Methoden zur Sicherheitsanalyse webbasierter

Größe: px
Ab Seite anzeigen:

Download "Methoden zur Sicherheitsanalyse webbasierter"

Transkript

1 Fachhochschule Köln Cologne University of Applied Sciences Methoden zur Sicherheitsanalyse webbasierter Anwendungen Analyse bestehender Werkzeuge, sowie Modellierung und Entwicklung neuartiger Konzepte MASTERTHESIS Wolfgang Moser Matrikelnr.: Institut für Informatik Fachhochschule Köln, Campus Gummersbach Erstprüfer: Prof. Dr. Karsch Zweitprüfer: Prof. Dr. Stenzel Externer Betreuer: Dipl.-Inf. Randolf Skerka 7. Dezember 2006

2 2 Vorwort Die vorliegende Masterthesis wurde im Zeitraum Juni bis November 2006 bei der Firma SRC Security Research & Consulting GmbH in Kooperation mit dem Labor für Kommunikationstechnik und Datensicherheit der Fachhochschule Köln vorbereitet und angefertigt. Mein besonderer Dank gilt meinen Betreuern Prof. Dr. Stefan Karsch und Dipl.-Inf. Randolf Skerka für die wissenschaftliche und fachliche Betreuung, sowie meinem langjährigen Mentor Prof. Dr. Horst Stenzel. Weiterhin möchte ich die Gelegenheit nutzen, meinen Teammitgliedern im Bereich Sicherheitsmanagement und Netzwerksicherheit bei SRC, Christopher Kristes, Daniel Jedecke, Manuel Atug und Holger von Rhein meinen Dank auszusprechen für die vielen anregenden Gespräche, Ideen und Hinweise, die zu dieser Arbeit beitrugen. Herausstellen möchte ich die emotionale Unterstützung durch Verwandte, Freunde und Nachbarn, insbesondere meiner Schwester Jana Moser, Dr. Volker Brückner, Andreas Zwicker und Christian Wurst. Erwähnen möchte ich gerne auch Karl-Heinz Kerschgens und Christa Brennig, die auf besondere Weise dazu beitrugen, dass ich meinen Weg in Richtung eines Informatikstudiums eingeschlagen habe. Ich danke weiterhin meiner Familie, die mir so viel Unterstützung während meiner Studienzeiten zuteil werden ließen, Gertrud und Peter Brennig, Monika und Rolf Moser, meinem Bruder Jonas, sowie Lissy, Ingo und Jörg Grosz. Ein herzliches Dankeschön auch an die Familien Schilling und Euchler, Edvard Pavlic, Volker Stamm, Frank Bruch, Andreas Klein, Iwona und Jörg Luther, Frank Panno, Mario Linke, Beate Breiderhoff, Norbert Gesper, Karl-Heinz Kohlenbeck, Johannes Josef Bungart, Frauke Voss, Martin Wisskirchen, Ina und Boris Hirschmann, Petra Riemer, Beate Otrzonsek und Guido Münster für Rat, Zuspruch und Freundschaft. Nicht vergessen mit einzubeziehen möchte ich alle die Menschen, die insbesondere während meiner Studienzeiten mit ihrer (Ein-) Wirkung auf mich irgendwie zum Gelingen dieser Arbeit beigetragen haben, allen Kommilitonen, Professoren und Mitarbeitern beziehungsweise ehemaligen Kollegen an der Fakultät für Informatik der Fachhochschule Köln.

3 3 Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Einleitung Ausgangslage Vorstellung SRC Kunden und Kundenumfeld im Bereich Netzwerksicherheit Bei Kunden eingesetzte Softwarearchitekturen im Überblick Bisherige Vorgehensweise: manuelle Überprüfung der Ergebnisse automatisierter (Vor-) Tests Vulnerability-Scan Penetrationstest Bei SRC eingesetzte Werkzeuge für Vulnerability-Scans Manuelle Nacharbeiten bei einem Vulnerability-Scan Zielsetzung der Arbeit Grundlagen Hypertext Transfer Protokoll (HTTP) Erweiterungen des HTTP-Protokolls Session-Management und clientseitige Speicherung von Zustandsdaten (Cookies) Protokollerweiterungen für Inhaltsbearbeitung und Versionskontrolle, WebDAV Weitere in Web-Anwendungen genutzte Protokolle und Formate außerhalb HTTP Hypertext Markup Language (HTML) Structured Query Language (SQL) Abfragesprachen für weitere Datenspeichersysteme Leightweight Directory Access Protocol, Abfragesyntax und Filter Andere Datenbankmanagementsysteme (DBMS) und deren jeweilige Abfragesyntax XML-basierte Datenbanken und Abfragesprachen bzw. Adressierungsmethoden Verallgemeinerte Struktur von web-basierten Anwendungen Das Open Web Application Security Project (OWASP) Projekte des OWASP Liste der 10 kritischsten Sicherheitslücken in Web- Anwendungen Zum OWASP vergleichbare Institutionen Payment Card Industry Data Security Standard (PCI-DSS) Ziele des PCI-DSS Gegenüberstellungen zu den Anforderungen des OWASP Bekannte Schwachstellen und Schwachstellenklassen Fehlende Parameterprüfung

4 Command Execution Top-1-Ziel: Ausführung von vom Angreifer frei bestimmbarer Semantik Funktionsweise und Maßnahmen zur Vermeidung dieser Schwäche Konkrete Arten von Command Execution Clientseitige Angriffe, Cross-Site-Scripting Ziel eines Angreifers Funktionsweise von XSS XSS-Varianten Generische XSS-Angriffsarten SQL-Injection Angriffsziele in Datenbanken Auffinden von anfälligen Webseiten oder -applikationen Systematik zur Datenbank-Analyse Blind-SQL-Injection Buffer-Overflow Angriffsflächen web-basierter Anwendungen Angriffsziele Funktionsweise von Buffer-Overflow-Attacken Durchführung von Buffer-Overflow-Attacken Weitere Angriffsarten des OWASP-Top-10-Kataloges Preisgabe geschützter Informationen (Information Disclosure) Angriffe auf die Anwendungslogik Organisatorische Maßnahmen Vorstellung und Modellierung eines einfachen Attack Trees Attack Trees nach Bruce Schneier Aufbau von Attack Trees Bewertung von Gegenmaßnahmen Definition eines Attack Trees für web-basierte Anwendungen Festlegung des Angriffszieles Attack Tree: Brückenkopf in der DMZ Untersuchungsmethoden und Anforderungen an Werkzeuge zum automatischen Security-Test von web-basierten Anwendungen Schwachstellen-Scanner für nicht web-basierte Anwendungen Spezielle Anforderungen an Scanner von web-basierten Anwendungen Charakteristika web-basierter Anwendungen Konsequenz für automatische Scanner Grundarbeitsprinzip eines Webapplikations-Scanners Gegenüberstellung der Anforderungen an Scanner webbasierter Anwendungen mit Scannern für nicht web-basierte Anwendungen Ablauf einer Analyse Konkrete Aufgaben Informationsgewinnung und Planung der Untersuchung Durch die Software Qualys abgedeckte Vulnerability-Scans Intensive Begutachtung einzelner Sicherheits-Aspekte Begutachtung von Geschäfts- und Systemlogiken Der Prozess der Durchführung des manuellen Security-Scans. 84

5 Präsentation und Aufbereitung der Ergebnisse Hauptschwierigkeiten bei der Anwendung automatischer Schwachstellen-Scanner Generelle Grenzen automatisierter Tests Dynamische clientseitige Webseiten-Inhalte Menschliche Interpretationsfähigkeit Punkte des OWASP-Top-10-Katalog mit eingeschränkten Automatisierungsmöglichkeiten Domäne existierender Werkzeuge: Gewinnung nützlicher Informationen Analyse bestehender Konzepte Informationsgewinnung Lexikalische Auswertung von URLs nach Dateinamen und -endungen Auswertungen bei SSL/TLS gesicherten Verbindungen Inhaltsanalyse von Seiteninhalten mit auf regulären Ausdrücken basierenden Suchmustern Fehlverhalten bei gehärteten Web-Anwendungen Adaption von nicht einschlägig sicherheitsorientierten Testverfahren Fingerprinting als spezialisierte Informationsgewinnung OS-Fingerprinting HTTP-Fingerprinting SSL/TLS-Fingerprinting Backend-Fingerprinting Konzept für einen generischen Fingerprinter Vorgehen bei der Erstellung der notwendigen Signaturen Verfahren zur Entdeckung von Cross-Site-Scripting-Lücken Aktuelle verfügbare Werkzeuge zur Detektion von XSS- bzw. HTML-Injection-Schwachstellen Strategien für aufeinander aufbauende Tests für reflektive HTML-Injektion Brute-Force-Tests mit aggregierten Teststrings Erweiterte Techniken zum Auffinden unsichtbarer Lücken Detektion von stored XSS-Schwachstellen Buffer-Overflow-Tests Aktuelle Situation von Blackbox-Testtools zur Penetrationsanalyse Organisatorische Schwierigkeiten bei der Verifikation von Buffer-Overflows Ansätze für automatisierte Penetrationstests Code-Injektion, speziell SQL-Injektion Einfache SQL-Injektion Verfeinerungsmöglichkeiten der Detektion Quoting, Kodierung und Verifikation Blind SQL-Injection Error Handling Denial of Service

6 Zusammenfassung Software-Architektur für ein integriertes Werkzeug zur Analyse von web-basierten Anwendungen Zielsetzung für das Testframework Verwendete Werkzeuge, Komponenten, Bibliotheken und weitere Frameworks HtmlUnit, Aufbau und Vorteile durch dessen Verwendung Eigenschaften und Vorteile Nachteile Erweiterung von HtmlUnit für Penetrationstest-Zwecke Anforderungen Funktion und Aufbau von HttpWebConnection Strategie für das Einbringen eigener Logik in das HtmlUnit-Framework Erweiterung des Unterbrecherkonzeptes Realisierung eines universellen Plugin-Konzeptes Maßnahmen zur Unterstützung von gesicherten Verbindungen Das Hauptframework Konfiguration des über HtmlUnit simulierten Web-Browsers Datenstruktur zur Traversierung von Webseiten Behandlung einer aus der Queue entnommenen URL Abstrakte Hilfsstruktur Spiderable Aufruf der Plugins der ersten Hierarchieebene Die Entwicklung von Plugins Implementierung eines XSS-Penetrationstesters Zweistufige Struktur: Zunächst Test auf Reflexionen von Eingabestrings Plugins rufen Plugins auf: Der eigentliche XSS-Test Weitere mögliche Penetrationstests Verbesserungspotenziale Reflexion der Ergebnisse dieser Arbeit Zusammenfassung Fazit Bewertung Ausblick Literatur A. Statische Klassendiagramme in UML-1.1-Notation B. Datenträger

7 7 Abbildungsverzeichnis 1 Firmelogo SRC Gesellschafter der SRC Security & Research GmbH Corporate-Identity-Symbol SRC Beispiel einer HTTP-POST-Anfrage Beispiel einer HTTP-Antwort (nur Kopfzeilen) SOAP über HTTP oder andere Protokolle, siehe [76] Logo des OWASP Logo des PCI Security Standards Council Angriffsklassen web-basierter Anwendungen Szenario zum Diebstahl von Cookies mittels XSS Übergeordnete Klassifizierung von Angriffsflächen mit Zuordnungsüberschneidungen Abtrennung einer DMZ mit zwei Netzfiltern/Firewalls Schaffung einer DMZ mit einem 3-Wege-Netzfilter/Firewall Attack Tree: Installation einer Hintertür auf einem Rechner in der DMZ Bewerteter Attack Tree: Installation einer DMZ-Hintertür Seltener Fehlerzustand einer bekannten Web-Auktionsplattform unter hoher Last Nachbehandelter Fehlerzustand einer bekannten Web-Auktionsplattform Schematische Darstellung einer untergliederten Plugin-Technik Aggregation des HTTP-Connectors im HTMLUNIT-Framework Aufbau eines alle Zertifikate akzeptierenden Trustmanagers Beispielimplementierung für eine zweistufige Plugin-Hierarchie UML-1.1-Diagramm des Plugin-Ladesystems UML-1.1-Diagramm der Erweiterungen an HTMLUnit UML-1.1-Diagramm des Crawler-Frameworks mit Referenzen auf die vorherigen Diagramme in Abbildungen 22 und 23(grau eingefärbte Elemente) Tabellenverzeichnis 1 Verschiedene Einrahmung- und Kodierungsformen zur Verifikation einer SQL-Injection-Schwachstelle

8 8 Zusammenfassung Steigender Bedarf an Penetrationstests web-basierter Anwendungen entsteht durch restriktivere Zulassungsvoraussetzungen seitens der Kreditkartengesellschaften und steigendem öffentlichen Druck auf Geldinstitute wegen der wirtschaftlichen Folgen beispielsweise durch Phishing-Attacken deren Nutzer. Ziel für einen Dienstleister in diesem wachsenden Markt für Penetrationstests ist es, durch Optimierung seiner internen Prozesse die Wettbewerbsfähigkeit langfristig zu sichern. Nach derzeitigem Stand der Technik sind Penetrationstests nur mit intensiver Steuerung durch erfahrene IT-Security-Berater sachgerecht durchführbar. In dieser Masterthesis werden bestehende Methoden und Konzepte zur Schwachstellenanalyse web-basierter Anwendungen untersucht und daraus neuartige Konzepte erarbeitet und diskutiert. Das Ziel ist eine Erhöhung des allgemeinen Automatisierungsgrades, welches durch eine Steigerung der Effektivität bestehender automatischer Methoden und eine bessere Integration verschiedener Verfahren erreicht wird. Die Arbeit kann in den Themenkomplex Qualitätssicherung (Software) Blackbox-Test Penetrationtesting eingeordnet werden. Abstract Increasing demand on penetration tests derives from more restrictive admission requirements on the part of the credit card corporations and increasing public pressure onto the financial institutions because of the economic consequences for example through phishing attacks at their users. The objective for a service provider in this growing market for penetration testing is to ensure his competitiveness through the improvement of his internal processes. At the current state-of-the-art, penetration tests are only doable properly by intensive control by an experienced IT security consultant. With this Master s thesis existing methods and concepts to vulnerability analyses of web based applications are explored. Subsequently new concepts are developed and discussed. The objective is to increase the level of automation in general which is reached by an increase of the effectivity of existing automatic methods and by a better integration of several procedures. This thesis can be classified into the complex of topics: quality assurance (software) black box testing penetration testing.

9 9 1. Einleitung Softwarequalität wird üblicherweise 1 unter dem Motto der Funktionalität und Benutzbarkeit eines Werkzeuges zur Verarbeitung elektronischer Daten verstanden. Darin fließen verschiedene Tests ein, die unter anderem folgerichtiges Verhalten auf Eingabedaten prüfen, oben angeführte Benutzbarkeit (Usability Tests) untersuchen oder auf die Interaktionsfähigkeit abzielen (Mensch-Computer-Interaktion). Die im Rahmen der Qualitätssicherung zumeist gestellte Frage lautet: Macht die Software das, was sie laut Spezifikation machen soll? Untersuchungsmethoden des Softwaretestens werden grob in die Klassen Whitebox- und Blackboxtesting unterteilt. Beim Whiteboxverfahren hat das Qualitätssicherungsteam Zugriff auf alle Quelldateien und Dokumente, die im Rahmen der Softwareerstellung angefallen sind. Mit verschiedenen Verifikationsmethoden können Fehler in Quellen und Spezifikationen aufgedeckt werden. Beim Blackboxtesting besteht die Aufgabe eher darin, das fertige Produkt aus Sicht des Anwenders zu betrachten. Zum einen ist auch hier eine Verifikation untersuchbar, wenn es um die grundsätzliche Anwendbarkeit geht. Als Beispiel sei die Erreichbarkeit aller Eingabemasken als ein Testziel genannt. Zum anderen wird beim Blackboxtesting aber auch versucht, das fertige Programm gezielt mit speziell präparierten Eingabewerten in einen Fehlerzustand zu zwingen, um auf dieses Weise bewertbare Qualitätsmängel aufzuzeigen. Ein ganz anderes Ziel wird beim so genannten Penetrationstest (auch: Pentesting) gestellt. Die Fragestellung hier lautet eher: Ist eine Software resistent gegen Angriffe, sie dazu zu bringen etwas zu tun, was sie nicht machen soll? Die generelle Schwierigkeit, Software widerstandsfähig gegen typische Angriffsmuster von Hackern zu gestalten, erwächst schon alleine aus dem Umstand, dass solcherart Anforderungen in Spezifikationen oft nicht klar ausformuliert werden können und sich Angreifer Lücken innerhalb der Spezifikation zu Nutze machen. Allgemeines Ziel sollte sein, Software nicht nur gegen bereits bekannte Angriffsmuster resistent zu halten, sondern möglichst so zu erstellen, dass auch zukünftige Verfeinerungen bestehender oder neuer Angriffsmuster möglichst unwirksam bleiben. Pentesting kann auch als sehr spezialisierte Form des Blackboxtesting verstanden werden. Ohne die genaue Programmlogik zu kennen oder Zugriff auf die Quellen der Software zu besitzen, versucht ein simulierter Angreifer das Verhalten des Programms zu manipulieren. Ziel ist es dabei, durch Variation von Eingabedaten ein Software-Verhalten herbeizuführen, welches 1 Für eine Übersicht über verschiedene Softwarequalitätsziele, siehe die Zusammenfassung der Norm ISO/IEC 9126 in [79]

10 10 für unerwünschte Folgeaktionen wie Einbruch, Diebstahl, Spionage oder Sabotage missbraucht werden könnte 2. In den folgenden Abschnitten wird der Rahmen für diese Arbeit definiert. Dazu wird in Abschnitt 1.1 die aktuelle Situation geschildert, die Ursprung der Motivation für diese Arbeit ist. In Abschnitt 1.2 wird das Unternehmen vorgestellt, welches den Projektrahmen bereit stellt, sowie in den Abschnitten 1.3 und 1.4 die Kunden des Unternehmens und dort eingesetzte Software. Abschnitt 1.5 gibt einen Überblick über die in diesem Unternehmen ablaufenden Prozesse, welche den Ausgangspunkt für die in Abschnitt 1.6 definierten konkreten Ziele definiert, die diese Arbeit erreichen soll Ausgangslage Pentesting als Dienstleistung der Informationstechnologie (IT) kann in anderen Ingenieurdisziplinen mit der Materialprüfung von der Sicherheit dienenden Produkten verglichen werden. Motorrad- und Fahrradhelme beispielsweise werden in Produktserien- und Chargentests gezielt normierten Zerstörungen zugeführt, um deren Widerstandsfähigkeit gegenüber äußeren Einwirkungen beurteilen zu können. Crashtests bei der Neuentwicklung von Fahrzeugen und auch bei späteren Veränderungen an der Fahrgastzelle gehören zum Standardtestprogramm, um die allgemeine Betriebstauglichkeit von Personentransportmitteln belegen zu können. Bei Anwendungen der IT-Welt steht als zu schützender Faktor aber weniger der Mensch im Vordergrund als vielmehr persönliche Daten von Menschen, Finanztransaktionen und andere virtuelle Werte wie Berechtigungs- und Zugangsmerkmale. Mit dem Erwachsenwerden des Internet seit Mitte der 1990 er Jahre und der flächendeckenden Etablierung von E-Commerce-Anwendungen sind im Schlepptau auch auf den Online-Handel spezialisierte (Daten-) Diebe, (Trick-) Betrüger, und das elektronische Äquivalent von Einbrechern und Räubern eingezogen; neben Hackern, deren Motivation sich aus Imageschäden der angegriffenen Betreiber ergibt oder aus Wettbewerben mit anderen Hackern und Hackergruppen. Seit dem Ende der 1990 er Jahre ist im Monatsrhythmus über öffentliche Nachrichten von Kredikartendaten-Diebstählen, Fälschung von Nachrichten, der Erschleichung von Zugangsberechtigungen für Einkaufsportale unter fremden Namen oder der gefälschten Authorisierung von Banktransaktionen zu lesen 3. In diesem für E-Commerce-Anbieter schwieriger werdenden Umfeld sehen sich insbesondere die zentralen Dienstleister im elektronischen Finanztransaktionsgeschehen verpflichtet, Maßstäbe zu definieren und durchzusetzen, 2 Im Kontrast zu dieser Ableitung siehe auch die Definition der Online-Enzyklopädie Wikipedia [73] 3 Zwei aktuelle Fälle Mitte 2006 dokumentieren [21] und [22]

11 11 die die Sicherheit aller an Finanztransaktionen beteiligten Systeme erhöhen sollen. Die großen Kredikartengesellschaften haben ökonomischerweise ein großes Interesse daran, dem letztendlichen Abnehmer und Nutznießer ihrer Dienstleistungen ein Umfeld zu schaffen, in dem er, der Kunde, gerne bereit ist auf elektronischen Wege einzukaufen und auch zu bezahlen. Im Rahmen der von den Kreditkartenunternehmen definierten Standards werden alle an der elektronischen Zahlungsabwicklung über Kreditkarten beteiligten Unternehmen und Dienstleister zu regelmäßigen Sicherheitsprüfungen verpflichtet. Diese Systemüberprüfungen und Security-Tests wiederum werden von akkreditierten Beratern und Prüfern durchgeführt. Das im Folgenden vorgestellte Unternehmen SRC Security Research & Consulting GmbH ist ein solcher Berater. In dieser Arbeit werden die Methoden zur Schwachstellenanalyse web-basierter Anwendungen beleuchtet und es werden neuartige Konzepte gesucht und diskutiert, um die Effektivität der eingesetzten Werkzeuge zu erhöhen. Damit einher gehend soll durch eine Erhöhung des Automatisierungsgrades gleichermaßen die Effizienz des gesamten Verfahrens verbessert werden. Zunächst werden in Kapitel 2 und 3 die notwendigen Grundlagen für diese Arbeit zusammengefasst beschrieben, verschiedene Penetrationstest-Techniken werden tiefer durchdringend erläutert. Kapitel 4 dient der Darstellung der Schritte zur Durchführung von Security-Scans (nach aktuellem Stand der Dinge), um in Kapitel 5 darauf aufbauend Verbesserungsvorschläge bzw. Konzepte für zukünftig zu erstellende, integrierte Werkzeuge diskutieren zu können. Kapitel 6 nimmt die Darstellung der Softwarearchitektur für ein mögliches solches zukünftiges Werkzeug auf, welches in seinen grundlegenden Funktionen bereits implementiert ist. In Kapitel 7 werden die Ergebnisse der Arbeit reflektiert und mögliche Aufgabenpakete für Folgearbeiten bereits grob umrissen Vorstellung SRC Die Gesellschaft SRC Security Research & Consulting GmbH (Firmenlogo bzw. Dachmarke siehe Abb.: 1) ist ein noch recht junges Beratungsunternehmen im deutschen IT-Markt. Sie wurde im Herbst 2000 als ein auf Abbildung 1. Firmelogo SRC Sicherheitsthemen spezialisiertes Unternehmen mit drei Hauptbereichen gegründet. SRC ist unter anderem mit der Pflege der kartengestützten Zahlungssysteme in Deutschland betraut, im Bereich der Netzwerksicherheit von MasterCard und Visa als Qualified Security Assessor anerkannt, sowie als Auditor bzw. Gutachter für Sicherheits-

12 12 Abbildung 2. Gesellschafter der SRC Security & Research GmbH untersuchungen nach Common Criteria (ISO 15408), IT-Grundschutz und IT-Managementsysteme nach ISO akkreditiert bzw. zertifiziert 4. Gesellschafter und Gründer der Firma SRC Security Research & Consulting GmbH sind zu gleichen Teilen die vier deutschen kreditwirtschaftlichen Verlage Deutscher Sparkassen Verlag GmbH (DSV) Stuttgart, Deutscher Genossenschafts-Verlag eg (DG-Verlag) Wiesbaden, Bank-Verlag GmbH mit Stammsitz in Köln und VÖB-ZVD Bank für Zahlungsverkehrsdienstleistungen GmbH aus Bonn (Abb.: 2). Alle vier Verlage zeichnen sich verallgemeinert dadurch aus, dass sie für die jeweiligen Verbände 5 und die darin organisierten Kreditinstitute zentralisiert Servicedienstleistungen übernehmen. Dazu gehört nicht nur das klassische Verlagsgeschäft mit der Erstellung von Druckmedien, Vordrucken und Formularen, sondern seit circa 1995 die Abwicklung von elektronischen Transaktionsgeschäften. Dies schließt den Betrieb und die Zertifizierung von Anlagen für die Abwicklung elektronischer, insbesondere chipkartengestützter Zahlungssysteme mit ein 6. Mit Bildung der gemeinsamen Tochter SRC bündeln die Gesellschafter spezielles Know-How zu allen Fragen der Sicherheit in der Informationstechnik und stellen ein unabhängiges Unternehmen auf der Leuchtturm als Inbegriff der Sicherheit der Seeschifffahrt wurde später als Artefakt im Rahmen der Corporate Identity des Unternehmens gewählt (siehe Abbildung: 3). Gleichermaßen unterstützt es die deutsche Kreditwirtschaft als Kompetenzzentrum in Fragen der IT-Sicherheit, ist als Unternehmensberater aber auch für jeden Kunden außerhalb der Kreditwirtschaft tätig. Zunehmende Relevanz 4 vgl. [18] 5 Dies sind in diesem Zusammenhang: der Deutscher Sparkassen- und Giroverband e. V., der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e. V., der Bundesverband deutscher Banken e. V. und der Bundesverband Öffentlicher Banken Deutschlands e. V., daneben gibt es weiterhin den Verband deutscher Pfandbriefbanken e. V., früher war dies der Verband deutscher Hypothekenbanken e. V. Alle fünf Verbände der deutschen Kreditinstitute wiederum sind im Zentralen Kreditausschuss (ZKA) organisiert, siehe [85]. 6 Dieser Überblick wurde aus den Selbstdarstellungen und Image-Broschüren der Unternehmen zusammengestellt, vergleiche mit [13],[15],[6],[68], sowie [58]

13 13 Abbildung 3. Corporate-Identity-Symbol SRC erhält dabei das von MasterCard und Visa ins Leben gerufene Programm SDP/AIS, in dessen Rahmen SRC als akkreditierter Partner und Auditor für E-Commerce-Händler in Sicherheitsfragen tätig wird 7. Mit einem Stammkapital von 1,0 Mio. Euro erwirtschaftete SRC im Jahr 2005 mit 42 Mitarbeitern einen Überschuss von 616 Tausend Euro. Die Unternehmensstruktur der Gesellschafter ist so, dass sich der DG-Verlag aus 1363 Mitgliedern zusammen setzt (Stand Ende 2005), die Gesellschafter des DSV bestehen aus 10 Sparkassen- und Giroverbänden, 4 Landesbanken und 2 Beteiligungsgesellschaften. Anteilseigner der VÖB-ZVD ist zu 75% die Deutsche Post AG während der Bank-Verlag eine 100%-ige Tochter des Bundesverbandes deutscher Banken (BdB) ist 8. Neben den vier Hauptgesellschaftern die mit jeweils 22,5% zu gleichen Teilen an SRC beteiligt sind, gibt es eine Mitarbeiterbeteiligungsgesellschaft MAB-GbR, die 10% der Unternehmensanteile trägt Kunden und Kundenumfeld im Bereich Netzwerksicherheit Entsprechend dem Aufbau der Gesellschafterstruktur der Firma SRC, entstammt ein wesentlicher Teil der Aufträge und Kunden für den Geschäftsbereich Netzwerksicherheit den vier in Abschnitt 1.2 aufgeführten Kreditverlagen und den darüber organisierten, sowie angegliederten Kreditinsti- 7 vgl. [18] 8 siehe [14, Seiten 27f, 42],[16, Seiten 28 und 31],[5], [12, Seiten 10 und 12] 9 vgl. [61]

14 14 tuten. Ein weiteres Aufgabenfeld mit hohem Wachstumspotenzial entsteht aus den Anforderungen des Payment Card Industry Data Security Standard (PCI-DSS). Dieser Standard ist ursprünglich eine Zusammenfassung von Eigenentwicklungen der beiden internationalen Kredikartenfirmen MasterCard Worldwide und Visa International. Mitte des Jahres 2006 haben sich weitere Kredikartenfirmen angeschlossen, American Express, Discover Financial Services und JCB, und sich im PCI Security Standards Council organisiert. Im September 2006 wurde Version 1.1 des PCI-DSS emittiert 10. Jeder Händler, der auf elektronischem Wege Kreditkartendaten verarbeitet, ist gefordert, die durch die Kreditkartengesellschaften auferlegten Sicherheitsstandards zu beachten. Über die Einhaltung der Maßnahmen sind regelmäßig qualifizierte Nachweise zu erbringen, andernfalls drohen Konventionalstrafen. Darüber hinaus sind auch Finanzdienstleister, die zwischen den Kreditkartenfirmen und den Händlern stehen, die sogenannten Payment Service Provider und Kreditkarten-Acquirer, durch den PCI-DSS verpflichtet. Finanzdienstleister werden anhand von Kriterien in Gruppen eingeteilt, die unterschiedliche hohe Sicherheitsziele erbringen und nachweisen sollen. Um den Nachweis über die Einhaltung der Sicherheitsziele erbingen zu können, um Händler und Dienstleister bei der (Um-) Gestaltung ihrer Sytemlandschaft beraten zu können, sollen unabhänge Dritte als Sicherheitsberater und -auditoren tätig werden. Die Firma SRC ist ein von MasterCard und Visa akkreditierter Partner zur Durchführung von Security Audits, Security Scans und der Auswertung der im Rahmen des Sicherheitsprozesses anfallenden Fragebögen 11. Die meisten der im Rahmen des PCI-DSS anfallenden Dienstleistungen (Auswertung des Fragebogens, Durchführung des Security-Scan), die durch die akkreditierten Partner erbracht werden, haben einen hohen Standardisierungsgrad. Weiterhin ist ein hoher Anteil an wiederholenden Tätigkeiten gegeben, einerseits durch die Richtlinien des PCI-DSS selbst, andererseits durch bereits aquirierte Stammkundschaft mit gleichartigen Anforderungen nach den initialen Security-Audits. Beide Faktoren fordern geradezu auf, den Anteil der Automatisierung bestehender Prozesse immer weiter zu erhöhen, um die Wettbewerbsfähigkeit nachhaltig zu sichern. Für die meisten der im PCI-DSS beschriebenen Anforderungen und Aufgaben ist bereits ein sinnvoll hoher Automatisierungsgrad erreicht. Diese Teile bedürfen lediglich noch regelmäßigen Anpassungen an Änderungen im Standard. Bei der WWW-basierten Anwendungsschnittstelle jedoch besteht noch ein erheblicher Bedarf nach Automatisierung der Abläufe. Diese Bestrebungen kollidieren jedoch mit der Heterogenität der bei Kunden vorgefundenen Systemlandschaft, da 10 vgl. [46] und [45]; die Vorläufer des PCI-DSS waren die Sicherheits-Durchführungskataloge MasterCard Site Data Protection (SDP) und Visa Account Information Security (AIS), für eine Kurzübersicht der Anforderungen siehe [59] oder [60] 11 vgl. [60]

15 15 Händler und Transaktionsdienstleister völlig frei in der Wahl und Gestaltung ihrer Systeme sind Bei Kunden eingesetzte Softwarearchitekturen im Überblick Bis zum heutigen Zeitpunkt gibt es noch nicht sehr viele Standardsoftwareprodukte im E-Commerce-Bereich, die bei Händlern und auch bei Zahlungsabwicklern im großen Stil eingesetzt würden. Es existieren Lösungen als Zusatzmodule, die von Anbietern weit umfangreicherer Unternehmenssoftware oder Datenbanken angeboten werden. Daneben gibt es Anbieter von spezialisierter Shopsoftware, sowie Internet-Provider, die kleinere Shopsysteme als ein standardisiertes (Zusatz-) Produkt zu geschäftsmäßig genutzten Web-Präsenzen anbieten. Allen diesen Systemen ist gemein, dass sie bei den typischen Kunden der SRC GmbH nicht angetroffen werden. Es überwiegen mehrheitlich Eigenentwicklungen, die sich zumeist aus wenigen Technologie-Bausteinen zusammen setzen: Betriebssystem und Web-Plattform: Microsoft Windows mit Microsoft Internet Information Server (IIS) oder mit Apache Webserver, sowie Linux mit Apache Webserver Speichersysteme: typischerweise relationale Datenbanken mit SQL-basierter Anwendungsschnittstelle Generierung von dynamischen Webseiten auf Serverseite mit: PHP Perl Techniken auf Seiten der Präsentationsschnittstelle: Dynamisches HTML (DHTML) mit Hilfe von JavaScript Seitenaufbau zumeist HTML 4.0x, aber auch XHTML 1.0 Bei Kunden vorgefundene Implementierungen beschränken sich aber nicht ausschließlich auf diese Strukturen. Oft anzutreffen sind auch Softwarelösungen, die auf standardisierter und strukturierter Middleware aufsetzen wie Java-basierter Servertechnik (Java Server Pages JSP oder Applikationsserver), dem Microsoft.NET-Framework oder anderen Applikationsservern wie Adobe ColdFusion. Noch ohne größere Bedeutung und nicht im Kundenumfeld anzutreffen sind beidseitig dynamische Web-Techniken nach dem AJAX-Modell 12, sowie generell reine XML-Techniken, die erst im Web- Browser mit Hilfe von Transformationsanweisungen in darstellungsfähiges XHTML umgesetzt werden. 12 Asynchronous JavaScript and XML, siehe [74]

16 Bisherige Vorgehensweise: manuelle Überprüfung der Ergebnisse automatisierter (Vor-) Tests Die grundsätzliche Herangehensweise bei der IT-Sicherheitsüberprüfung einer web-basierten Anwendung in generalisierter Form eine Softwareanwendung mit einer auf dem HTTP-Protokoll basierenden Nutzungsschnittstelle eines Kunden kann grob aus dem Vorgehensmuster des Security-Scans abgeleitet werden. Einem solchen Security-Scan kann zuvor noch ein Security- Audit vorausgehen, dies insbesondere dann, wenn zu einem späteren Zeitpunkt die Einhaltung bestimmter Sicherheitsrichtlinien zertifiziert werden soll. In einem solchen Fall ist der Security-Scan nur ein Teil des gesamten Audit-Prozesses. Der Security-Scan untergliedert sich dabei in die zwei Hauptbereiche des Vulnerability-Scan und des Penetrationstests Vulnerability-Scan Bei einem Vulnerability-Scan werden automatische Werkzeuge eingesetzt, um ein System, ein ganzes Netzwerk von Systemen oder gezielt eine Web- Anwendung auf einem System nach bekannten Sicherheitslücken abzutasten. Die Arbeitsweise eines Vulnerability-Scanners lässt sich ganz grob mit der Technik von Viren-Scannern oder Antiviren-Werkzeugen vergleichen. Der Hersteller des Scanners pflegt regelmäßig Erweiterungen und Ergänzungen sowie neue Einzeldetektoren nach, die sich über Plugin-Mechanismen installieren lassen. Ergänzungen können dabei wie bei Virenscannern aus einfachen Signaturen (Mustererkennung) bestehen, oftmals handelt es sich aber um ganze ausführbare Module, die einen bestimmten Einzeltest ausführen. Einzelne Produkte solcher Vulnerability-Scanner können lediglich als Applikationsdienst angemietet werden, zu dem der Kunde einen Steuerclient erhält. Hier obliegt der gesamte Wartungsprozess inklusive der Aktualisierung der Scanmodule dem Hersteller. Vulnerability-Scanner werden eingesetzt, um in relativ kurzer Zeit einen Überblick über mögliche Schwachstellen oder Gefahrenpotenziale zu erhalten. Daneben spielt für nachgeordnete Tests auch die allgemeine Informationsgewinnung eine Rolle, bei der ein Vulnerability-Scanner ebenfalls hilfreich ist Penetrationstest Beim Penetrationstest werden Angriffsziele einem manuellen Sicherheitstest unterzogen. Ein oder mehrere Vulnerability-Scans werden in den meisten Fällen als Grundlage und Vorbereitung für den anschließenden Penetrationstest herangezogen. Ein vollständiger Security-Scan zielt vor allen Dingen 13 vgl. [75]

17 17 auch darauf ab, durch einen Penetrationstest die Ergebnisse eines Vulnerability-Scan zu verifizieren. Die Vorgehensweise bei einem Penetrationstest kann, ausgehend von einem Klassifikationsschema des Bundesamt für Sicherheit in der Informationstechnik Deutschland (BSI), in 5 Verfahrensschritte aufgeteilt werden 14 : In der Vorbereitungsphase werden mögliche Angriffsziele und -bereiche vereinbart bzw. geplant, hier sollte auch eine scharfe Abgrenzung zu benachbarten System stattfinden. In der Informationsbeschaffungsphase werden zunächst mit vielfältigen Mitteln Informationen über das zu testende System und dessen innere Eigenschaften gewonnen. Die zuvor gewonnenen Informationen sind zunächst einer Bewertung zu unterziehen, um die folgenden Schritte planen zu können. Daran schließen sich die eigentlichen Eindringversuche an Zusammenfassend sind die Ergebnisse aus allen Testphasen in einem Bericht zu dokumentieren, was die Protokollierung wesentlicher Zwischenschritte zuvor voraussetzt. In diesem Bericht sollten stets auch geeignete Gegenmaßnahmen mit aufgenommen werden. Ergänzend ist zu sagen, dass ein Test sinnvollerweise nicht streng linear nach diesem Verfahrensmodell durchgeführt werden sollte. Da in der Bewertungsphase und vielmehr noch in der Phase der Durchführung der Eindringversuche wiederum neue Informationen über das Zielsystem gewonnen werden, wird das Vorgehen zum Teil auch zyklischen Charakter haben. Es ist sinnvoll und entspricht der praktischen Durchführung, an Punkt 4 wiederholt die Phase der Informationsbeschaffung anzuschließen und den Prozess noch einmal zu durchlaufen Bei SRC eingesetzte Werkzeuge für Vulnerability-Scans Um Penetrationstests vorbereiten zu können und um einen schnellen Eindruck von der potenziellen Anfälligkeit zu untersuchender web-basierter Anwendungen bekommen zu können, werden für Vulnerability-Scans bei der Firma SRC unter anderem die folgenden Werkzeuge eingesetzt. QUALYSGUARD ist eine kommerzielle Software, die sowohl bei wiederkehrenden, automatischen Standardscans eingesetzt wird, als auch für die allgemeine Informationsgewinnung in der Vorbereitungsphase zu einem Penetrationstest. Ein sehr nützliches Merkmal dieses Werkzeuges sind implementierte Techniken zum Erkennen 14 vgl. [73] 15 Veranschaulichend kann herangezogen werden, dass durch eine erfolgreiche Penetration unweigerlich neue Detailinformationen über einen spezifischen Aspekt des Zielsystems gewonnen werden. Diese können eine andere Schwachstelle des Zielsystems offenbaren, die zuvor nicht erkennbar gewesen ist. Wenn ein solcher Umstand eintritt, sollten die Prozessschritte 2 bis 4 wiederholt werden.

18 18 NIKTO NESSUS von Systembestandteilen anhand von digitalen Fingerprint-Mechanismen [49]. ist ein spezialisierter Scanner für web-basierte Anwendungen, veröffentlicht unter der GNU General Public License (GPL) Open- Source Lizenz [10]. Dieser spezialisierte Scanner wird in der Programmiersprache Perl entwickelt und ist nicht nur als alleinstehendes Werkzeug verfügbar, sondern als Ergänzung für den im nächsten Punkt vorgestellten Scanner. stellt eine integrierte Kollektion von system-, netzwerk- und plattformübergreifenden Vulnerability-Scannern mit über Plugins für einzelne Tests dar. Darunter befinden sich unter anderem auch spezialisierte Module, die ausschließlich auf web-basierte Anwendungen abzielen [62] Manuelle Nacharbeiten bei einem Vulnerability-Scan Bei allen Werkzeugen für Vulnerability-Scans sind in den anschließenden Security-Scans Überarbeitungen bei den erzeugten maschinellen Reports (Dateien im XML-Format) dringend notwendig. Jedes automatische Werkzeug heutiger Generation erzeugt ein große Anzahl sogenannter false-positives. Das sind berichtete Schwachstellen, die sich bei gründlicher Untersuchung als tatsächlich nicht vorhanden erweisen. Vulnerability-Scanner berichten unter Umständen eine große Anzahl von Falschmeldungen. Dazu kommen nicht erkannte Fehler (false-negatives), weil die Scan-Werkzeuge zum Teil schon mit einfachsten Mitteln ihrer Detektionsfunktion beraubt werden können. Konfiguriert der Betreiber eines Webservers seinen Dienst so, dass jeder Seitenabruf, auch ein fehlerhafter, stets als erfolgreich bearbeitete Anfrage dargestellt wird, dann laufen die Detektionsmechanismen einiger Vulnerability-Scanner bisweilen ins Leere. Bei der Überarbeitung automatisch generierter Reports gilt es also, falsepositives zu entfernen und den Report einem generellen Review zu unterziehen. Für die Überprüfung der Ergebnisse und für die Durchführung nachgelagerter Penetrationstests zur Aufdeckung weiterer, noch unerkannter Fehler kommen weitere spezialisierte Tools zum Einsatz, die auf den interaktiven Gebrauch durch einen Security-Analysten abgestimmt sind: Web-Proxy-Werkzeuge dienen der Analyse und gegebenenfalls der Unterbrechung und Modifikation des nackten Datenstromes zwischen Web-Server und Client-Anwendung. Diese Werkzeuge sind neben weiteren Assessment-Tools in Produkten wie beispielsweise WEBSCARAB oder PAROS PROXY vorhanden 16. Web-Crawler und Artverwandte werden meist im Rahmen der Informationsbeschaffung benötigt. Mit ihnen (z.b. WGET) lässt sich ein lo- 16 siehe [44] und [9]

19 19 kales, strukturell ähnliches Abbild der zu untersuchenden Webapplikation erzeugen. Wenn ein solches Abbild einer Webseite auch nicht immer ausdrücklich erzeugt wird, so erledigen dies viele weitere Werkzeuge dennoch im Hintergrund quasi nebenbei 17. Low-Level-Techniken werden bei der gezielten Untersuchung einzelner mutmaßlicher Sicherheitslücken angewandt, die direkt an der Schnittstelle zum Webserver ansetzen und den HTTP-Datenstrom manipulieren. Für Secure-Socket-Layer (SSL) abgesicherte Webserver ist zunächst die Software OPENSSL im Filtermodus notwendig, darauf aufsetzend oder alternativ dann Terminalemulatoren wie TELNET oder Streamhandler wie NC (NETCAT) Zielsetzung der Arbeit Hauptziel dieser Arbeit ist es, Grundlagen für eine Steigerung der Effektivität automatischer Analysewerkzeuge zu erarbeiten. Insbesondere sollen bestehende Werkzeuge auf den Stand der Technik untersucht und Verbesserungsoptionen aufgezeigt werden. Im Vordergrund steht dabei, die im Prozess der Überprüfung der Ergebnisse anstehende Arbeit deutlich zu verringern. Zu diesem Zwecke sind in erster Linie möglichst viele der false-positives zu vermeiden. In zweiter Linie sind neue, intelligente Wege beim Aufdecken möglicher Gefahren zu identifizieren, die mit den eher schablonenhaften Analysemethoden gängiger Werkzeuge derzeit noch nicht machbar erscheinen. Denn nur, wenn sich mit automatisierten Werkzeugen auch neue, bisher unbekannte Softwareschwächen aufdecken lassen und dem menschlichen Security-Berater Arbeit abnehmen, kann sich die Gesamteffektivität eines Security-Scans wesentlich steigern lassen. Hierin liegt ein besonderes Potenzial, mit automatisierten Verfahren langfristig und nachhaltig die Wettbewerbsfähigkeit gegenüber anderen Sicherheitsdienstleistern zu erhalten oder sogar zu steigern. Anhand einer prototypischen Implementierung soll weiterhin eine der vorgeschlagenen Verbesserungsoptionen umgesetzt werden. Die Implementierung soll dabei so ausgelegt werden, dass Basistechniken in einem Framework zusammengefasst sind, während einzelne Tests wie bei anderen Vulnerability-Scannern auch in Plugin-Module ausgelagert sind. Die Organisationsstruktur der Plugins soll dabei mit Hilfe eines Dateisystems hierarchisch gegliedert werden können. Das generelle Framework sollte möglichst viele der von den Plugins allgemein benötigten Funktionalitäten auf generischem Wege implementieren. 17 Werkzeuge mit denen beispielsweise die Verlinkungsstruktur einer Webseite geprüft werden kann (Suche nach ungültigen Links), legen lokale Kopien der geladenen Seiten als Strukturen im Hauptspeicher oder als temporäre Dateien im Filesystem ab.

20 20 Insgesamt soll diese Arbeit Grundlage für zukünftig darauf aufbauende Arbeiten sein. Zu diesem Zweck sollen zunächst die notwendigen Grundlagen aufgearbeitet werden. Eine Bestandsaufnahme der Arbeitsprozesse zur Durchführung von Penetrationstests bei SRC soll der Aufbereitung von Erfahrungswissen dienen und zukünftigen Bearbeitern in diesem Themenbereich die Einarbeitung verkürzen. Die prototypische Implementierung soll auch deswegen als Framework mit Plugintechnik ausgelegt sein, damit in Nachfolgearbeiten entstehende Module mit Konzentration auf die wesentlichen Eigenschaften entwickelt werden können.

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Rechnernetze Übung 12

Rechnernetze Übung 12 Rechnernetze Übung 12 Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juli 2011 Sie kennen sicherlich sogenannte Web-Mailer, also WWW-Oberflächen über die Sie Emails lesen und vielleicht

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

PENETRATIONSTESTS BEI WEB- SERVICES

PENETRATIONSTESTS BEI WEB- SERVICES BSI GRUNDSCHUTZTAG 2014 PENETRATIONSTESTS BEI WEB- SERVICES Dominik Oepen 1 GS-WEB-SERVICES ABGRENZUNG Web-Services Schnittstelle zum automatisierten Aufruf Aufruf durch Programme (auch andere Web-Services)

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke 1 Testen von System- & Netzwerksicherheit 2 Gliederung Sicherheit im Allgemeinen Testbereiche Methodik und Standards Hilfsmittel im Speziellen nessus nmap Szenario im praktischen Teil 3 Fragen zur Sicherheit

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Content Management Systeme

Content Management Systeme Content Management Systeme Ein Vergleich unter besonderer Berücksichtigung von CoreMedia und TYPO3 Bachelorthesis im Kooperativen Bachelor Studiengang Informatik (KoSI) der Fachhochschule Darmstadt University

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Herzlich willkommen im Modul Informatik Grundlagen

Herzlich willkommen im Modul Informatik Grundlagen Herbstsemester 2010/2011 Herzlich willkommen im Modul Informatik Grundlagen Wirtschaftsingenieurwesen: 1. Semester Dozent: Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Martin Hüsler 1 Ablauf: 1.

Mehr

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten Aktuelle Themen der Wirtschaftsinformatik Zusammenfassung 09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten 1 Serverseitige Webprogrammierung

Mehr

Webseiten und Web-Apps grafisch gestalten mit HTML5 Canvas ohne Flash und sonstige Tools

Webseiten und Web-Apps grafisch gestalten mit HTML5 Canvas ohne Flash und sonstige Tools Webseiten und Web-Apps grafisch gestalten mit HTML5 Canvas ohne Flash und sonstige Tools 1 Kurze HTML-Geschichte Die HTML4-Spezifikation wurde im Dezember 1997 vorgelegt. Seitdem Stagnation! Das W3C arbeitete

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Absicherung von Grid Services Transparenter Application Level Gateway

Absicherung von Grid Services Transparenter Application Level Gateway Absicherung von Grid Services Transparenter Application Level Gateway Thijs Metsch (DLR Simulations- und Softwaretechnik) Göttingen, 27.03.2007, 2. D-Grid Security Workshop Folie 1 Überblick Gliederung

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Grid-Systeme. Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit. 07.06.2002 Grid Systeme 1

Grid-Systeme. Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit. 07.06.2002 Grid Systeme 1 Grid-Systeme Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit 07.06.2002 Grid Systeme 1 Gliederung Vorstellung verschiedener Plattformen Globus

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

SERVICE SUCHE ZUR UNTERSTÜTZUNG

SERVICE SUCHE ZUR UNTERSTÜTZUNG SERVICE SUCHE ZUR UNTERSTÜTZUNG VON ANFORDERUNGSERMITTLUNG IM ERP BEREICH MARKUS NÖBAUER NORBERT SEYFF ERP SYSTEME Begriffsbestimmung: Enterprise Resource Planning / Business Management Solution Integrierte

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Internet-basierendes Autorensystem zur Erschließung historischen Kulturguts. Thorsten Ludewig. Juni 2004

Internet-basierendes Autorensystem zur Erschließung historischen Kulturguts. Thorsten Ludewig. Juni 2004 METEOR Internet-basierendes Autorensystem zur Erschließung historischen Kulturguts Thorsten Ludewig Juni 2004 1 Übersicht Was ist METEOR Architektur Technische Realisierung Zusammenfassung Zukünftige Entwicklungen

Mehr

Diplomarbeit. Entwurf eines generischen Prozessleitstandes für Change Request Systeme

Diplomarbeit. Entwurf eines generischen Prozessleitstandes für Change Request Systeme Fakultät für Mathematik, Informatik und Naturwissenschaften Forschungsgruppe Softwarekonstruktion Diplomarbeit Entwurf eines generischen Prozessleitstandes für Change Request Systeme Development of a Generic

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Gemeinsame Gestaltung und Entwicklung von Geschäftsprozessen und Unternehmenssoftware

Gemeinsame Gestaltung und Entwicklung von Geschäftsprozessen und Unternehmenssoftware Johannes Kepler Universität Linz Institut für Informationsverarbeitung und Mikroprozessortechnik Diplomarbeit Gemeinsame Gestaltung und Entwicklung von Geschäftsprozessen und Unternehmenssoftware mit besonderer

Mehr

Inhaltsverzeichnis VII

Inhaltsverzeichnis VII Inhaltsverzeichnis 1 Die Grundlagen zu CMS auch eine lange Reise beginnt mit dem ersten Schritt............................................ 1 1.1 Was behandeln wir in dem einleitenden Kapitel?....................

Mehr

Webengineering II T2INF4202.1. Enrico Keil Keil IT e.k.

Webengineering II T2INF4202.1. Enrico Keil Keil IT e.k. Webengineering II T2INF4202.1 Enrico Keil Keil IT e.k. Übersicht Herzlich willkommen Enrico Keil Keil IT Oderstraße 17 70376 Stuttgart +49 7119353191 Keil IT e.k. Gegründet 2003 Betreuung von kleinen und

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren patrick.hof@redteam-pentesting.de http://www.redteam-pentesting.de netzwerk recherche 01./02.

Mehr

Webservices. 1 Einführung 2 Verwendete Standards 3 Web Services mit Java 4 Zusammenfassung. Hauptseminar Internet Dienste

Webservices. 1 Einführung 2 Verwendete Standards 3 Web Services mit Java 4 Zusammenfassung. Hauptseminar Internet Dienste Hauptseminar Internet Dienste Sommersemester 2004 Boto Bako Webservices 1 Einführung 2 Verwendete Standards 3 Web Services mit Java 4 Zusammenfassung Was sind Web Services? Web Services sind angebotene

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Brainloop Secure Dataroom Version 8.20 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Sämtliche verwendeten Markennamen und Markenzeichen sind Eigentum der jeweiligen Markeninhaber. Inhaltsverzeichnis

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Apache HTTP Server Administration

Apache HTTP Server Administration Seminarunterlage Version: 11.04 Copyright Version 11.04 vom 9. Januar 2014 Dieses Dokument wird durch die veröffentlicht. Copyright. Alle Rechte vorbehalten. Alle Produkt- und Dienstleistungs-Bezeichnungen

Mehr

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13 NEWpixi* API und die Umstellung auf REST Fakten NEWpixi* API Technik REST-basierend.NET Webservice IIS Webserver Release 31. August 2013, zusammen mit dem NEWpixi* ELI Release Legacy API und erste NEWpixi*

Mehr

A361 Web-Server. IKT-Standard. Ausgabedatum: 2015-01-27. Version: 1.03. Ersetzt: 1.02. Genehmigt durch: Informatiksteuerungsorgan Bund, am 2004-09-07

A361 Web-Server. IKT-Standard. Ausgabedatum: 2015-01-27. Version: 1.03. Ersetzt: 1.02. Genehmigt durch: Informatiksteuerungsorgan Bund, am 2004-09-07 Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB A361 Web-Server Klassifizierung: Typ: Nicht klassifiziert IKT-Standard Ausgabedatum: 2015-01-27 Version: 1.03 Status: Genehmigt

Mehr

Technologische Sicht auf Service Design

Technologische Sicht auf Service Design Technologische Sicht auf Service Design Willkommen! Mitbringsel: subjektiv ausgewählte Beispiele von Dienstleistungen Fokus auf Internet & Technologie möglichst unterschiedliche Sparten möglichst grosse

Mehr

In diesem Kapitel werden wir nun mehrere Anwendungen von XML in der betrieblichen Praxis vorstellen. Sie sollen XML bei der Arbeit zeigen.

In diesem Kapitel werden wir nun mehrere Anwendungen von XML in der betrieblichen Praxis vorstellen. Sie sollen XML bei der Arbeit zeigen. 181 In diesem Kapitel werden wir nun mehrere Anwendungen von XML in der betrieblichen Praxis vorstellen. Sie sollen XML bei der Arbeit zeigen. Wir beginnen mit dem Startup-Unternehmen Seals GmbH aus Frankfurt,

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Hochschule Darmstadt Fachbereich Informatik

Hochschule Darmstadt Fachbereich Informatik Hochschule Darmstadt Fachbereich Informatik Entwicklung webbasierter Anwendungen Praktikumsaufgaben 1 Semesterthema "Webbasierter Pizzaservice" Im Lauf des Semesters soll eine integrierte webbasierte Anwendung

Mehr

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

Proseminar Website-Management-Systeme ZOPE/CMF. Andreas M. Weiner

Proseminar Website-Management-Systeme ZOPE/CMF. Andreas M. Weiner Proseminar Website-Management-Systeme ZOPE/CMF Andreas M. Weiner Technische Universität Kaiserslautern Fachbereich Informatik Arbeitsgruppe Softwaretechnik Betreuer: Dipl. Inf. Christian Stenzel Überblick

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Generating Fingerprints of Network Servers and their Use in Honeypots. Thomas Apel

Generating Fingerprints of Network Servers and their Use in Honeypots. Thomas Apel Generating Fingerprints of Network Servers and their Use in Honeypots Thomas Apel Der Überblick Fingerprinting von Netzwerkdiensten Banner Verfügbare Optionen Reaktionen auf falsche Syntax Verwendung für

Mehr

Installationsführer für den SIP Video Client Linphone

Installationsführer für den SIP Video Client Linphone Installationsführer für den SIP Video Client Linphone Stand: 10.04.2010 1. Einleitung Dieses Dokument beschreibt die Vorgehensweise für den Download, die Installation und Inbetriebnahme eines SIP Videoclients

Mehr

PDF FormServer Quickstart

PDF FormServer Quickstart PDF FormServer Quickstart 1. Voraussetzungen Der PDF FormServer benötigt als Basis einen Computer mit den Betriebssystemen Windows 98SE, Windows NT, Windows 2000, Windows XP Pro, Windows 2000 Server oder

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

Internet Information Services v6.0

Internet Information Services v6.0 Internet Information Services v6.0 IIS History Evolution von IIS: V1.0 kostenlos auf der CeBit 1996 verteilt V2.0 Teil von Windows NT 4.0 V3.0 Als Update in SP3 von NT4.0 integriert V4.0 Windows NT 4.0

Mehr

Spezifikation der Schnittstellen für die Übermittlung von Nachrichten mittels http. gesetzlichen Krankenversicherung

Spezifikation der Schnittstellen für die Übermittlung von Nachrichten mittels http. gesetzlichen Krankenversicherung Datenaustausch mit Leistungserbringern und Arbeitgebern im Internet Spezifikation der Schnittstellen für die Übermittlung von (hypertext transfer protocoll) Stand der Spezifikation: 01. September 2001

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen. KNF Kongre 2001 Henning P. Schmiedehausen

Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen. KNF Kongre 2001 Henning P. Schmiedehausen <henning@apache.org> Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen Henning P. Schmiedehausen Turbine - ein berblick Open Source unter Apache License 100% pure Java, Java 2 (JDK 1.2+) Servlet-basiertes

Mehr

Modul 2.4.1: Möglichkeiten zur Erweiterung des Internet-Auftritts der Schule zu einem umfassenden Auftritt als Bildungsnetzwerk

Modul 2.4.1: Möglichkeiten zur Erweiterung des Internet-Auftritts der Schule zu einem umfassenden Auftritt als Bildungsnetzwerk Informationsmaterial zum Modul-Nr. 2.4: Bildungsnetzwerke planen (Schwerpunkt: IT-Unterstützung in Bildungsnetzwerken) Modul 2.4.1: Möglichkeiten zur Erweiterung des Internet-Auftritts der Schule zu einem

Mehr

Projektpraktikum 5 h (Themenbeispiele)

Projektpraktikum 5 h (Themenbeispiele) FAW, 2005 Hagenberg - Linz - Prag - Wien Projektpraktikum 5 h (Themenbeispiele) SS 2005 LVA-Nr.: 351.067 Stand 1. März 2005 1. Allgemeines... 2 2. Themen... 3 2.1. Nachrichtenverwaltung für Java-basierte

Mehr

Bridging the Gap between the Enterprise and You. Who s the JBoss now?

Bridging the Gap between the Enterprise and You. Who s the JBoss now? or Who s the JBoss now? Patrick Hof (patrick.hof@redteam-pentesting.de) Jens Liebchen (jens.liebchen@redteam-pentesting.de) RedTeam Pentesting GmbH http://www.redteam-pentesting.de 16. DFN-Cert Workshop

Mehr

Der Payment Card Industry Data Security Standard (PCI DSS)

Der Payment Card Industry Data Security Standard (PCI DSS) Der Payment Card Industry Data Security Standard (PCI DSS) Wahlpflichtfach an der FH Brandenburg im Master-Studiengang Security Management WS 2014/2015 Dozent: Patrick Sauer, M.Sc. Agenda 1. Vorstellung

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS)

AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS) Web Application Security Untersuchung AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS) 05.11.2012 - V1.1 Sven Schleier, SecureNet GmbH Thomas Schreiber, SecureNet GmbH Abstract Das vorliegende

Mehr

Inventarisierung von Exchange Alternativen für die Exchange-Inventarisierung

Inventarisierung von Exchange Alternativen für die Exchange-Inventarisierung Inventarisierung von Exchange Alternativen für die Exchange-Inventarisierung www.docusnap.com TITEL Inventarisierung von Exchange AUTOR Mohr Carsten DATUM 28.10.2015 VERSION 1.0 Die Weitergabe, sowie Vervielfältigung

Mehr

UCS 2.4 Sicherheits-Update 3

UCS 2.4 Sicherheits-Update 3 UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße

Mehr