CMS. Gängige Methoden zum Ausnutzen von Sicherheitslücken und deren Vermeidung. Jewgenija Konrad

Größe: px
Ab Seite anzeigen:

Download "CMS. Gängige Methoden zum Ausnutzen von Sicherheitslücken und deren Vermeidung. Jewgenija Konrad"

Transkript

1 CMS Gängige Methoden zum Ausnutzen von Sicherheitslücken und deren Vermeidung Jewgenija Konrad Fachhochschule Augsburg Studiengang: Master of Science Juni 2007 Kurzfassung: Die nachfolgende Ausarbeitung beschäftigt sich mit dem Problem Websicherheit. Dabei wird verstärkt das Cross-Site Scripting beleuchtet, sowie und einige Spezialfälle davon, wie z.b. SQL Injection, werden vorgestellt. Darüber hinaus werden Möglichkeiten mit ihren Vor- und Nachteilen gezeigt, um die eigenen Webseiten vor derartigen Angriffen zu schützen. Kategorien: Sicherheit Schlüsselwörter: Content Management, Cross-Site Scripting (XSS), SQL Injection 1 Einleitung Jedes CMS System, das dazu verwendet wird, einen Online-Auftritt zu gestalten, findet sich im WWW einer Vielzahl von Angreifern gegenüber. Je mehr Besucher diese Seite anzieht, desto mehr Angreifer werden von ihr angelockt. Die möglichen Angriffe können dabei in passive und aktive Attacken unterteilt werden. Zu den passiven Angriffen gehören dabei das Sniffing, also das Mithören der im Klartext versendeten Daten, oder auch die gezielte Umleitung von Daten durch Manipulation von Routing-Tabellen. Wer dabei glaubt, dass das Mithören schwer zu realisieren sei, irrt sich, denn Tools zum Mithören (vorausgesetzt man benutzt diese nur zu Administrationszwecken) sind legal und damit leicht aufzutreiben. Das Manipulieren von Daten, die im Internet zur Verfügung stehen, zählt dagegen zu den aktiven Attacken. IP Spoofing dient als Basis für andere Angriffe - dabei wird meist die IP-Quelladresse geändert, so dass man Datenpakete an seine Opfer versenden kann, ohne die Gefahr der Rückverfolgbarkeit, denn statt der echten IP-Adresse des Angreifers würde die durch den Angreifer veränderte IP in den Logdateien auftauchen. Auch Port-Scans durch automatische Tools gehören zu den aktiven Angriffen. Dabei werden an eine bestimmte IP-Adresse und Portnummer systematisch Datenpakete gesendet. Durch Auswerten der Antwort wird bestimmt, ob der Port erreichbar ist. Teilweise ist es auch möglich, anhand der vom Port benötigten Antwortzeit herauszufinden, welche Aufgabe diesem Port zugeordnet ist [16]. Von allen diesen Möglichkeiten, Angriffe über das WWW durchzuführen, wird jedoch nur eine bestimmte Art der aktiven Angriffe - das Cross-Site Scripting - näher diskutiert. Auch Möglichkeiten, diese Angriffe abzuwehren werden vorgestellt. 2 Cross-Site Scripting (XSS) Das Cross-Site Scripting (im nachfolgenden XSS genannt) kann dazu verwendet werden, Daten der Originalseite zu verändern und zählt damit zu den aktiven Angriffen. Leider wird dieser

2 Angriff heutzutage immer noch sehr häufig unterschätzt. So sind einige Administratoren immer noch der Meinung, dass XSS nur ein Spiel Halbwüchsiger ist, das höchstens dazu benutzt werden kann, lästige Pop-up Fenster ungefragt zu öffnen. Dabei ist XSS eine der am häufigsten verbreiteten Methoden, Angriffe auf ungeschützte Webseiten auszuführen und wird in der Verwendung nur noch vom Bufferoverflow, bei dem Teile des Speichers überschrieben werden um den Programmablauf zu verändern, übertroffen. Beim XSS werden Informationen durch einen Angreifer in eine vermeintlich sichere Seite eingebettet. Dabei ist es für den Angreifer zum Teil möglich, sensitive Daten von Benutzern der veränderten Webseite zu stehlen, wie z.b. Bankdaten, Zugangsdaten oder persönliche und finanzielle Informationen. Natürlich können damit auch Fehlinformationen verbreitet und Nutzer überwacht werden. Es ist auch ein Szenario denkbar, bei dem der Angreifer in eine Webseite, die für mehrere Tausend Besucher täglich ausgelegt ist, Code injiziert. Dieser Code veranlasst einen Download großer Dateien vom Server des Opfers. Da das bei mehreren Tausend Benutzern passiert wird damit also eine Denial of Service (DoS) 1 Attacke) auslöst, was genügen sollte, um den angegriffenen Server unerreichbar zu machen. Obwohl XSS nur durch Ausnutzen von Sicherheitslücken einer Seite möglich ist, sind viele große und bekannte Webseiten wie icq.com, und sogar der Web-Auftritt der Hamburger Sparkasse bereits davon betroffen gewesen. In Abbildung 1 ist die Webseite der Hamburger Sparkasse, nach einem erfolgreichen Abbildung 1: XSS bei Hamburger Sparkasse [9] XSS-Angriff, zu sehen. Dabei wäre es auch möglich den präparierten Bereich durch ein Formular zu ersezten, das die Kontodaten des Bankkunden abfragt und an den Angreifer verschickt. Laut [4] wurde das Feld Konto nicht geprüft und ermöglichte es Angreifern, Code einzubetten. Diese Sicherheitslücke wurde inzwischen allerdings behoben. XSS Attacken können auf drei unterschiedliche Arten erfolgen, die nun erklärt werden. 2.1 Reflektiertes XSS Das reflektierte - oder auch serverseitige - XSS ist der häufigste Vertreter von XSS-Angriffen und wird im Phishingmarkt angewendet. Hierbei muss ein Opfer eine präparierte URL anklicken. In 1 Dabei wird ein Server ausgelastet bis dieser nicht mehr erreichbar ist oder nur noch eingeschränkt arbeiten kann.

3 Variablen und Parametern dieser URL wird Code eingefügt, den die Anwendung auf dem Server übernimmt und in die Webseite einbettet. Das kann ein Suchausdruck, ein Username oder auch eine Adresse sein. Der Angriff läuft folgendermaßen ab: die vom Angreifer veränderte URL wird durch ein Opfer angeklickt und somit an den betroffenen Server als Anfrage verschickt. Hier ist die Web-Applikation fehlerhaft und ermöglicht dem Angreifer, den dynamisch generierten HTML-Code zu verändern. Der Benutzer sieht nun die manipulierte Seite in seinem Browser. 2.2 Persistentes (beständiges) XSS Auch das persistente XSS ist Serverseiteig, d.h. die Veränderungen werden auf dem Server vorgenommen und der Schadcode wird über die URL an den Browser zurück geschickt. Allerdings wird hierbei der Inhalt der Datenbank ebenfalls verändert. Deswegen kann dieser Schadcode auch Benutzer erreichen, die die manipulierte URL nicht angeklickt haben. Um die Attacke zu starten, reicht es hier völlig, wenn der Angreifer selbst den manipulierten Link anklickt. Dieser Angriff wird zwar ähnlich dem reflektierenden XSS ausgelöst, verläuft aber etwas anders. Wie schon beschrieben, ruft der Angreifer eine manipulierte URL auf und sendet somit eine Anfrage an den Server. Die fehlerhafte Web-Applikation verarbeitet die Anfrage und speichert den injizierten Code in der Datenbank. Von nun an wird jeder Besucher dieser Seite den veränderten HTML-Code vorfinden. 2.3 Lokales (DOM 2 -basiertes) XSS Wie der Name schon vermuten lässt, ist das lokale XSS clientseitig, d.h. der komplette Angriff findet auf dem Rechner des Opfers statt. Dieser Angriff findet häufig bei Web 2.0 Anwendungen statt, da hier der Java oder Java-Script Code im Browser des Benutzers ausgeführt wird. Da der Angriff im Browser des Benutzers stattfindet, wird auch der schädliche Code in der Sprache des Browsers gehalten und als Parameter an die Webseite übergeben. Falls dieser Code in der Webseite wieder enthalten ist, kann es passieren, dass der Browser des Benutzers diesen Code ausführt und evtl. Daten in ein Formular der generierten Seite einträgt, die anschließend an den Angreifer weitergeleitet werden. Besonders gefährlich wird dieser Angriff, wenn die manipulierte Seite besondere Rechte im Browser besitzt. Je nach verwendeter Skriptsprache könnte die manipulierte Anwendung Cookies mit Anmeldeinformationen stehlen oder mit den Rechten des lokalen Benutzers Daten auf dem Rechner verändern. Dies könnte sich besonders bei Windows-Systemen als fatal erweisen, da der lokale Benutzer oft gleichzeitig der Administrator ist. Ein Angriff würde wie folgt ablaufen: der Benutzer klickt wieder eine manipulierte URL an und schickt damit eine Anfrage an die Web-Applikation. Diese antwortet, indem der Skriptcode (der fehlerhaft, jedoch nicht manipuliert ist) an den Browser übergeben wird, um dort die Ausführung des Skripts zu starten. Die manpulierten Parameter aus der URL werden nun im Browser des Benutzers als Teil des Skripts interpretiert und ausgeführt. Über DOM-Zugriffe wird die im Browser dargestellte Webseite verändert, der Benutzer sieht nun die manipulierte Seite. 2.4 XSS eine kleine Anleitung Zunächst müssen potentielle Opfer gefunden werden 3, d.h. es muss nach Anzeichen für die Angreifbarkeit einer Seite gesucht werden. Das ist bei Anwendungen der Fall, die die vom Benutzer 2 DOM bedeutet Document Object Model. 3 Beispiel nach[5] und [15].

4 vorgenommenen Eingaben wieder ausgeben - ob es ein Suchstring oder ein Foreneintrag ist, spielt dabei keine Rolle. Auch das Einbetten des vom Benutzer vorgenommenen Textes in Fehlermeldungen kann ein Anzeichen für die Anfälligkeit auf XSS sein. Dafür werden die Bereiche auf Seiten gesucht, die Eingaben durch Benutzer zulassen, wie z.b. Login-Fenster, Suchfelder und Ähnliches. Foreneinträge und Message Boards sind dafür prädestiniert, da die Eingabe durch Nutzer auf jeden Fall wieder angezeigt wird. jedoch gilt hier immer noch zu prüfen, ob eine Anfälligkeit auf XSS vorhanden ist. Sobald ein potentiell betroffenes Feld gefunden wurde, trägt man einen beliebigen String in dieses Feld ein, z.b. test. Nach einer Bestätigung wird die Übertragung zum Server gestartet und in der Antwort des Servers wird der vorher eingegebene String gesucht. Der gesuchte String könnte z.b. in Form einer Fehlermeldung wie Invalid login test wieder auftauchen. Falls der Teststring ausgegeben wurde, kann getestet werden, ob die Seite gegen XSS geschützt ist. Dazu wird in das selbe Feld JavaScript Code eingetragen, wie z.b. <script>alert( hello )</script> und an den Server übermittelt. Falls nun ein Pop-up-Fenster aufgeht, in dem hello zu sehen ist, ist die untersuchte Seite eindeutig von XSS betroffen. Auch wenn kein Fenster aufgeht, kann es sein, dass der neu generierte HTML-Code den eingetragenen String enthält und dieser nur nicht vom verwendeten Browser ausgeführt wurde, da beispielsweise JavaScript deaktiviert ist. Um also sicher ausschließen zu können, dass die Seite diesem kleinen Anschlag widerstanden hat, sollte der generierte HTML-Code untersucht und geprüft werden, ob der eingetragene String (<script>alert( hello )</script>) im HTML-Code der Seite auftaucht oder nicht. 2.5 Codeinjektion Wie bereits aus dem Text zu erkennen ist, ist Codeinjektion die Grundlage für XSS und geschieht in variablen Bereichen dynamischer Webseiten, also überall dort, wo Benutzer etwas selbstständig eintragen dürfen. Entscheidend hierbei ist, dass der Browser, in dem eine manipulierte Webseite dargestellt wird, nichts über den Zweck oder Ursprung des in dieser Seite enthaltenen Codes wissen kann und deswegen auch den injizierten Code gewissenhaft ausführen würde. Da der hinzugefügte Code nun Teil der Seite ist, verfügt er auch über die Berechtigungen der Seite, weswegen Verschlüsselungstechniken und ähnliche Sicherheitsvorkehrungen nutzlos werden. Vor allem bei Webseiten, die die Eingabe von Benutzern anschließend anzeigen und dabei diese Eingaben vorher nicht ausreichend filtern und prüfen, kann Code injiziert werden. Werden die Eingaben in Gästebüchern, Foren, privaten Nachrichten oder anderen Anwendungen, die auf den gleichen Prinzipien basieren, nicht ausreichend geprüft, könnten diese zum injizieren von Code verwendet werden. In [15] wird ein Beispiel anhand einer dynamischen Seite, die mit PHP geschrieben wurde, demonstriert. Diese Seite hat ein Titel- und ein Text-Feld, die um des Beispiels willen ungefiltert übernommen werden. Mit Hilfe der Zeile: setcookie("xss", "This content will be stored in a cookie" ); wird ein Cookie mit dem Namen xss angelegt, das den Inhalt This content will be stored in a cookie hat. Um dieses Cookie zu stehlen, kann der Angreifer (nachdem der Inhalt des Textfelds und des Titelfelds nicht gefiltert wird) in das Textfeld folgenden JavaScript-Code eintragen: <scrpt>document.location="http://www.evilsite.com/evilscript.php? info="+document.cookie;</script>

5 Anschließend wird im Browser der in Abbildung 2 zu sehende Link angezeigt. Wie man deutlich erkennen kann, sind die Daten aus dem Cookie ausgelesen und nun dem Angreifer bekannt. Abbildung 2: Anzeige eines Browsers (nach Umleitung zu einem anderen Server) mit den gestohlenen Cookie-Daten als Parameter. [15] Das Freeware-Tool phpbb, das es dem Benutzer ermöglicht, auch ohne weiterführende Programmier- oder HTML-Kenntnisse Foren zu erstellen und zu administrieren, wurde durch eine PHP Anweisung anfällig auf XSS. Dies wird mit einem Beispiel aus [9] vorgeführt. Mit der Anweisung include_once($phpbb_root_path= common.php ) wird die Datei common.php aus dem Root-Verzeichnis geladen. Dies ließ sich jedoch ausnutzen, indem man die dynamische Seite mit folgendem Code fütterte : /plugin.php&phpbb_root_path=http://evil.de Dies führte dazu, dass statt der gewünschten Datei die Datei ausgeführt wurde. LDAP-, SSI-, XPath- als auch SQL Injection sind zur Zeit wichtige Begriffe im Bereich der Codeinjektion. Davon ist die SQL Injection die zur Zeit wohl am meisten genutzte Attacke, weswegen diese anschließend genauer in Augenschein genommen wird. Dabei nutzen die jeweiligen Injektionen die Eigenheiten der verwendeten Sprache, so dass die XPath Injection für die Manipulation von XML-Dokumenten verwendet wird, während die SQL-Injection SQL-Anweisungen manipuliert. Allerdings liegt allen Injektionen die selbe Schwachstelle zu Grunde: mangelnde Filterung der Benutzereingaben, weswegen die Verbesserungsvorschläge, die für SQL Injection gelten, auch für andere Codeinjektionen verwendet werden können - außer natürlich bei codespezifischen Eigenheiten, die dem Benutzer die Absicherung von Internetauftritten erleichtern. 2.6 SQL Injection Da viele Content Management Systeme eine Datenbank Anbindung haben und diese sich über eine Web-Oberfläche steuern lässt, ist es nahe liegend, einen Angriff auf die Datenbank zu unternehmen, um empfindliche Daten zu stehlen oder gar die Kontrolle über den Server zu erlangen. Auch die SQL Injection ist durch Ausnutzen einer Sicherheitslücke möglich, die durch mangelnde Maskierung bzw. Überprüfung in Benutzereingaben entsteht. Dabei werden SQL-Kommandos entweder eingeschleust oder manipuliert. Auch hier wird über die Parameter der URL der zu injizierende Code an die Webseite weitergereicht. Laut [9] treten bei.asp und.cfm Skripten am häufigsten Probleme auf, die eine SQL Injection ermöglichen. Nachfolgend ist eine Login-Abfrage in SQL zu sehen, die anschließend angegriffen werden soll. SELECT * FROM users WHERE name = $username AND password= $password Falls keine Filterung die Zeichen, die in SQL als Sonderzeichen behandelt werden, unschädlich macht - auch escapen genannt - könnte ein Angreifer statt dem Benutzernamen "admin --" eintragen was zu einer SQL - Abfrage wie unten aufgeführt führen würde.

6 SELECT * FROM users WHERE name = admin -- AND password= $password Da -- in SQL ein Kommentarzeichen ist, wird eigentlich nur die folgende Abfrage ausgeführt: SELECT * FROM users WHERE name = admin Somit wird also ein passwortloser Zugang zum Server gewährt, da das Passwort nun in der Abfrage nicht mehr relevant ist, d.h. man müsste nur noch den korrekten Benutzernamen kennen um sich einloggen zu können. Zwar ist das eine relativ simple Möglichkeit, sich Zugang zu einem Server zu verschaffen und sollte heutzutage nicht mehr möglich sein, dennoch erlaubte laut [9] 2006 das Karriereforum von T-Online einen ebensolchen passwortlosen Zugriff als Administrator. Ein Beispiel soll nun den Ablauf einer SQL Injektion verdeutlichen. 4 Zunächst muss natürlich eine Webseite gefunden werden, die Parameter an eine Datenbank übergibt. Wie bereits oben angesprochen, treten die meisten SQL Injection Probleme bei Skriptaufrufen mit den Endungen.asp und.cmf auf. Deswegen bietet es sich an, verstärkt danach zu suchen. Sobald man fündig geworden ist, folgt man zunächst dem Link um vor Ort zu prüfen, ob die gewählte Seite auf Injektion anfällig ist oder nicht. Dafür gibt es zwei Methoden und beide sollten ausprobiert werden. Es ist bereits bekannt dass Code über die Parameter der URL injiziert werden kann. Deswegen werden hier die Parameter der URL (z.b. ausgetauscht - in diesem Beispiel die Zahl 512. Bei der ersten Variante wird der komplette Wert durch ein einfaches Anführungszeichen ausgetauscht, d.h. aus name=value wird name=. Die zweite Variante verlangt das Setzen des Anführungszeichens in die Mitte von value, so dass anschließend eine Parameterübergabe so aussieht: name=val ue. Die so veränderte URL wird mit Enter bestätigt, um zu prüfen, ob eine Datenbank-Fehlermeldung von der betroffenen Seite ausgegeben wird. Die gesuchten Fehlermeldungen können wie folgt aussehen: Fehlermeldungsart 1: Microsoft OLE DB Provider for SQL Server error 80040e14 Unclosed quotation mark before the character string 51 ORDER BY some_name. /some_directory/some_file.asp, line 5 Fehlermeldungsart 2: ODBC Error Code = S1000 (General error) [Oracle][ODBC][Ora]ORA-00933: SQL command not properly ended Wie auch schon im Kapitel 2.4 beschrieben wurde, kann die gesuchte Fehlermeldung im HTML Code liegen ohne angezeigt zu werden. Deswegen muss also auch der Code angesehen werden. Am leichtesten ist es nach den Ausdrücken Microsoft OLEDB oder [ODBC] zu suchen. Werden die beschriebenen Fehlermeldungen gefunden, ist nachgewiesen, dass die untersuchte Anwendung für SQL-Injection zugänglich ist. 4 Beispiel anhand [6].

7 3 Gegenmaßnahmen Viele Programmiersprachen bringen von Haus aus Sicherheitsoptionen mit sich, die auch eingesetzt werden sollten, wie z.b. die Möglichkeiten die PHP mitbringt, um Zugriffe von außen zu vermeiden. Da PHP eine der Skriptsprachen ist, die heutzutage am häufigsten verwendet wird, um Internetauftritte zu gestalten, werden einige der relevanten Sicherheitsoptionen nachfolgend kurz vorgestellt. 5 : allow_url_fopen = off Diese Option erlaubt es, PHP-Skripten nur noch lokale Dateien des Servers einzubinden. Damit können keine Skripte von externen Servern mehr ausgeführt werden. open_basedir = /pfad/zum/www-ordner schränkt den Arbeitsbereich der Anwendung auf ein Verzeichnis ein. Die Applikation ist nicht mehr in der Lage, Dateien außerhalb dieses Verzeichnisses zu öffnen. Die Unterordner dieses Verzeichnisses können weiterhin benutzt werden. save-mode = on schränkt die Zugriffsrechte der PHP-Anwendung ein auf Dateien die dem Nutzer gehören. Darüber hinaus werden auch einige gefährliche Funktionen wie shell-exec() gesperrt. Eine weitere Steuerung ist durch weitere Optionen dennoch möglich. display_errors = off Da manche Angriffe gezielt Fehlermeldungen provozieren um z.b. Systempfade zur Applikation auszulesen, bietet diese Option die Möglichkeit, das Ausgeben von Fehlermeldungen zu unterbinden. Auch SQL bietet eigene Möglichkeiten, um sich vor SQL Injection Angriffen zu schützen. Eine dieser Möglichkeiten ist das Benutzen von Stored procedures. Das ist eine Funktion, die einige Datenbank-Management-Systeme mitbringen und es dem Benutzer ermöglichen ganze Abläufe von Anweisungen unter einem Namen zu speichern. Damit erfolgt statt vieler einzelner Anfragen vom Client ein Aufruf. Der Hauptvorteil dieser Methode gegenüber SQL Injection, ist allerdings der, dass die stored procedures zusätzliche Befehle zur Ablaufsteuerung und Auswertung erfolgter Anweisungen enthalten können. Jedoch ist der Einsatz von Prepared statements vorzuziehen. Prepared statements sind, wie der Name schon sagt, vorbereitete Statements für ein Datenbank- System, die jedoch noch keine Parameterwerte enthalten. Statt der Parameter werden Platzhalter an das Datenbanksystem übergeben, d.h. die SQL-Befehle und die tatsächlichen Parameterwerte (die dann statt den Platzhaltern eingetragen werden), werden vom Skript getrennt an das API 6 übertragen und somit ist die für die SQL Injection nötige Durchmischung nicht mehr ohne weiteres zu erreichen. Darüber hinaus werden die Parameter beim Eintragen zunächst vom DB-System auf Gültigkeit geprüft bevor sie verarbeitet werden. Als angenehmen Nebeneffekt bringen die Prepared statements den Vorteil mit sich, dass durch die Vorverarbeitung der Abfragen eine schnellere Verarbeitungszeit der Abfragen möglich ist. Hinzu kommt noch die Möglichkeit, die eigene Homepage mit Hilfe von frei verfügbaren Tools auf Schwachstellen gegenüber SQL Injection zu durchsuchen. Ein solches Tool ist der SQL Injection Bruteforcer SQLLibf, das mittels Brute-Force-Angriffen die dynamischen Variablen einer Seite auf Schwachstellen testet. Da der Mensch allerdings gerade bei destruktiven Aufgaben weit mehr kreative Energie aufbringen kann als dieses Tool, kann auch dieses Tool keine absolute Sicherheit garantieren. So ist zu empfehlen Datenbankabfragen korrekt zu formulieren. Einige 5 Quelle: [9]. 6 Application Programming Interface

8 Beispiele (in unterschiedlichen Programmiersprachen), wie man korrekte Abfragen schreibt, sind in [7] zu finden. Allgemein lässt sich festhalten, dass es für den Programmierer einer Anwendung nicht reicht, nur sauber zu programmieren. Er sollte darüber hinaus auch grundsätzlich allen Daten, die in irgendeiner Form von außen manipuliert worden sein könnten, misstrauen und diese als unsicher ansehen. Daraus folgt natürlich, dass alle Daten zunächst auf Gültigkeit geprüft werden müssen - das gilt auch für die Variablen in den URLs! Das heißt natürlich auch, dass keine ungefilterten Strings zur Weiterverarbeitung durchgereicht werden, also z.b. Steuerzeichen durch ihre Escapesequenzen 7 ersetzt werden. Zwar würde dadurch kein unerwünschter Befehl mehr ausgeführt werden, allerdings hat das Ersetzen der Sonderzeichen mit ihren Escape-Sequenzen den Nachteil, dass auch Tags geblockt würden. Und in manchen Foren ist es erwünscht, dass der Benutzer weiterhin die Möglichkeit hat, seinen Text zu formatieren, wodurch das beschriebene Verfahren unbrauchbar werden würde. Deswegen gibt es listenbasierte Filter, bei denen nicht alle, sondern nur die potentiell schädlichen Tags verändert werden. Dabei gibt es das Whitelisting und das Blacklisting. Auch eine Vermischung dieser beiden Filterarten ist möglich. Während das Whitelisting explizit Zeichen erlaubt (z.b. ist es beim Geburtsjahr nicht nötig, Zahlen zu erlauben die kleiner als 1900 sind) verbietet das Blacklisting einige Zeichen, wie z.b. Steuerzeichen (< >) oder ganze Tags (<script>...</script>). Mischt man diese beiden Verfahren, hat man die Möglichkeit, zuerst mit Whitelisting den größten Teil der möglichen Angriffe abzuwehren und anschließend via Blacklisting besondere Randbedingungen abzudecken. Allerdings hat auch diese Art der Absicherung einen Nachteil. Werden die regulären Ausdrücke dieser Listen nicht auf dem neuesten Stand gehalten, ist die pseudo-geschützte Seite zwar gegen einige Angriffe sicher, ist aber jedem Angriff mit noch nicht veröffentlichten Angriffsvektoren 8 schutzlos ausgeliefert. Es ist aber auch wichtig zu beachten, dass, obwohl man seine Seite gegen XSS abgesichert hat, ein mitgehörtes Administratorpasswort jedem Angreifer weiterhin Tür und Tor offen hält. Deswegen ist es ebenfalls wichtig, sensitive Daten nur auf verschlüsselten Kanälen, beispielsweise mit SSL zu übertragen. 4 Fazit Auch wenn XSS vielleicht eher wie Spielerei anmutet als eine ernsthafte Möglichkeit, Webbasierte Systeme anzugreifen, bietet es laut Paul Sebastian Ziegler doch nahezu unendliche Mögichkeiten, Informationen zu stehlen und Schaden anzurichten [15]. Deswegen ist es wichtig, weiterhin die Entwicklung von neuen Angriffsvektoren im Auge zu behalten und Sicherheitslücken möglichst frühzeitig zu schließen. Bislang wurde nur auf Beispiele eingegangen, bei denen ein Benutzer eine manipulierte URL anklicken musste, um einen Angriff auszulösen, was die Gefahr zu schmälern scheint. Denn vermeintlich würde ja wohl keiner einen Link anklicken, der manipuliert ist und in dem eindeutig JavaScript (oder andere) Befehle zu sehen sind, die dazu dienen Daten, zu stehlen. 7 Indem man Sonderzeichen escapet wird die Ausfürhung der Befehle verhindert, der Text wird aber im Browser vollständig angezeigt. Also wird aus <script> <script> 8 Angriffsweg und die Angriffstechnik die von Angreifern verwendet wird

9 Jedoch sollte man das nicht als Grund sehen, die Gefahr, dass ein derartiger Angriff ausgelöst wird, zu unterschätzen, denn zum Einen werden manipulierte Links mit URL-Spoofing-Techniken und Kodierungsverfahren getarnt um harmlos zu wirken. Zum Anderen gibt es im WWW viele User, die weder Skriptsprachen kennen noch verstehen, wie ein Link eigentlich funktioniert und somit wohl auch einen nicht frisierten und eindeutig schädlichen Link wohl anklicken würden. Ein weiterer Punkt ist, dass man manchmal gar keinen Link anklicken muss, um einen Angriff zu starten, denn mit Hilfe von onmouseover -Effekten kann man die Ausführung einer Attacke bereits veranlassen, sobald der Mauszeiger eines Benutzers über einem mit so einem Effekt versehenen Feld oder Text ist. Auch ist es möglich, Webspider 9 zu missbrauchen, um präparierte Links aufzurufen. Dabei wird in den Logs des attackierten Servers die IP-Adresse des Webspiders zu finden sein und nicht die des tatsächlichen Angreifers. Das sind einige der Gründe, warum es wichtig ist, seine Applikationen sauber zu schreiben und die verwendeten Filter immer wieder zu aktualisieren, um nicht einem neuen Angriffsvektor zum Opfer zu fallen. Denn obwohl seit Längerem bekannt ist, wie man die zu verarbeitenden Daten Filtern kann und sollte, werden täglich neue Schwachstellen, selbst in großen Webanwendungen gefunden. Es ist auch wichtig zu beachten, dass trotz der besten Sicherungsmechanismen auf Software-Ebene die eigenen Server auch physisch geschützt werden sollten. Denn bei vielen Angriffen auf Online-Systeme ist es für einen Angreifer lukrativer, tatsächlich in ein Gebäude einzubrechen und die Daten samt Festplatten zu stehlen, als Möglichkeiten zu suchen, eine Seite über das WWW anzugreifen und zu verhindern, dass die eigene IP-Adresse bei dem durchgeführten Angriff protokolliert wird. Auf jeden Fall ist sicher, dass immer vertraulichere Daten mit Hilfe von Anwendungen ausgetauscht werden und diese Daten vor Übergriffen gesichert werden müssen. Es liegt in der Verantwortung des Betreibers einer Anwendung, wie viel Sicherheit als ausreichend angesehen wird. Jedoch sollte niemand mit dieser Verantwortung zu leichtfertig mit dem Begriff Sicherheit umgehen, da eine einmal korrumpierte Seite diesen Ruf nur schwer wieder los wird. Literatur [1] Security Hacks. Abfragedatum: 24.Mai /05/18/top-15-free-sql-injection-scanners [2] Astalavista Group. Abfragedatum: 24.Mai [3] XSS (Cross-Site Scripting) Cheat Sheet. Abfragedatum: 24.Mai ckers.org/xss.html [4] heise Security news Sparkassen schlampen bei Online-Banking-Sicherheit. Heise Zeitschriften Verlag. Abfragedatum: 24.Mai news/meldung/89885 [5] Caleb Sima: Locking the Door Behind You: Hacker Protection for Your Web Applications. Abfragedatum: 24.Mai education/articles/hacker-protection.html 9 Automatisierte Tools, die Webseiten nach Links durchsuchen und diese Links nach einander durchlaufen, werden Webspider genannt (auch weil sie sich einem Netz ähnlich fortbewegen). Webspider werden z.b. von Suchmaschinen eingesetzt um möglichst viele Webseiten finden zu können.

10 [6] Bryan Sullivan: Malicious Code Injection: It s Not Just for SQL Anymore. Abfragedatum: 24.Mai articles/code-injection.html [7] SQL-Injektion. Abfragedatum: 20.Juni index.php?title=sql-injektion&diff= &oldid= [8] Andreas Gröbl, Thomas Radler: Risiko CMS? Sicherheitsanalyse bei NPS 6 Fiona. Fachhochschule Augsburg, SS 2006 [9] Christiane Rütten, Tobias Glemser: Gesundes Misstrauen Sicherheit von Webanwendungen. C t 2006, Heft 26, S. 234ff [10] Kai Fuhrberg, Dirk Häger, Stefan Wolf: Internet-Sicherheit Browser, Firewalls und Verschlüsselung, 3. Auflage. Hanser Verlag, ISBN [11] Jörg Schwenk: Sicherheit und Krypthographie im Internet Von sicherer bis zu IP-Verschlüsselung, 1. Auflage. Vieweg Verlag, Oktober ISBN [12] Othmar Kyas: Sicherheit im Internet, 2. Auflage. MITP-Verlag, ISBN [13] Sicherheit in Verwaltungs- und Kliniknetzen Anforderungen, Möglichkeiten, Empfehlungen. Bericht der Arbeitsgruppe Verwaltungen nd Kliniken im Hochschulnetz. Bayerisches Staatsministerium für Unterricht, Kultus, Wissenschaft und Kunst, 1998 [14] Stefan Nusser: Sicherheitskonzepte im WWW. Springer Verlag Berlin Heidelberg, ISBN X [15] Paul Sebastian Ziegler: XSS Cross-Site Scripting. hakin9 - Hard Core IT Security Magazin 2007, Heft 1, S. 20ff [16] Gespräch mit Prof. Dr. Kowarschick (FH Augsburg) am

11 Erstellungserklärung Hiermit erkläre ich, Jewgenija Konrad, dass ich die vorgelegte Arbeit selbstständig verfasst, noch nicht anderweitig für Prüfungszwecke vorgelegt, keine anderen als die angegebenen Quellen oder Hilfsmittel benutzt, sowie wörtliche und sinngemäße Zitate als solche gekennzeichnet habe. Jewgenija Konrad Augsburg, den 26. Juni 2007.

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

SQL-Injection. Seite 1 / 16

SQL-Injection. Seite 1 / 16 SQL-Injection Seite 1 / 16 Allgemein: SQL (Structured Query Language) Datenbanksprache zur Definition von Datenstrukturen in Datenbanken Bearbeiten und Abfragen von Datensätzen Definition: SQL-Injection

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Cross Site Scripting (XSS)

Cross Site Scripting (XSS) Konstruktion sicherer Anwendungssoftware Cross Site Scripting (XSS) Stephan Uhlmann 31.08.2003 Copyright (c) 2003 Stephan Uhlmann Permission is granted to copy, distribute and/or modify this

Mehr

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver Mit Hilfe des Programmes pzmadmin v1.6.x Inhaltsverzeichnis Inhaltsverzeichnis...2 Voraussetzungen...3 Schritt 1: Verbindungsdaten

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Stubbe-CS. Kurssystem. Günter Stubbe. Datum: 19. August 2013

Stubbe-CS. Kurssystem. Günter Stubbe. Datum: 19. August 2013 Kurssystem Günter Stubbe Datum: 19. August 2013 Aktualisiert: 6. September 2013 Inhaltsverzeichnis 1 Einleitung 5 2 Benutzer 7 2.1 Registrierung............................. 7 2.2 Login..................................

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

NTCS Synchronisation mit Exchange

NTCS Synchronisation mit Exchange NTCS Synchronisation mit Exchange Mindestvoraussetzungen Betriebssystem: Mailserver: Windows Server 2008 SP2 (x64) Windows Small Business Server 2008 SP2 Windows Server 2008 R2 SP1 Windows Small Business

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

Vorab: Anlegen eines Users mit Hilfe der Empfängerbetreuung

Vorab: Anlegen eines Users mit Hilfe der Empfängerbetreuung Seite 1 Einrichtung der Verschlüsselung für Signaturportal Verschlüsselung wird mit Hilfe von sogenannten Zertifikaten erreicht. Diese ermöglichen eine sichere Kommunikation zwischen Ihnen und dem Signaturportal.

Mehr

Schnittstellenbeschreibung

Schnittstellenbeschreibung Schnittstellenbeschreibung Inhalt: - Beschreibung - Vorbereitungen - Die Details - Die verschiedenen Nachrichtenarten - Nachrichtenarchiv - Rückgabewerte - Schnellübersicht und Preisliste Weltweite-SMS.de

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Hinweis: Der Zugriff ist von intern per Browser über die gleiche URL möglich.

Hinweis: Der Zugriff ist von intern per Browser über die gleiche URL möglich. Was ist das DDX Portal Das DDX Portal stellt zwei Funktionen zur Verfügung: Zum Ersten stellt es für den externen Partner Daten bereit, die über einen Internetzugang ähnlich wie von einem FTP-Server abgerufen

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Einführung in das redaktionelle Arbeiten mit Typo3 Schulung am 15. und 16.05.2006

Einführung in das redaktionelle Arbeiten mit Typo3 Schulung am 15. und 16.05.2006 1. Anmeldung am System Das CMS Typo3 ist ein webbasiertes Redaktionssystem, bei dem Seiteninhalte mit einem Internetzugang und einer bestimmten URL zeit- und ortunabhängig erstellt und bearbeitet werden

Mehr

Hausarbeit. Thema: Computersicherheit. Friedrich-Schiller-Universität Jena Informatik B.Sc. Wintersemester 2009 / 2010

Hausarbeit. Thema: Computersicherheit. Friedrich-Schiller-Universität Jena Informatik B.Sc. Wintersemester 2009 / 2010 1 Friedrich-Schiller-Universität Jena Informatik B.Sc. Wintersemester 2009 / 2010 Hausarbeit Thema: Computersicherheit Seminar: Datenschutz und Datenpannen Verfasser: Dmitrij Miller Abgabetermin: 5.3.2010

Mehr

Sicherheit in Software

Sicherheit in Software Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken

Mehr

Outlook Web App 2010. Kurzanleitung. interner OWA-Zugang

Outlook Web App 2010. Kurzanleitung. interner OWA-Zugang interner OWA-Zugang Neu-Isenburg,08.06.2012 Seite 2 von 15 Inhalt 1 Einleitung 3 2 Anmelden bei Outlook Web App 2010 3 3 Benutzeroberfläche 4 3.1 Hilfreiche Tipps 4 4 OWA-Funktionen 6 4.1 neue E-Mail 6

Mehr

Bedienungsanleitung für den SecureCourier

Bedienungsanleitung für den SecureCourier Bedienungsanleitung für den SecureCourier Wo kann ich den SecureCourier nach der Installation auf meinem Computer finden? Den SecureCourier finden Sie dort, wo Sie mit Dateien umgehen und arbeiten. Bei

Mehr

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien 3. Installation Ihres Shops im Internet / Kurzanleitung Kurzanleitung: Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien Geben Sie während der Webbasierten Installationsroutine alle

Mehr

BS-Anzeigen 3. Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder

BS-Anzeigen 3. Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder BS-Anzeigen 3 Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder Inhaltsverzeichnis Anwendungsbereich... 3 Betroffene Softwareversion... 3 Anzeigenschleuder.com... 3 Anmeldung...

Mehr

SQL Injection Funktionsweise und Gegenmaßnahmen

SQL Injection Funktionsweise und Gegenmaßnahmen SQL Injection Funktionsweise und Gegenmaßnahmen EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005 Problematik SQL-Injection

Mehr

1 Überblick. A-Z SiteReader Benachrichtigung.doc Seite 1 von 9

1 Überblick. A-Z SiteReader Benachrichtigung.doc Seite 1 von 9 1 Überblick In A-Z SiteReader ist das Feature Benachrichtigung enthalten. Dieses Feature ermöglicht einer Installation, beim Auftreten von Ereignissen eine automatische Benachrichtigung für verschiedene

Mehr

Dokumentation - Schnelleinstieg FileZilla-FTP

Dokumentation - Schnelleinstieg FileZilla-FTP Dokumentation - Schnelleinstieg FileZilla-FTP Diese Anleitung zeigt Ihnen in aller Kürze die Bedienung des FileZilla-FTP-Clients. Standardmäßig braucht FileZilla nicht konfiguriert zu werden, daher können

Mehr

PHP. Prof. Dr.-Ing. Wolfgang Lehner. Diese Zeile ersetzt man über: Einfügen > Kopf- und

PHP. Prof. Dr.-Ing. Wolfgang Lehner. Diese Zeile ersetzt man über: Einfügen > Kopf- und 8. PHP Prof. Dr.-Ing. Wolfgang Lehner Diese Zeile ersetzt man über: Einfügen > Kopf- und PHP PHP (Hypertext Preprocessor) Serverseitige Skriptsprache (im Gegensatz zu JavaScript) Hauptanwendungsgebiet:

Mehr

TYPO3 und TypoScript

TYPO3 und TypoScript TYPO3 und TypoScript Webseiten programmieren, Templates erstellen, Extensions entwickeln von Tobias Hauser, Christian Wenz, Daniel Koch 1. Auflage Hanser München 2005 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Anbindung an Wer-hat-Fotos.net

Anbindung an Wer-hat-Fotos.net Anbindung an Wer-hat-Fotos.net Stand: 7. Juni 2012 2012 Virthos Systems GmbH www.pixtacy.de Anbindung an Wer-hat-Fotos.net Einleitung Einleitung Dieses Dokument beschreibt, wie Sie Ihren Pixtacy-Shop an

Mehr

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen LDAP-Server Jederzeit und überall auf Adressen von CAS genesisworld zugreifen Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten

Mehr

ANLEITUNGEN FÜR DIE MIGRATION IHRER HOMEPAGE auf den neuen Webservice der Salzburg AG

ANLEITUNGEN FÜR DIE MIGRATION IHRER HOMEPAGE auf den neuen Webservice der Salzburg AG ANLEITUNGEN FÜR DIE MIGRATION IHRER HOMEPAGE auf den neuen Webservice der Salzburg AG 1. Migration der Homepage 2. Zusatzanwendungen Absolute Pfade CGI einrichten Formmail einrichten Counter einrichten

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim Tim Weber 9. November 2006 Übersicht 1. Die Sprache PHP 2. Sicherheitslücken und Angriffsszenarien

Mehr

kreativgeschoss.de Webhosting Accounts verwalten

kreativgeschoss.de Webhosting Accounts verwalten kreativgeschoss.de Webhosting Accounts verwalten Version 1.2 Dies ist eine kurze Anleitung zum Einrichten und Verwalten Ihres neuen Kunden Accounts im kreativgeschoss.de, dem Webhosting Bereich der Firma

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Installation SuperWebMailer

Installation SuperWebMailer Installation SuperWebMailer Die Installation von SuperWebMailer ist einfach gestaltet. Es müssen zuerst per FTP alle Dateien auf die eigene Webpräsenz/Server übertragen werden, danach ist das Script install.php

Mehr

Outlook Express einrichten

Outlook Express einrichten Outlook Express einrichten Haben Sie alle Informationen? Für die Installation eines E-Mail Kontos im Outlook Express benötigen Sie die entsprechenden Konto-Daten, welche Ihnen von den Stadtwerken Kitzbühel

Mehr

A1 Web Security Installationshilfe. Proxykonfiguration im Securitymanager

A1 Web Security Installationshilfe. Proxykonfiguration im Securitymanager A Web Security Installationshilfe Proxykonfiguration im Securitymanager Administration der Filterregeln. Verwalten Sie Ihre Filtereinstellungen im Securitymanager unter https://securitymanager.a.net. Loggen

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

Zugriff auf Daten der Wago 750-841 über eine Webseite

Zugriff auf Daten der Wago 750-841 über eine Webseite Zugriff auf Daten der Wago 750-841 über eine Webseite Inhaltsverzeichnis Einleitung... 3 Auslesen von Variablen... 4 Programm auf der SPS... 4 XML-Datei auf der SPS... 4 PHP-Script zum Auslesen der XML-Datei...

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Praktikum Anwendungssicherheit Hochschule der Medien Stuttgart. Protokoll. III: Eingri in die Programmlogik

Praktikum Anwendungssicherheit Hochschule der Medien Stuttgart. Protokoll. III: Eingri in die Programmlogik Praktikum Anwendungssicherheit Hochschule der Medien Stuttgart Protokoll III: Eingri in die Programmlogik Verfasser: Benjamin Zaiser E-Mail: bz003@hdm-stuttgart.de Studiengang: Computer Science and Media

Mehr

Dokumentation Softwareprojekt AlumniDatenbank

Dokumentation Softwareprojekt AlumniDatenbank Dokumentation Softwareprojekt AlumniDatenbank an der Hochschule Anhalt (FH) Hochschule für angewandte Wissenschaften Fachbereich Informatik 13. Februar 2007 Betreuer (HS Anhalt): Prof. Dr. Detlef Klöditz

Mehr

Dokumentation: Erste Schritte für Reseller

Dokumentation: Erste Schritte für Reseller pd-admin v4.x Dokumentation: Erste Schritte für Reseller 2004-2007 Bradler & Krantz GmbH & Co. KG Kurt-Schumacher-Platz 9 44787 Bochum 1 Einleitung Diese Anleitung ist für Reseller gedacht, die für Ihre

Mehr

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben!

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben! IMAP EINSTELLUNGEN E Mail Adresse : Art des Mailservers / Protokoll: AllesIhrWunsch@IhreDomain.de IMAP SMTP Server / Postausgangsserver: IhreDomain.de (Port: 25 bzw. 587) IMAP Server / Posteingangsserver:

Mehr

Dokumentation: Erste Schritte für Endkunden

Dokumentation: Erste Schritte für Endkunden pd-admin v4.x Dokumentation: Erste Schritte für Endkunden 2004-2007 Bradler & Krantz GmbH & Co. KG Kurt-Schumacher-Platz 9 44787 Bochum 1 Einleitung Diese Anleitung ist für Endkunden gedacht, die von Ihrem

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

BackupAssist. Rsync-Backups mit STRATO HiDrive und Amazon S3. Vertraulich nur für den internen Gebrauch

BackupAssist. Rsync-Backups mit STRATO HiDrive und Amazon S3. Vertraulich nur für den internen Gebrauch Rsync-Backups mit STRATO HiDrive und Amazon S3 Vertraulich nur für den internen Gebrauch Inhaltsverzeichnis Backups in der Cloud mit BackupAssist 3 Sicherung mit STRATO HiDrive 3 Log-in in den Kundenservicebereich

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

KURZANLEITUNG DUPLICITY MIT CLOUD OBJECT STORAGE

KURZANLEITUNG DUPLICITY MIT CLOUD OBJECT STORAGE KURZANLEITUNG DUPLICITY MIT CLOUD OBJECT STORAGE Version 1.12 01.07.2014 SEITE _ 2 INHALTSVERZEICHNIS 1. Einleitung...Seite 03 2. Einrichtung des Systems...Seite 04 3. Erzeugen eines Backup-Skripts...Seite

Mehr

Einstiegsdokument Kursleiter

Einstiegsdokument Kursleiter Einstiegsdokument Kursleiter Inhaltsverzeichnis 1. Die Anmeldung...2 1.1 Login ohne Campus-Kennung...2 1.2 Login mit Campus-Kennung...2 1.3 Probleme beim Login...3 2. Kurse anlegen...4 3. Rollenrechte...4

Mehr

So erstellen bzw. ändern Sie schnell und einfach Texte auf der Aktuelles -Seite Ihrer Praxishomepage

So erstellen bzw. ändern Sie schnell und einfach Texte auf der Aktuelles -Seite Ihrer Praxishomepage Anleitung zum Einpflegen von Praxisnachrichten auf LGNW Praxishomepages Stand: 15.September 2013 So erstellen bzw. ändern Sie schnell und einfach Texte auf der Aktuelles -Seite Ihrer Praxishomepage 1.

Mehr

WufooConnector Handbuch für Daylite 4

WufooConnector Handbuch für Daylite 4 WufooConnector Handbuch für Daylite 4 WufooConnector Handbuch für Daylite 4 1 Allgemeines 1.1 Das WufooConnector Plugin für Daylite 4 4 2 Einrichtung 2.1 2.2 2.3 Installation 6 Lizensierung 8 API Key einrichten

Mehr

Einführung in die Skriptsprache PHP

Einführung in die Skriptsprache PHP Einführung in die Skriptsprache PHP 1. Erläuterungen PHP ist ein Interpreter-Programm, das auf dem Server abgelegte Dateien dynamisch, d.h. zur Zeit des Zugriffes, aufbereitet. Zusätzlich zum normalen

Mehr

MAXDATA PrimeBackup Secure Client Kurzanleitung

MAXDATA PrimeBackup Secure Client Kurzanleitung MAXDATA PrimeBackup Secure Client Kurzanleitung Inhalt Inhalt... II 1. Einführung... 1 2. Die Installation... 2 3. Erster Start... 3 3.1. Kennwort ändern... 4 3.2. Sicherung löschen... 4 3.3. Konfigurations-Möglichkeiten...

Mehr

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation bnsyncservice Voraussetzungen: Tobit DAVID Version 12, DVWIN32: 12.00a.4147, DVAPI: 12.00a.0363 Exchange Server (Microsoft Online Services) Grundsätzlich wird von Seiten KWP ausschließlich die CLOUD-Lösung

Mehr

nessviewer als Alternative für icloud

nessviewer als Alternative für icloud nessviewer als Alternative für icloud Mit der von Apple angebotenen icloud können Daten zwischen verschiedenen Mac-Rechnern und ios-geräten synchronisiert werden, dies hat aber einige Nachteile: 1.) Datenschutz:

Mehr

Dokumentation zur Anlage eines JDBC Senders

Dokumentation zur Anlage eines JDBC Senders Dokumentation zur Anlage eines JDBC Senders Mithilfe des JDBC Senders ist es möglich auf eine Datenbank zuzugreifen und mit reiner Query Datensätze auszulesen. Diese können anschließend beispielsweise

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail S Sparkasse Höxter Kundeninformation zu Secure E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie

Mehr

7.11.2006. int ConcatBuffers(char *buf1, char *buf2, size_t len1, size_t len2) {

7.11.2006. int ConcatBuffers(char *buf1, char *buf2, size_t len1, size_t len2) { Universität Mannheim Lehrstuhl für Praktische Informatik 1 Prof. Dr. Felix C. Freiling Dipl.-Inform. Martin Mink Dipl.-Inform. Thorsten Holz Vorlesung Angewandte IT-Sicherheit Herbstsemester 2006 Übung

Mehr

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12 Operator Guide Einleitung Diese Guide vermittelt ihnen das Operator Know How für die Gästbox. Was müssen Sie wissen bevor Sie sich an die Arbeit machen. Von welchem PC aus kann ich die Gästbox bedienen.

Mehr

Installation der Software

Installation der Software Seite 1 von 5 Installation der Kontaktanzeigenflirt-Software von Werbe-Markt.de, Stand: 29.03.2015 Installation der Software Die Installation der Kontaktanzeigenflirt-Software erfolgt über eine auch für

Mehr

1. Einloggen 2. Auswahl der Seite 3. Bearbeitung der Seite

1. Einloggen 2. Auswahl der Seite 3. Bearbeitung der Seite 1. Einloggen 1 2. Auswahl der Seite 2 3. Bearbeitung der Seite 2 1. Einfügen neuer Unterseiten 3 2. Titelauswahl und Aussehen (Templates) 4 3. Links erstellen 5 4. Pdfs einfügen 7 5. Bilder einfügen 7

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

FL1 Hosting Kurzanleitung

FL1 Hosting Kurzanleitung FL1 Hosting Verfasser Version: V1.0 (ersetzt alle früheren Versionen) Gültig ab: 18. Oktober 2015 Version 2.1 Seite 1/10 Inhaltsverzeichnis 1 Zugangsdaten... 3 1.1 FTP... 3 1.2 Online Admin Tool... 3 1.3

Mehr

Benutzerdokumentation

Benutzerdokumentation Benutzerdokumentation Konzepte Anmeldung am System Um den Projektplaner verwenden zu können, bedarf es keiner Registrierung. Wenn Sie bereits einen FH-Account haben, loggen Sie sich einfach mit Ihrem Usernamen

Mehr

Wir stellen Ihnen den Webspace und die Datenbank für den OPAC zur Verfügung und richten Ihnen Ihren webopac auf unserem Webserver ein.

Wir stellen Ihnen den Webspace und die Datenbank für den OPAC zur Verfügung und richten Ihnen Ihren webopac auf unserem Webserver ein. I Der webopac die Online-Recherche Suchen, shoppen und steigern im Internet... Vor diesem Trend brauchen auch Sie nicht halt machen! Bieten Sie Ihrer Leserschaft den Service einer Online-Recherche in Ihrem

Mehr

Kurzanleitung zum Erstellen einer Seite und dem dazugehörigen Seiteninhalt

Kurzanleitung zum Erstellen einer Seite und dem dazugehörigen Seiteninhalt Kurzanleitung zum Erstellen einer Seite und dem dazugehörigen Seiteninhalt Typo3 als Content Management System macht es möglich mit nur wenigen Mausklicks eine komplette Seite mit Inhalt zu erstellen bzw.

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Kundeninformation zu Secure Email. Secure Email Notwendigkeit?

Kundeninformation zu Secure Email. Secure Email Notwendigkeit? Kundeninformation zu Secure Email Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen

Mehr

STAR-Host Kurzanleitung ISP-Config

STAR-Host Kurzanleitung ISP-Config STAR-Host Kurzanleitung ISP-Config Webseite (Domain) einrichten Loggen Sie sich unter ISPConfig ein. Im Hauptmenü können Sie jetzt direkt eine Webseite (Domain) einrichten oder zunächst einen Kunden. Klicken

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail S Stadtsparkasse Felsberg Kundeninformation zu Secure E-Mail Einleitung Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungsdateien sowie das E-Mail Spoofing, das Erstellen einer

Mehr

Das Paket enthält: vionlink-formmailer.php src/formular.htm src/font.tff src/bg.png src/capmaker.php. eine Nutzungslizenz dieses Handbuch

Das Paket enthält: vionlink-formmailer.php src/formular.htm src/font.tff src/bg.png src/capmaker.php. eine Nutzungslizenz dieses Handbuch Das Paket enthält: vionlink-formmailer.php src/formular.htm src/font.tff src/bg.png src/capmaker.php eine Nutzungslizenz dieses Handbuch Schnelleinstieg Quick Installation 1. Öffnen Sie die Datei vionlink-formmailer.php.

Mehr

5 PWA Persönlicher Web Assistent

5 PWA Persönlicher Web Assistent 5 PWA Persönlicher Web Assistent 5.1 Allgemeine Informationen zum PWA Mit der Immatrikulation wird für Sie automatisch ein Account eingerichtet. Diesen behalten Sie bis zur Exmatrikulation. Wir stellen

Mehr