PHP-Sicherheit Gefahren und Lösungsansätze. Christopher Kunz

Größe: px
Ab Seite anzeigen:

Download "PHP-Sicherheit Gefahren und Lösungsansätze. Christopher Kunz "

Transkript

1 PHP-Sicherheit Gefahren und Lösungsansätze Christopher Kunz

2 Über Christopher Kunz Wohnt und arbeitet in Hannover PHP-Erfahrung seit 1999 Mitglied im Hardened-PHP Project URLs 2

3 Weiterführende Informationen Christopher Kunz, Peter Prochaska PHP-Sicherheit dpunkt.verlag 2006 (2. Auflage 2007) ISBN ,00 3

4 Agenda Aktuelle Entwicklungen in Webapp- Security Client-Side Angriffe Server-Side Angriffe Härten des Webservers / PHP Request Filtering mit Apache-Modulen (Alle Slides werden auch online sein!) 4

5 So sieht's aus... "Wurm schlängelt sich durch MySpace" "StudiVZ: Belohnung für Sicherheitslücken" "Web-Kalender Kronolith lässt sich Code unterschieben" "dev!l`z Clanportal - SQL Injection [061124a]" 5

6 Aktuelle Problemfelder Angriffe gegen Nutzer Cross-Site Scripting (XSS) Cross-Site Request Forgery (CSRF) Angriffe gegen Server SQL Injection Command Injection Local/Remote Code Execution 6

7 Angriffe gegen den Nutzer Nutzer webbasierter Applikationen sind gefährdet! Aktuelles Beispiel: StudiVZ Ausspähen sensitiver Informationen per JavaScript/DOM Ausnutzen von Browser-Komfort für eigene Zwecke ( AutoVervollständigung ) Sehr große Spanne an Möglichkeiten 7

8 XSS Cross-Site-Scripting Grundidee: Zonenmodell moderner Browser austricksen Angreifer sucht Möglichkeit, eigenen Code (JavaScript, nicht PHP/Perl o.ä.) auf Zielsite einzubetten Browser des Opfers führt diesen Code aus Sicherheitszone: Die der Zielsite 8

9 XSS Einfache Beispiele Bei Formular-Textfeldern "><script>alert('xss')</script> ' onfocus=javascript:alert('xss') In HTML-Tags <IMG SRC="javascript:alert('XSS');"> <BODY BACKGROUND="javascript:alert('XSS')"> XSS Cheatsheet enthält mehr Beispiele 9

10 XSS - Komplexität Durch DOM beliebige Manipulationen am Dokumentbaum möglich Ersetzen von Text Austauschen von Formularfeldern / -zielen Automatischer Versand von Formularen Durch Browserkomfort (Paßwort-Safe) auch Login-geschützte Seiten kein Problem 10

11 XSS und "Web 2.0" Moderne Websites sind überladen mit JavaScript (AJAX, Besuchertracking etc.) Injektion von HTML-Tags oft nicht nötig Eine verwundbare JS-Variable reicht Komplette Anwendung ist nicht mehr vertrauenswürdig Bei Webmail etc. praktisch unbegrenztes Abuse-Potential Auch nett: JS in Quicktime, Cross-Domain XML per Flash 11

12 XSS und PHP Hauptgrund: Ungeprüfte Ausgabe von Userinput echo $_GET['irgendwas'] PHP-Gegenmittel htmlentities(); strip_tags() Kein Administratorenproblem 12

13 SQL Injection Angriffe gegen Datenbanklayer Manipulation ungenügend geprüfter SQL- Queries Fehlende Typ-/Inhaltsprüfung Resultat: Verfälschtes Resultatset Auslesen privilegierter Daten Umgehung von Autorisierung / Authentifizierung Je nach DBMS: Zugriff aufs Dateisystem 13

14 SQL Injection in PHP Angreifbares Query: $query = "SELECT is_authorized FROM users WHERE username = '". $_POST['username']. "' AND password = '". $_POST['password']. "'"; $_POST['username'] = "admin' /*" Authentifizierung umgangen 14

15 SQL Injection: Gegenmaßnahmen Usereingabe nicht vertrauen! Maskieren von SQL-Sonderzeichen mysql_real_escape_string($_post['usernam e'] Prepared Statements mysqli->prepare() etc. Hauptsächlich Entwicklerproblem 15

16 Angriffe gegen den Server Automatisierte Scans nach verwundbaren Applikationen Professionelles Management der Angreifer Zunehmende professionelle Tools Ziel: Server rooten / als Spambot verwenden Das IST ein Administratorenproblem 16

17 Klassifikation Local/Remote Code Injection Arbitrary file inclusion meist "dank" eval/include und Konsorten Klassiker: include($_get['page']) Königsklasse: Nachladen von Exploitcode per HTTP Neu in PHP: Stream-Handler data: - praktisch für Exploits 17

18 C99shell 18

19 r57shell.php 19

20 Defacing Tool Pro v2.5 20

21 "PHP ist unsicher!" Oft verbreitetes "Argument" gegen PHP Nicht PHP ist unsicher, sondern PHP- Anwendungen Schwache Typisierung erleichtert Entwicklerfehler Ist C schuld an Sendmail oder Bind 7? Allerdings: Lücken im PHP-Kern noch immer (zu) häufig Tainted Mode fehlt nach wie vor 21

22 Bordmittel für PHP-Security Geeignete Auswahl der SAPI CGI/FastCGI statt mod_php Separation der Nutzer mittels suexec Eigene php.ini pro Nutzer Auch versch. PHP-Binaries pro Nutzer möglich ini-einstellungen für mehr Sicherheit 22

23 Safe Mode UID/GID Checks bei Dateioperationen Seit PHP 4 in PHP, stets Notlösung Extension-abhängig, häufige Lücken in der Vergangenheit Wird in PHP 6 abgeschafft Oft falsches Gefühl der Sicherheit 23

24 open_basedir open_basedir=/var/www/kunde1 Überprüft bei Dateioperationen Verzeichnis Direktive gibt Basisverzeichnis an, außerhalb dessen nicht zugegriffen werden darf Im Beispiel: include("/etc/passwd") wird verhindert 24

25 disable_functions disable_functions="system,passthru,eval" Funktionen selektiv verbieten Wird oft für Prozeßkontroll- /Systemfunktionen eingesetzt Unerwünschte Seiteneffekte Kompatibilitätsprobleme 25

26 system() und Co. PHP-Funktion system() forkt Shell Oft für Helper-Binaries wie ImageMagick Eingesetzt u.a. bei Typo3 Problem: Shell + Binaries kümmern sich nicht um Safe Mode Sicherheitsleck! Lösung: Keine externen Binaries zulassen! 26

27 allow_url_fopen Großes Problem für PHP-Anwendungen: Include auf unsichere Ziele Direktive "allow_url_fopen Off" verbietet Öffnen von URLs komplett Unerwünschte Nebenwirkungen Seit PHP 5.2.0: "allow_url_include" berücksichtigt nur include/require(_once) Empfehlung: Ausschalten! 27

28 Register Globals Registrierung von Requestvariablen als globale Variablen Aus $_GET['foo'] wird $foo Häufig noch aktiviert, obwohl seit default off register_globals on vereinfacht unsauberen Code register_globals Off! Immer! register_globals verschwindet in PHP 6 28

29 Suhosin Freier Patch / Extension für PHP vom Hardened-PHP Project Früher: "Hardened-PHP" bzw. "Hardening Patch for PHP" Per php.ini konfigurierbar 29

30 Extension / Patch Funktionalität aufgeteilt in PHP-Extension Patch für PHP-Quellcode Extension kompatibel zu allen anderen PHP- Extensions Suhosin-Teile können unabhängig voneinander genutzt werden Verfügbar in OpenSUSE, diversen BSDs, Gentoo, Debian etc. 30

31 Suhosin-Patch Schutz gegen Overflows Canary Protection für Zend Memory Manager Schutz gegen Formatstring-Angriffe 31

32 Suhosin: Simulationsmodus Konfiguration: suhosin.simulation Tut alles, nur keine richtigen Aktionen Sehr nützlich zum Überprüfen auf Probleme mit lokaler Installation Testen / Austarieren der Blacklist / Whitelist 32

33 Suhosin: Variablen-Features Variablenfilter GET/POST/COOKIE darf keine geschützten Variablen enthalten Variablenlänge, Variablenzahl, Arraytiefe etc. limitierbar Superglobals gegen extract() etc. geschützt 33

34 Suhosin: Runtime-Features Rekursionstiefe limitierbar memory_limit kann nicht mehr vom User geändert werden Neue realpath() Funktion 34

35 Suhosin: Whitelist/Blacklist Per Vhost konfigurierbar Whitelist für Funktionen Blacklist für Funktionen Zwei Modi Normal Innerhalb eval() 35

36 Suhosin: Include-Filter (Konfigurierbares) Verbot von include auf... URLs (Blacklist/Whitelist möglich) Überlange Dateinamen (BSD) Abgeschnittene Dateinamen (%00) Hochgeladene Dateien Schutz gegen Directory Traversal (../../etc/passwd ) 36

37 Suhosin: Diverse Features Kryptographiefunktionen CRYPT_BLOWFISH-Algorithmus für crypt() Sha256() und sha256_file() für Message Hashing Transparente Cookieverschlüsselung Transparente Verschlüsselung von Sessiondaten Umfangreiches Logging 37

38 mod_security Freies Apache-Modul Analyse eingehender Requests Blacklist-Approach Regex-basierte Regeln Aktuelle Versionen: 1.9.x / 2.0 Grundlegende Änderungen in

39 mod_security: Features Überprüfung des gesamten Scopes oder einzelner Bestandteile (GET, POST, Cookie etc.) Überprüfung von XML-Dokumenten mit xpath Sprachunabhängig Logging / IDS-Funktionalität chroot-umgebung für Apache 39

40 mod_security Installation Download von Version 1.9 apxs -cia mod_security.c apachectl stop / start Fertig! Version 2.0 Makefile editieren (top_dir =/usr/local/apache2) make; apachectl stop; make install Konfiguration apachectl start 40

41 mod_security: Konfiguration LoadModule security2_module modules/mod_security2.so SecRuleEngine [On Off DetectionOnly] Vor 2.0: SecFilterEngine SecServerSignature PwnServer/1.0 SecChrootDir /home/chroot 41

42 mod_security: Regeln Regeln bestehen aus 2-3 Komponenten optional: Wo? (Variablen-Scope) Was? (Filterausdruck) Was tun? (Aktion) SecFilter prüft gesamtes Scope SecFilterSelective prüft Teilscope In mod_security 2: SecRule SecRule VARIABLES OPERATOR [ACTIONS] 42

43 mod_security: Scoping REQUEST_URI REQUEST_HEADER:Content-Length ARGS ARGS!ARGS:safe ARGS:unsafe Regexp: ARGS:/^pageid_/ XML:/xPath/Expression etc. 43

44 mod_security: Operatoren Pre-2.0: Regexp für Regeln 2.0: viele zus. Funktionen Performance-Impact! Operatoren Numerisch: eq, ge, gt, le, lt Regexp: rx (impliziert durch Regex am Regelbeginn) rbl RBL-Lookup z.b. auf REMOTE_ADDR etc. SecRule ARG:id 0" 44

45 mod_security: Aktionen pass An dieser Regel vorbeilassen allow An allen Regeln vorbeilassen deny HTTP-Status 403 senden (= status:403) status:x HTTP-Status x senden redirect:x HTTP-Redirect auf URI x exec:x externes Executable x ausführen nolog, log Meldung (nicht) loggen skipnext:x Nächste x Regeln überspringen chain Verkettung mit nächster Regel pause:x Ausführung um x ms verzögern u.a.m. 45

46 mod_security: Fazit Blacklistansatz unnütz gegen 0Day Fängt mit passenden Rulesets extrem viele automatisierte Exploits "Web-IDS" im DetectionOnly-Modus 46

47 mod_parmguard Freies Apache-Modul Analyse eingehender Requests Apache 1.3, 2.x Whitelist-Ansatz XML-Konfigurationsdateien 47

