PHP-Sicherheit Gefahren und Lösungsansätze. Christopher Kunz
|
|
- Lena Kraus
- vor 8 Jahren
- Abrufe
Transkript
1 PHP-Sicherheit Gefahren und Lösungsansätze Christopher Kunz
2 Über Christopher Kunz Wohnt und arbeitet in Hannover PHP-Erfahrung seit 1999 Mitglied im Hardened-PHP Project URLs
3 Weiterführende Informationen Christopher Kunz, Peter Prochaska PHP-Sicherheit dpunkt.verlag 2006 (2. Auflage 2007) ISBN ,00 3
4 Agenda Aktuelle Entwicklungen in Webapp- Security Client-Side Angriffe Server-Side Angriffe Härten des Webservers / PHP Request Filtering mit Apache-Modulen (Alle Slides werden auch online sein!) 4
5 So sieht's aus... "Wurm schlängelt sich durch MySpace" "StudiVZ: Belohnung für Sicherheitslücken" "Web-Kalender Kronolith lässt sich Code unterschieben" "dev!l`z Clanportal - SQL Injection [061124a]" 5
6 Aktuelle Problemfelder Angriffe gegen Nutzer Cross-Site Scripting (XSS) Cross-Site Request Forgery (CSRF) Angriffe gegen Server SQL Injection Command Injection Local/Remote Code Execution 6
7 Angriffe gegen den Nutzer Nutzer webbasierter Applikationen sind gefährdet! Aktuelles Beispiel: StudiVZ Ausspähen sensitiver Informationen per JavaScript/DOM Ausnutzen von Browser-Komfort für eigene Zwecke ( AutoVervollständigung ) Sehr große Spanne an Möglichkeiten 7
8 XSS Cross-Site-Scripting Grundidee: Zonenmodell moderner Browser austricksen Angreifer sucht Möglichkeit, eigenen Code (JavaScript, nicht PHP/Perl o.ä.) auf Zielsite einzubetten Browser des Opfers führt diesen Code aus Sicherheitszone: Die der Zielsite 8
9 XSS Einfache Beispiele Bei Formular-Textfeldern "><script>alert('xss')</script> ' onfocus=javascript:alert('xss') In HTML-Tags <IMG SRC="javascript:alert('XSS');"> <BODY BACKGROUND="javascript:alert('XSS')"> XSS Cheatsheet enthält mehr Beispiele 9
10 XSS - Komplexität Durch DOM beliebige Manipulationen am Dokumentbaum möglich Ersetzen von Text Austauschen von Formularfeldern / -zielen Automatischer Versand von Formularen Durch Browserkomfort (Paßwort-Safe) auch Login-geschützte Seiten kein Problem 10
11 XSS und "Web 2.0" Moderne Websites sind überladen mit JavaScript (AJAX, Besuchertracking etc.) Injektion von HTML-Tags oft nicht nötig Eine verwundbare JS-Variable reicht Komplette Anwendung ist nicht mehr vertrauenswürdig Bei Webmail etc. praktisch unbegrenztes Abuse-Potential Auch nett: JS in Quicktime, Cross-Domain XML per Flash 11
12 XSS und PHP Hauptgrund: Ungeprüfte Ausgabe von Userinput echo $_GET['irgendwas'] PHP-Gegenmittel htmlentities(); strip_tags() Kein Administratorenproblem 12
13 SQL Injection Angriffe gegen Datenbanklayer Manipulation ungenügend geprüfter SQL- Queries Fehlende Typ-/Inhaltsprüfung Resultat: Verfälschtes Resultatset Auslesen privilegierter Daten Umgehung von Autorisierung / Authentifizierung Je nach DBMS: Zugriff aufs Dateisystem 13
14 SQL Injection in PHP Angreifbares Query: $query = "SELECT is_authorized FROM users WHERE username = '". $_POST['username']. "' AND password = '". $_POST['password']. "'"; $_POST['username'] = "admin' /*" Authentifizierung umgangen 14
15 SQL Injection: Gegenmaßnahmen Usereingabe nicht vertrauen! Maskieren von SQL-Sonderzeichen mysql_real_escape_string($_post['usernam e'] Prepared Statements mysqli->prepare() etc. Hauptsächlich Entwicklerproblem 15
16 Angriffe gegen den Server Automatisierte Scans nach verwundbaren Applikationen Professionelles Management der Angreifer Zunehmende professionelle Tools Ziel: Server rooten / als Spambot verwenden Das IST ein Administratorenproblem 16
17 Klassifikation Local/Remote Code Injection Arbitrary file inclusion meist "dank" eval/include und Konsorten Klassiker: include($_get['page']) Königsklasse: Nachladen von Exploitcode per HTTP Neu in PHP: Stream-Handler data: - praktisch für Exploits 17
18 C99shell 18
19 r57shell.php 19
20 Defacing Tool Pro v2.5 20
21 "PHP ist unsicher!" Oft verbreitetes "Argument" gegen PHP Nicht PHP ist unsicher, sondern PHP- Anwendungen Schwache Typisierung erleichtert Entwicklerfehler Ist C schuld an Sendmail oder Bind 7? Allerdings: Lücken im PHP-Kern noch immer (zu) häufig Tainted Mode fehlt nach wie vor 21
22 Bordmittel für PHP-Security Geeignete Auswahl der SAPI CGI/FastCGI statt mod_php Separation der Nutzer mittels suexec Eigene php.ini pro Nutzer Auch versch. PHP-Binaries pro Nutzer möglich ini-einstellungen für mehr Sicherheit 22
23 Safe Mode UID/GID Checks bei Dateioperationen Seit PHP 4 in PHP, stets Notlösung Extension-abhängig, häufige Lücken in der Vergangenheit Wird in PHP 6 abgeschafft Oft falsches Gefühl der Sicherheit 23
24 open_basedir open_basedir=/var/www/kunde1 Überprüft bei Dateioperationen Verzeichnis Direktive gibt Basisverzeichnis an, außerhalb dessen nicht zugegriffen werden darf Im Beispiel: include("/etc/passwd") wird verhindert 24
25 disable_functions disable_functions="system,passthru,eval" Funktionen selektiv verbieten Wird oft für Prozeßkontroll- /Systemfunktionen eingesetzt Unerwünschte Seiteneffekte Kompatibilitätsprobleme 25
26 system() und Co. PHP-Funktion system() forkt Shell Oft für Helper-Binaries wie ImageMagick Eingesetzt u.a. bei Typo3 Problem: Shell + Binaries kümmern sich nicht um Safe Mode Sicherheitsleck! Lösung: Keine externen Binaries zulassen! 26
27 allow_url_fopen Großes Problem für PHP-Anwendungen: Include auf unsichere Ziele Direktive "allow_url_fopen Off" verbietet Öffnen von URLs komplett Unerwünschte Nebenwirkungen Seit PHP 5.2.0: "allow_url_include" berücksichtigt nur include/require(_once) Empfehlung: Ausschalten! 27
28 Register Globals Registrierung von Requestvariablen als globale Variablen Aus $_GET['foo'] wird $foo Häufig noch aktiviert, obwohl seit default off register_globals on vereinfacht unsauberen Code register_globals Off! Immer! register_globals verschwindet in PHP 6 28
29 Suhosin Freier Patch / Extension für PHP vom Hardened-PHP Project Früher: "Hardened-PHP" bzw. "Hardening Patch for PHP" Per php.ini konfigurierbar 29
30 Extension / Patch Funktionalität aufgeteilt in PHP-Extension Patch für PHP-Quellcode Extension kompatibel zu allen anderen PHP- Extensions Suhosin-Teile können unabhängig voneinander genutzt werden Verfügbar in OpenSUSE, diversen BSDs, Gentoo, Debian etc. 30
31 Suhosin-Patch Schutz gegen Overflows Canary Protection für Zend Memory Manager Schutz gegen Formatstring-Angriffe 31
32 Suhosin: Simulationsmodus Konfiguration: suhosin.simulation Tut alles, nur keine richtigen Aktionen Sehr nützlich zum Überprüfen auf Probleme mit lokaler Installation Testen / Austarieren der Blacklist / Whitelist 32
33 Suhosin: Variablen-Features Variablenfilter GET/POST/COOKIE darf keine geschützten Variablen enthalten Variablenlänge, Variablenzahl, Arraytiefe etc. limitierbar Superglobals gegen extract() etc. geschützt 33
34 Suhosin: Runtime-Features Rekursionstiefe limitierbar memory_limit kann nicht mehr vom User geändert werden Neue realpath() Funktion 34
35 Suhosin: Whitelist/Blacklist Per Vhost konfigurierbar Whitelist für Funktionen Blacklist für Funktionen Zwei Modi Normal Innerhalb eval() 35
36 Suhosin: Include-Filter (Konfigurierbares) Verbot von include auf... URLs (Blacklist/Whitelist möglich) Überlange Dateinamen (BSD) Abgeschnittene Dateinamen (%00) Hochgeladene Dateien Schutz gegen Directory Traversal (../../etc/passwd ) 36
37 Suhosin: Diverse Features Kryptographiefunktionen CRYPT_BLOWFISH-Algorithmus für crypt() Sha256() und sha256_file() für Message Hashing Transparente Cookieverschlüsselung Transparente Verschlüsselung von Sessiondaten Umfangreiches Logging 37
38 mod_security Freies Apache-Modul Analyse eingehender Requests Blacklist-Approach Regex-basierte Regeln Aktuelle Versionen: 1.9.x / 2.0 Grundlegende Änderungen in
39 mod_security: Features Überprüfung des gesamten Scopes oder einzelner Bestandteile (GET, POST, Cookie etc.) Überprüfung von XML-Dokumenten mit xpath Sprachunabhängig Logging / IDS-Funktionalität chroot-umgebung für Apache 39
40 mod_security Installation Download von Version 1.9 apxs -cia mod_security.c apachectl stop / start Fertig! Version 2.0 Makefile editieren (top_dir =/usr/local/apache2) make; apachectl stop; make install Konfiguration apachectl start 40
41 mod_security: Konfiguration LoadModule security2_module modules/mod_security2.so SecRuleEngine [On Off DetectionOnly] Vor 2.0: SecFilterEngine SecServerSignature PwnServer/1.0 SecChrootDir /home/chroot 41
42 mod_security: Regeln Regeln bestehen aus 2-3 Komponenten optional: Wo? (Variablen-Scope) Was? (Filterausdruck) Was tun? (Aktion) SecFilter prüft gesamtes Scope SecFilterSelective prüft Teilscope In mod_security 2: SecRule SecRule VARIABLES OPERATOR [ACTIONS] 42
43 mod_security: Scoping REQUEST_URI REQUEST_HEADER:Content-Length ARGS ARGS!ARGS:safe ARGS:unsafe Regexp: ARGS:/^pageid_/ XML:/xPath/Expression etc. 43
44 mod_security: Operatoren Pre-2.0: Regexp für Regeln 2.0: viele zus. Funktionen Performance-Impact! Operatoren Numerisch: eq, ge, gt, le, lt Regexp: rx (impliziert durch Regex am Regelbeginn) rbl RBL-Lookup z.b. auf REMOTE_ADDR etc. SecRule ARG:id 0" 44
45 mod_security: Aktionen pass An dieser Regel vorbeilassen allow An allen Regeln vorbeilassen deny HTTP-Status 403 senden (= status:403) status:x HTTP-Status x senden redirect:x HTTP-Redirect auf URI x exec:x externes Executable x ausführen nolog, log Meldung (nicht) loggen skipnext:x Nächste x Regeln überspringen chain Verkettung mit nächster Regel pause:x Ausführung um x ms verzögern u.a.m. 45
46 mod_security: Fazit Blacklistansatz unnütz gegen 0Day Fängt mit passenden Rulesets extrem viele automatisierte Exploits "Web-IDS" im DetectionOnly-Modus 46
47 mod_parmguard Freies Apache-Modul Analyse eingehender Requests Apache 1.3, 2.x Whitelist-Ansatz XML-Konfigurationsdateien 47
48 mod_parmguard Whitelist-Ansatz gilt allg. als sicherer Keine "überflüssigen Variablen" Klare Definition der möglichen Schnittstellen Constraints Datentyp Wertebereich Bei Aufzählungen: Mögliche Optionen 48
49 mod_parmguard: Installation Download von guard.php./configure withapxs[2]=/usr/sbin/apachectl make && make install apachectl stop / start Fertig! 49
50 mod_parmguard: httpd.conf Konfiguration innerhalb von <Location>- Blöcken <Location /> ParmguardEngine On ParmguardConfFile /etc/parmguard.xml </Location> 50
51 mod_parmguard: XML-Konfiguration Konfigurationssprache: XML Validierung gegen mitgelieferte DTD Schachtelung / Gruppierung von Parametern Benutzung herkömmlicher XML-Tools zur Generierung möglich <url> <match>foobar.php</match> [parameter] </url> 51
52 mod_parmguard: Beispiel <form> <input type="text" name="name"> <input type="text" name="plz"> <input type="submit"> </form> <xml version="1.0"?> <!DOCTYPE parmguard SYSTEM "mod_parmguard.dtd"/> <parmguard> <global name="http_error_code" value="403"/> <url> <match>adresse.php</match> <parm name="name"> <type name="string"/> <attr name="maxlen" value="20"/> <attr name="charclass" value="^[a-za- Z]+$"/> </parm> <parm name="plz"> <type name="integer"/> <attr name="minval" value="00000"/> <attr name="maxval" value="99999"/> </parm> </url> </parmguard> 52
53 mod_parmguard: Fazit Interessanter Ansatz für kontrollierte Umgebung Aufwand kaum vertretbar bei großen Anwendungen Für Administratoren Variablenliste schwer zu erstellen 53
54 Vielen Dank Slides online: Fragen? Kontakt: 54
suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de
suhosin PHP-Patch und PHP-Security Extension Peter Prochaska Freiberuflicher Security-Consultant, PHP- Entwickler, Trainer und Autor. PHP-Entwickler seit 1998 Buchautor: PHP-Sicherheit, dpunkt.verlag Mitentwickler
MehrPHP-Sicherheit. Christopher Kunz kunz@rvs.uni-hannover.de. Regionales Rechenzentrum für Niedersachsen
PHP-Sicherheit Christopher Kunz kunz@rvs.uni-hannover.de Vorstellung PHP-Erfahrung seit 1999 Studium (M. Sc. Informatik) in Hannover Mitglied im Hardened-PHP Project URLs http://www.christopher-kunz.de/
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrPHP-Schwachstellen und deren Ausnutzung
PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten
MehrPHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27
PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrInhaltsverzeichnis. Einleitung... 11
Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP
MehrEinführung in Web-Security
Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrSZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht
SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:
MehrTobias Wassermann. Sichere Webanwendungen mit PHP
Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrDocuWare unter Windows 7
DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie
MehrDOKUMENTATION ky2help V 3.6 Servertests
DOKUMENTATION ky2help V 3.6 Servertests Version: 1.1 Autor: Colin Frick Letzte Änderung: 01.02.2012 Status: Final Fürst-Franz-Josef-Strasse 5 9490 Vaduz Fürstentum Liechtenstein Fon +423 / 238 22 22 Fax
MehrThemen. Apache Webserver Konfiguration. Verzeichnisse für Web-Applikationen. Server Side Includes
Themen Apache Webserver Konfiguration Verzeichnisse für Web-Applikationen Server Side Includes Apache Webserver Konfiguration des Apache Webservers Server-Einstellungen in der httpd.conf-datei Einteilung
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrInstallation des GeoShop Redirector für Apache (Stand 14.8.2007) ================================================================
Installation des GeoShop Redirector für Apache (Stand 14.8.2007) ================================================================ 0 Überblick ----------- Die Installation des GeoShop Redirector im Apache
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,
MehrWeb Application Security
Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von
MehrPHP sicher, performant und skalierbar betreiben
PHP sicher, performant und skalierbar betreiben Dipl.-Inform. Dominik Vallendor 26.09.2012 Tralios IT GmbH www.tralios.de Über mich Dominik Vallendor Studium der Informatik in Karlsruhe Seit 1995: Internet
MehrRIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI - 12. Deutscher IT-Sicherheitskongress
BSI - 12. Deutscher IT-Sicherheitskongress 10.-12. Mai.2011, Bonn Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse, Ruhr-Universität Bochum 1 1.1 Motivation Schwachstellen
MehrInstallation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools
Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
MehrPatch Management mit
Patch Management mit Installation von Hotfixes & Patches Inhaltsverzeichnis dieses Dokuments Einleitung...3 Wie man einen Patch installiert...4 Patch Installation unter UliCMS 7.x.x bis 8.x.x...4 Patch
MehrPHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet
PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren von Christopher Kunz, Stefan Esser, Peter Prochaska überarbeitet PHP-Sicherheit Kunz / Esser / Prochaska schnell und portofrei erhältlich bei
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrEinrichten des IIS für VDF WebApp. Einrichten des IIS (Internet Information Server) zur Verwendung von Visual DataFlex Web Applications
Einrichten des IIS (Internet Information Server) zur Verwendung von Visual DataFlex Web Applications Windows 8 Systemsteuerung > Programme > Windows Features aktivieren / deaktivieren > Im Verzeichnisbaum
MehrPHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.
Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim Tim Weber 9. November 2006 Übersicht 1. Die Sprache PHP 2. Sicherheitslücken und Angriffsszenarien
MehrInstallation SelectLine SQL in Verbindung mit Microsoft SQL Server 2012 Express with management tools
Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2012 Express with management tools Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte
MehrPlanung für Organisation und Technik
Salztorgasse 6, A - 1010 Wien, Austria q Planung für Organisation und Technik MOA-VV Installation Bearbeiter: Version: Dokument: Scheuchl Andreas 19.11.10 MOA-VV Installation.doc MOA-VV Inhaltsverzeichnis
MehrERSTELLEN VON INCENTIVES IM ZANOX NETZWERK
ERSTELLEN VON INCENTIVES IM ZANOX NETZWERK USER GUIDE FÜR ADVERTISER INHALTSVERZEICHNIS 1. Einführung...3 2. Incentives veröffentlichen...4 3. Weitere Funktionen...9 ZANOX.de AG Erstellen von Incentives
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrInstallation von NetBeans inkl. Glassfish Anwendungs-Server
Installation von NetBeans inkl. Glassfish Anwendungs-Server Diese Anleitung führt Sie Schritt für Schritt durch die Einrichtung der Entwicklungsumgebung NetBeans, angefangen beim Download der benötigten
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrMailUtilities: Remote Deployment - Einführung
MailUtilities: Remote Deployment - Einführung Zielsetzung Die Aufgabe von Remote Deployment adressiert zwei Szenarien: 1. Konfiguration der MailUtilities von einer Workstation aus, damit man das Control
MehrPHP-5-Zertifizierung. Block 12 Security.
PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies
MehrPHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska
Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung
MehrTracking Dog A Privacy Tool Against Google Hacking
1. Google Hacking 2. Kryptographische Geheimnisse 3. Persönlische Daten 4. Tracking Dog 1.0 1. Google Hacking - beschreibt die Technik mittels Google, bzw. dessen erweiterter Suchfunktionen, Sicherheitslücken
MehrAnleitung zum Prüfen von WebDAV
Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des
MehrBewusstkaufen.at XML Produkt Importschnittstelle für Händler
Bewusstkaufen.at XML Produkt Importschnittstelle für Händler Inhalt Inhalt... 1 Ablauf... 2 Bilder vorbereiten... 2 Methode 1: Bilder auf Fremdserver bereitstellen... 2 Methode 2: Bilder per FTP auf den
Mehrvii Inhaltsverzeichnis 1 Einleitung 1
vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................
Mehr3. Stud.IP-Entwickler-Workshop 2. Juni 2006 Workshop 3c: Stud.IP-Enterprise-Edition André Noack, Frank Elsner
3. Stud.IP-Entwickler-Workshop 2. Juni 2006 Workshop 3c: Stud.IP-Enterprise-Edition André Noack, Frank Elsner Gliederung Das Problem: Skalierbarkeit LAMP Tuning Mehr als ein Server Stud.IP und shared nothing
MehrAppCenter Handbuch August 2015, Copyright Webland AG 2015
AppCenter Handbuch August 2015, Copyright Webland AG 2015 Inhalt AppCenter Login Applikation installieren Voraussetzung Applikation importieren Von diesem Webhosting-Konto Anhang PHP Versionen Schreib-Rechte
Mehrtelpho10 Update 2.1.6
telpho10 Update 2.1.6 Datum: 31.03.2011 NEUERUNGEN... 2 STANDORTANZEIGE GESPERRTER IP ADRESSEN... 2 NEUE SEITE SYSTEM STATUS IN DER ADMINISTRATOR WEB-GUI... 2 NEUE SEITE SNOM FIRMWARE IN DER ADMINISTRATOR
MehrErstellen eines Formulars
Seite 1 von 5 Word > Erstellen bestimmter Dokumente > Formen Erstellen von Formularen, die in Word ausgefüllt werden können Basierend auf einer Vorlage können Sie dieser Inhaltssteuerelemente und Hinweistext
MehrAnleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine
Seite 1 von 11 Anleitung Inhalt Inhalt... 1 1. Installation... 2 2. Setup... 2 2.1 Login... 2 2.2 Benutzer erstellen... 2 2.3 Projekt erstellen... 4 2.4 SVN/Git Integration... 6 2.4.1 Konfiguration für
MehrHTBVIEWER INBETRIEBNAHME
HTBVIEWER INBETRIEBNAHME Vorbereitungen und Systemvoraussetzungen... 1 Systemvoraussetzungen... 1 Betriebssystem... 1 Vorbereitungen... 1 Installation und Inbetriebnahme... 1 Installation... 1 Assistenten
MehrDriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH
6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrInternet Explorer Version 6
Internet Explorer Version 6 Java Runtime Ist Java Runtime nicht installiert, öffnet sich ein PopUp-Fenster, welches auf das benötigte Plugin aufmerksam macht. Nach Klicken auf die OK-Taste im PopUp-Fenster
MehrZusammenfassung Web-Security-Check ZIELSYSTEM
Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt
MehrINDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline
Öffentliche Ordner Offline INDEX Öffentliche Ordner erstellen Seite 2 Offline verfügbar einrichten Seite 3 Berechtigungen setzen Seite 7 Erstelldatum 12.08.05 Version 1.1 Öffentliche Ordner Im Microsoft
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrAlbert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen
Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
MehrDuonix Service Software Bedienungsanleitung. Bitte beachten Sie folgende Hinweise vor der Inbetriebnahmen der Service Software.
Duonix Service Software Bedienungsanleitung Sehr geehrte Kundin, sehr geehrter Kunde Bitte beachten Sie folgende Hinweise vor der Inbetriebnahmen der Service Software. Prüfen Sie ob Sie die Aktuellste
MehrMultimedia im Netz Wintersemester 2011/12
Multimedia im Netz Wintersemester 2011/12 Übung 01 Betreuer: Verantwortlicher Professor: Sebastian Löhmann Prof. Dr. Heinrich Hussmann Organisatorisches 26.10.2011 MMN Übung 01 2 Inhalte der Übungen Vertiefung
MehrAuthentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL
Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrSUS Software Update Services
2 Einleitung Sicherheitspatch Verteilung in mehreren Netzwerken per Microsoft Software Update Services 3 Einleitung Themenübersicht Idee / Planung SUS-Server SUS-Client Produkt Demo Idee / Planung Idee
MehrWEBAPPLIKATIONEN MIT PHP. Wo gibt es Hilfe? Wie fang ich an?
WEBAPPLIKATIONEN MIT PHP Wo gibt es Hilfe? Wie fang ich an? Tools Webapplikationen bestehen aus Textdateien Lassen sich in Texteditoren schreiben Alternativen: Eclipse (PDT) Netbeans (Dynamic Languages)
MehrBetroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite
Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY
MehrSoftwaren Engineering I
Softwaren Engineering I Gruppe: P07 Projekt: BetVM HowTo Zugriff und Aufsetzung des Systems Name Matrikelnummer Vedat Aydin 4232215 Marcel Scheid 4232229 Kurs Dozent TAI09AIM Dipl.-Wirt.-Ing. K. Koochaki
Mehr1 Installation QTrans V2.0 unter Windows NT4
1 Installation QTrans V2.0 unter Windows NT4 1.1 Unterstützte Funktionen Unter NT4 wird nur der Betrieb von QTrans im Report-Client-Modus unterstützt, d. h. für die Anzeige von Schraubergebnissen und für
MehrFormular»Fragenkatalog BIM-Server«
Formular»Fragenkatalog BIM-Server«Um Ihnen so schnell wie möglich zu helfen, benötigen wir Ihre Mithilfe. Nur Sie vor Ort kennen Ihr Problem, und Ihre Installationsumgebung. Bitte füllen Sie dieses Dokument
MehrWebseiten im PHYSnet. PHYSnet-RZ 9. Mai 2011
Webseiten im PHYSnet PHYSnet-RZ 9. Mai 2011 1 1 Umzug auf das AFS Die www-dateien sind vom Alpha-CLuster auf das AFS umgezogen. Anleitungen zum Zugriff auf das AFS finden Sie unter http://www.physnet.uni-hamburg.de/physnet/doku.htm.
MehrLokale Installation von DotNetNuke 4 ohne IIS
Lokale Installation von DotNetNuke 4 ohne IIS ITM GmbH Wankelstr. 14 70563 Stuttgart http://www.itm-consulting.de Benjamin Hermann hermann@itm-consulting.de 12.12.2006 Agenda Benötigte Komponenten Installation
MehrAnleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine
Seite 1 von 11 Anleitung Inhalt Inhalt... 1 1. Installation... 2 2. Setup... 2 2.1 Login... 2 2.2 Benutzer erstellen... 2 2.3 Projekt erstellen... 4 2.4 SVN/Git Integration... 6 2.4.1 Konfiguration für
MehrSnippets - das Erstellen von "Code- Fragmenten" - 1
Snippets - das Erstellen von "Code- Fragmenten" Das Erstellen von "Code- Fragmenten", welche mit dem TinyMCE ausgewählt werden können. Grundlegendes: Die Datei, welche die in Folge erklärten Daten und
MehrTimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München
Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrWissenswertes über LiveUpdate
Wissenswertes über LiveUpdate 1.1 LiveUpdate «LiveUpdate» ermöglicht den einfachen und sicheren Download der neuesten Hotfixes und Patches auf Ihren PC. Bei einer Netzinstallation muss das LiveUpdate immer
MehrGeorg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.
Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck
MehrDie Installation des GeoShop Redirector für IIS (Internet Information Server, Version 4.0, 5.0 und 6.0) umfasst folgende Teilschritte:
Installation des GeoShop Redirector für IIS (Stand 24.8.2007) ============================================================= 0 Überblick ----------- Die Installation des GeoShop Redirector für IIS (Internet
MehrMigration Howto. Inhaltsverzeichnis
Migration Howto Migration Howto I Inhaltsverzeichnis Migration von Cobalt RaQ2 /RaQ3 Servern auf 42goISP Server...1 Voraussetzungen...1 Vorgehensweise...1 Allgemein...1 RaQ...1 42go ISP Manager Server...2
MehrKurzanleitung zum Einrichten des fmail Outlook 2007 - Addin
Kurzanleitung zum Einrichten des fmail Outlook 2007 - Addin Um sicher und bequem Nachrichten mit Outlook zu verwalten, muss der E-Mail Client passend zu unseren E-Mail Einstellungen konfiguriert sein.
MehrDas Starten von Adami Vista CRM
Das Starten von Adami Vista CRM 1. Herunterladen Der AdamiVista Installations-Kit wird auf unsere Website zur verfügung gestellt, auf die Download Seite: http://www.adami.com/specialpages/download.aspx.
MehrBusinessMail X.400 Webinterface Gruppenadministrator V2.6
V2.6 Benutzerinformation (1) In der Vergangenheit konnten Sie X.400 Mailboxen, die Ihnen als Gruppenadministrator zugeordnet sind, nur mittels strukturierten Mitteilungen verwalten. Diese Mitteilungen
MehrTask: Nmap Skripte ausführen
Task: Nmap Skripte ausführen Inhalt Einfache Netzwerkscans mit NSE Ausführen des Scans Anpassung der Parameter Einleitung Copyright 2009-2015 Greenbone Networks GmbH Herkunft und aktuellste Version dieses
MehrMusterlösung für Schulen in Baden-Württemberg. Windows 2003. Basiskurs Windows-Musterlösung. Version 3. Stand: 19.12.06
Musterlösung für Schulen in Baden-Württemberg Windows 2003 Basiskurs Windows-Musterlösung Version 3 Stand: 19.12.06 Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg
MehrHandbuch. timecard Connector 1.0.0. Version: 1.0.0. REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen
Handbuch timecard Connector 1.0.0 Version: 1.0.0 REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen Furtwangen, den 18.11.2011 Inhaltsverzeichnis Seite 1 Einführung... 3 2 Systemvoraussetzungen...
MehrGrundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).
Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27). Szenario: Benutzer möchte aus dem Ausland eine verschlüsselte Verbindung über das Internet in sein Netzwerk herstellen
MehrTechnische Information: Installation WyRu Online-Shop
Technische Information: Installation WyRu Online-Shop Team WyRu Christian Wyk / Günter Rubik SCS Bürocenter B1, A-2334 Vösendorf Internet http://www.wyru.at Installationsvorraussetzungen Damit der Online-Shop
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrSCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN E-MAIL
SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN E-MAIL www.klinik-schindlbeck.de info@klinik-schindlbeck.de Bitte beachten Sie, dass wir nicht für die Sicherheit auf Ihrem Endgerät verantwortlich sein können.
MehrStep by Step Webserver unter Windows Server 2003. von Christian Bartl
Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird
MehrUpdatehinweise für die Version forma 5.5.5
Updatehinweise für die Version forma 5.5.5 Seit der Version forma 5.5.0 aus 2012 gibt es nur noch eine Office-Version und keine StandAlone-Version mehr. Wenn Sie noch mit der alten Version forma 5.0.x
MehrLizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
MehrFirewall Implementierung unter Mac OS X
Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-
MehrTest mit lokaler XAMPP Oxid Installation
Test mit lokaler XAMPP Oxid Installation Hintergrundinformation Die hier gezeigte Lösung benutzt die OXID Version 4.7x. OXID lässt sich mit dieser Lösung lokal auf dem Windows Rechner installieren. Die
Mehr:: Anleitung Hosting Server 1cloud.ch ::
:: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Hosting Server
MehrMH3 D2/3 DB/4. Name: Matr.-Nr. Seite: 3. Aufgabe 1. (6 Punkte) a) Gegeben sei eine kryptographische Hashfunktion h^o,!}* mit Hashwert h^mo) = 4.
Aufgabe 1 a) Gegeben sei eine kryptographische Hashfunktion h^o,!} mit Hashwert h^mo) = 4. (14 Punkte) {0,2,4} sowie eine Nachricht M 0 Wie hoch ist die Wahrscheinlichkeit, dass bei einerweiteren Nachricht
MehrInstallation SelectLine SQL in Verbindung mit Microsoft SQL Server 2014 Express with management tools
Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2014 Express with Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte Funktionalität
Mehr