Diplomarbeit. Technischen Universität Dresden. Fakultät Informatik Institut Systemarchitektur Professur Rechnernetze.

Größe: px
Ab Seite anzeigen:

Download "Diplomarbeit. Technischen Universität Dresden. Fakultät Informatik Institut Systemarchitektur Professur Rechnernetze. am769188@inf.tu-dresden."

Transkript

1 Erarbeitung und programmtechnische Umsetzung einer Testmethodik für Sicherheit der Webkommunikation und -anwendungen Diplomarbeit zur Erlangung des akademischen Grades Diplom-Informatiker an der Technischen Universität Dresden Fakultät Informatik Institut Systemarchitektur Professur Rechnernetze eingereicht von: Alexander Mroß Betreuender HSL: Prof. Dr. rer. nat. habil. Dr. h. c. Alexander Schill Externer Betreuer: Dipl.-Inf. Thomas Haase (T-Systems MMS GmbH) Betreuer: Dr.-Ing. Andriy Luntovskyy (TU-Dresden), Dr. rer. nat. Dietbert Gütter (TU-Dresden) Beginn am: 06. August 2007 Eingereicht am: 05. Februar 2008

2 Inhaltsverzeichnis Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Listingverzeichnis I V VII IX 1 Einleitung 1 2 Beschreibung von Webanwendungen Grundlagen Definition Architekturen Schichten-Architektur N-Schichten-Architektur Anforderungen an Webanwendungen Sicherheit von Webanwendungen Bedrohungen für Webanwendungen Was ist zu schützen? Vor wem ist zu schützen? Auf welchen Ebenen ist zu schützen? Sicherheitslücken in Webanwendungen Authentifizierung Autorisierung Überprüfung der Eingabedaten Bereichsprüfung API-Missbrauch Offene Sicherheitsmerkmale I

3 INHALTSVERZEICHNIS Ausnutzung von Zeit- und Zustandsverhalten Qualität des Quelltextes Logische Angriffe Methoden zur Unterstützung von Sicherheitstests Beschreibung des Penetrationstests Durchführung des Penetrationstests Vorbereitung Informationsbeschaffung Bewertung der Informationen/Risikoanalyse Aktive Eindringversuche Abschlussanalyse Passive vs. aktive Penetrationstest Einschätzung des Penetrationstests Vorteile Nachteile Zusammenfassung der Vor- und Nachteile Source Code Scanner Einsatzmöglichkeiten von Source Code Scannern Qualitätsanalyse Sicherheitsanalyse Durchführung des Source Code Scanning Klassifikation von Source Code Scannern Praktische Source Code Scans Praktische Source Code Scans für PHP Überblick, Planung und Vorbereitung Testskript ProjectP Durchführung der Source Code Scans SWAAT RATS Pixy Abschlussbericht der Source Code Scans II

4 INHALTSVERZEICHNIS Zusammenfassung der Source Code Scans von PHP Praktische Source Code Scans für Java Überblick, Planung und Vorbereitung Testdateien in Java OWASP Insecure Web App Project ProjectJ Durchführung der Source Code Scans Klocwork Developer for Java (K7) Parasoft JTest Fortify SCA Abschlussbericht der Source Code Scans von Java Zusammenfassung der Source Code Scans von Java Praktische Source Code Scans für.net Überblick, Planung und Vorbereitung Testdatei in C# ProjectDN Durchführung der Source Code Scans DevPartner SecurityChecker Fortify SCA Microsoft FxCop Abschlussbericht der Source Code Scans von.net Zusammenfassung der Source Code Scans Bewertung der praktischen Source Code Scans Bewertung für PHP Bewertung für Java Bewertung für.net Freie vs. kommerzielle Source Code Scanner Zusammenfassung und Ausblick Zusammenfassung Ausblick Literaturverzeichnis XI A Quelltexte A.1 III

5 INHALTSVERZEICHNIS B I-Module für das Source Code Scanning B.7 C Auswertung Source Code Scans für PHP C.11 C.1 Auswertung SWAAT C.12 C.2 Auswertung RATS C.21 C.3 Auswertung Pixy C.25 D Auswertung Source Code Scans für Java D.31 D.1 Auswertung Klocwork Developer for Java D.31 D.2 Auswertung Parasoft JTest D.37 D.3 Auswertung Fortify SCA D.42 E Auswertung Source Code Scans für.net E.47 E.1 Auswertung DevPartner SecurityChecker E.48 E.2 Auswertung SCA E.50 E.3 Auswertung Microsoft FxCop E.51 F CD-Rom F.53 IV

6 Abbildungsverzeichnis Abbildung 2-1 : Allgemeine Darstellung einer Client/Server-Architektur... 5 Abbildung 2-2 : Allgemeine Darstellung einer N-Schichten Architektur Abbildung 2-3 : Aufbau des JSP-Model Abbildung 2-4 : Konzeptioneller Aufbau von Struts Abbildung 2-5 : Modell von OOHDM-Java Abbildung 2-6 : Allgemeines Gefährdungsmodell für Webanwendungen Abbildung 4-1 : Lebenszyklus von Software-Anwendungen Abbildung 5-1 : Screenshot: Filter in K Abbildung 5-2 : Screenshot: Gefährdungsskala in K Abbildung 5-3 : Screenshot: Sicherheitslücken in Test1.java mit K Abbildung 5-4 : Screenshot: Sicherheitslücken in Test2.java mit K Abbildung 5-5 : Screenshot: Sicherheitslücken in OWASP Insecure Web App Project mit K Abbildung 5-6 : Screenshot: Konfiguration des Source Code Scans in JTest.. 65 Abbildung 5-7 : Screenshot: Sicherheitslücken in Test1.java mit JTest Abbildung 5-8 : Screenshot: Sicherheitslücken in Test2.java mit JTest Abbildung 5-9 : Screenshot: Sicherheitslücken in OWASP Insecure Web App Project mit JTest Abbildung 5-10 : Screenshot: Protokoll von ProjectJ1 mit JTest Abbildung 5-11 : Screenshot: Bewertung der Sicherheitslücken in SCA Abbildung 5-12 : Screenshot: Zusammenfassung für Test2.java Abbildung 5-13 : Screenshot: Ausgabe von XSS in SCA Abbildung 5-14 : Screenshot: Analysis Trace in SCA Abbildung 5-15 : Screenshot: Zusammenfassung für OWASP Insecure Web App Project Abbildung 5-16 : Screenshot: Auswahl in DevPartner SecurityChecker Abbildung 5-17 : Screenshot: Gefährdungsskala in DevPartner SecurityChecker 86 Abbildung 5-18 : Screenshot: Kritische Sicherheitslücken im ProjectDN V

7 ABBILDUNGSVERZEICHNIS Abbildung 5-19 : Screenshot: Moderate Sicherheitslücken im ProjectDN Abbildung 5-20 : Screenshot: Informative Sicherheitslücken im ProjectDN1. 88 Abbildung 5-21 : Screenshot: Zusammenfassung für Test1.cs Abbildung 5-22 : Screenshot: SQL-Injektion in Test1.cs mit FxCop Abbildung C-1 : Screenshot: Abhängigkeitsgraph xss1 von Pixy C.26 Abbildung C-2 : Screenshot: Abhängigkeitsgraph sql1 von Pixy C.27 Abbildung C-3 : XSS(1) in adodb.inc.php von Pixy C.28 Abbildung C-4 : XSS(2) in copy_field.php von Pixy C.29 Abbildung C-5 : XSS(3) in copy_field.php von Pixy C.29 Abbildung D-1 : Screenshot: Schwachstellenfunde in ProjectJ1 mit K7... D.36 Abbildung D-2 : Screenshot: Schwachstellenfunde in Test1.java mit JTest... D.37 Abbildung D-3 : Screenshot: Schwachstellenfunde in Test2.java mit JTest... D.38 Abbildung D-4 : Screenshot: Schwachstellenfunde in OWASP Insecure Web App Project mit JTest D.39 Abbildung D-5 : Screenshot1: Schwachstellenfunde in ProjectJ1 von JTest. D.40 Abbildung D-6 : Screenshot2: Schwachstellenfunde in ProjectJ1 von JTest. D.41 Abbildung D-7 : Screenshot: Bericht für Test2.java von SCA D.42 Abbildung D-8 : Screenshot: Bewertete Sicherheitslücken für Test2.java in SCA D.43 Abbildung D-9 : Screenshot: Zusammenfassung für ProjectJ1 von SCA... D.45 Abbildung E-1 : Screenshot: Berichtsausschnitt von Test1.cs in DevPartner SecurityChecker E.48 Abbildung E-2 : Screenshot: Kurzer Bericht von ProjectDN1 in DevPartner SecurityChecker E.49 Abbildung E-3 : Screenshot: Zusammenfassung für ProjectDN E.50 Abbildung E-4 : Screenshot: Protokoll in Test1.cs mit FxCop E.51 VI

8 Tabellenverzeichnis Tabelle 2-1 : Ebenenmodell zur Sicherheitskonzeption von Webanwendungen. 12 Tabelle 3-1 : Allgemeiner Aufbau von Modulen Tabelle 3-2 : Einschätzung des Penetrationstests Tabelle 4-1 : Klassifikation für PHP Tabelle 4-2 : Klassifikation für Java Tabelle 4-3 : Klassifikation für.net Tabelle 5-1 : Projektübersicht für PHP Tabelle 5-2 : Auswertung des PHP-Testskript Tabelle 5-3 : Auswertung von ProjectP Tabelle 5-4 : Projektübersicht für Java Tabelle 5-5 : Auswertung für Java-Testdateien Tabelle 5-6 : Auswertung für OWASP Insecure Web App Project Tabelle 5-7 : Auswertung für ProjectJ Tabelle 5-8 : Projektübersicht für.net Tabelle 5-9 : Auswertung für Test1.cs Tabelle 5-10 : Auswertung für ProjectDN Tabelle 6-1 : Bewertung für PHP Tabelle 6-2 : Bewertung für Java Tabelle 6-3 : Bewertung für.net Tabelle 7-1 : Einschätzung des erweiterten Penetrationstests Tabelle B-1 : I-Modul für PHP B.8 Tabelle B-2 : I-Modul für Java B.9 Tabelle B-3 : I-Modul für.net B.10 Tabelle C-1 : Anzahl der Sicherheitslücken im Testskript von SWAAT..... C.12 Tabelle C-2 : Kommando-Injektion im Testskript von SWAAT C.13 VII

9 TABELLENVERZEICHNIS Tabelle C-4 : SQL-Injektion im Testskript von SWAAT C.14 Tabelle C-5 : Offenes Passwort und Nutzerinformation im Testskript von SWAATC.15 Tabelle C-6 : Anzahl gefundener Sicherheitslücken im ProjectP C.16 Tabelle C-7 : Kommando-Injektion(1) im ProjectP1 von SWAAT C.16 Tabelle C-8 : Kommando-Injektion(2) im ProjectP1 von SWAAT C.17 Tabelle C-9 : Kommando-Injektion(3) im ProjectP1 von SWAAT C.17 Tabelle C-10 : SQL-Injektion im ProjectP1 von SWAAT C.18 Tabelle C-11 : Offene Passwörter und Nutzerinformationen im ProjectP1... C.19 Tabelle C-12 : Gleichzeitige Zugriffe im ProjectP1 mit SWAAT C.20 VIII

10 Listingverzeichnis 5-1 XSS in tests.php SQL-Injektion in tests.php Kommando-Injektion in tests.php Datei-Injektion in tests.php Pfad-Manipulation in tests.php HTTP-Response-Splitting in tests.php Offene Passwörter und Nutzerinformationen in tests.php Schwachstellenmuster für PHP in SWAAT Schwachstellenmuster für PHP in RATS Repository in RATS Scan-Parameter für tests.php in RATS Scan-Parameter für ProjectP1 in RATS SQL-Injektion in tests.php mit Pixy XSS(1) im ProjectP1 mit Pixy XSS(2) im ProjectP1 mit Pixy Gleichzeitige Zugriffe in Test1.java XSS in Test2.java Unsichere Pseudozufallszahlengeneratoren in Test2.java Pfad-Manipulation in Test2.java Eingabe an Ressourcen in Test2.java Offene Passwörter und Nutzerinformationen in Test2.java Festhalten der Kommunikationssitzung in Test2.java SQL-Injektion im OWASP Insecure Web App Project Offene Passwörter und Nutzerinformationen im OWASP Insecure Web App Project sendmail() in ExportDialog.java SQL-Injektion in TestPlaylists.java mit JTest XSS in ReportServlet.java (1) mit SCA SQL-Injektion in Search.java mit SCA IX

11 LISTINGVERZEICHNIS 5-30 Kommando-Injektion in SymlinkUnix.java mit SCA Festhalten der Kommunikationssitzung in Login.java mit SCA Pfad-Manipulation(1) in CMSConnector.java mit SCA Pfad-Manipulation(2) in CreateDemoAuftraege.java mit SCA Pseudozufallszahlengenerator in ScreenGenerator.java mit SCA XSS in Test1.cs SQL-Injektion in Test1.cs Pseudozufallszahlengenerator in Test1.cs Pfad-Manipulation in Test1.cs Eingaben an Ressourcen in Test1.cs Offene Passwörter und Nutzerinformationen in Test1.cs XSS in cmsbewertungen.aspx.cs mit SCA Offene Passwörter und Nutzerinformationen im ProjectDN1 mit SCA XSS in Test1.cs mit SCA SQL-Injektion in ProjectDN1 mit SCA A-1 SQL-Injektion in Test2.java A.2 A-2 DoS und SQL-Injektion in ResetDatabaseServlet.java von K A.2 A-3 Sensible Informationen in ResetDatabaseServlet.java von JTest A.3 A-4 False-positive in DbImport.java A.4 C-1 Protokoll für den Scan des Testskriptes mit RATS C.21 C-2 Protokoll(1) für den Scan von ProjectP1 mit RATS C.21 C-10 XSS in tests.php mit Pixy C.25 C-11 Fehlerausgabe von Pixy für ProjectP C.28 D-1 Protokoll für Test1.java von K D.31 D-2 Protokoll für Test2.java von K D.32 D-3 Protokoll für OWASP Insecure Web App Project von K D.34 D-4 Dateiausgabe der Sicherheitslücken von SCA D.43 X

12 Kapitel 1 Einleitung In Folge von Daten-Diebstahl, Daten-Verlust und bösartigen Programmen können Unternehmensinformationen bekannt werden bzw. verloren gehen, wodurch Unternehmen erheblicher finanzieller Schaden entstehen kann. Deshalb wird in vielen Unternehmen der Sicherheit der Webkommunikation und insbesondere der Sicherheit von Webanwendungen ein zunehmend signifikanter Stellenwert zugeordnet. Potentielle Angreifer nutzen bei initiierten Angriffen vermehrt Sicherheitslücken bzw. Schwachstellen in Webanwendungen aus, um Informationen zu erhalten bzw. die einzelne Webanwendung zu unterminieren. So sind nach [Sym07] 61% aller im Zeitraum Januar - Juni 2007 ermittelten Sicherheitslücken in Webanwendungen gefunden worden. 72% der in diesem Zeitrahmen insgesamt bestimmten Sicherheitslücken hätten von Angreifern leicht ausgenutzt werden können. Um Webanwendungen auf vorhandene Sicherheitslücken zu überprüfen, können Sicherheitstests, beispielsweise Penetrationstests, durchgeführt werden. Damit Sicherheitstests koordiniert erfolgen und ggf. wiederholt werden können, wird eine standardisierte Vorgehensweise angestrebt. Um bei der Durchführung des Sicherheitstests den Aufwand zu reduzieren, können Werkzeuge eingesetzt werden, wodurch eine teilweise automatisierte Testdurchführung erreicht werden kann. Zur Koordination und automatisierten Testdurchführung können sogenannte Prüfschemas eingesetzt werden, mit deren Hilfe Angriffsszenarien für die entsprechende Webanwendung spezifiziert werden. Im Rahmen dieser Diplomarbeit wird untersucht, inwieweit Source Code Scanner eingesetzt werden können, um ein vom Unternehmen T-Systems Multimedia Solutions GmbH eingesetztes Prüfschema für Penetrationstests praktikabel zu erweitern. 1