48 mod_parmguard Whitelist-Ansatz gilt allg. als sicherer Keine "überflüssigen Variablen" Klare Definition der möglichen Schnittstellen Constraints Datentyp Wertebereich Bei Aufzählungen: Mögliche Optionen 48

49 mod_parmguard: Installation Download von guard.php./configure withapxs[2]=/usr/sbin/apachectl make && make install apachectl stop / start Fertig! 49

50 mod_parmguard: httpd.conf Konfiguration innerhalb von <Location>- Blöcken <Location /> ParmguardEngine On ParmguardConfFile /etc/parmguard.xml </Location> 50

51 mod_parmguard: XML-Konfiguration Konfigurationssprache: XML Validierung gegen mitgelieferte DTD Schachtelung / Gruppierung von Parametern Benutzung herkömmlicher XML-Tools zur Generierung möglich <url> <match>foobar.php</match> [parameter] </url> 51

52 mod_parmguard: Beispiel <form> <input type="text" name="name"> <input type="text" name="plz"> <input type="submit"> </form> <xml version="1.0"?> <!DOCTYPE parmguard SYSTEM "mod_parmguard.dtd"/> <parmguard> <global name="http_error_code" value="403"/> <url> <match>adresse.php</match> <parm name="name"> <type name="string"/> <attr name="maxlen" value="20"/> <attr name="charclass" value="^[a-za- Z]+$"/> </parm> <parm name="plz"> <type name="integer"/> <attr name="minval" value="00000"/> <attr name="maxval" value="99999"/> </parm> </url> </parmguard> 52

53 mod_parmguard: Fazit Interessanter Ansatz für kontrollierte Umgebung Aufwand kaum vertretbar bei großen Anwendungen Für Administratoren Variablenliste schwer zu erstellen 53

54 Vielen Dank Slides online: Fragen? Kontakt: 54

PHP-Sicherheit. Christopher Kunz kunz@rvs.uni-hannover.de. Regionales Rechenzentrum für Niedersachsen

PHP-Sicherheit. Christopher Kunz kunz@rvs.uni-hannover.de. Regionales Rechenzentrum für Niedersachsen PHP-Sicherheit Christopher Kunz kunz@rvs.uni-hannover.de Vorstellung PHP-Erfahrung seit 1999 Studium (M. Sc. Informatik) in Hannover Mitglied im Hardened-PHP Project URLs http://www.christopher-kunz.de/

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

PHP sicher, performant und skalierbar betreiben

PHP sicher, performant und skalierbar betreiben PHP sicher, performant und skalierbar betreiben Dipl.-Inform. Dominik Vallendor 26.09.2012 Tralios IT GmbH www.tralios.de Über mich Dominik Vallendor Studium der Informatik in Karlsruhe Seit 1995: Internet

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

PHP Sicherheit. GNU Linux User Group Bamberg/Forchheim 04.11.2004. Alexander Meindl / meindlsoft am@meindlsoft.com

PHP Sicherheit. GNU Linux User Group Bamberg/Forchheim 04.11.2004. Alexander Meindl / meindlsoft am@meindlsoft.com PHP Sicherheit GNU Linux User Group Bamberg/Forchheim 04.11.2004 Alexander Meindl / meindlsoft am@meindlsoft.com PHP Sicherheit: Agenda Installation Konfiguration php.ini Webserver (Apache) Anpassungen

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem:

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem: !! "!!##$ %& es gibt keine 100 %ige Sicherheit Fehler zu machen ist menschlich man muss es so gut wie möglich machen es ist GROB FAHRLÄSSIG es nicht einmal zu versuchen Ziel: Methoden entwickeln, die Sicherheit

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3 Alexander Weidinger FH STP, IT Security Gliederung PHP potentielle Sicherheitslücken & Schutz Typo3 Werkzeuge für Extension-Entwicklung Zielgruppe

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

Grundlagen der sicheren PHP Programmierung

Grundlagen der sicheren PHP Programmierung Grundlagen der sicheren PHP Programmierung Parametermanipulationen und Injektionslücken Stefan Esser Hardened-PHP Project Worüber gesprochen wird... Was sind Parametermanipulationen? Was sind Injektionslücken?

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Erkennen und verhindern Sie Einbrüche über Web-Anwendungen Hack Schützen Sie Ihren Webserver und dynamischen Inhalt vor Einbrüchen.

Erkennen und verhindern Sie Einbrüche über Web-Anwendungen Hack Schützen Sie Ihren Webserver und dynamischen Inhalt vor Einbrüchen. HACK 117 Erkennen und verhindern Sie Einbrüche über Web-Anwendungen Hack Schützen Sie Ihren Webserver und dynamischen Inhalt vor Einbrüchen. #117 Das Entdecken von Einbrüchen, die herkömmliche Protokolle

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Installation/Update und Konfiguration des Renderservice (v1.7.0)

Installation/Update und Konfiguration des Renderservice (v1.7.0) Installation/Update und Konfiguration des Renderservice (v1.7.0) [edu- sharing Team] [Dieses Dokument beschreibt die Installation und Konfiguration des Renderservice.] edu- sharing / metaventis GmbH Postfach

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Ablauf. Wichtige Termine. Vertiefendes Übungsprojekt - SQL II

Ablauf. Wichtige Termine. Vertiefendes Übungsprojekt - SQL II Ablauf Wichtige Termine Ablauf der Lehrveranstaltung Vorstellung des Projektthemas Projektgruppen Vorstellung der Arbeitsumgebung (Software, Locations) Walkthrough Datenbankentwurf Formulare PHP Security

Mehr

Ablauf Unit2. Walkthrough

Ablauf Unit2. Walkthrough Ablauf Unit2 Vertiefendes Uebungsprojekt - SQL II Gerhard Wohlgenannt Test Vorstellung der Arbeitsumgebung (Software, Locations) Walkthrough Gruppeneinteilung + Themenvergabe Vorstellung der Arbeitsumgebung

Mehr

Installation von Typo3 CMS

Installation von Typo3 CMS Installation von Typo3 CMS TYPO3 Version 6.2.x unter Windows Eigenen lokalen Webserver mit XAMPP installieren Für die Installation von Typo3 wird eine passende Systemumgebung benötig. Diese besteht aus

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Härten des Oracle Application Server 9i Rel1, 9i Rel.2 und 10g. Alexander Kornbrust 10-Nov-2004. Red-Database-Security

Härten des Oracle Application Server 9i Rel1, 9i Rel.2 und 10g. Alexander Kornbrust 10-Nov-2004. Red-Database-Security Härten des Oracle Application Server 9i Rel1, 9i Rel.2 und 10g Alexander Kornbrust 10-Nov-2004 Red-database-security, Alexander Kornbrust, 10-11-2004 1 Überblick: 1. Einführung 2. Härten des Betriebssystems

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST 2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben

Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben Heinlein Support GmbH Peer Heinlein Selbstschutz Wo sind meine Risiken? Haben wir Geheimnisse?.htaccess und.htpasswd

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann MySQL Webinar 30.01.2007 Johann-Peter Hartmann Agenda Ajax und XSS Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders schmerzt Ajax Security Xml HTTP Request,

Mehr

PHP Programmierung. Seminarunterlage. Version 1.02 vom

PHP Programmierung. Seminarunterlage. Version 1.02 vom Seminarunterlage Version: 1.02 Version 1.02 vom 27. August 2013 Dieses Dokument wird durch die veröffentlicht.. Alle Rechte vorbehalten. Alle Produkt- und Dienstleistungs-Bezeichnungen sind Warenzeichen

Mehr

Java Sicherheit Das wahre Leben

Java Sicherheit Das wahre Leben Moritz Jodeit IT Security Consultant Java Sicherheit Das wahre Leben OOP 2011 26.01.2011 Me, myself and I» IT Security Consultant bei n.runs AG» Schwerpunkte» Penetrationstests» Source Code Audits» Binär-Analysen»

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

SQL-INJECTIONS. N E T D E V E L O P E R S G R O U P B E R L I N B R A N D E N B U R G, 0 5. 0 4. 2 0 1 2

SQL-INJECTIONS. N E T D E V E L O P E R S G R O U P B E R L I N B R A N D E N B U R G, 0 5. 0 4. 2 0 1 2 SQL-INJECTIONS. N E T D E V E L O P E R S G R O U P B E R L I N B R A N D E N B U R G, 0 5. 0 4. 2 0 1 2 Wie sind die nur wieder an meine Kreditkartendaten gekommen? http://www.testedich.de/quiz29/picture/pic_1312394875_7.jpg

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Sicherheit in Software

Sicherheit in Software Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken

Mehr

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

PHP-Programmierung: Sicherheitsaspekte

PHP-Programmierung: Sicherheitsaspekte PHP-Programmierung: Sicherheitsaspekte EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005 Überblick Register-Globals-Option

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

Browser-(Un)Sicherheit Ein buntes Programm

Browser-(Un)Sicherheit Ein buntes Programm Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009 http://testlab.sit.fraunhofer.de Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy?

Mehr

SQL Injection Funktionsweise und Gegenmaßnahmen

SQL Injection Funktionsweise und Gegenmaßnahmen SQL Injection Funktionsweise und Gegenmaßnahmen EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005 Problematik SQL-Injection

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Typo 3 installieren. Schritt 1: Download von Typo3

Typo 3 installieren. Schritt 1: Download von Typo3 Typo 3 installieren Bevor Sie Typo3 installieren, müssen Sie folgende Informationen beachten: Typo3 benötigt eine leere Datenbank. Mit Ihrem Abonnement verfügen Sie über eine einzige Datenbank. Sie können

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

PS Kryptographie und IT-Sicherheit. Thema: Software-Sicherheit. Thomas Loch, Michael Streif 2012

PS Kryptographie und IT-Sicherheit. Thema: Software-Sicherheit. Thomas Loch, Michael Streif 2012 PS Kryptographie und IT-Sicherheit Thema: Software-Sicherheit Thomas Loch, Michael Streif 2012 Malicious / Invalid Input Exploits nutzen Nebeneffekte von ungültigen Benutzereingaben aus, die vom Programmierer

Mehr

Einleitung Performance Konfiguration Quellen. NginX-Webserver. UnFUG. Christian Fischer. 28. April 2011

Einleitung Performance Konfiguration Quellen. NginX-Webserver. UnFUG. Christian Fischer. 28. April 2011 UnFUG 28. April 2011 Inhalt 1 Übersicht Statistiken Vor- und Nachteile 2.htaccess Architektur Eigene Erfahrung 3 4 Übersicht Übersicht Statistiken Vor- und Nachteile Ursprünglich von Igor Sysoev für rambler.ru

Mehr

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02.

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02. XML Wrapping: Die Kunst SAML s zu fälschen Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum 19. DFN Workshop

Mehr

Grundlagen Sicherheit der Web- Programmierung mit dem Schwerpunkt PHP

Grundlagen Sicherheit der Web- Programmierung mit dem Schwerpunkt PHP Grundlagen Sicherheit der Web- Programmierung mit dem Schwerpunkt PHP Version 0.1, Stand 02.01.2010 Für das Modul Internet-Programmierung der Beuth Hochschule für Technik Berlin im Online-Studiengang Medieninformatik

Mehr

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit.

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit. 1. ODBC 1.1 Problemstellung Die Informationen über die Microsoft SQL Server Datenbanken sind zur Zeit nicht auf der TIMD Website verfügbar. Der Grund ist, dass kein Interface zur Abfrage der benötigten

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Diplomarbeit. - Sicherheit von PHP- und MySQL-basierten Webanwendungen -

Diplomarbeit. - Sicherheit von PHP- und MySQL-basierten Webanwendungen - FOM Fachhochschule für Oekonomie und Management Düsseldorf Berufsbegleitender Studiengang zum Diplom-Wirtschaftsinformatiker (FH) Diplomarbeit - Sicherheit von PHP- und MySQL-basierten Webanwendungen -

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Deploy von PHP-Applikationen

Deploy von PHP-Applikationen Deploy von PHP-Applikationen Jan Burkl System Engineer Zend Technologies Wer bin ich? Jan Burkl jan.burkl@zend.com PHP Entwickler seit 2001 Projektarbeit Bei Zend seit 2006 System Engineer Zend Certified

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr