IT-Sicherheit Angriffsziele und -methoden Teil 2
|
|
- Lioba Schmitt
- vor 8 Jahren
- Abrufe
Transkript
1 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2
2 Buffer Overflows 2
3 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird mit zu großen Datenblöcken gefüllt Dadurch werden angrenzende Speicherbereiche überschrieben Mögliche Folgen Programmabsturz Verfälschung von Daten Aushebeln von Sicherheitsprüfungen Ausführen von eingeschleustem Code 3
4 Stack Overflow Bei Prozeduraufruf werden Rücksprungadresse und Aufrufparameter auf dem Stack abgelegt Stack wächst von oben her Overflow bei Aufrufparameter kann Rücksprungadresse überschreiben Einfache Variante: ungültige Adresse führt zu Programmabsturz 4
5 Stack Overflow Erweiterte Variante: Code einschleusen Zusätzlich zur neuen Rücksprungadresse wird ausführbarer Code eingeschleust Rücksprungadresse zeigt auf eigenen Code Ungenau bekannte Position kann durch NOP- Opcodes ausgeglichen werden Eingeschleuster Code wird mit Berechtigung des manipulierten Prozesses ausgeführt Privilege Escalation 5
6 Heap Overflow Grundsätzlich selbes Konzept Overflow von dynamisch allokiertem Speicher Ausführen beliebigen Codes durch Überschreiben von Funktionspointern 6
7 Buffer Overflow - Gegenmaßnahmen Saubere Programmierung Prüfung von Bereichsgrenzen Unterstützung durch Bibliotheken Toolunterstützte Codeanalyse Zusätzliche Prüfungen canary bei stack overflow Umsetzung durch Compilererweiterungen Nutzung typsicherer Programmiersprachen Sprachen mit direkter Zeigermanipulation wie C/C++ besonders anfällig Andere Sprachen wie Java, C# sicherer durch eingebaute Bereichsprüfungen 7
8 Injection-Angriffe Einschleusen von ausführbaren Anweisungen über Schnittstellen oder Benutzereingaben SQL-Injection Dynamic Evaluation (eval-injection) Shell Injection HTML-Script Injection (cross site scripting) 8
9 SQL-Injection 9
10 SQL-Injection Einschleusen von SQL-Anweisungen durch ungenügende Eingabevalidierung z. B. Ungeprüfte Übernahme von Eingaben in WHERE-Bedingung Erlaubt Ausblenden von Statement-Teilen durch Kommentarzeichen oder zusätzliche Teile in WHERE-Clause Erlaubt Ausführen praktisch beliebiger Anweisungen Einer der Top-10-Angriffe auf Webanwendungen 10
11 SQL-Injection - Gegenmaßnahmen Vermeidung Escaping Pattern-Checks Prüfung der Eingabe auf erlaubte bzw. verbotene Zeichen (Black- / Whitelisting) Verwendung von Prepared Statements Verwendung eines OR-Mapper Schadensbegrenzung Rechtebeschränkung 11
12 eval-injection Nutzung ungeprüfter Benutzereingaben in eval-anweisung (dynamische Ausführung von Strings als Programmcode zur Laufzeit) Erlaubt Ausführung von fast beliebigem Programmcode Ähnlich: include file injection 12
13 Eval-Injection - Gegenmaßnahmen Don't do it! Escaping Black-/Whitelisting Rechtebegrenzung 13
14 shell-injection Nutzung ungeprüfter Benutzereingaben in Shell-Kommandos z. B. system()-call Erlaubt Ausführung von fast beliebigen commandline-befehlen Sequence Pipe Command substitution AND, OR IO-Redirection 14
15 Shell-Injection - Gegenmaßnahmen Don't do it! Nutzung von libs und direkten APIs statt system()-call Escaping Viele Sprachen bieten schon entsprechende Funktionen (PHP, Python) Eingabevalidierung (Pattern-Checks, Black-/Whitelisting) 15
16 Script-Injection (Cross Site Scripting, XSS) Injektion von Code (z. B. JavaScript-Block) in Webseiten Non-persistent (reflected) / persistent (stored) Server- ( traditional )/ Clientseitig (DOM-based) Ermöglicht Umgehen von AuthN-/AuthZ- Mechanismen, z. B. Same-Origin-Policy Aktuell einer der Top-Angriffe auf Webanwendungen 16
17 Script-Injection - Beispiele 17
18 Script-Injection - Gegenmaßnahmen Eingabevalidierung Output encoding / escaping Ersetzen von HTML-Sonderzeichen in Daten, die in die Seite gerendert werden HttpOnly-Cookies Bindung von Sessions/Cookies an weitere Informationen (IP-Adresse) 18
19 Cross Site Request Forgery Dem Benutzer wird ein Request auf eine andere Seite untergeschoben Request wird mit der Session bzw. den Credentials des Users ausgeführt Basiert auf Vertrauen der Anwendung in die Benutzeridentität 19
20 CSRF - Beispiele 20
21 CSRF - Gegenmaßnahmen Nutzerseitig kaum Gegenmaßnahmen möglich Ausloggen nach Nutzung der Anwendung Dauerhafte Anmeldung ( remember me ) vermeiden Anwendungsseitig Verwendung von Tokens und Nonces zusätzlich zu Session- Cookie Übertragung von Authentisierungsdaten als Request-Parameter oder Header Prüfung von Referer- oder Origin-Header (allein nicht ausreichend) Unterstützung durch Frameworks oder Bibliotheken 21
22 OWASP (Open Web Application Security Project) Non-profit-Organisation mit Fokus auf Softwaresicherheit ( Unterstützt verschiedenste Projekte zum Thema Howtos, Bücher, Tutorials Tools und Bibliotheken Wiki / Forum OWASP Top 10 22
23 OWASP Top 10 OWASP stellt in regelmäßigen Abständen Liste mit Top- Risiken für Webanwendungen zusammen (alle 3 Jahre) Risiken aufgeschlüsselt nach Angreifern, Angriffsvektoren, Schwachstellen, technischen und geschäftlichen Folgen Beschreibt Verwundbarkeiten, Gegenmaßnahmen, Beispiele Aktuelle Liste ist von 2010, die neue soll demnächst erscheinen Unverzichtbare Lektüre für Architekten und Entwickler von Webanwendungen 23
24 OWASP Top-10-Liste 2010 A1 - Injection (SQL, Shell, LDAP, ) A2 Cross Site Scripting (XSS) A3 Broken Authentication and Session Management A4 Insecure Direct Object References A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration A7 Insecure Cryptographic Storage A8 Failure to restrict URL access A9 Insufficient rransport layer protection A10 Unvalidated redirects and forwards 24
25 A1 - Injection Nicht vertrauenswürdige Daten werden ungeprüft an einen Command- oder Query- Interpreter gegeben Häufigste Typen schon besprochen Kann zur Ausführung von Befehlen oder zum unautorisierten Zugriff auf Daten genutzt werden. 25
26 A2 - XSS Schon besprochen 26
27 A3 Broken Authentication and Session Management Fehlerhafte Implementierung von Funktionen im Bereich Authentication and Session Management Erlaubt Angreifern Zugriff auf Passworte, Schlüssel, Tokens oder erlaubt Identitätsmißbrauch auf andere Weise 27
28 A4 Insecure Direct Object References Direct Object Reference: nach außen sichtbare Referenz auf internes Objekt (Datei, Directory, Datenbank-Key, ) Mangelnde Validierung erlaubt unautorisierten Zugriff auf Daten oder gar Ausbruch aus dem Anwendungskontext 28
29 A5 Cross Site Request Forgery Schon besprochen 29
30 A6 Security Misconfiguration Sicherheitslücken aufgrund fehlerhafter Konfiguration auf verschiedensten Ebenen Anwendung Application Server Web Server Datenbankserver Betriebssystem Beinhaltet auch Versionsstände von Komponenten und Bibliotheken 30
31 A7 Insecure Cryptographic Storage Unsichere oder fehlerhaft gesicherte Speicherung von sensiblen Daten (persönliche Daten, Kreditkartennummern, Passworte,...) Konzeptions- oder Implementierungsfehler Schwache Algorithmen 31
32 A8 Failure to restrict URL access Unzureichende Autorisierungsprüfung beim Zugriff auf eingeschränkte Resourcen Autorisierung wird oft nur beim Rendern von Links oder Buttons geprüft Prüfung zusätzlich serverseitig erforderlich 32
33 A9 Insufficient Transport Layer Security Unzureichender Schutz von Transportkanälen (Vertraulichkeit und Integrität) Schwache Algorithmen Abgelaufene oder ungültige Zertifikate Fehlerhafte Konzeption oder Implementierung 33
34 A9 Unvalidated Redirects and Forwards Nutzung unzureichend validierter Eingaben für Weiterleitungen Umleitung auf Malware- oder Phishing- Seiten Unautorisierter Zugriff auf Daten 34
35 OWASP Top 10 Wichtige und hilfreiche Liste, aber: Risiko hört nicht bei Punkt 10 auf Sicherheit ist ein Prozess: Risiken ändern sich mit der Zeit Sicherheitskonzepte müssen über Liste hinausgehen ständige Neuanalyse und Bewertung erforderlich. 35
Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrSecure Programming vs. Secure Development
Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrAbbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich
MehrNetzwerksicherheit Übung 9 Websicherheit
Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrSecure Webcoding for Beginners
Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer
MehrBaustein Webanwendungen. Stephan Klein, Jan Seebens
Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrAktuelle Bedrohungen im Internet
Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung
MehrOpenWAF Web Application Firewall
OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang
Mehritsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com
itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrAngreifbarkeit von Webapplikationen
Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre
MehrUnix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen
Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:
MehrIHK: Web-Hacking-Demo
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrHerzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10.
Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen Udo H. Kalinna Nürnberg, den 10.10.2013 AGENDA Kein Tag ohne Hack! Sind diese Schwachstellen
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
MehrWas ist bei der Entwicklung sicherer Apps zu beachten?
Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung
MehrV10 I, Teil 2: Web Application Security
IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command
MehrOWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
MehrEJB Beispiel. JEE Vorlesung 10. Ralf Gitzel ralf_gitzel@hotmail.de
EJB Beispiel JEE Vorlesung 10 Ralf Gitzel ralf_gitzel@hotmail.de 1 Stundenkonzept Gemeinsame Übung Stoff der letzten Stunde wird gemeinsam in einem Beispiel umgesetzt Details werden nochmals erklärt bzw.
MehrSicherheit Web basierter Anwendungen
Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrAgenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF
Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis
MehrSZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht
SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrFileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona
Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:
MehrSicherheit in Software
Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken
MehrDatensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Vorlesung 4: Sommersemester 2015 h_da, Lehrbeauftragter Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP
Mehrbusiness.people.technology.
business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus
MehrWo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik
Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank
MehrInhaltsverzeichnis. Einleitung... 11
Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP
MehrAktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische
MehrOWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente
Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische
MehrApache HTTP-Server Teil 2
Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und
MehrOWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller
OWASP Top 10: Scanning JSF Andreas Hartmann & Stephan Müller 07.04.2011 Andreas Hartmann (Principal Software Engineer): Leichtgewichtige Softwarearchitekturen und Frameworks auf Basis der JEE Plattform
MehrSicherheit in Rich Internet Applications
Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player
MehrPHP-Schwachstellen und deren Ausnutzung
PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten
MehrWeb Application Security
Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von
MehrAbsicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10
The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt
MehrWas ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security
Agenda Was ist LDAP Aufbau einer Sicherheitsmaßnahmen Was ist LDAP Abstract RFC4510 The Lightweight Directory Access Protocol (LDAP) is an Internetprotocol for accessing distributed directory services
MehrIT-Security Herausforderung für KMU s
unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/
Mehrsslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff
sslstrip und sslstrip und sslstrip und -Header - Syntax -Header - Details Preloaded Sites OWASP Stammtisch München, 18. Februar 2014 - sslstrip und Inhaltsverzeichnis sslstrip und -Header - Syntax -Header
Mehr2. Installation unter Windows 8.1 mit Internetexplorer 11.0
1. Allgemeines Der Zugang zum Landesnetz stellt folgende Anforderungen an die Software: Betriebssystem: Windows 7 32- / 64-bit Windows 8.1 64-bit Windows Server 2K8 R2 Webbrowser: Microsoft Internet Explorer
MehrHACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH
HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert
MehrThema PHP-Sicherheits-Training-System. vorgelegt von Timo Pagel
Thema PHP-Sicherheits-Training-System vorgelegt von Timo Pagel Hamburg, den 29.04.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 24 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration
MehrTobias Wassermann. Sichere Webanwendungen mit PHP
Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP
MehrBusinessMail X.400 Webinterface Gruppenadministrator V2.6
V2.6 Benutzerinformation (1) In der Vergangenheit konnten Sie X.400 Mailboxen, die Ihnen als Gruppenadministrator zugeordnet sind, nur mittels strukturierten Mitteilungen verwalten. Diese Mitteilungen
Mehr12.4 Sicherheitsarchitektur
12.4 Sicherheitsarchitektur Modellierung Sicherheitsstrategie Systemmodell Sicherheitsmodell Entwurf Architektur Sicherheitsarchitektur Implementierung sicherer Code SS-12 1 Wie wird das Sicherheitsmodell
MehrAnleitung zum Prüfen von WebDAV
Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des
MehrInstallationsbeschreibung Flottenmanager 7.1
Installationsbeschreibung Flottenmanager 7.1 1 Dieses Dokument dokumentiert die Installation des Flottenmanagers (Server und Clientseite). Damit der Flottenmanager betrieben werden kann, müssen folgende
MehrRadius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106
Radius Server Bericht im Studiengang Computerengineering an der HS-Furtwangen Student: Alphonse Nana Hoessi Martikelnr.:227106 Student: Daniel Lukac Martikelnr.: 227244 Student: Dominik Bacher Martikelnr.:
Mehrestos UCServer Multiline TAPI Driver 5.1.30.33611
estos UCServer Multiline TAPI Driver 5.1.30.33611 1 estos UCServer Multiline TAPI Driver... 4 1.1 Verbindung zum Server... 4 1.2 Anmeldung... 4 1.3 Leitungskonfiguration... 5 1.4 Abschluss... 5 1.5 Verbindung...
MehrSoftwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit
Softwaresicherheit Eine Präsentation von Benedikt Streitwieser und Max Göttl Einführung Kryptographie und IT-Sicherheit Gliederung Einleitung: Was ist Softwaresicherheit Populäre Beispiele Anforderungen
MehrAktuelle Sicherheitsprobleme im Internet
Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt
MehrSichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen
Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für
MehrCarsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier
Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp
MehrSage 200 BI Häufige Fehler & Lösungen. Version 15.10.2014
Sage 200 BI Häufige Fehler & Lösungen Version 15.10.2014 Inhaltverzeichnis Sage 200 BI Häufige Fehler & Lösungen Inhaltverzeichnis 2 1.0 Häufige Probleme & Lösungen 3 1.1 Keine Grafiken in SSRS-Auswertungen
MehrPHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation
PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem
MehrWeb Applications Vulnerabilities
Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt
MehrOpen Source als de-facto Standard bei Swisscom Cloud Services
Open Source als de-facto Standard bei Swisscom Cloud Services Dr. Marcus Brunner Head of Standardization Strategy and Innovation Swisscom marcus.brunner@swisscom.com Viele Clouds, viele Trends, viele Technologien
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrAktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery
MehrJava Virtual Machine (JVM) Bytecode
Java Virtual Machine (JVM) durch Java-Interpreter (java) realisiert abstrakte Maschine = Softwareschicht zwischen Anwendung und Betriebssystem verantwortlich für Laden von Klassen, Ausführen des Bytecodes,
MehrThema PHP-Sicherheits-Training-System. Timo Pagel
Thema PHP-Sicherheits-Training-System Timo Pagel Hamburg, den 13.05.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 27 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration einer
MehrZeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI
Zeitstempel für digitale Dokumente Ein neuer Dienst in der DFN-PKI DFN-Betriebstagung 26. Februar 2008 Gerti Foest (pki@dfn.de) Was ist ein Zeitstempel? Zeitstempel sind gemäß [ISO18014-1] digitale Daten,
MehrProgrammiertechnik II
X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrHISOLUTIONS - SCHWACHSTELLENREPORT
HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations- und
MehrLehrveranstaltung Grundlagen von Datenbanken
Verbindungsanleitung mit der Datenbank Um sich mit der Datenbank für die Übung zu verbinden, gibt es mehrere Möglichkeiten. Zum einen ist die Datenbank aus dem Netz des Informatikums direkt erreichbar.
MehrWeb Engineering. http://vsr.informatik.tu-chemnitz.de
Verteilte und selbstorganisierende Rechnersysteme WS 11/12 07/08 Praktikum Web Engineering Dipl.-Inf. Olexiy Chudnovskyy Technische Universität Chemnitz Fakultät für Informatik Professur Verteilte und
MehrKonfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung
Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung Inhalt 1. Einleitung:... 2 2. Igel ThinClient Linux OS und Zugriff aus dem LAN... 3
MehrWie steht es um die Sicherheit in Software?
Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die
MehrAdministrator-Anleitung
Administrator-Anleitung für die Installation und Konfiguration von MySQL 5.0 zur Nutzung der Anwendung Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU) Danziger
MehrMan liest sich: POP3/IMAP
Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrSharePoint Security Einführung in das SharePoint Sicherheitssystem. Fabian Moritz MVP Office SharePoint Server
SharePoint Security Einführung in das SharePoint Sicherheitssystem Fabian Moritz MVP Office SharePoint Server 1 Agenda SharePoint Identitäten Authentifizierungsverfahren Benutzer, Gruppen und Rollen Heraufstufung
MehrSchwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?
Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrIdentity Propagation in Fusion Middleware
Identity Propagation in Fusion Middleware Klaus Scherbach Oracle Deutschland B.V. & Co. KG Hamborner Str. 51, 40472 Düsseldorf Schlüsselworte Oracle Fusion Middleware, Oracle Access Management, Identity
Mehr1. Einführung Das simply BATCH System ist ein automatisches Batchprogramm mit vollständiger Batch Dokumentation für kleine und mittlere Anwendungen. Mit dem simply BATCH System wird eine hohe, reproduzierbare
MehrÜbungen zur Softwaretechnik
Technische Universität München Fakultät für Informatik Lehrstuhl IV: Software & Systems Engineering Markus Pister, Dr. Bernhard Rumpe WS 2002/2003 Lösungsblatt 9 17. Dezember 2002 www4.in.tum.de/~rumpe/se
MehrEinrichtung Secure-FTP
Einrichtung Secure-FTP ONEGroup Hochriesstrasse 16 83101 Rohrdorf Steffen Prochnow Hochriesstrasse 16 83101 Rohrdorf Tel.: (08032) 989 492 Fax.: (01212) 568 596 498 agb@onegroup.de 1. Vorwort... 2 2. Einrichtung
MehrSicher sein, statt in Sicherheit wiegen Sicherheit bei. Web-Anwendungen. Vortrag bei Infotech 08.06.2015
Sicher sein, statt in Sicherheit wiegen Sicherheit bei Web-Anwendungen Vortrag bei Infotech 08.06.2015 2 Ist Sicherheit bei Web-Anwendungen ein Thema? 3 Zusammenfassung Verizon Data-Breach-Report 2014,
MehrDirect Access Suite. Dokumentation
Direct Access Suite Dokumentation Kümpflein DV-Beratung GmbH Geschäftsführer: Harald Kümpflein Alemannenstrasse 8 71277 Rutesheim Tel.: +49 7152 997843 Fax: +49 7152 997845 E-Mail: info@kuempflein.eu Homepage:
Mehr