13 KAPITEL 1. EINLEITUNG Ein wichtiger Ansatz dazu ist der Einsatz von Source Code Scannern in einer geeigneten Testmethodik, womit bereits im Quelltext 1 enthaltene Sicherheitslücken gefunden und die Programmierer bei der Entwicklung von Webanwendungen unterstützt werden können. Entscheidend ist hierbei, dass viele Ursachen von Sicherheitslücken in Folge von unzureichenden bzw. unsicheren Implementationen zur Erstellung des Quelltextes von Webanwendungen entstehen, die im Anschluss nur mit hohem Aufwand und unter Verwendung einer Vielzahl verschiedener Werkzeuge mit unterschiedlichen Testmethoden aufgedeckt und korrigiert werden können (vgl. [Che07]). Dazu wird zunächst im Kapitel 2 definiert, was unter einer Webanwendung im Allgemeinen verstanden wird und welche Anforderungen unter Berücksichtigung der zugrunde liegenden Architektur entstehen. Weiterhin sollen in diesem Kapitel mögliche Bedrohungen und Präventivmaßnahmen vorgestellt werden. Eine Maßnahme bzw. unterstützende Testmethode ist der Penetrationstest. Dafür wurde im Rahmen einer Diplomarbeit (siehe [Hel06]) ein Prüfschema entwickelt, dass sich an dem Durchführungskonzept für Penetrationstests nach [BSI03] orientiert und im Kapitel 3 vertiefend betrachtet wird. Im Kapitel 4 wird zur Erweiterung des vorgestellten Prüfschemas für Penetrationstests insbesondere eine Vorgehensweise und Klassifikation für den praktischen Einsatz von Source Code Scannern erarbeitet. Dazu werden im Vorfeld mögliche Einsatzszenarien von Source Code Scannern im Einzelnen betrachtet. Aufbauend auf den beschriebenen Szenarien werden die Source Code Scanner systematisch klassifiziert, um eine Differenzierung der Scanner für den praktischen Einsatz vornehmen zu können. Der praktische Einsatz wird im folgenden Kapitel 5 ausführlich erläutert. Im Anschluss werden die Ergebnisse aus den praktischen Source Code Scans im Kapitel 6 bewertet, womit Aussagen zur Werkzeugunterstützung formuliert werden können. Abschließend werden im Kapitel 7 die wesentlichen Erkenntnisse zusammengefasst und ein Ausblick auf weiterführende Arbeiten gegeben. 1 Der Quelltext einer Webanwendung ist eine Repräsentation einer Komposition von Anweisungen, die in Menschen lesbarer Form vorliegt. 2

14 Kapitel 2 Beschreibung von Webanwendungen Mit der Entstehung und Entwicklung des WWW (World Wide Web) haben sich immer anspruchsvollere Aufgabenfelder für Unternehmen ergeben. Angefangen mit einfachen statischen Web-Seiten, mit denen einzelne Informationen verfügbar gemacht wurden, haben sich immer umfangreichere Anwendungen entwickelt, mit denen z.b. Transaktionen beim Online-Banking durchgeführt werden können. Diese Anwendungen werden auch als Webanwendungen bezeichnet, wobei eine konkrete Definition im Kapitel gegeben wird. Darüber hinaus werden Architekturen vorgestellt, die die konzeptionelle Basis für die einzelnen Webanwendungen bilden. Unter Berücksichtigung der vorgestellten Architekturen haben sich spezielle Anforderungen bzgl. der Funktionalität, des Zeitverhaltens und der Qualität von Webanwendungen ergeben, die im Kapitel genauer erläutert werden. Da in dieser Arbeit der Fokus auf der Sicherheit von Webanwendungen liegt, soll auf den Begriff Sicherheit im Allgemeinen und mit Bezug auf Webkommunikation und Webanwendungen im Speziellen in Kapitel 2.2 eingegangen werden. 2.1 Grundlagen Definition Entsprechend [Kap04] kann eine Webanwendung wie folgt definiert werden: Eine Webanwendung ist ein Softwaresystem, das auf Spezifikationen des World Wide Web Consortium (W3C) beruht und Web-spezifische Ressourcen (Inhalte, Dienste) bereitstellt, die über eine Benutzerschnittstelle (Web Browser) verwendet werden können. 3

15 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Kennzeichnend für den Zugriff auf Ressourcen über das World Wide Web (WWW) ist, dass zumeist sehr viele Nutzer gleichzeitig versuchen auf Ressourcen der Webanwendung zuzugreifen. Deshalb werden in [Wöh04] Webanwendungen auch als verteilte Mehr- Benutzeranwendungen bezeichnet, wobei Probleme resultierend aus nebenläufigen Prozessen und damit verbundenen gleichzeitigen Zugriffen auf Ressourcen (Race Conditions) entstehen können. Zur Koordination der gemeinsamen Zugriffe auf die Ressourcen und zur Vermeidung von Race Conditions muss eine Synchronisation der Zugriffe erfolgen. Somit können Webanwendungen relativ komplexe Softwaresysteme darstellen, die aus mehreren Softwarekomponenten aufgebaut sind, die untereinander in Beziehung stehen. Die durch Softwarekomponenten bereitgestellten Funktionen, Prozesse und Dienste der Webanwendung können mehrheitlich auf einem oder mehreren Servern ausgeführt werden, wobei die Darstellung der gelieferten Ergebnisse auf den Clients erfolgt. Wie Clients und Server logisch verknüpft werden, kann mit Hilfe verschiedener Architekturen beschrieben werden, die im folgenden Kapitel vertiefend betrachtet werden Architekturen Architekturen sind die Basis für Webanwendungen und können unter anderem hinsichtlich der Anzahl der vorkommenden Schichten unterschieden werden. Mit zusätzlichen Servern werden dabei umfangreiche Funktionen umgesetzt, die durch die Komplexität der Anwendung bestimmt sind. Die einfachste Architektur ist die 2-Schichten-Architektur, die im Kapitel beschrieben wird. Prinzipiell werden Architekturen, die in Folge der Komplexität von Anwendungen eine weitere Schichteneinteilung erfordern, als N-Schichten- Architekturen bezeichnet. Auf N-Schichten-Architekturen wird in Kapitel eingegangen Schichten-Architektur 2-Schichten-Architekturen bezeichnen Client/Server-Architekturen, wobei Clients via HTTP-Protokoll mit einem Server kommunizieren. Die Clients fragen dazu Inhalte vom Server ab, die von diesem in geeigneter Form für die Clients bereitgestellt werden. Auf den Clients sind entsprechende Web Browser zur Darstellung der bereitgestellten Inhalte vorhanden. Die Inhalte können auf dem Server im einfachsten Fall als statische HTML-Seiten vorliegen. Der Server nimmt die Anfragen der Clients entgegen und führt ggf. angesprochene Anwendungen aus. 4

16 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Außerdem verwaltet der Server die benötigten und erzeugten Daten. Erfolgt keine Ausführung von Anwendungslogik auf Client-Seite, werden die Clients als Thin Clients bezeichnet. Ein Teil der Logik kann aber auch auf den Clients ausgeführt werden, wobei diese dann über entsprechende Rechenleistung verfügen müssen. Solche Clients werden auch Rich Clients genannt [Hua04, Jab04]. In Abbildung 2-1 wird eine allgemeine Darstellung einer 2-Schichten-Architektur gezeigt [Ana01]. Abbildung 2-1: Allgemeine Darstellung einer Client/Server-Architektur (vgl. [Ana01]) Hierbei sind in der Server-Schicht Inhalte in Form von statischen oder dynamischen HTML- Seiten enthalten, die Clients über die Server-Logik abrufen können N-Schichten-Architektur Bei der N-Schichten-Architektur wird die Server-Schicht aus der 2-Schichten-Architektur im Wesentlichen aufgebrochen, um eine bessere Trennung von Datenhaltung, Anwendungslogik, Geschäftslogik und Präsentation zu erreichen. Damit entstehen weitere funktionsorientierte Server-Schichten mit genau beschriebenen Schnittstellen, so dass im Vergleich zur 2-Schichten-Architektur umfangreichere und komplexere Webanwendungen konzipiert werden können ([Sch07], [Jab04]). Speziell erfolgt eine Differenzierung in Application- Server, Datenbank-Server, Web-Server, Firewall und Backend. 5

17 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Zur Verdeutlichung wird in Abbildung 2-2 eine allgemeine Darstellung für eine N- Schichten-Architektur präsentiert [Ana01]. Abbildung 2-2: Allgemeine Darstellung einer N-Schichten Architektur (vgl. [Ana01]) Es existieren verschiedene Lösungen, wobei insbesondere auf die Lösungen JSP-Model-2, Struts und OOHDM-Java2 (Object-Oriented Hypermedia Design Model) vertiefend eingegangen werden soll JSP-Model-2 Das JSP-Model-2 ist ein Modell für eine N-Schichten-Architektur, bei dem die Darstellung (View), die Repräsentation der Daten (Modell als Java Bean) und die Steuerung der Anwendung getrennt erfolgen, da verschiedene Clients unterschiedliche Anforderungen an 6

18 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN die Darstellung der Daten haben. Der Aufbau des JSP-Model-2 wird mit Hilfe der Abbildung 2-3 verdeutlicht [Kap04]. Abbildung 2-3: Aufbau des JSP-Model-2 (vgl. [Kap04]) Das Controller-Servlet wählt bzw. erzeugt zunächst auf Grundlage einer Client-Anfrage ein Modell basierend auf bereitgestellten Daten aus der Datenbank. Weiterhin wird die Darstellungsform durch den Controller festgelegt und mittels JSP erfolgt die Aufbereitung der Daten für die Clients Struts Struts ist eine Architektur, die das MVC (Model View Controller)-Modell umsetzt, so dass die Repräsentation der Daten in Form eines Modells, die Logik und die Präsentation logisch voneinander getrennt sind. In Abbildung 2-4 wird ein Überblick über den konzeptionellen Aufbau von Struts gegeben [Kap04]. Abbildung 2-4: Konzeptioneller Aufbau von Struts (vgl. [Kap04]) 7

19 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Die Anfragen der Clients werden durch Action Servlets entgegen genommen und an den Controller übermittelt. Der Controller wählt bzw. erstellt daraufhin ein Modell in Form einer Java Bean, die zur Darstellung verwendet wird, indem eine Präsentation durch das Action Servlet ausgewählt wird. Die erzeugte Präsentation wird schließlich an den Client übermittelt und mittels Web Browser zur Anzeige gebracht OOHDM-Java2 (Object-Oriented Hypermedia Design Model) Analog zu JSP und Struts werden auch bei OOHDM-Java2 die View, die Repräsentation der Daten und die Ablaufsteuerung der Anwendung getrennt modelliert. Das Modell von OOHDM-Java2 ist in Abbildung 2-5 dargestellt [Jac02]. Bei OOHDM-Java2 wird die Abbildung 2-5: Modell von OOHDM-Java2 (vgl. [Jac02]) Anfrage von Clients im Controller von einem HTTP-Request-Translator entgegengenommen, der der Anfrage relevante Informationen entnimmt und in aufbereiteter Form an den Dispatcher übergibt. Der Dispatcher kann damit die entsprechenden Anwendungen auswählen und ausführen. Zur Darstellung der ausgegebenen Daten, basierend auf dem Modellzustand, wird vom Controller ein geeignetes User Interface ausgewählt, das zur erweiterten Darstellung übermittelt wird. Das User Interface wird anschließend noch um eine Navigation erweitert, mittels JSP angeordnet und an den Client in Form einer Antwortnachricht zurückgegeben. 8

20 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Anforderungen an Webanwendungen Webanwendungen müssen im Gegensatz zu herkömmlichen Software-Anwendungen kontinuierlich an die Gegebenheiten im World Wide Web angepasst werden und sind somit einem ständigen Wandel unterzogen, der unter anderem durch Einführung neuer Technologien im Internet erfolgt [Mos06]. Damit über das WWW auf Webanwendungen zugegriffen werden kann, müssen diese flexibel, aber gleichzeitig auch zuverlässig sein. Mit den zuvor beschriebenen Architekturen wird ein Ansatz zur Erhöhung der Zuverlässigkeit und Flexibilität von Webanwendungen aufgezeigt, da strukturelle und funktionelle Einheiten gebildet werden, deren Schnittstellen eindeutig beschrieben sind [Sch07]. Bei der Entwicklung von Webanwendungen ergeben sich erhebliche Anforderungen, die im Detail nur sehr schwer und inkrementell evaluiert werden können. Analog zur Anforderungsanalyse für Softwareentwicklung sind bei der Entwicklung von Webanwendungen neben den funktionalen Anforderungen, nicht funktionale Anforderungen zu berücksichtigen. Zu den nicht funktionalen Anforderungen werden Zeit- und Qualitätsanforderungen gezählt. Zeitanforderungen umfassen dabei Forderungen hinsichtlich der Antwort- und Latenzzeiten der Webanwendung. Zu den Qualitätsanforderungen gehören Kriterien bzgl. Performanz, Verfügbarkeit, Benutzbarkeit (Usability), Effizienz, Änderbarkeit und Wartbarkeit von Webanwendungen. Neben den genannten Qualitätsanforderungen ist die Sicherheit von Webanwendungen, die im folgenden Kapitel 2.2) herausgestellt betrachtet wird, eine Qualitätsanforderung mit zunehmender Bedeutung. 2.2 Sicherheit von Webanwendungen Die Sicherheit in der Webkommunikation und insbesondere auch in Webanwendungen beschreibt keinen finalen Zustand, sondern kann als ganzheitlicher entwicklungsbegleitender Prozess verstanden werden. Ein Kernthema der vorliegenden Arbeit ist die IT-Sicherheit von Webanwendungen, wobei neben der Webanwendung selbst die zugehörenden Schnittstellen, genauer die Ein- und Ausgaben zu schützen sind. Bereits mit einer geeigneten Architektur entsprechend Kapitel 2.1.2, wird eine konzeptionelle Basis zur Unterstützung der Sicherheit von Webanwendungen gelegt. In den folgenden Kapiteln werden weitere Aspekte beschrieben, die im Kontext der Sicherheit von Webanwendungen zu berücksichtigen sind. Beginnend mit möglichen Gefährdungen, die im Kapitel beschrieben sind, wird fortführend im Kapitel ein Überblick über mögliche Sicherheitslücken in Webanwendungen gegeben. 9

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Berichte aus der Medizinischen Informatik und Bioinformatik. Günther Schadow. Krankenhauskommunikation mit HL7

Berichte aus der Medizinischen Informatik und Bioinformatik. Günther Schadow. Krankenhauskommunikation mit HL7 Berichte aus der Medizinischen Informatik und Bioinformatik Günther Schadow Krankenhauskommunikation mit HL7 Analyse, Implementation und Anwendungeines Protokollstandards für medizinische Datenkommunikation

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Architektur einer GDI: Service-oriented Architecture (SOA)

Architektur einer GDI: Service-oriented Architecture (SOA) Modul 6: Voraussetzungen einer GDI Vertiefende Dokumente I Stand: 24.01.2012 Architektur einer GDI: Service-oriented Architecture (SOA) Zu den Hauptargumenten für eine Geodateninfrastruktur zählen unter

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

PowerBridge MSSQL Beta

PowerBridge MSSQL Beta SoftENGINE PowerBridge MSSQL Beta Dokumentation Thomas Jakob 17.04.2011 Inhalt Einrichtung der SQL Umgebung... 3 SQL-Server Installieren... 3 BüroWARE Installieren... 3 PowerBridge-SQL Modus einrichten...

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten Aktuelle Themen der Wirtschaftsinformatik Zusammenfassung 09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten 1 Serverseitige Webprogrammierung

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen

Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen Inhalt Motivation allgemeine Bedrohungen für mobile Endgeräte bösartige Anwendungen für

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Agentenunterstütztes IT-Sicherheitskonzept für Automatisierungssysteme

Agentenunterstütztes IT-Sicherheitskonzept für Automatisierungssysteme Universität Stuttgart Institut für Automatisierungs- und Softwaretechnik Prof. Dr.-Ing. Dr. h. c. P. Göhner Agentenunterstütztes IT-Sicherheitskonzept für Automatisierungssysteme Felix Gutbrodt GMA-Kongress

Mehr

JSP und Servlet Programmierung

JSP und Servlet Programmierung Seminarunterlage Version: 5.02 Copyright Version 5.02 vom 1. März 2013 Dieses Dokument wird durch die veröffentlicht. Copyright. Alle Rechte vorbehalten. Alle Produkt- und Dienstleistungs-Bezeichnungen

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Agenda. Clients aus drei verschiedenen Perspektiven: Was ist ein Dialog? Komponentenarchitektur innerhalb eines Dialoges

Agenda. Clients aus drei verschiedenen Perspektiven: Was ist ein Dialog? Komponentenarchitektur innerhalb eines Dialoges Komponentenbasierte Client-Architektur Hamburg, 16.11.2007 Bernd Olleck IT-Beratung Olleck Agenda Clients aus drei verschiedenen Perspektiven: Technische Infrastruktur Fachliche Sicht Aufgaben eines Clients

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Benutzerdokumentation Web-Portal

Benutzerdokumentation Web-Portal GRUPP: SWT0822 Benutzerdokumentation Web-Portal Yet Another Reversi Game Martin Gielow, Stephan Mennicke, Daniel Moos, Christine Schröder, Christine Stüve, Christian Sura 05. Mai 2009 Inhalt 1. Einleitung...3

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

PENETRATIONSTESTS BEI WEB- SERVICES

PENETRATIONSTESTS BEI WEB- SERVICES BSI GRUNDSCHUTZTAG 2014 PENETRATIONSTESTS BEI WEB- SERVICES Dominik Oepen 1 GS-WEB-SERVICES ABGRENZUNG Web-Services Schnittstelle zum automatisierten Aufruf Aufruf durch Programme (auch andere Web-Services)

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Client/Server-Systeme

Client/Server-Systeme Fachbereich Informatik Projektgruppe KOSI Kooperative Spiele im Internet Client/Server-Systeme Vortragender Jan-Ole Janssen 26. November 2000 Übersicht Teil 1 Das Client/Server-Konzept Teil 2 Client/Server-Architekturen

Mehr

Datenbanksysteme SS 2007

Datenbanksysteme SS 2007 Datenbanksysteme SS 2007 Frank Köster (Oliver Vornberger) Institut für Informatik Universität Osnabrück Kapitel 9c: Datenbankapplikationen Architektur einer Web-Applikation mit Servlets, JSPs und JavaBeans

Mehr

Betriebssysteme Kap A: Grundlagen

Betriebssysteme Kap A: Grundlagen Betriebssysteme Kap A: Grundlagen 1 Betriebssystem Definition DIN 44300 Die Programme eines digitalen Rechensystems, die zusammen mit den Eigenschaften dieser Rechenanlage die Basis der möglichen Betriebsarten

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Hausarbeit. Thema: Computersicherheit. Friedrich-Schiller-Universität Jena Informatik B.Sc. Wintersemester 2009 / 2010

Hausarbeit. Thema: Computersicherheit. Friedrich-Schiller-Universität Jena Informatik B.Sc. Wintersemester 2009 / 2010 1 Friedrich-Schiller-Universität Jena Informatik B.Sc. Wintersemester 2009 / 2010 Hausarbeit Thema: Computersicherheit Seminar: Datenschutz und Datenpannen Verfasser: Dmitrij Miller Abgabetermin: 5.3.2010

Mehr

Ohne Technik kein Online-Journalismus

Ohne Technik kein Online-Journalismus Ohne Technik kein Online-Journalismus von Frank Niebisch, Redakteur für Technologie- und Medien-Themen ECONOMY.ONE AG - Verlagsgruppe Handelsblatt Online. f.niebisch@t-online.de 0173/2934640 Bochum, 15.05.2002

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2009: Gefährdungen der IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit Aufgabe: Die mehrseitige IT-Sicherheit bestimmt sich anhand

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe crm-now/ps Webforms: Webdesigner Handbuch Copyright 2006 crm-now Versionsgeschichte Version 01 2006-08-21 Release Version crm-now c/o im-netz Neue

Mehr

White Paper. Embedded Treiberframework. Einführung

White Paper. Embedded Treiberframework. Einführung Embedded Treiberframework Einführung White Paper Dieses White Paper beschreibt die Architektur einer Laufzeitumgebung für Gerätetreiber im embedded Umfeld. Dieses Treiberframework ist dabei auf jede embedded

Mehr

Angriffe auf Windowssysteme

Angriffe auf Windowssysteme Angriffe auf Windowssysteme von Markus Diett Ruhr-Universität Bochum Lehrstuhl Kommunikationssicherheit Seminar: IT-Sicherheit Wintersemester 2003/2004 Fachsemster: 5 Matrikel-Nr.: 108 001 21522 6 Betreut

Mehr

Praktikum Internetprotokolle - POP3

Praktikum Internetprotokolle - POP3 Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik/Rechnernetze 19. Mai 2008 1 Aufgabenstellung Praktikum

Mehr

Dataport IT Bildungs- und Beratungszentrum. HTML- Grundlagen und CSS... 2. XML Programmierung - Grundlagen... 3. PHP Programmierung - Grundlagen...

Dataport IT Bildungs- und Beratungszentrum. HTML- Grundlagen und CSS... 2. XML Programmierung - Grundlagen... 3. PHP Programmierung - Grundlagen... Inhalt HTML- Grundlagen und CSS... 2 XML Programmierung - Grundlagen... 3 PHP Programmierung - Grundlagen... 4 Java - Grundlagen... 5 Java Aufbau... 6 ASP.NET Programmierung - Grundlagen... 7 1 HTML- Grundlagen

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

BLECHCENTER Plus. Installationsanweisung. Hilfe für Anwender

BLECHCENTER Plus. Installationsanweisung. Hilfe für Anwender Hilfe für Anwender IBE Software GmbH; Friedrich-Paffrath-Straße 41; 26389 Wilhelmshaven Fon: 04421-994357; Fax: 04421-994371; www.ibe-software.de; Info@ibe-software.de Vorwort Installationen von Programmen

Mehr

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen Sicherheit auf Anwendungsebene Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

Version 4.4. security.manager. Systemvoraussetzungen

Version 4.4. security.manager. Systemvoraussetzungen Version 4.4 security.manager Systemvoraussetzungen Version 4.4 Urheberschutz Der rechtmäßige Erwerb der con terra Softwareprodukte und der zugehörigen Dokumente berechtigt den Lizenznehmer zur Nutzung

Mehr

Java Virtual Machine (JVM) Bytecode

Java Virtual Machine (JVM) Bytecode Java Virtual Machine (JVM) durch Java-Interpreter (java) realisiert abstrakte Maschine = Softwareschicht zwischen Anwendung und Betriebssystem verantwortlich für Laden von Klassen, Ausführen des Bytecodes,

Mehr

Projektmanagement. Vorlesung von Thomas Patzelt 10. Vorlesung

Projektmanagement. Vorlesung von Thomas Patzelt 10. Vorlesung Projektmanagement Vorlesung von Thomas Patzelt 10. Vorlesung 1 Test...(4) Oberflächentests testen die Benutzerschnittstelle des Systems, nicht nur auf Fehlerfreiheit sondern z.b. auch auf Konformität mit

Mehr

Fortgeschrittene Servlet- Techniken. Ralf Gitzel ralf_gitzel@hotmail.de

Fortgeschrittene Servlet- Techniken. Ralf Gitzel ralf_gitzel@hotmail.de Fortgeschrittene Servlet- Techniken Ralf Gitzel ralf_gitzel@hotmail.de 1 Themenübersicht Ralf Gitzel ralf_gitzel@hotmail.de 2 Übersicht Servlet Initialisierung Attribute und Gültigkeitsbereiche Sessions

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

3. Stored Procedures und PL/SQL

3. Stored Procedures und PL/SQL 3. Stored Procedures und PL/SQL Wenn eine Anwendung auf einer Client-Maschine läuft, wird normalerweise jede SQL-Anweisung einzeln vom Client an den Server gesandt, und jedes Ergebnistupel wird einzeln

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2)

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2) 14. URIs Uniform Resource Identifier 14-1 14. URIs Uniform Resource Identifier 14-2 Motivation Das WWW ist ein Hypermedia System. Es enthält: Resourcen (Multimedia Dokumente) Verweise (Links) zwischen

Mehr

KOGIS Checkservice Benutzerhandbuch

KOGIS Checkservice Benutzerhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 KOGIS Checkservice Benutzerhandbuch Zusammenfassung Diese Dokumentation beschreibt die Bedienung des KOGIS Checkservice. 4.2.2015

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Modellgetriebene Entwicklungsprozesse in der Praxis - eine Bestandsaufnahme. Tillmann Schall, anaptecs GmbH

Modellgetriebene Entwicklungsprozesse in der Praxis - eine Bestandsaufnahme. Tillmann Schall, anaptecs GmbH Modellgetriebene Entwicklungsprozesse in der Praxis - eine Bestandsaufnahme Tillmann Schall, anaptecs GmbH : Agenda Grundlagen modellgetriebener Entwicklungsprozesse Schritte zur Einführung Erfahrungen

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Sicherheit in Android

Sicherheit in Android Motivation Aufbau Sicherheit Ausblick Quellen Sicherheit in Android Peter Salchow INF-M2 - Anwendungen 1 Sommersemester 2008 Department Informatik HAW Hamburg 20. Mai 2008 Peter Salchow Sicherheit in Android

Mehr

Quality Point München

Quality Point München Quality Point München Test webbasierter Applikationen - Vorgehen, Instrumente, Probleme Gestern habe ich mich wieder über eine fehlerhafte Webanwendung geärgert. Muss das sein? Test ist halt auch hier

Mehr

Übung 4: Schreiben eines Shell-Skripts

Übung 4: Schreiben eines Shell-Skripts Aufgabenteil 1 Ziel der Übung Übung 4: Schreiben eines Shell-Skripts Anhand eines einfachen Linux-Skripts sollen die Grundlagen der Shell-Programmierung vermittelt werden. Das für die Bash-Shell zu erstellende

Mehr

Leistungsbeschreibung. PHOENIX Archiv. Oktober 2014 Version 1.0

Leistungsbeschreibung. PHOENIX Archiv. Oktober 2014 Version 1.0 Leistungsbeschreibung PHOENIX Archiv Oktober 2014 Version 1.0 PHOENIX Archiv Mit PHOENIX Archiv werden Dokumente aus beliebigen Anwendungen dauerhaft, sicher und gesetzeskonform archiviert. PHOENIX Archiv

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Test. Dipl. Wirtsch. Ing. Alexander Werth 9-1

Test. Dipl. Wirtsch. Ing. Alexander Werth 9-1 Test Dipl. Wirtsch. Ing. Alexander Werth 9-1 Phasen der Problemdefinition Anforderungsanalyse Spezifikation Entwurf Implementation Erprobung Wartung Methoden der 9-2 Software Test / Erprobung Messen der

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Java Servlet Technology

Java Servlet Technology 0 Java Servlet Technology Seminar Medientechnik Christina Eicher 30. Juni 2003 1 Übersicht: 1. Was ist ein Servlet? 2. Cookies und Sessions 3. Die Servlet-Klassen und das Servlet-Interface 4. Der Servlet-Container

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr