Anti-XSS Analyse der Wirksamkeit von Schutzmaßnahmen gegenüber JavaScript Angriffen

Größe: px
Ab Seite anzeigen:

Download "Anti-XSS Analyse der Wirksamkeit von Schutzmaßnahmen gegenüber JavaScript Angriffen"

Transkript

1 Exposé Anti-XSS Analyse der Wirksamkeit von Schutzmaßnahmen gegenüber JavaScript Angriffen Schratt Michael

2 1. Einleitung 1.1 Hintergrund Wir befinden uns in einem Zeitalter, in dem die Komponente Web nahezu in alle Bereiche von Applikationen vorgedrungen ist. Sei es Shopping auf ebay, Amazon oder das Preisgeben von Informationen auf Social Media Webseiten wie Facebook, MySpace, Twitter & Co. Das Web ist allgegenwärtig. Sicherheit im Web, welche aus Sicht der End-To-End Kommunikation die Sicherheit von Webservern, lokaler Netzwerke und Web Browser umfasst, betrifft sowohl Bereitsteller als auch Nutzer von webbasierten Anwendungen. Serversysteme beinhalten bei steigender Größe und Komplexität mehr Schwachstellen und öffnen aus Netzwerksicht Lücken, die eine Firewall nicht schließen kann. Die Anwender surfen im Web und fühlen dabei oft eine Art Sicherheit und Anonymität, die genau betrachtet nicht da ist. Durch aktive Inhalte, welche im Browser ausgeführt werden, kann z.b. bösartige Software während des Aufenthalts im Web auf den Computer des Benutzers übertragen werden, die dann Sicherheitsmechanismen wie zum Beispiel Firewalls umgeht. So kann ein Zugriff auf das interne Netzwerk, sei es im Unternehmen oder auch Privat, erfolgen. 1 Die angewandten Sprachen im Web, wie HTML, änderten sich evolutionär von statischem Inhalt hin zu vollkommen automatisiertem und dynamischem Webseiteninhalt. Die Schwierigkeit liegt jedoch in der Unterscheidung zwischen Code (der vertrauenswürdigen Komponente) und Daten 2 (der nicht vertrauenswürdigen Komponente). Das Validieren von Eingabedaten stellt eine Maßnahme zur Isolierung nicht vertraulicher Komponenten dar. Unzureichende Validierung resultiert in Verletzung der Integrität 3. Angreifer nutzen diese Möglichkeit, um mitunter Malicious Code 4 in Webseiten einzuschleusen und somit aus den Daten auszubrechen und Code zu Manipulieren. Es erfolgt ein Übergriff von nicht vertraulichen Daten zu vertraulichem Code, welcher bis zur vollständigen Übernahme eines Systems mit sich bringen kann. 1 Vgl. Stein, Lincoln D.; John N. Stewart: WWW Security FAQ: General Questions.unter: am ], Abschnitt Q1. 2 z.b. vom Anwender übermittelte Eingabedaten. 3 Integrität ist ist definiert als "the property of safeguarding the accuracy and completeness of assets" ISO/IEC (Hrsg.) (2005a), S Malicious Code ist hier äquivalent zu bösartigem Code bzw. bösartigem Inhalt. Information Security Management 9 Seite 2 von 20

3 Man kennt die Ziele von Information Security, welche eine Gewährleistung des CIA Triad 5 sicherstellen soll. ISO/IEC Standard bietet Maßnahmen zum Schutz der Software- & Informationsintegrität Betrachtungsgegenstand Diese Master Thesis betrachtet die am weitesten verbreitete Schwachstelle im Web: das Cross Site Scripting (XSS), um die Wirksamkeit von clientseitigen und serverseitigen Schutzmaßnahmen zu evaluieren, welche keinen Zugriff auf den Quelltext der Webapplikation benötigen. Wie der jährliche Web Security Report von Whitehat Security Inc. vom Jahre 2009 offen legt, haben "67% of Websites [ ] Cross-Site Scripting issues" 7. Das Web Application Security Statistics Project 2008, welches vom Web Application Security Consortium (WASC) ins Leben gerufen wurde, erläutert ähnliches - Cross Site Scripting umfasst den größten Teil gefundener Schwachstellen in Webapplikationen. Abbildung 1 - The most widespread vulnerabilities in web applications [Web Application Security Consortium (2008)]. 5 CIA Triad referenziert sich als "[...] the three main principles in all programs are availability, integrity, and confidentiality [...] are referred to as the AIC triad [...] calling it the CIA triad [...]" Harris, Shon (Hrsg.) (2008), S Vgl. ISO/IEC (Hrsg.) (2005b), Kapitel Ford, Trey: Website Security Statistics.unter: am ]. Information Security Management 9 Seite 3 von 20

4 Cross Site Scripting lässt sich auf unzureichende Validierung von Ein- und Ausgabedaten zurückführen, welche im Web Browser dargestellt werden. Dies führt zum Ausführen von Scriptcode im Browser des Benutzers und kann zur Übernahme der Browser Session führen. Meist wird der Benutzer auf fremde, schädliche Webseiten weitergeleitet Relevanz des Themas Relevant sind drei Hauptgründe, warum man sich gegen Cross Site Scripting ohne Hilfe der Entwickler schützen muss. Ohne direkten Zugriff auf den Quellcode setzt man eine Ebene über der entwickelten Applikation an, um dort ein Ausnutzen der Schwachstelle zu erkennen und zu abzuwehren. XSS ist das Resultat von Programmierfehlern in Webapplikationen. Ein natürlicher Schritt zum Entgegenwirken besteht darin, diesen Fehler im Quellcode zu beheben. Der Einbau angemessener Ausgabevalidierungsmaßnahmen stellt hier den korrekten Vorgang dar. Der zweite wichtige Grund ergibt sich erst nach dem Entdecken einer Verwundbarkeit. Man spricht vom Window of Vulnerability, wenn man sich im Zeitfenster zwischen der Entdeckung und Behebung einer Schwachstelle befindet. Je nach Entwicklungsprozess kann die Behebung von Tage bis Monate in Anspruch nehmen. Zu guter Letzt gibt es Legacy Applikationen. In diesem Fall handelt es sich um Spezialentwicklungen, welche nicht immer auf aktuellem Stand gehalten werden können. Oftmals werden solche Softwareprodukte nur für eine bestimmte Betriebsumgebung entwickelt und sind auf neuartig, erweiterten Umgebungen nicht mehr lauffähig. Zusammenfassend sind durch die stetig steigende Anzahl der Bedrohungen von schädlicher Software immer neue und zusätzliche Methoden notwendig, um Schwachstellen frühzeitig zu erkennen und abwehren zu können. Zum Schutz vor Cross Site Scripting Angriffen engagieren sich Organisationen wie Microsoft, Mozilla Corporation oder Breach Security wesentlich. Bekannte Software die hier angeboten wird umfasst den IE XSS Filter, das NoScript Plugin bzw. Content Security Policy im Firefox, die ModSecurity Open Source Web Application Firewall u.a. 1.4 Forschungsfrage Diese Arbeit möchte in Bezug auf das Wissen und dem Einsatz präventiver Maßnahmen eine Lücke schließen. Daher widmet sich diese Thesis der Forschungsfrage: Bieten sowohl clientseitige als auch serverseitige Schutzmaßnahmen effiziente Abwehr gegenüber Malicious JavaScript Angriffen? 8 Vgl. OWASP: Top A2-Cross-Site Scripting (XSS).unter: am ]. Information Security Management 9 Seite 4 von 20

5 2 Forschungsdesign Der Anfang dieser Arbeit zeigt Maßnahmen auf, welche zum Schutz vor Cross Site Scripting angewandt werden können. Daher kommt die Methode der qualitativen Inhaltsanalyse zum Einsatz. Um die Forschungsfrage erfolgreich beantworten zu können, dient ein Vergleich zwischen clientseitiger und serverseitiger Schutzeinrichtungen. Dieser Vergleich erfolgt durch eine Teststellung der folgenden Produkte: - Firefox, - Internet Explorer, - ModSecurity, - IIS Request Filter (früher IIS UrlScan). Das Auswahlkriterium der zwei genannten Browser lässt sich auf die Nutzung zurückführen. So verwendet die Mehrheit der Benutzer Firefox und/oder Internet Explorer als Favorit. 9 ModSecurity ist ein Open Source Modul für den bekannten Apache Webserver und kann kostenfrei erworben werden. Dieses Modul "[ ] provides protection from a range of attacks against web applications and allows for HTTP traffic monitoring, logging and real-time analysis." 10 ModSecurity gilt laut Hersteller als die am meist eingesetzte Web Application Firewall. 11 Die Auswahl der IIS Request Filters (früher IIS UrlScan) erfolgte ebenfalls auf Grund der freien Verfügbarkeit und kann im Zuge des Microsoft Internet Information Services genutzt werden. Diverse Parameter in der Konfiguration dieses Filters erzwingen das Verhindern von http Anfragen, wenn diese als Angriff identifiziert werden. 12 IIS Urlscan in Version v2.5 ist seit Internet Information Services Version 7 als Request Filter out-of-the-box verfügbar. Der nächste Schritt behandelt den Aufbau einer Laborumgebung, welche pro Schutzeinrichtung eine separate Betriebsumgebung umfasst, um Interdifferenzen auszuschließen. Insgesamt werden drei voneinander segmentierte Systeme betrachtet 13. Es kommt lediglich zum Einsatz 9 Vgl. Browser-Statistik.de: Statistiken.unter: am ]. 10 ModSecurity: Open Source Web Application Firewall.unter: am ]. 11 Vgl. ModSecurity: Open Source Web Application Firewall.unter: am ]. 12 Vgl. Microsoft-Sicherheitstools: UrlScan.unter: am ]. 13 Ein System pro Firefox gemeinsam mit Internet Explorer, Apache & ModSecurity, Microsoft IIS & IIS Request Filter (IIS UrlScan). Information Security Management 9 Seite 5 von 20

6 von Microsoftbetriebssystemen, da durch die Anzahl von Unix-Systemen der Umfang dieser Arbeit gesprengt würde. Um den Vergleich durchführen zu können, bedarf es der Ausarbeitung von Angriffsmustern, welche pro Betriebsumgebung gleich anwendbar sind. Diese Muster sollen Angriffe nach heutigem Stand repräsentieren. Diese Arbeit soll einen Aufschluss darüber geben, inwieweit der Schutz gegen Malicious JavaScript gegeben ist. Daher gilt es in einem weiteren Schritt Webdokumente zu verfassen, welche schadhaften Inhalt, also die erarbeiteten Muster, zur Ausführung bringen. Ein Reifegradmodell soll veranschaulichen, welche Schutzoptionen wirklich umfassend und wirksam handeln und demnach eine positive Feststellung darstellen. Negative Feststellungen werden dokumentiert und nachvollziehbar erläutert. Die Evaluierung erfolgt über den Durchlauf eines Vergleichsprozesses 14. Dieser spiegelt einen generischen Ansatz wieder, der in allen Testreihen zum Einsatz kommen wird. Als Input dienen sowohl Angriffsmusterkataloge 15 als auch Webseiten, deren Entwicklung gezielt Cross Site Scripting Schwachstellen beinhaltet. Nach Durchführung des oberhalb erläuterten Prozesses erfolgen die Zusammenführung aller Ergebnisse und die Bewertung. Dies erfolgt über einen Kriterienkatalog. Punkte werden je nach erreichten Schutzkriterien 16 vergeben, welche während der Auswertungsphase in ein Reifegradmodell übergebracht werden. Hier gilt - je höher der Reifegrad, desto wirksamer der Schutz vor Cross Site Scripting. Diese Master Thesis bewertet die Wirksamkeit des Schutzes vor Cross Site Scripting Angriffen und stellt Hypothesen zum Einsatz, Verwendung und Weiterentwicklung dieser Produkte auf. 14 Der generische Vergleichsprozess ist zu finden unter Vergleichsprozess. 15 wie z.b. welcher ebenfalls von Microsoft s IE XSS Filter als Grundlage zur Entwicklung von heuristischen Mustern verwendet wird. 16 Der Schutzkriterien-Katalog ist zu finden im Appendix 1. Information Security Management 9 Seite 6 von 20

7 2.1 Teststellung Vergleichsprozess Information Security Management 9 Seite 7 von 20

8 3 Zeitplanung Juli 2010 Beginn Exposé September 2010 Beginn Maser Thesis Dokument September 2010 April 2011 Dokument verfassen, Vergleich durchführen April 2011 Erste Abgabe 4 Vorläufige Literatur Browser-Statistik.de: Statistiken.unter: Ford, Trey: Website Security Statistics.unter: Harris, Shon (Hrsg.) (2008): CISSP Exam Guide. 4. Aufl. New York. McGraw-Hill. ISO/IEC (2005a): ISO/IEC 27001:2005(E). Information technology Security techniques Information security management systems Requirements. 1. Aufl. ISO/IEC (2005b): ISO/IEC 27002:2005(E). Information technology Security techniques Code of practice for information security management. 1. Aufl. Microsoft-Sicherheitstools: UrlScan.unter: ModSecurity: Open Source Web Application Firewall.unter: ModSecurity: Open Source Web Application Firewall - Breach Security.unter: OWASP (Hrsg.): Top A2-Cross-Site Scripting (XSS).unter: Stein, Lincoln D.; John N. Stewart: WWW Security FAQ: General Questions.unter: Web Application Security Consortium (2008): Web Application Security Statistics 2008.unter: Information Security Management 9 Seite 8 von 20

9 Appendix 1. Schutzkriterien-Katalog Client XSS Schutz Schutzkriterien IE8 FF XSS Schutz in Default Installation des Produktes gegeben? Keine zusätzliche Installation/Konfiguration etwaiger Software oder Plugins notwendig? Keine Interaktion mit dem Webanwender erforderlich? (Konfigurationsfehler vermeiden) Server XSS Schutz UrlScan ModSecur (Request ity Filter IIS7) OWASP XSS Prevention Rule 0 (Basistest) Maßnahme erkennt XSS Vektor direkt innerhalb von HTML JavaScript? eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,string)){while(c-- ){d[c]=k[c] c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c-- ){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('<1>2(0)</1>',3,3,' script alert'.split(' '),0,{})) var i,y,x="3c e616c c2f e";y='';for(i=0;i<x.length;i+=2){y+=unescape('%'+x.substr(i,2));}document.write(y); var a=string.fromcharcode(60); var b=a.concat(string.fromcharcode(115)); var c=b.concat(string.fromcharcode(99)); var d=c.concat(string.fromcharcode(114));var e=d.concat(string.fromcharcode(105));var f=e.concat(string.fromcharcode(112));var g=f.concat(string.fromcharcode(116));var h=g.concat(string.fromcharcode(62));var i=h.concat(string.fromcharcode(97));var j=i.concat(string.fromcharcode(108));var k=j.concat(string.fromcharcode(101));var l=k.concat(string.fromcharcode(114));var m=l.concat(string.fromcharcode(116));var n=m.concat(string.fromcharcode(40));var o=n.concat(string.fromcharcode(53));var p=o.concat(string.fromcharcode(41));var q=p.concat(string.fromcharcode(60));var r=q.concat(string.fromcharcode(47));var s=r.concat(string.fromcharcode(115));var t=s.concat(string.fromcharcode(99));var u=t.concat(string.fromcharcode(114));var v=u.concat(string.fromcharcode(105));var w=v.concat(string.fromcharcode(112));var x=w.concat(string.fromcharcode(116));var y=x.concat(string.fromcharcode(62));document.write(y); Information Security Management 9 Seite 9 von 20

10 Maßnahme erkennt XSS Vektor innerhalb von HTML Kommentaren? Maßnahme erkennt XSS Vektor innerhalb von Attributnamen? Vektor in URL und Adressleiste Information Security Management 9 Seite 10 von 20

11 Maßnahme erkennt XSS Vektor innerhalb eines HTML Tags? OWASP XSS Prevention Rule 1 Maßnahme erkennt XSS Vektor innerhalb von Standard HTML Content? (TAG = p) Maßnahme erkennt XSS Vektor innerhalb von Standard HTML Content? (TAG = body) Information Security Management 9 Seite 11 von 20

12 Maßnahme erkennt XSS Vektor innerhalb von Standard HTML Content? (TAG = div) Maßnahme erkennt XSS Vektor innerhalb von Standard HTML Content? (TAG = b) Information Security Management 9 Seite 12 von 20

13 Maßnahme erkennt XSS Vektor innerhalb von Standard HTML Content? (TAG = td) OWASP XSS Prevention Rule 2 Maßnahme erkennt XSS Vektor innerhalb von Standard HTML Attributen? (ATTRIBUTE = name) Information Security Management 9 Seite 13 von 20

14 Maßnahme erkennt XSS Vektor innerhalb von Standard HTML Attributen? (ATTRIBUTE = value) OWASP XSS Prevention Rule 3 Maßnahme erkennt XSS Vektor innerhalb von JavaScript-fähigen Elementen, JavaScript Code, Eventhandler? Information Security Management 9 Seite 14 von 20

15 OWASP XSS Prevention Rule 4 Maßnahme erkennt XSS Vektor innerhalb von Style Entities? OWASP XSS Prevention Rule 5 Maßnahme erkennt XSS Vektor innerhalb von Link URLs? Information Security Management 9 Seite 15 von 20

16 <SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT> "><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT> OWASP XSS Prevention Rule 6 Rule 6 - HTML Policy zur Validierung von HTML Ausgabedaten ist nicht im Forschungsgegenstand enthalten OWASP XSS Prevention Rule 7 Maßnahme erkennt XSS Vektoren in Type 0 Angriffen (DOM Based)? Information Security Management 9 Seite 16 von 20

17 Zusätzliche Testszenarien Maßnahme erkennt XSS Vektoren in Type 2 Angriffen (Persistent)? 'javascript:alert("style")';</style> <IMG SRC=javascript:alert('img')> <BODY BACKGROUND="javascript:alert('body')"> <LINK REL="stylesheet" HREF="javascript:alert('link');"> <META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('meta');"> <IFRAME SRC="javascript:alert('iframe');"></IFRAME> <DIV STYLE="background-image: url(javascript:alert('div'))"> <STYLE>.XSS{background-image:url("javascript:alert('style1')");}</STYLE><A CLASS=XSS></A> <STYLE type="text/css">body{background:url("javascript:alert('style2')")}</style> <OBJECT classid=clsid:ae24fdae-03c6-11d1-8b c744f389><param name=url value=javascript:alert('object')></object> <script SRC="javascript:alert('script');"></script> <video SRC="javascript:alert('video');"</video> <LAYER SRC="javascript:alert('layer')"></LAYER> <embed src="javascript:alert('embed')" type="application/x-shockwave-flash" allowscriptaccess="always" width="0" height="0"></embed> <applet src="javascript:alert('applet')" type=text/html> 'javascript:alert("style")';</style> <IMG SRC=javascript:alert('img')> Information Security Management 9 Seite 17 von 20

18 <BODY BACKGROUND="javascript:alert('body')"> <LINK REL="stylesheet" HREF="javascript:alert('link');"> <META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('meta');"> <IFRAME SRC="javascript:alert('iframe');"></IFRAME> <DIV STYLE="background-image: url(javascript:alert('div'))"> <STYLE>.XSS{background-image:url("javascript:alert('style1')");}</STYLE><A CLASS=XSS></A> <STYLE type="text/css">body{background:url("javascript:alert('style2')")}</style> <OBJECT classid=clsid:ae24fdae-03c6-11d1-8b c744f389><param name=url value=javascript:alert('object')></object> <script SRC="javascript:alert('script');"></script> <video SRC="javascript:alert('video');"</video> <LAYER SRC="javascript:alert('layer')"></LAYER> <embed src="javascript:alert('embed')" type="application/x-shockwave-flash" allowscriptaccess="always" width="0" height="0"></embed> <applet src="javascript:alert('applet')" type=text/html> Maßnahme erkennt XSS Vektoren in HTTP Header Elementen? (User-Agent) Maßnahme erkennt XSS Vektoren in HTTP Header Elementen? (Referer) Information Security Management 9 Seite 18 von 20

19 Maßnahme erkennt XSS Vektoren in HTTP Header Elementen? (Custom) Maßnahme erkennt kodierte XSS Vektoren? (URL Encode, HTML Encode, base64) >%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%30%29%3C%2F%73 %63%72%69%70%74%3E ><script>ale&#x 72;t(0)</scrip& #x74;> ><META HTTP-EQUIV="refresh" CONTENT="0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3Njc mlwdd4k"> Information Security Management 9 Seite 19 von 20

20 >%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%30%29%3C%2F%73 %63%72%69%70%74%3E ><script>ale&#x 72;t(0)</scrip& #x74;> ><META HTTP-EQUIV="refresh" CONTENT="0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3Njc mlwdd4k"> Maßnahme erkennt XSS Vektoren auch wenn Request auf selber Seite stattfindet? HTTP GET Local Request XSS Vektor HTTP POST Local Request XSS Vektor Information Security Management 9 Seite 20 von 20

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte : Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte Zur Person GF Mayflower GmbH (35 MA, Webschmiede, Premium-/High-Performance Development) PHP Pionier (1999: phpcenter.de) Internet

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Web Exploit Toolkits - Moderne Infektionsroutinen -

Web Exploit Toolkits - Moderne Infektionsroutinen - Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Browser-(Un)Sicherheit Ein buntes Programm

Browser-(Un)Sicherheit Ein buntes Programm Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009 http://testlab.sit.fraunhofer.de Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy?

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann MySQL Webinar 30.01.2007 Johann-Peter Hartmann Agenda Ajax und XSS Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders schmerzt Ajax Security Xml HTTP Request,

Mehr

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

E rk e n n u n g s c h ä dlic h e r We b s e it e n. Armin Büscher, Malware Analyst @ G Data Security Labs

E rk e n n u n g s c h ä dlic h e r We b s e it e n. Armin Büscher, Malware Analyst @ G Data Security Labs E rk e n n u n g s c h ä dlic h e r We b s e it e n Armin Büscher, Malware Analyst @ G Data Security Labs S c h ä dlic h e We b s e ite n Heutzutage Infektionsvektor #1 Ein einziger Besuch auf einer präparierten

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Ganz sicher sicher surfen. it-sa 2013 Nürnberg

Ganz sicher sicher surfen. it-sa 2013 Nürnberg Ganz sicher sicher surfen it-sa 2013 Nürnberg + Soforthilfe gegen kritische Reader-Lücken heise.de, 14.02.2013 Wer mit den aktuellen Versionen des Adobe Reader ein PDF-Dokument öffnet, läuft Gefahr, sich

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG 05.07.2012 Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG Agenda 01 Einführung 02 Architektur 03 Lösungen 04 Zusammenfassung 2 2 Agenda 01 Einführung 02

Mehr

Internet-Information-Server

Internet-Information-Server Internet-Information-Server Sicherheitstage WS 2007/2008 Hergen Harnisch harnisch@rrzn.uni-hannover.de 20.11.2007 Hergen Harnisch IIS 20.11.2007 Folie 2 Einleitung Firewall IIS Securing & Auditing Einschätzung/Empfehlung

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Hackerpraktikum SS 202

Hackerpraktikum SS 202 Hackerpraktikum SS 202 Philipp Schwarte, Lars Fischer Universität Siegen April 17, 2012 Philipp Schwarte, Lars Fischer 1/18 Organisation wöchentliche Übung mit Vorlesungsanteil alle zwei Wochen neue Aufgaben

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Log Parser 2.0 HackerScan.js. Beschreibung. Anforderungen. Unterstützte Plattformen. Script-Code. Zurück zur Übersichtsseite

Log Parser 2.0 HackerScan.js. Beschreibung. Anforderungen. Unterstützte Plattformen. Script-Code. Zurück zur Übersichtsseite Zurück zur Übersichtsseite Log Parser 2.0 HackerScan.js (Engl. Originaltitel: HackerScan.js) Beschreibung Dieses Script sucht in allen IIS-Protokolldateien (IIS-, HTTPError- und UrlScan-Protokolldateien)

Mehr

Open Source. Thomas Weibel, Multi & Media thomas.weibel@bluewin.ch www.thomasweibel.ch

Open Source. Thomas Weibel, Multi & Media thomas.weibel@bluewin.ch www.thomasweibel.ch Open Source Thomas Weibel, Multi & Media thomas.weibel@bluewin.ch www.thomasweibel.ch Inhalt 1. Begriff, Lizenzen 2. HTML 5, Nachschlagewerke 3. Software 4. Linux: Ubuntu 5. Content-Management-Systeme

Mehr

Web Data Mining. Albert Weichselbraun

Web Data Mining. Albert Weichselbraun Web Data Mining Albert Weichselbraun Vienna University of Economics and Business Department of Information Systems and Operations Augasse 2-6, 1090 Vienna albert.weichselbraun@wu.ac.at May 2011 Agenda

Mehr

Frank Kleine, Nico Steiner 1&1 Internet AG. Frontend-Performance mit PHP

Frank Kleine, Nico Steiner 1&1 Internet AG. Frontend-Performance mit PHP Frank Kleine, Nico Steiner 1&1 Internet AG Frontend-Performance mit PHP Vorstellung Frank Kleine Head of Web Infrastructure Nico Steiner Experte für Frontend T&A Frontend-Performance mit PHP 2 Vorstellung

Mehr

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011 No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen Hamburg, 27.09.2011 Ausgangssituation Webanwendungen sind aus unserem heutigen Leben nicht mehr

Mehr

XPages Good to know. Benjamin Stein & Pierre Hein Stuttgart 7. Mai 2015

XPages Good to know. Benjamin Stein & Pierre Hein Stuttgart 7. Mai 2015 XPages Good to know Benjamin Stein & Pierre Hein Stuttgart 7. Mai 2015 Agenda 1. Einführung Was sind XPages? 2. Allgemeine Tipps Allgemeine Tipps für die Verwendung von XPages 3. Designer Tipps Tipps für

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

ERANGER 3.4.3 Release Announcement

ERANGER 3.4.3 Release Announcement ERANGER 3.4.3 Release Announcement 12. September 2012 2012 Junisphere Systems AG Junisphere Systems AG Glatt Tower, P.O. Box 1572 CH-8301 Glattzentrum Tel. +41 (0)43 443 31 80 info@junisphere.net www.junisphere.net

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

UI-Redressing-Angriffe auf Android. OWASP 07. November 2012. The OWASP Foundation http://www.owasp.org. Marcus Niemietz Ruhr-Universität Bochum

UI-Redressing-Angriffe auf Android. OWASP 07. November 2012. The OWASP Foundation http://www.owasp.org. Marcus Niemietz Ruhr-Universität Bochum UI-Redressing-Angriffe auf Android Marcus Niemietz Ruhr-Universität Bochum 07. November 2012 mail@mniemietz.de http://www.mniemietz.de Copyright The Foundation Permission is granted to copy, distribute

Mehr

Cross Site Scripting (XSS)

Cross Site Scripting (XSS) Konstruktion sicherer Anwendungssoftware Cross Site Scripting (XSS) Stephan Uhlmann 31.08.2003 Copyright (c) 2003 Stephan Uhlmann Permission is granted to copy, distribute and/or modify this

Mehr

SEODisc: Ansatz zur Erkennung von SEO-Attacken

SEODisc: Ansatz zur Erkennung von SEO-Attacken : Ansatz zur Erkennung von SEO-Attacken Matthias Meyer 21. März 2011 TU Dortmund, G Data 1 / 18 Inhaltsverzeichnis 1 Einleitung Was ist SEO? SEO aus Angreifersicht SEO Techniken 2 Verfolgter Lösungsansatz

Mehr

Web-Performance-Optimierung - Websites auf Speed SEO Barbecue - DIWISH - Kiel - 01. August 2012. Timo Heinrich t.heinrich@online-werbung.

Web-Performance-Optimierung - Websites auf Speed SEO Barbecue - DIWISH - Kiel - 01. August 2012. Timo Heinrich t.heinrich@online-werbung. SEO Barbecue Web-Performance-Optimierung - DIWISH - Kiel - 01. August 2012 - Websites auf Speed 1 2 Kinder 1 Frau 41 Jahre jung Seit 1996 autodidaktischer Onliner Schwerpunkte: Suchmaschinenoptimierung

Mehr

SEODisc. Analyse SEO vergifteter Suchmaschinenergebnisse. Matthias Meyer. TU Dortmund / G Data

SEODisc. Analyse SEO vergifteter Suchmaschinenergebnisse. Matthias Meyer. TU Dortmund / G Data SEODisc Analyse SEO vergifteter Suchmaschinenergebnisse Matthias Meyer TU Dortmund / G Data Inhalt SEO Grundlagen Interesse der Angreifer Das SEODisc Analysesystem Evaluation und Ergebnisse 12. Deutscher

Mehr

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall!

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! IT-SeCX 12.11.2010 Version: 1.0 Autor: A. Kravitz / K. Bauer Verantwortlich: A. Kravitz Datum: 12.11.2010 Vertraulichkeitsstufe:

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

Webinar: Content Security in Zeiten von Facebook, Dropbox & Co.

Webinar: Content Security in Zeiten von Facebook, Dropbox & Co. Webinar: Content Security in Zeiten von Facebook, Dropbox & Co. Matthias Partl, M.A. Presales Consultant SFNT Germany GmbH 1 Agenda Web 2.0 Anwendungen im Überblick Trends im Umgang mit Web 2.0 Risiken

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Thomas Macht Ausarbeitung Security-Test WS 09

Thomas Macht Ausarbeitung Security-Test WS 09 Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren

Mehr

Multivariate Tests mit Google Analytics

Multivariate Tests mit Google Analytics Table of Contents 1. Einleitung 2. Ziele festlegen 3. Einrichtung eines Multivariate Tests in Google Analytics 4. Das JavaScript 5. Die Auswertung der Ergebnisse Multivariate Tests mit Google Analytics

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Technische Gefahren für Netz- und E-Commerce- Betreiber und ihre Abwehr. Sascha Schumann Geschäftsführer 19.Februar.2014

Technische Gefahren für Netz- und E-Commerce- Betreiber und ihre Abwehr. Sascha Schumann Geschäftsführer 19.Februar.2014 Technische Gefahren für Netz- und E-Commerce- Betreiber und ihre Abwehr Sascha Schumann Geschäftsführer 19.Februar.2014 Wer ist die Myra Security GmbH Management Sascha Schumann (Gründer & CEO), PHP Kernentwickler

Mehr

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Ferdinand Sikora Channel Account Manager Etappen der Virtualisierung Stage 1 Server Virtualisierung Stage 2 Erweiterung & Desktop Server

Mehr

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1. Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr