Diplomarbeit. Technischen Universität Dresden. Fakultät Informatik Institut Systemarchitektur Professur Rechnernetze.

Größe: px
Ab Seite anzeigen:

Download "Diplomarbeit. Technischen Universität Dresden. Fakultät Informatik Institut Systemarchitektur Professur Rechnernetze. am769188@inf.tu-dresden."

Transkript

1 Erarbeitung und programmtechnische Umsetzung einer Testmethodik für Sicherheit der Webkommunikation und -anwendungen Diplomarbeit zur Erlangung des akademischen Grades Diplom-Informatiker an der Technischen Universität Dresden Fakultät Informatik Institut Systemarchitektur Professur Rechnernetze eingereicht von: Alexander Mroß Betreuender HSL: Prof. Dr. rer. nat. habil. Dr. h. c. Alexander Schill Externer Betreuer: Dipl.-Inf. Thomas Haase (T-Systems MMS GmbH) Betreuer: Dr.-Ing. Andriy Luntovskyy (TU-Dresden), Dr. rer. nat. Dietbert Gütter (TU-Dresden) Beginn am: 06. August 2007 Eingereicht am: 05. Februar 2008

2 Inhaltsverzeichnis Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Listingverzeichnis I V VII IX 1 Einleitung 1 2 Beschreibung von Webanwendungen Grundlagen Definition Architekturen Schichten-Architektur N-Schichten-Architektur Anforderungen an Webanwendungen Sicherheit von Webanwendungen Bedrohungen für Webanwendungen Was ist zu schützen? Vor wem ist zu schützen? Auf welchen Ebenen ist zu schützen? Sicherheitslücken in Webanwendungen Authentifizierung Autorisierung Überprüfung der Eingabedaten Bereichsprüfung API-Missbrauch Offene Sicherheitsmerkmale I

3 INHALTSVERZEICHNIS Ausnutzung von Zeit- und Zustandsverhalten Qualität des Quelltextes Logische Angriffe Methoden zur Unterstützung von Sicherheitstests Beschreibung des Penetrationstests Durchführung des Penetrationstests Vorbereitung Informationsbeschaffung Bewertung der Informationen/Risikoanalyse Aktive Eindringversuche Abschlussanalyse Passive vs. aktive Penetrationstest Einschätzung des Penetrationstests Vorteile Nachteile Zusammenfassung der Vor- und Nachteile Source Code Scanner Einsatzmöglichkeiten von Source Code Scannern Qualitätsanalyse Sicherheitsanalyse Durchführung des Source Code Scanning Klassifikation von Source Code Scannern Praktische Source Code Scans Praktische Source Code Scans für PHP Überblick, Planung und Vorbereitung Testskript ProjectP Durchführung der Source Code Scans SWAAT RATS Pixy Abschlussbericht der Source Code Scans II

4 INHALTSVERZEICHNIS Zusammenfassung der Source Code Scans von PHP Praktische Source Code Scans für Java Überblick, Planung und Vorbereitung Testdateien in Java OWASP Insecure Web App Project ProjectJ Durchführung der Source Code Scans Klocwork Developer for Java (K7) Parasoft JTest Fortify SCA Abschlussbericht der Source Code Scans von Java Zusammenfassung der Source Code Scans von Java Praktische Source Code Scans für.net Überblick, Planung und Vorbereitung Testdatei in C# ProjectDN Durchführung der Source Code Scans DevPartner SecurityChecker Fortify SCA Microsoft FxCop Abschlussbericht der Source Code Scans von.net Zusammenfassung der Source Code Scans Bewertung der praktischen Source Code Scans Bewertung für PHP Bewertung für Java Bewertung für.net Freie vs. kommerzielle Source Code Scanner Zusammenfassung und Ausblick Zusammenfassung Ausblick Literaturverzeichnis XI A Quelltexte A.1 III

5 INHALTSVERZEICHNIS B I-Module für das Source Code Scanning B.7 C Auswertung Source Code Scans für PHP C.11 C.1 Auswertung SWAAT C.12 C.2 Auswertung RATS C.21 C.3 Auswertung Pixy C.25 D Auswertung Source Code Scans für Java D.31 D.1 Auswertung Klocwork Developer for Java D.31 D.2 Auswertung Parasoft JTest D.37 D.3 Auswertung Fortify SCA D.42 E Auswertung Source Code Scans für.net E.47 E.1 Auswertung DevPartner SecurityChecker E.48 E.2 Auswertung SCA E.50 E.3 Auswertung Microsoft FxCop E.51 F CD-Rom F.53 IV

6 Abbildungsverzeichnis Abbildung 2-1 : Allgemeine Darstellung einer Client/Server-Architektur... 5 Abbildung 2-2 : Allgemeine Darstellung einer N-Schichten Architektur Abbildung 2-3 : Aufbau des JSP-Model Abbildung 2-4 : Konzeptioneller Aufbau von Struts Abbildung 2-5 : Modell von OOHDM-Java Abbildung 2-6 : Allgemeines Gefährdungsmodell für Webanwendungen Abbildung 4-1 : Lebenszyklus von Software-Anwendungen Abbildung 5-1 : Screenshot: Filter in K Abbildung 5-2 : Screenshot: Gefährdungsskala in K Abbildung 5-3 : Screenshot: Sicherheitslücken in Test1.java mit K Abbildung 5-4 : Screenshot: Sicherheitslücken in Test2.java mit K Abbildung 5-5 : Screenshot: Sicherheitslücken in OWASP Insecure Web App Project mit K Abbildung 5-6 : Screenshot: Konfiguration des Source Code Scans in JTest.. 65 Abbildung 5-7 : Screenshot: Sicherheitslücken in Test1.java mit JTest Abbildung 5-8 : Screenshot: Sicherheitslücken in Test2.java mit JTest Abbildung 5-9 : Screenshot: Sicherheitslücken in OWASP Insecure Web App Project mit JTest Abbildung 5-10 : Screenshot: Protokoll von ProjectJ1 mit JTest Abbildung 5-11 : Screenshot: Bewertung der Sicherheitslücken in SCA Abbildung 5-12 : Screenshot: Zusammenfassung für Test2.java Abbildung 5-13 : Screenshot: Ausgabe von XSS in SCA Abbildung 5-14 : Screenshot: Analysis Trace in SCA Abbildung 5-15 : Screenshot: Zusammenfassung für OWASP Insecure Web App Project Abbildung 5-16 : Screenshot: Auswahl in DevPartner SecurityChecker Abbildung 5-17 : Screenshot: Gefährdungsskala in DevPartner SecurityChecker 86 Abbildung 5-18 : Screenshot: Kritische Sicherheitslücken im ProjectDN V

7 ABBILDUNGSVERZEICHNIS Abbildung 5-19 : Screenshot: Moderate Sicherheitslücken im ProjectDN Abbildung 5-20 : Screenshot: Informative Sicherheitslücken im ProjectDN1. 88 Abbildung 5-21 : Screenshot: Zusammenfassung für Test1.cs Abbildung 5-22 : Screenshot: SQL-Injektion in Test1.cs mit FxCop Abbildung C-1 : Screenshot: Abhängigkeitsgraph xss1 von Pixy C.26 Abbildung C-2 : Screenshot: Abhängigkeitsgraph sql1 von Pixy C.27 Abbildung C-3 : XSS(1) in adodb.inc.php von Pixy C.28 Abbildung C-4 : XSS(2) in copy_field.php von Pixy C.29 Abbildung C-5 : XSS(3) in copy_field.php von Pixy C.29 Abbildung D-1 : Screenshot: Schwachstellenfunde in ProjectJ1 mit K7... D.36 Abbildung D-2 : Screenshot: Schwachstellenfunde in Test1.java mit JTest... D.37 Abbildung D-3 : Screenshot: Schwachstellenfunde in Test2.java mit JTest... D.38 Abbildung D-4 : Screenshot: Schwachstellenfunde in OWASP Insecure Web App Project mit JTest D.39 Abbildung D-5 : Screenshot1: Schwachstellenfunde in ProjectJ1 von JTest. D.40 Abbildung D-6 : Screenshot2: Schwachstellenfunde in ProjectJ1 von JTest. D.41 Abbildung D-7 : Screenshot: Bericht für Test2.java von SCA D.42 Abbildung D-8 : Screenshot: Bewertete Sicherheitslücken für Test2.java in SCA D.43 Abbildung D-9 : Screenshot: Zusammenfassung für ProjectJ1 von SCA... D.45 Abbildung E-1 : Screenshot: Berichtsausschnitt von Test1.cs in DevPartner SecurityChecker E.48 Abbildung E-2 : Screenshot: Kurzer Bericht von ProjectDN1 in DevPartner SecurityChecker E.49 Abbildung E-3 : Screenshot: Zusammenfassung für ProjectDN E.50 Abbildung E-4 : Screenshot: Protokoll in Test1.cs mit FxCop E.51 VI

8 Tabellenverzeichnis Tabelle 2-1 : Ebenenmodell zur Sicherheitskonzeption von Webanwendungen. 12 Tabelle 3-1 : Allgemeiner Aufbau von Modulen Tabelle 3-2 : Einschätzung des Penetrationstests Tabelle 4-1 : Klassifikation für PHP Tabelle 4-2 : Klassifikation für Java Tabelle 4-3 : Klassifikation für.net Tabelle 5-1 : Projektübersicht für PHP Tabelle 5-2 : Auswertung des PHP-Testskript Tabelle 5-3 : Auswertung von ProjectP Tabelle 5-4 : Projektübersicht für Java Tabelle 5-5 : Auswertung für Java-Testdateien Tabelle 5-6 : Auswertung für OWASP Insecure Web App Project Tabelle 5-7 : Auswertung für ProjectJ Tabelle 5-8 : Projektübersicht für.net Tabelle 5-9 : Auswertung für Test1.cs Tabelle 5-10 : Auswertung für ProjectDN Tabelle 6-1 : Bewertung für PHP Tabelle 6-2 : Bewertung für Java Tabelle 6-3 : Bewertung für.net Tabelle 7-1 : Einschätzung des erweiterten Penetrationstests Tabelle B-1 : I-Modul für PHP B.8 Tabelle B-2 : I-Modul für Java B.9 Tabelle B-3 : I-Modul für.net B.10 Tabelle C-1 : Anzahl der Sicherheitslücken im Testskript von SWAAT..... C.12 Tabelle C-2 : Kommando-Injektion im Testskript von SWAAT C.13 VII

9 TABELLENVERZEICHNIS Tabelle C-4 : SQL-Injektion im Testskript von SWAAT C.14 Tabelle C-5 : Offenes Passwort und Nutzerinformation im Testskript von SWAATC.15 Tabelle C-6 : Anzahl gefundener Sicherheitslücken im ProjectP C.16 Tabelle C-7 : Kommando-Injektion(1) im ProjectP1 von SWAAT C.16 Tabelle C-8 : Kommando-Injektion(2) im ProjectP1 von SWAAT C.17 Tabelle C-9 : Kommando-Injektion(3) im ProjectP1 von SWAAT C.17 Tabelle C-10 : SQL-Injektion im ProjectP1 von SWAAT C.18 Tabelle C-11 : Offene Passwörter und Nutzerinformationen im ProjectP1... C.19 Tabelle C-12 : Gleichzeitige Zugriffe im ProjectP1 mit SWAAT C.20 VIII

10 Listingverzeichnis 5-1 XSS in tests.php SQL-Injektion in tests.php Kommando-Injektion in tests.php Datei-Injektion in tests.php Pfad-Manipulation in tests.php HTTP-Response-Splitting in tests.php Offene Passwörter und Nutzerinformationen in tests.php Schwachstellenmuster für PHP in SWAAT Schwachstellenmuster für PHP in RATS Repository in RATS Scan-Parameter für tests.php in RATS Scan-Parameter für ProjectP1 in RATS SQL-Injektion in tests.php mit Pixy XSS(1) im ProjectP1 mit Pixy XSS(2) im ProjectP1 mit Pixy Gleichzeitige Zugriffe in Test1.java XSS in Test2.java Unsichere Pseudozufallszahlengeneratoren in Test2.java Pfad-Manipulation in Test2.java Eingabe an Ressourcen in Test2.java Offene Passwörter und Nutzerinformationen in Test2.java Festhalten der Kommunikationssitzung in Test2.java SQL-Injektion im OWASP Insecure Web App Project Offene Passwörter und Nutzerinformationen im OWASP Insecure Web App Project sendmail() in ExportDialog.java SQL-Injektion in TestPlaylists.java mit JTest XSS in ReportServlet.java (1) mit SCA SQL-Injektion in Search.java mit SCA IX

11 LISTINGVERZEICHNIS 5-30 Kommando-Injektion in SymlinkUnix.java mit SCA Festhalten der Kommunikationssitzung in Login.java mit SCA Pfad-Manipulation(1) in CMSConnector.java mit SCA Pfad-Manipulation(2) in CreateDemoAuftraege.java mit SCA Pseudozufallszahlengenerator in ScreenGenerator.java mit SCA XSS in Test1.cs SQL-Injektion in Test1.cs Pseudozufallszahlengenerator in Test1.cs Pfad-Manipulation in Test1.cs Eingaben an Ressourcen in Test1.cs Offene Passwörter und Nutzerinformationen in Test1.cs XSS in cmsbewertungen.aspx.cs mit SCA Offene Passwörter und Nutzerinformationen im ProjectDN1 mit SCA XSS in Test1.cs mit SCA SQL-Injektion in ProjectDN1 mit SCA A-1 SQL-Injektion in Test2.java A.2 A-2 DoS und SQL-Injektion in ResetDatabaseServlet.java von K A.2 A-3 Sensible Informationen in ResetDatabaseServlet.java von JTest A.3 A-4 False-positive in DbImport.java A.4 C-1 Protokoll für den Scan des Testskriptes mit RATS C.21 C-2 Protokoll(1) für den Scan von ProjectP1 mit RATS C.21 C-10 XSS in tests.php mit Pixy C.25 C-11 Fehlerausgabe von Pixy für ProjectP C.28 D-1 Protokoll für Test1.java von K D.31 D-2 Protokoll für Test2.java von K D.32 D-3 Protokoll für OWASP Insecure Web App Project von K D.34 D-4 Dateiausgabe der Sicherheitslücken von SCA D.43 X

12 Kapitel 1 Einleitung In Folge von Daten-Diebstahl, Daten-Verlust und bösartigen Programmen können Unternehmensinformationen bekannt werden bzw. verloren gehen, wodurch Unternehmen erheblicher finanzieller Schaden entstehen kann. Deshalb wird in vielen Unternehmen der Sicherheit der Webkommunikation und insbesondere der Sicherheit von Webanwendungen ein zunehmend signifikanter Stellenwert zugeordnet. Potentielle Angreifer nutzen bei initiierten Angriffen vermehrt Sicherheitslücken bzw. Schwachstellen in Webanwendungen aus, um Informationen zu erhalten bzw. die einzelne Webanwendung zu unterminieren. So sind nach [Sym07] 61% aller im Zeitraum Januar - Juni 2007 ermittelten Sicherheitslücken in Webanwendungen gefunden worden. 72% der in diesem Zeitrahmen insgesamt bestimmten Sicherheitslücken hätten von Angreifern leicht ausgenutzt werden können. Um Webanwendungen auf vorhandene Sicherheitslücken zu überprüfen, können Sicherheitstests, beispielsweise Penetrationstests, durchgeführt werden. Damit Sicherheitstests koordiniert erfolgen und ggf. wiederholt werden können, wird eine standardisierte Vorgehensweise angestrebt. Um bei der Durchführung des Sicherheitstests den Aufwand zu reduzieren, können Werkzeuge eingesetzt werden, wodurch eine teilweise automatisierte Testdurchführung erreicht werden kann. Zur Koordination und automatisierten Testdurchführung können sogenannte Prüfschemas eingesetzt werden, mit deren Hilfe Angriffsszenarien für die entsprechende Webanwendung spezifiziert werden. Im Rahmen dieser Diplomarbeit wird untersucht, inwieweit Source Code Scanner eingesetzt werden können, um ein vom Unternehmen T-Systems Multimedia Solutions GmbH eingesetztes Prüfschema für Penetrationstests praktikabel zu erweitern. 1

13 KAPITEL 1. EINLEITUNG Ein wichtiger Ansatz dazu ist der Einsatz von Source Code Scannern in einer geeigneten Testmethodik, womit bereits im Quelltext 1 enthaltene Sicherheitslücken gefunden und die Programmierer bei der Entwicklung von Webanwendungen unterstützt werden können. Entscheidend ist hierbei, dass viele Ursachen von Sicherheitslücken in Folge von unzureichenden bzw. unsicheren Implementationen zur Erstellung des Quelltextes von Webanwendungen entstehen, die im Anschluss nur mit hohem Aufwand und unter Verwendung einer Vielzahl verschiedener Werkzeuge mit unterschiedlichen Testmethoden aufgedeckt und korrigiert werden können (vgl. [Che07]). Dazu wird zunächst im Kapitel 2 definiert, was unter einer Webanwendung im Allgemeinen verstanden wird und welche Anforderungen unter Berücksichtigung der zugrunde liegenden Architektur entstehen. Weiterhin sollen in diesem Kapitel mögliche Bedrohungen und Präventivmaßnahmen vorgestellt werden. Eine Maßnahme bzw. unterstützende Testmethode ist der Penetrationstest. Dafür wurde im Rahmen einer Diplomarbeit (siehe [Hel06]) ein Prüfschema entwickelt, dass sich an dem Durchführungskonzept für Penetrationstests nach [BSI03] orientiert und im Kapitel 3 vertiefend betrachtet wird. Im Kapitel 4 wird zur Erweiterung des vorgestellten Prüfschemas für Penetrationstests insbesondere eine Vorgehensweise und Klassifikation für den praktischen Einsatz von Source Code Scannern erarbeitet. Dazu werden im Vorfeld mögliche Einsatzszenarien von Source Code Scannern im Einzelnen betrachtet. Aufbauend auf den beschriebenen Szenarien werden die Source Code Scanner systematisch klassifiziert, um eine Differenzierung der Scanner für den praktischen Einsatz vornehmen zu können. Der praktische Einsatz wird im folgenden Kapitel 5 ausführlich erläutert. Im Anschluss werden die Ergebnisse aus den praktischen Source Code Scans im Kapitel 6 bewertet, womit Aussagen zur Werkzeugunterstützung formuliert werden können. Abschließend werden im Kapitel 7 die wesentlichen Erkenntnisse zusammengefasst und ein Ausblick auf weiterführende Arbeiten gegeben. 1 Der Quelltext einer Webanwendung ist eine Repräsentation einer Komposition von Anweisungen, die in Menschen lesbarer Form vorliegt. 2

14 Kapitel 2 Beschreibung von Webanwendungen Mit der Entstehung und Entwicklung des WWW (World Wide Web) haben sich immer anspruchsvollere Aufgabenfelder für Unternehmen ergeben. Angefangen mit einfachen statischen Web-Seiten, mit denen einzelne Informationen verfügbar gemacht wurden, haben sich immer umfangreichere Anwendungen entwickelt, mit denen z.b. Transaktionen beim Online-Banking durchgeführt werden können. Diese Anwendungen werden auch als Webanwendungen bezeichnet, wobei eine konkrete Definition im Kapitel gegeben wird. Darüber hinaus werden Architekturen vorgestellt, die die konzeptionelle Basis für die einzelnen Webanwendungen bilden. Unter Berücksichtigung der vorgestellten Architekturen haben sich spezielle Anforderungen bzgl. der Funktionalität, des Zeitverhaltens und der Qualität von Webanwendungen ergeben, die im Kapitel genauer erläutert werden. Da in dieser Arbeit der Fokus auf der Sicherheit von Webanwendungen liegt, soll auf den Begriff Sicherheit im Allgemeinen und mit Bezug auf Webkommunikation und Webanwendungen im Speziellen in Kapitel 2.2 eingegangen werden. 2.1 Grundlagen Definition Entsprechend [Kap04] kann eine Webanwendung wie folgt definiert werden: Eine Webanwendung ist ein Softwaresystem, das auf Spezifikationen des World Wide Web Consortium (W3C) beruht und Web-spezifische Ressourcen (Inhalte, Dienste) bereitstellt, die über eine Benutzerschnittstelle (Web Browser) verwendet werden können. 3

15 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Kennzeichnend für den Zugriff auf Ressourcen über das World Wide Web (WWW) ist, dass zumeist sehr viele Nutzer gleichzeitig versuchen auf Ressourcen der Webanwendung zuzugreifen. Deshalb werden in [Wöh04] Webanwendungen auch als verteilte Mehr- Benutzeranwendungen bezeichnet, wobei Probleme resultierend aus nebenläufigen Prozessen und damit verbundenen gleichzeitigen Zugriffen auf Ressourcen (Race Conditions) entstehen können. Zur Koordination der gemeinsamen Zugriffe auf die Ressourcen und zur Vermeidung von Race Conditions muss eine Synchronisation der Zugriffe erfolgen. Somit können Webanwendungen relativ komplexe Softwaresysteme darstellen, die aus mehreren Softwarekomponenten aufgebaut sind, die untereinander in Beziehung stehen. Die durch Softwarekomponenten bereitgestellten Funktionen, Prozesse und Dienste der Webanwendung können mehrheitlich auf einem oder mehreren Servern ausgeführt werden, wobei die Darstellung der gelieferten Ergebnisse auf den Clients erfolgt. Wie Clients und Server logisch verknüpft werden, kann mit Hilfe verschiedener Architekturen beschrieben werden, die im folgenden Kapitel vertiefend betrachtet werden Architekturen Architekturen sind die Basis für Webanwendungen und können unter anderem hinsichtlich der Anzahl der vorkommenden Schichten unterschieden werden. Mit zusätzlichen Servern werden dabei umfangreiche Funktionen umgesetzt, die durch die Komplexität der Anwendung bestimmt sind. Die einfachste Architektur ist die 2-Schichten-Architektur, die im Kapitel beschrieben wird. Prinzipiell werden Architekturen, die in Folge der Komplexität von Anwendungen eine weitere Schichteneinteilung erfordern, als N-Schichten- Architekturen bezeichnet. Auf N-Schichten-Architekturen wird in Kapitel eingegangen Schichten-Architektur 2-Schichten-Architekturen bezeichnen Client/Server-Architekturen, wobei Clients via HTTP-Protokoll mit einem Server kommunizieren. Die Clients fragen dazu Inhalte vom Server ab, die von diesem in geeigneter Form für die Clients bereitgestellt werden. Auf den Clients sind entsprechende Web Browser zur Darstellung der bereitgestellten Inhalte vorhanden. Die Inhalte können auf dem Server im einfachsten Fall als statische HTML-Seiten vorliegen. Der Server nimmt die Anfragen der Clients entgegen und führt ggf. angesprochene Anwendungen aus. 4

16 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Außerdem verwaltet der Server die benötigten und erzeugten Daten. Erfolgt keine Ausführung von Anwendungslogik auf Client-Seite, werden die Clients als Thin Clients bezeichnet. Ein Teil der Logik kann aber auch auf den Clients ausgeführt werden, wobei diese dann über entsprechende Rechenleistung verfügen müssen. Solche Clients werden auch Rich Clients genannt [Hua04, Jab04]. In Abbildung 2-1 wird eine allgemeine Darstellung einer 2-Schichten-Architektur gezeigt [Ana01]. Abbildung 2-1: Allgemeine Darstellung einer Client/Server-Architektur (vgl. [Ana01]) Hierbei sind in der Server-Schicht Inhalte in Form von statischen oder dynamischen HTML- Seiten enthalten, die Clients über die Server-Logik abrufen können N-Schichten-Architektur Bei der N-Schichten-Architektur wird die Server-Schicht aus der 2-Schichten-Architektur im Wesentlichen aufgebrochen, um eine bessere Trennung von Datenhaltung, Anwendungslogik, Geschäftslogik und Präsentation zu erreichen. Damit entstehen weitere funktionsorientierte Server-Schichten mit genau beschriebenen Schnittstellen, so dass im Vergleich zur 2-Schichten-Architektur umfangreichere und komplexere Webanwendungen konzipiert werden können ([Sch07], [Jab04]). Speziell erfolgt eine Differenzierung in Application- Server, Datenbank-Server, Web-Server, Firewall und Backend. 5

17 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Zur Verdeutlichung wird in Abbildung 2-2 eine allgemeine Darstellung für eine N- Schichten-Architektur präsentiert [Ana01]. Abbildung 2-2: Allgemeine Darstellung einer N-Schichten Architektur (vgl. [Ana01]) Es existieren verschiedene Lösungen, wobei insbesondere auf die Lösungen JSP-Model-2, Struts und OOHDM-Java2 (Object-Oriented Hypermedia Design Model) vertiefend eingegangen werden soll JSP-Model-2 Das JSP-Model-2 ist ein Modell für eine N-Schichten-Architektur, bei dem die Darstellung (View), die Repräsentation der Daten (Modell als Java Bean) und die Steuerung der Anwendung getrennt erfolgen, da verschiedene Clients unterschiedliche Anforderungen an 6

18 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN die Darstellung der Daten haben. Der Aufbau des JSP-Model-2 wird mit Hilfe der Abbildung 2-3 verdeutlicht [Kap04]. Abbildung 2-3: Aufbau des JSP-Model-2 (vgl. [Kap04]) Das Controller-Servlet wählt bzw. erzeugt zunächst auf Grundlage einer Client-Anfrage ein Modell basierend auf bereitgestellten Daten aus der Datenbank. Weiterhin wird die Darstellungsform durch den Controller festgelegt und mittels JSP erfolgt die Aufbereitung der Daten für die Clients Struts Struts ist eine Architektur, die das MVC (Model View Controller)-Modell umsetzt, so dass die Repräsentation der Daten in Form eines Modells, die Logik und die Präsentation logisch voneinander getrennt sind. In Abbildung 2-4 wird ein Überblick über den konzeptionellen Aufbau von Struts gegeben [Kap04]. Abbildung 2-4: Konzeptioneller Aufbau von Struts (vgl. [Kap04]) 7

19 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Die Anfragen der Clients werden durch Action Servlets entgegen genommen und an den Controller übermittelt. Der Controller wählt bzw. erstellt daraufhin ein Modell in Form einer Java Bean, die zur Darstellung verwendet wird, indem eine Präsentation durch das Action Servlet ausgewählt wird. Die erzeugte Präsentation wird schließlich an den Client übermittelt und mittels Web Browser zur Anzeige gebracht OOHDM-Java2 (Object-Oriented Hypermedia Design Model) Analog zu JSP und Struts werden auch bei OOHDM-Java2 die View, die Repräsentation der Daten und die Ablaufsteuerung der Anwendung getrennt modelliert. Das Modell von OOHDM-Java2 ist in Abbildung 2-5 dargestellt [Jac02]. Bei OOHDM-Java2 wird die Abbildung 2-5: Modell von OOHDM-Java2 (vgl. [Jac02]) Anfrage von Clients im Controller von einem HTTP-Request-Translator entgegengenommen, der der Anfrage relevante Informationen entnimmt und in aufbereiteter Form an den Dispatcher übergibt. Der Dispatcher kann damit die entsprechenden Anwendungen auswählen und ausführen. Zur Darstellung der ausgegebenen Daten, basierend auf dem Modellzustand, wird vom Controller ein geeignetes User Interface ausgewählt, das zur erweiterten Darstellung übermittelt wird. Das User Interface wird anschließend noch um eine Navigation erweitert, mittels JSP angeordnet und an den Client in Form einer Antwortnachricht zurückgegeben. 8

20 KAPITEL 2. BESCHREIBUNG VON WEBANWENDUNGEN Anforderungen an Webanwendungen Webanwendungen müssen im Gegensatz zu herkömmlichen Software-Anwendungen kontinuierlich an die Gegebenheiten im World Wide Web angepasst werden und sind somit einem ständigen Wandel unterzogen, der unter anderem durch Einführung neuer Technologien im Internet erfolgt [Mos06]. Damit über das WWW auf Webanwendungen zugegriffen werden kann, müssen diese flexibel, aber gleichzeitig auch zuverlässig sein. Mit den zuvor beschriebenen Architekturen wird ein Ansatz zur Erhöhung der Zuverlässigkeit und Flexibilität von Webanwendungen aufgezeigt, da strukturelle und funktionelle Einheiten gebildet werden, deren Schnittstellen eindeutig beschrieben sind [Sch07]. Bei der Entwicklung von Webanwendungen ergeben sich erhebliche Anforderungen, die im Detail nur sehr schwer und inkrementell evaluiert werden können. Analog zur Anforderungsanalyse für Softwareentwicklung sind bei der Entwicklung von Webanwendungen neben den funktionalen Anforderungen, nicht funktionale Anforderungen zu berücksichtigen. Zu den nicht funktionalen Anforderungen werden Zeit- und Qualitätsanforderungen gezählt. Zeitanforderungen umfassen dabei Forderungen hinsichtlich der Antwort- und Latenzzeiten der Webanwendung. Zu den Qualitätsanforderungen gehören Kriterien bzgl. Performanz, Verfügbarkeit, Benutzbarkeit (Usability), Effizienz, Änderbarkeit und Wartbarkeit von Webanwendungen. Neben den genannten Qualitätsanforderungen ist die Sicherheit von Webanwendungen, die im folgenden Kapitel 2.2) herausgestellt betrachtet wird, eine Qualitätsanforderung mit zunehmender Bedeutung. 2.2 Sicherheit von Webanwendungen Die Sicherheit in der Webkommunikation und insbesondere auch in Webanwendungen beschreibt keinen finalen Zustand, sondern kann als ganzheitlicher entwicklungsbegleitender Prozess verstanden werden. Ein Kernthema der vorliegenden Arbeit ist die IT-Sicherheit von Webanwendungen, wobei neben der Webanwendung selbst die zugehörenden Schnittstellen, genauer die Ein- und Ausgaben zu schützen sind. Bereits mit einer geeigneten Architektur entsprechend Kapitel 2.1.2, wird eine konzeptionelle Basis zur Unterstützung der Sicherheit von Webanwendungen gelegt. In den folgenden Kapiteln werden weitere Aspekte beschrieben, die im Kontext der Sicherheit von Webanwendungen zu berücksichtigen sind. Beginnend mit möglichen Gefährdungen, die im Kapitel beschrieben sind, wird fortführend im Kapitel ein Überblick über mögliche Sicherheitslücken in Webanwendungen gegeben. 9

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Client/Server-Systeme

Client/Server-Systeme Fachbereich Informatik Projektgruppe KOSI Kooperative Spiele im Internet Client/Server-Systeme Vortragender Jan-Ole Janssen 26. November 2000 Übersicht Teil 1 Das Client/Server-Konzept Teil 2 Client/Server-Architekturen

Mehr

Berichte aus der Medizinischen Informatik und Bioinformatik. Günther Schadow. Krankenhauskommunikation mit HL7

Berichte aus der Medizinischen Informatik und Bioinformatik. Günther Schadow. Krankenhauskommunikation mit HL7 Berichte aus der Medizinischen Informatik und Bioinformatik Günther Schadow Krankenhauskommunikation mit HL7 Analyse, Implementation und Anwendungeines Protokollstandards für medizinische Datenkommunikation

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

PowerBridge MSSQL Beta

PowerBridge MSSQL Beta SoftENGINE PowerBridge MSSQL Beta Dokumentation Thomas Jakob 17.04.2011 Inhalt Einrichtung der SQL Umgebung... 3 SQL-Server Installieren... 3 BüroWARE Installieren... 3 PowerBridge-SQL Modus einrichten...

Mehr

PHP Kurs Online Kurs Analysten Programmierer Web PHP

PHP Kurs Online Kurs Analysten Programmierer Web PHP PHP Kurs Online Kurs Analysten Programmierer Web PHP Akademie Domani info@akademiedomani.de Allgemeines Programm des Kurses PHP Modul 1 - Einführung und Installation PHP-Umgebung Erste Lerneinheit Introduzione

Mehr

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004 Ausarbeitung über SS 2004 Dennis Völker [dv04@hdm-stuttgart.de] Steffen Schurian [ss59@hdm-stuttgart.de] Überblick Sicherheit sollte eine Eigenschaft moderner, verteilter Anwendungen sein, jedoch ist ein

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Der Neue Weg zur Verschlüsselung von Datenbankinhalten

Der Neue Weg zur Verschlüsselung von Datenbankinhalten Der Neue Weg zur Verschlüsselung von Datenbankinhalten Da Häufigkeit und Schwere von Datendiebstahl zunehmen, ist es immens wichtig, dass Unternehmen vertrauliche und sensible Daten zusätzlich durch Verschlüsselung

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Agentenunterstütztes IT-Sicherheitskonzept für Automatisierungssysteme

Agentenunterstütztes IT-Sicherheitskonzept für Automatisierungssysteme Universität Stuttgart Institut für Automatisierungs- und Softwaretechnik Prof. Dr.-Ing. Dr. h. c. P. Göhner Agentenunterstütztes IT-Sicherheitskonzept für Automatisierungssysteme Felix Gutbrodt GMA-Kongress

Mehr

Recherchebericht. Eine URL (Uniform Resource Locator; dt. einheitlicher Quellenanzeiger ) lokalisiert eine Ressource, wie eine Website, und ihren Ort.

Recherchebericht. Eine URL (Uniform Resource Locator; dt. einheitlicher Quellenanzeiger ) lokalisiert eine Ressource, wie eine Website, und ihren Ort. Recherchebericht Begriffe: Ein Betriebssystem ist eine Software, die die Schnittstelle zwischen den Hardwarekomponenten und der Anwendungssoftware bildet. Es verwaltet die Hardwareressourcen, wie Arbeitsspeicher,

Mehr

Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen

Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen Katharine Brylski it-cube Systems AG Agenda Motivation Was ist eine Sicherheitsanalyse? Bekannte Konzepte Entwicklung eines Best-of-Konzepts

Mehr

Übungen zur Softwaretechnik

Übungen zur Softwaretechnik Technische Universität München Fakultät für Informatik Lehrstuhl IV: Software & Systems Engineering Markus Pister, Dr. Bernhard Rumpe WS 2002/2003 Lösungsblatt 8 10. Dezember 2002 www4.in.tum.de/~rumpe/se

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Agenda. Clients aus drei verschiedenen Perspektiven: Was ist ein Dialog? Komponentenarchitektur innerhalb eines Dialoges

Agenda. Clients aus drei verschiedenen Perspektiven: Was ist ein Dialog? Komponentenarchitektur innerhalb eines Dialoges Komponentenbasierte Client-Architektur Hamburg, 16.11.2007 Bernd Olleck IT-Beratung Olleck Agenda Clients aus drei verschiedenen Perspektiven: Technische Infrastruktur Fachliche Sicht Aufgaben eines Clients

Mehr

Online Banking System

Online Banking System Online Banking System Pflichtenheft im Rahmen des WI-Praktikum bei Thomas M. Lange Fachhochschule Giessen-Friedberg Fachbereich MNI Studiengang Informatik Erstellt von: Eugen Riske Yueksel Korkmaz Alper

Mehr

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe crm-now/ps Webforms: Webdesigner Handbuch Copyright 2006 crm-now Versionsgeschichte Version 01 2006-08-21 Release Version crm-now c/o im-netz Neue

Mehr

Risikomanagement für IT-Projekte: Vergleich von Risiken und Methoden

Risikomanagement für IT-Projekte: Vergleich von Risiken und Methoden Sperrvermerk Risikomanagement für IT-Projekte: Vergleich von Risiken und Methoden Bachelorarbeit Zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

CARM-Server. Users Guide. Version 4.65. APIS Informationstechnologien GmbH

CARM-Server. Users Guide. Version 4.65. APIS Informationstechnologien GmbH CARM-Server Version 4.65 Users Guide APIS Informationstechnologien GmbH Einleitung... 1 Zugriff mit APIS IQ-Software... 1 Zugang konfigurieren... 1 Das CARM-Server-Menü... 1 Administration... 1 Remote-Konfiguration...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Dataport IT Bildungs- und Beratungszentrum. HTML- Grundlagen und CSS... 2. XML Programmierung - Grundlagen... 3. PHP Programmierung - Grundlagen...

Dataport IT Bildungs- und Beratungszentrum. HTML- Grundlagen und CSS... 2. XML Programmierung - Grundlagen... 3. PHP Programmierung - Grundlagen... Inhalt HTML- Grundlagen und CSS... 2 XML Programmierung - Grundlagen... 3 PHP Programmierung - Grundlagen... 4 Java - Grundlagen... 5 Java Aufbau... 6 ASP.NET Programmierung - Grundlagen... 7 1 HTML- Grundlagen

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0 Gauß-IT-Zentrum DHCP für Institute Zielgruppe: DV Koordinatoren Version 1.0 1 DHCP für Institute Inhalt Dynamic Host Configuration Protocol (DHCP) für Institute 2 DHCP-Interface im KDD 2 DHCP beantragen

Mehr

Administrator-Anleitung

Administrator-Anleitung Administrator-Anleitung für die Typ 2 Installation der LEC-Web-Anwendung auf einem Microsoft Windows Server Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU) Danziger

Mehr

Java - Webapplikationen

Java - Webapplikationen Java - Webapplikationen Bestandteile (HTTP,, JSP) Aufbau (Model View Controller) Datenverwaltung (Java Beans, Sessions) Entwicklung (Projektstruktur, Sysdeoplugin für Eclipse) 17. Januar 2006 Jan Hatje

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

TELEMETRIE EINER ANWENDUNG

TELEMETRIE EINER ANWENDUNG TELEMETRIE EINER ANWENDUNG VISUAL STUDIO APPLICATION INSIGHTS BORIS WEHRLE TELEMETRIE 2 TELEMETRIE WELCHE ZIELE WERDEN VERFOLGT? Erkennen von Zusammenhängen Vorausschauendes Erkennen von Problemen um rechtzeitig

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Betriebssysteme Kap A: Grundlagen

Betriebssysteme Kap A: Grundlagen Betriebssysteme Kap A: Grundlagen 1 Betriebssystem Definition DIN 44300 Die Programme eines digitalen Rechensystems, die zusammen mit den Eigenschaften dieser Rechenanlage die Basis der möglichen Betriebsarten

Mehr

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver Mit Hilfe des Programmes pzmadmin v1.6.x Inhaltsverzeichnis Inhaltsverzeichnis...2 Voraussetzungen...3 Schritt 1: Verbindungsdaten

Mehr

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

SQL-Injection. Seite 1 / 16

SQL-Injection. Seite 1 / 16 SQL-Injection Seite 1 / 16 Allgemein: SQL (Structured Query Language) Datenbanksprache zur Definition von Datenstrukturen in Datenbanken Bearbeiten und Abfragen von Datensätzen Definition: SQL-Injection

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

Quality Point München

Quality Point München Quality Point München Test webbasierter Applikationen - Vorgehen, Instrumente, Probleme Gestern habe ich mich wieder über eine fehlerhafte Webanwendung geärgert. Muss das sein? Test ist halt auch hier

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Session Beans & Servlet Integration. Ralf Gitzel ralf_gitzel@hotmail.de

Session Beans & Servlet Integration. Ralf Gitzel ralf_gitzel@hotmail.de s & Servlet Integration Ralf Gitzel ralf_gitzel@hotmail.de 1 Themenübersicht Ralf Gitzel ralf_gitzel@hotmail.de 2 Übersicht Motivation Das Interface Stateful und Stateless s Programmierung einer Stateful

Mehr

Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen

Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen Inhalt Motivation allgemeine Bedrohungen für mobile Endgeräte bösartige Anwendungen für

Mehr

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten Aktuelle Themen der Wirtschaftsinformatik Zusammenfassung 09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten 1 Serverseitige Webprogrammierung

Mehr

Existierende Systeme I Bibliotheken & Frameworks

Existierende Systeme I Bibliotheken & Frameworks Projektgruppe: Generierung von Webanwendungen aus visuellen Spezifikationen Existierende Systeme I Bibliotheken & Frameworks Von Christian Schneider Paderborn, den 18.06.2004 Übersicht Motivation Dynamische

Mehr

Einrichten eines SSH - Server

Einrichten eines SSH - Server Einrichten eines SSH - Server Um den Server weiter einzurichten bzw. später bequem warten zu können ist es erforderlich, eine Schnittstelle für die Fernwartung / den Fernzugriff zu schaffen. Im Linux -

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Internet Information Server 5

Internet Information Server 5 Internet Information Server 5 Aufbau und Bereitstellung von Webanwendungen mit Windows 2000 Advanced Server von Uwe Bünning, Jörg Krause 1. Auflage Hanser München 2001 Verlag C.H. Beck im Internet: www.beck.de

Mehr

KOGIS Checkservice Benutzerhandbuch

KOGIS Checkservice Benutzerhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 KOGIS Checkservice Benutzerhandbuch Zusammenfassung Diese Dokumentation beschreibt die Bedienung des KOGIS Checkservice. 4.2.2015

Mehr

IT-Sicherheit: Hacking für Administratoren. Infobroschüre zum Workshop. Angriffe erkennen und Schutzmaßnahmen verstärken

IT-Sicherheit: Hacking für Administratoren. Infobroschüre zum Workshop. Angriffe erkennen und Schutzmaßnahmen verstärken IT-Sicherheit: Hacking für Administratoren Angriffe erkennen und Schutzmaßnahmen verstärken Aktualisiert für Windows 8 und Windows Server 2012 Infobroschüre zum Workshop IT-Sicherheit: Hacking für Administratoren

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

JSP und Servlet Programmierung

JSP und Servlet Programmierung Seminarunterlage Version: 5.02 Copyright Version 5.02 vom 1. März 2013 Dieses Dokument wird durch die veröffentlicht. Copyright. Alle Rechte vorbehalten. Alle Produkt- und Dienstleistungs-Bezeichnungen

Mehr

Scheinaufgabe im Fach Web Engineering

Scheinaufgabe im Fach Web Engineering Otto-von-Guericke-Universität Magdeburg Fakultät für Informatik Institut für Verteilte Systeme Scheinaufgabe im Fach Web Engineering Thomas Thüm 07. August 2006 Matrikel: 171046 Lehrveranstaltung: Web

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Inhaltsverzeichnis. Einleitung... 11

Inhaltsverzeichnis. Einleitung... 11 Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Softwaretechnik. Vertretung von Prof. Dr. Blume Fomuso Ekellem WS 2011/12

Softwaretechnik. Vertretung von Prof. Dr. Blume Fomuso Ekellem WS 2011/12 Vertretung von Prof. Dr. Blume WS 2011/12 Inhalt Test, Abnahme und Einführung Wartung- und Pflegephase gp Vorlesung Zusammenfassung Produkte und Recht (Folien von Prof. Blume) 2 , Abnahme und Einführung

Mehr

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt. Netzwerk Ein Netzwerk wird gebildet, wenn mehrere Geräte an einem Switch mit Netzwerkkabeln angeschlossen werden. Dabei können die einzelnen Geräte miteinander kommunizieren und über ein Netzwerkprotokoll

Mehr

Tobias Wassermann. Sichere Webanwendungen mit PHP

Tobias Wassermann. Sichere Webanwendungen mit PHP Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP

Mehr

Architektur einer GDI: Service-oriented Architecture (SOA)

Architektur einer GDI: Service-oriented Architecture (SOA) Modul 6: Voraussetzungen einer GDI Vertiefende Dokumente I Stand: 24.01.2012 Architektur einer GDI: Service-oriented Architecture (SOA) Zu den Hauptargumenten für eine Geodateninfrastruktur zählen unter

Mehr

Sicherheit in Enterprise-Netzen durch den Einsatz von 802.1X

Sicherheit in Enterprise-Netzen durch den Einsatz von 802.1X Sicherheit in Enterprise-Netzen durch den Einsatz von 802.1X von Cornelius Höchel-Winter Technologie Report: Sicherheit in Enterprise-Netzen durch 802.1X Seite 4-76 4 Produkte und Methoden: Kriterien zur

Mehr

Java Server Pages 2 und Benutzerdefinierte Tags. Strahil Yordanov

Java Server Pages 2 und Benutzerdefinierte Tags. Strahil Yordanov Java Server Pages 2 und Benutzerdefinierte Tags Strahil Yordanov Überblick Einleitung JSP im Kontext von J2EE JSP2 Benutzerdefinierte Tags Zusammenfassung Einleitung Java Server Pages ist eine Technik

Mehr

Grundlagen der Informatik 2

Grundlagen der Informatik 2 Grundlagen der Informatik 2 Dipl.-Inf., Dipl.-Ing. (FH) Michael Wilhelm Hochschule Harz FB Automatisierung und Informatik mwilhelm@hs-harz.de Raum 2.202 Tel. 03943 / 659 338 1 Gliederung 1. Einführung

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2 Inhaltsverzeichnis 1 Einführung 2 1.1 Warum Softwaretests?.................................... 2 2 Durchgeführte Tests 2 2.1 Test: allgemeine Funktionalität............................... 2 2.1.1 Beschreibung.....................................

Mehr

DRESDEN, 08.10.2009 CHRISTIAN.KNAUER@INF.TU-DRESEDEN.DE

DRESDEN, 08.10.2009 CHRISTIAN.KNAUER@INF.TU-DRESEDEN.DE DOKUMENTATION MAAS - MONITORING AS A SERVICE DRESDEN, 08.10.2009 CHRISTIAN.KNAUER@INF.TU-DRESEDEN.DE Dokumentation MaaS - Monitoring as a Service Inhalt 1. MaaS - Monitoring as Service... 3 1.1 Einleitung...

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Mitarbeiterbefragung

Mitarbeiterbefragung Arbeitspsychologie CoPAMed Arbeitspsychologie Mitarbeiterbefragung Zusatzmodul zur Verwaltung von arbeitspsychologischen Leistungen und zur Durchführung von anonymen Mitarbeiterbefragungen. CoPAMed Arbeitspsychologie

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

Einsatz von Applikationsservern. Untersucht am Beispiel des Sybase Enterprise Application Server

Einsatz von Applikationsservern. Untersucht am Beispiel des Sybase Enterprise Application Server Einsatz von Applikationsservern Untersucht am Beispiel des Sybase Enterprise Application Server Architektur von Datenbanksystemen Client / Server Modell (2 Schichten Modell) Benutzerschnittstelle Präsentationslogik

Mehr

Die Softwareentwicklungsphasen!

Die Softwareentwicklungsphasen! Softwareentwicklung Die Softwareentwicklungsphasen! Die Bezeichnungen der Phasen sind keine speziellen Begriffe der Informatik, sondern den allgemeinen Prinzipien zur Produktion integrierter Systeme entliehen.

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Java und XML 2. Java und XML

Java und XML 2. Java und XML Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik Java und XML Hauptseminar Telematik WS 2002/2003

Mehr

Workflow Systeme mit der Windows Workflow Foundation

Workflow Systeme mit der Windows Workflow Foundation Studiengang Electronic Business (EB) Diplomarbeit (280000) Workflow Systeme mit der Windows Workflow Foundation externe Betreuung durch Christoph Müller vorgelegt bei Prof. Dr. Michael Gröschel von Hans-Martin

Mehr