596 Firewall 508 fla 124 Flash ActionScript 156 AIR 122, 123, 124, 126, 188 allow-access-from 152 allowfullscreen 128 allow-http-request-headers-from 153 allownetworking 128, 129,

20 allowscriptaccess 128, 129, 145 AllowUserLocalTrust 134 AMF 123, 124, 126, 148, 173, 176, 183 asfunction 161 AssetCacheSize 134 AutoUpdateDisable 134 AutoUpdateInterval 134 AVHardwareDisable 134 AVM1 157 AVM2 125, 146, 157 Charles Web Debugging Proxy 183 ConstantPool 181 Cross Domain Policy 132, 147, 149, 150, 151, 155, 165, 185 crossdomain.xml 149, 150, 151, 152, 164, 187 cross-domain-policy 151 Debug-Movie 126 DisableDeviceFontEnumeration 134 DisableLocalSecurity 145 DisableNetworkAndFilesystemInHostApp 135 DisableProductDownload 135 DisableSockets 135 Domain Matching 154 E4X 157 EnableSocketsTo 135 EnforceLocalSecurity 145 EnforceLocalSecurityInActiveXHostApp 135 ErrorReportingEnable 142 ExternalInterface 126, 171 Fähigkeiten 125 File API 188 FileDownloadDisable 135 FileUploadDisable 135 FlashAuthor.cfg 145 Flash-Cookies 125, 172, 173 FlashPlayerTrust 136 FlashVars 127, 128, 163 Flex 121, 125, 168, 177, 178, 190 Flex 3 SDK 168 Flex SDK 177, 190 FullScreenDisable 135 geturl() 129, 161, 162, 163, 184 Globales Player Trust Verzeichnis 136 LegacyDomainMatching 135 loaderinfo.parameters 160 Local Shared Objects 138, 173, 496 LocalConnection.allowDomain() 144 LocalConnection.allowInsecureDomain() 144 LocalConnections 146, 147, 173 LocalFileLegacyAction 136 LocalFileReadDisable 136 LocalStorageLimit 136 localtrusted 137 localtrusted 147 local-with-filesystem 147 local-with-networking 147, 149 Master Policy 150, 151, 152 MaxWarnings 142 Method Bodies 181 mm.cfg 142 mms.cfg 131, 133, 134 navigatetourl() 129, 149, 162, 184 NetStream.play() 161 NoScript 156 OverrideGPUValidation 136 PNDF 158, 159 PolicyFileLog 142 PolicyFileLogAppend 142 policy-file-request 150, 154, 155 Potentially Dangerous Native Functions 158 Projektor 126 register_globals 159 Same Origin Policy 126, 131, 146, 149, 174, 185 Sandbox Security 145 Security.allowDomain() 144, 147 Security.allowInsecureDomain() 144 Security.exactSettings 144 Security.loadPolicyFile() 144 Security.sandboxType 137, 144 Settings Manager 137, 139 Shared Objects 173 Sicherheitsmechanismen 130 site-control 151 Socket Policy 154 Socket.timeout() 187 SWF-Dateiformat 126 SWFDecompiler 181 swfdump 177 SWFIntruder 182, 190 SWLiveConnect 127 System.security.loadPolicyFile() 150 System.security.sandboxType

21 ThirdPartyStorage 136 trace() 142 TraceOutputFileEnable 142 URLLoader.load() 146 User Flash Player Trust Verzeichnis 142 Validierung 166 XML.load() 129, 161, 163, 168 XMLSocket.timeout() 187 XML-Sockets 165 Flash Cookie Spoofing 512 Flickr 76 Flock 235 flp 124 FLV 125 flv 124 Forcierter Logout 511 1Cross Site Request Forgeries 511 Form-Mailer 321 Formular zum Registrieren 434 Fragment Identifier 494 Framework 252 freehostia.com 88 Friedl, Jeffrey E. F. 244 ftp 426 G Gabrilovich, Evgeniy 62 Gadgets 96 Gaiaworm 55 GBK 256 GCal 77 Gecko 235 GET 277, 279, 405 get_defined_functions 592 PHP 592 getimagesize() 317 GIF 310 Gmail 70, 77 Exploit 522 GME 96 GNUCITIZEN 428 Gontmakher, Alex 62 Google 350 Google Analytics 79, 267 Google Caja 503 Google Code Search Engine 93, 350, 362, 585 Google Hacking Database 355 Google Mail 515 Angriff 517 Google Mashup Editor 96 Google Reader 425 Google Search Appliances 215 Google Webmaster Tools 359 Greasemonkey 37, 603 Grossman, Jeremiah 518, 523 Guninski, Gregor 53 Gutmans, Andi 18 H Hackerparagraph 29 Hansen, Robert 472, 504 Härten von Backend und Pflegeskripten 266 Hasegawa 502 Hash-Tabellen 201 Hazel, Philip 237 Header Injection 323 Henderson, Cal 282 Hex Entity 225, 226 Heyes, Gareth 107, 303, 332, 421, 492 Hinks, Martin 500 Hofmann, Billy 90, 474 Homographischer Angriff 62 HTC 345, 498 HTML 475 HTML HTML Components 498 HTML Purifier 291, 293, 370, 419, 424, 429, 481, 487, 606 HTMLArea 420 htmlawed 418 HTML- 69 HTTP 192 Authentication 200 Basic Authentication 200 CAcert.org 203 CONNECT 199 content-type 502 CRLF 194 CSRF 192 Digest Access Authentication 200 EV SSL 204 HEAD 197 HTTP Authentication

PHP-5-Zertifizierung. Block 12 Security.

PHP-5-Zertifizierung. Block 12 Security. PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

Inhaltsverzeichnis. Einleitung... 11

Inhaltsverzeichnis. Einleitung... 11 Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Tobias Wassermann. Sichere Webanwendungen mit PHP

Tobias Wassermann. Sichere Webanwendungen mit PHP Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren von Christopher Kunz, Stefan Esser, Peter Prochaska überarbeitet PHP-Sicherheit Kunz / Esser / Prochaska schnell und portofrei erhältlich bei

Mehr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Grundlagen der Web-Sicherheit

Grundlagen der Web-Sicherheit Grundlagen der Web-Sicherheit Das Labor e.v. 29.05.2008 Johannes Dahse, Felix Gröbert johannesdahse@gmx.de, felix@groebert.org creativecommons.org/licenses/by-nc-nd/2.0/de pwn pwn pwn...!"#$%&'($)*+,-&../%

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim Tim Weber 9. November 2006 Übersicht 1. Die Sprache PHP 2. Sicherheitslücken und Angriffsszenarien

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

PHP 6 Beliebte Webskriptsprache wird erwachsen. Linux User Group Bern 14.05.2009 René Moser

PHP 6 Beliebte Webskriptsprache wird erwachsen. Linux User Group Bern 14.05.2009 René Moser <mail@renemoser.net> PHP 6 Beliebte Webskriptsprache wird erwachsen Linux User Group Bern 14.05.2009 René Moser Inhalt 1.Wie entstand PHP? 2.Was PHP? 3.Warum PHP? 4.Wie installiere ich PHP? 5.Wie programmiere

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de suhosin PHP-Patch und PHP-Security Extension Peter Prochaska Freiberuflicher Security-Consultant, PHP- Entwickler, Trainer und Autor. PHP-Entwickler seit 1998 Buchautor: PHP-Sicherheit, dpunkt.verlag Mitentwickler

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Herzlich willkommen im Modul Informatik Grundlagen

Herzlich willkommen im Modul Informatik Grundlagen Herbstsemester 2010/2011 Herzlich willkommen im Modul Informatik Grundlagen Wirtschaftsingenieurwesen: 1. Semester Dozent: Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Martin Hüsler 1 Ablauf: 1.

Mehr

Alte Technik neu verpackt

Alte Technik neu verpackt Alte Technik neu verpackt AJAX hilft Anwendungen im Web interaktiver zu werden Christian Aurich Ronny Engelmann Alte Technik neu verpackt Entwicklung von AJAX Was ist Web 2.0 / Social Web? Anwendungen

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Wolkig bis heiter. Andreas Wismann WHEN OTHERS. APEX als Drehkreuz für Web Service-Anwendungen

Wolkig bis heiter. Andreas Wismann WHEN OTHERS. APEX als Drehkreuz für Web Service-Anwendungen Wolkig bis heiter APEX als Drehkreuz für Web Service-Anwendungen Andreas Wismann WHEN OTHERS Beratung Projektmanagement Coaching rund um Oracle Application Express In APEX Informationen von "woanders"

Mehr

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann MySQL Webinar 30.01.2007 Johann-Peter Hartmann Agenda Ajax und XSS Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders schmerzt Ajax Security Xml HTTP Request,

Mehr

PHP Sicherheit für Administratoren

PHP Sicherheit für Administratoren PHP Sicherheit für Administratoren 3. Erlanger Linuxtage 15.01.2005 / meindlsoft PHP Sicherheit: Agenda Agenda Motivation Teil 1: Teil 2: en Teil 3: Aufgaben des Administrators: sichere Arbeitsumgebung

Mehr

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12 OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3 Alexander Weidinger FH STP, IT Security Gliederung PHP potentielle Sicherheitslücken & Schutz Typo3 Werkzeuge für Extension-Entwicklung Zielgruppe

Mehr

Joomla!-Sicherheit. von Joomla-Security.de. Jan Erik Zassenhaus & Christian Schmidt. www.joomla-security.de. Seite 1

Joomla!-Sicherheit. von Joomla-Security.de. Jan Erik Zassenhaus & Christian Schmidt. www.joomla-security.de. Seite 1 Joomla!-Sicherheit von Joomla-Security.de Jan Erik Zassenhaus & Christian Schmidt Seite 1 Wollen Sie sowas? Seite 2 PC Passwörter Allgemeines Anti-Viren-Software Firewall Updates des Systems und von der

Mehr

JavaScript aus der Hoelle ein Vortrag von Mario Heiderich OWASP Nuernberg 2009 AD

JavaScript aus der Hoelle ein Vortrag von Mario Heiderich OWASP Nuernberg 2009 AD JavaScript aus der Hoelle ein Vortrag von Mario Heiderich OWASP Nuernberg 2009 AD Der Talk Unfreundliches JavaScript Ein Blick in die Vergangenheit Obfuscation heute Gegenmassnahmen Ausblick Credits First

Mehr

Inhaltsverzeichnis. Vorwort... Einleitung... Einführung... 1

Inhaltsverzeichnis. Vorwort... Einleitung... Einführung... 1 Vorwort... Einleitung... V VII Einführung... 1 1 Grundlagen... 7 1.1 Dokumentmodelle... 7 1.1.1 Multimedia... 8 1.1.2 Hypermedia... 9 1.1.3 Verteilung... 11 1.2 Geschichte des WWW... 13 1.2.1 Struktur...

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Web APIs auf dem Prüfstand Volle Kontrolle oder fertig mit den Azure Mobile Services?

Web APIs auf dem Prüfstand Volle Kontrolle oder fertig mit den Azure Mobile Services? Web APIs auf dem Prüfstand Volle Kontrolle oder fertig mit den Azure Mobile Services? Web APIs Wo kommen wir her? Remote Procedure Calls (RPC) Verben/Aktionen im Endpunkt enthalten GetCustomer InsertInvoice

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

XML, JSON. Und weitere Kuriositäten. Mario Heiderich

XML, JSON. Und weitere Kuriositäten. Mario Heiderich XML, JSON Und weitere Kuriositäten Mario Heiderich Überblick XML und Webapplikationen XML im Internet Explorer Data Islands, HTC Probleme Namespaces, Event Handling XUL, Die E4X Katastrophe Feeds und Security

Mehr

Exploiting the Client side hell of the web. Msc Alexander Inführ

Exploiting the Client side hell of the web. Msc Alexander Inführ Exploiting the Client side hell of the web Msc Alexander Inführ whoami MSc Alexander Inführ Pentester bei Cure53 Browser Security Web Security PDF Security AngularJS Superheroic JavaScript MVVM Framework

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

PHP sicher, performant und skalierbar betreiben

PHP sicher, performant und skalierbar betreiben PHP sicher, performant und skalierbar betreiben Dipl.-Inform. Dominik Vallendor 26.09.2012 Tralios IT GmbH www.tralios.de Über mich Dominik Vallendor Studium der Informatik in Karlsruhe Seit 1995: Internet

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Mapbender3 Workshop. Christian Wygoda. FOSSGIS Dessau 2012

Mapbender3 Workshop. Christian Wygoda. FOSSGIS Dessau 2012 Mapbender3 Workshop Christian Wygoda FOSSGIS Dessau 2012 Christian Wygoda Mapbender3 Developer Team PSC (Project Steering Commitee) WhereGroup Bonn http:///www.wheregroup.com Mapbender3 Einführung in Mapbender

Mehr

Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications

Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications Referat von Georg Räß und Kevin Virmani Paper geschrieben von Marco Balduzzi,Carmen Torrano Gimenez,Davide Balzarotti

Mehr

Joomla Schulung. Open Source CM-System. Projekt-Nr. 398. Thomas Haussener, MA. 20. Juni 2007

Joomla Schulung. Open Source CM-System. Projekt-Nr. 398. Thomas Haussener, MA. 20. Juni 2007 Joomla Schulung Projekt-Nr. 398 Open Source CM-System Projektteam: Christian Wüthrich, PL Thomas Haussener, MA 20. Juni 2007 BiCT AG Güterstrasse 5 3072 Ostermundigen Tel. 031 939 40 30 Fax 031 939 40

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Web Application Security und der Einsatz von Web Application Firewalls

Web Application Security und der Einsatz von Web Application Firewalls Web Application Security und der Einsatz von Web Application Firewalls Philipp Etschel, BSc opennetworks.at fhstp.ac.at 2 Agenda: Warum überhaupt eine WAF einsetzen? Funktionsweise einer WAF Welche Web-

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Was eine WAF (nicht) kann. Ausgabe 2013

Was eine WAF (nicht) kann. Ausgabe 2013 Was eine WAF (nicht) kann. Ausgabe 2013 Mirko Dziadzka http://mirko.dziadzka.de/ @MirkoDziadzka OWASP Stammtisch München - 19.11.2013 1 / 27 Inhalt Worum soll es heute gehen Meine (subjektive) Meinung

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Skalierbare Webanwendungen mit Python und Google App Engine

Skalierbare Webanwendungen mit Python und Google App Engine Skalierbare Webanwendungen mit Python und Google App Engine Oliver Albers 03. Juli 2008 1/32 Einführung Worum geht es? Pro und Contra Technik Genereller Aufbau Anwendungskonfiguration Verarbeitung von

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Spurenarm surfen. Kire. Swiss Privacy Foundation www.privacyfoundation.ch

Spurenarm surfen. Kire. Swiss Privacy Foundation www.privacyfoundation.ch Spurenarm surfen Kire Swiss Privacy Foundation www.privacyfoundation.ch Swiss Privacy Foundation Der gemeinnützige Verein Swiss Privacy Foundation setzt sich für den Schutz der digitalen Privatsphäre,

Mehr

Web Exploit Toolkits - Moderne Infektionsroutinen -

Web Exploit Toolkits - Moderne Infektionsroutinen - Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter

Mehr

PHP. Prof. Dr.-Ing. Wolfgang Lehner. Diese Zeile ersetzt man über: Einfügen > Kopf- und

PHP. Prof. Dr.-Ing. Wolfgang Lehner. Diese Zeile ersetzt man über: Einfügen > Kopf- und 8. PHP Prof. Dr.-Ing. Wolfgang Lehner Diese Zeile ersetzt man über: Einfügen > Kopf- und PHP PHP (Hypertext Preprocessor) Serverseitige Skriptsprache (im Gegensatz zu JavaScript) Hauptanwendungsgebiet:

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2 Mac OSX Consoliero Teil 14 Seite: 1/10 Mac OS X Consoliero Weiterführende Dokumentationen für Administratoren. Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2 Christoph Müller, PTS

Mehr

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte : Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte Zur Person GF Mayflower GmbH (35 MA, Webschmiede, Premium-/High-Performance Development) PHP Pionier (1999: phpcenter.de) Internet

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Schönes neues Internet

Schönes neues Internet Schönes neues Internet Markus de Brün Bundesamt für Sicherheit in der Informationstechnik AK Sicherheit, 7. Oktober 2009 Markus de Brün 7. Oktober 2009 Folie 1 Agenda Gefahr aus dem Web aktuelle Lage &

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Browser-(Un)Sicherheit Ein buntes Programm

Browser-(Un)Sicherheit Ein buntes Programm Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009 http://testlab.sit.fraunhofer.de Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy?

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Grundlagen Internet-Technologien. Ajax und Cookies&Sessions Version 1.00

Grundlagen Internet-Technologien. Ajax und Cookies&Sessions Version 1.00 Ajax und Cookies&Sessions Version 1.00 28.6.2010 1 aktuelles 2 Erweiterungen wir betrachten zwei Erweiterungen: Personalisierung der Web-Verbindung durch Cookies & Sessions AJAX: Kombination von Client-

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends

Mehr

Ein Webinar von Mario Heiderich antwerpes ag Köln, 18-01-2011 HTML5. Seifenblasen - aber Bulletproof

Ein Webinar von Mario Heiderich antwerpes ag Köln, 18-01-2011 HTML5. Seifenblasen - aber Bulletproof Ein Webinar von Mario Heiderich antwerpes ag Köln, 18-01-2011 HTML5 Seifenblasen - aber Bulletproof Bitte wer und was? Mario Heiderich Forscher für Ruhr-Universität Bochum Microsoft IE Security Team in

Mehr

Inhaltsverzeichnis. Hinweise zum Gebrauch des Buches... XIII. Teil I Grundlagen der Web-Programmierung

Inhaltsverzeichnis. Hinweise zum Gebrauch des Buches... XIII. Teil I Grundlagen der Web-Programmierung Hinweise zum Gebrauch des Buches... XIII Teil I Grundlagen der Web-Programmierung 1 Entwicklung der Web-Programmierung... 3 1.1 DerWegzumWorldWideWeb... 3 1.2 Komponenten der frühen Technik..... 5 1.3

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Inhalt. Vorbemerkungen... 1

Inhalt. Vorbemerkungen... 1 Vorbemerkungen...................................................... 1 1 Einleitung........................................................ 9 1.1 Statik und Dynamik............................................

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr