Web Application Security Tips (V April 2004)

Größe: px
Ab Seite anzeigen:

Download "Web Application Security Tips (V1.00-2. April 2004)"

Transkript

1 Web Application Security Tips (V April 2004) Dieses Dokument einschließlich aller Teile ist urheberrechtlich geschützt. Die unveränderte Weitergabe (Vervielfältigung) des Dokuments ist ausdrücklich erlaubt. Jede weitergehende Verwertung ausserhalb der engen Grenzen des Urhebergesetzes ist ohne Zustimmung des Ingenieurbüro David Fischer GmbH unzulässig und strafbar Ingenieurbüro David Fischer GmbH, Lindenstrasse 21, 4123 Allschwil, Schweiz In vielen frei verfügbaren Quellen wie z.b. dem BSI IT-Grundschutzhandbuch finden Sie qualifizierte Empfehlungen zum sicheren Betrieb von Netzwerken, Betriebssystem und Datenbanken. Konkrete Vorgaben zur sicheren Programmierung und Konfiguration von Web Applikationen sind aber nach wie vor ein Spezialgebiet, welches von anerkannten Standards naturgemäss oft nur allgemein behandelt wird. Die hier publizierten Web Application Security Tips sollen ein Teil dieser Lücke schliessen und beziehen sich hauptsächlich auf die sichere Programmierung und Konfiguration von Web Applikationen wie z.b. E-Commerce Shops, Web Portale oder E-Banking Lösungen. Die Empfehlungen sind aus der täglichen Praxis entstanden und bewusst in der Sprache der Programmierer formuliert, jedoch soweit wie möglich Technologie-neutral gehalten. Für den oft etwas imperativen Text möchten wir uns im Voraus entschuldigen. Überlegen Sie immer auch selbst, ob der entsprechende Vorschlag für Sie Sinn macht. Wir sind jedoch fast sicher, dass Sie bei der genauen Durchsicht - nebst vielen bekannten Empfehlungen - auch eine Reihe von neuen, interessanten Security-Aspekten entdecken. Seite 1 von 17

2 Inhalt: I. Basic Security: minimale Schutzmassnahmen für Web Applikationen 1. Server unprivilegiert starten 2. Default MIME-Type dekonfigurieren 3. Tailoring der Server Funktionalitäten realisieren 4. Keine internen Informationen im Fehlerfall preisgeben 5. Log-Files und Applikation gegen Download sichern 6. Alle CGI und Form Input-Parameter bei jedem HTTP Request neu prüfen 7. Daten-Import von externen Quellen auch prüfen 8. Unzulässige Requests verzögern 9. Unzulässige Requests separat aufzeichnen 10. Server Administrations-Port von Web Service-Port trennen 11. Betrieb ohne Log-Aufzeichnungen verunmöglichen II. Standard Security: für persönliche Daten und einfache Geschäftstransaktionen 12. Nur verschlüsselte HTTPS-Verbindungen verwenden 13. Web Applikationen nicht im Browser integrieren 14. Nur offiziell ausgestellte SSL Server-Zertifikate verwenden 15. Session(-ID) beim Login wechseln 16. Temporäre Cookies als Session-Kontext erzwingen 17. Keine zusätzlichen Session-Kontexte verwenden 18. Keine sensitiven Daten in permanenten Cookies speichern 19. Kein initiales Standard-Passwort setzen 20. Passwort-Speicherung im Web Browser unterdrücken 21. Passwort-Änderung zulassen 22. Logout ermöglichen 23. Passwörter nur als Hashwert speichern 24. Benutzer Accounts bei mehrmaligem falschen Login automatisch sperren 25. Zugriffsverletzungen des Rollenkonzepts immer prüfen und loggen 26. Keine Preise als CGI- oder hidden Formular-Parameter übergeben 27. Login- und Logout-Vorgang der Benutzer protokollieren 28. Business-Transaction Log separat führen 29. Log-Files nicht auf dem eigenen Rechner speichern 30. Remote IP-Adresse vom Reverse Proxy an den Applikationsserver weiterleiten III. High Security: für E-Banking sowie für besonders schützenswerte Daten 31. Verschlüsselungs-Tiefe und -Protokoll kontrollieren 32. Immer vollständige Zertifikats-Kette des SSL Server-Zertifikats übertragen 33. SSL Client-Zertifikate verwenden 34. SSL Server-Zertifikat in spezieller Hardware speichern 35. "Trusted" SSL Library verwenden 36. Starke Authentisierung verwenden 37. URL Whitelist-Filter implementieren 38. Keine Hyperlinks auf fremde Web-Seiten integrieren 39. Session-Timeout kurz halten 40. Keine endlosen Surf-Sessions erlauben 41. Mehrfaches Login des gleichen Benutzers ausschliessen 42. Initial-Authentisierung nicht über ungesicherte Kanäle übertragen 43. Gesperrte Accounts nur nach sorgfältiger Authentisierung wieder entsperren 44. Kryptologische Zufallszahlen-Generatoren verwenden 45. Limiten setzen und Risk-Management implementieren 46. GMT als applikations-interne Zeitbasis verwenden 47. Anonyme Benutzer von authentisierten Benutzern trennen Seite 2 von 17

3 48. Schutzmassnahmen auf Kundeseite fördern 49. Benutzeranfragen und Störungsmeldungen richtig behandeln 50. Angriffsversuche periodisch Auswerten 51. Shutdown-Kriterien und Notfall-Konzepte vorbereiten IV. Weitere Empfehlungen 52. Alle Team-Mitglieder sensibilisieren 53. Qualitätssicherung mit einbeziehen 54. Umsetzung von Security-Massnahmen bei Aufwandschätzungen mit berücksichtigen 55. Auf ausgewogene Sicherheit achten 56. Hilfe anfordern, Übersicht behalten und Risiken delegieren V. Hyperlinks VI. Feedback Seite 3 von 17

4 I Basic Security: minimale Schutzmassnahmen für Web Applikationen Dieses Unterkapitel beschreibt grundlegende Schutzmassnahmen, welche in jeder Web Applikation realisiert werden sollten. Selbst wenn diese "nur" einen öffentlichen Bereich enthält und sich die Benutzer nicht anmelden müssen. 1. Server unprivilegiert starten Der Server sollte immer unter einem unprivilegierten System-Account gestartet werden. Dies verhindert, dass bei einer eventuellen Sicherheitslücke wie z.b. "Buffer-Overflow" der Angreifer direkt die volle Kontrolle über das gesamte Betriebssystem erhält. Bei den HTTP Server-Ports unter 1024 ist ein Starten unter einem privilegierten System-Account (leider) nötig, doch kann in der Konfiguration des Servers (fast) immer noch ein zusätzlicher, unprivilegierter Account spezifiziert werden, unter dessen Kontext die eigentliche Verarbeitung der HTTP Requests erfolgt. 2. Default MIME-Type dekonfigurieren Konfigurieren Sie den Server so, dass dieser bei statischem Content (z.b. Bilder, Text-Files), im Zusammenhang mit unbekannten Datei-Erweiterungen (z.b. ".dat"), nicht einfach die verlangte - und gefundene - Ressource mit einem Default-MIME Type wie z.b. "TEXT/PLAIN" liefert, sondern in einem solchen Fall stattdessen eine Fehlermeldung an den Endbenutzer ausgibt. Durch die genaue Kontrolle der zulässigen MIME-Typen, welche vom Server überhaupt geliefert werden können, verringern Sie die Wahrscheinlichkeit ganz erheblich, dass unerwünscht interne Daten preisgegeben werden. 3. Tailoring der Server Funktionalitäten realisieren Deaktivieren bzw. dekonfigurieren Sie auf dem Server gezielt alle Funktionalitäten, welche nicht benötigt werden. Beispiel: falls eine Remote-Administration nicht nötig ist, so sollten Sie diese dekonfigurieren. Dekonfigurieren Sie im Server auch die Unterstützung exotischer HTTP Request Methoden wie z.b. HEAD, TRACE und DELETE. Üblicherweise wird nur GET und POST benötigt. Falls sich unerwünschte HTTP Request Methoden nicht direkt dekonfigurieren lassen, so stehen oft alternative Möglichkeiten/Schnittstellen auf dem Server zur Verfügung, die HTTP Request Methode zu Prüfen und gegebenenfalls die Netzwerk-Verbindung zum Web Browser ohne Antwort zu schliessen. 4. Keine internen Informationen im Fehlerfall preisgeben Konfigurieren bzw. Programmieren Sie den Server so, dass beim Auftreten eines Fehlers nie interne Fehler-Details wie z.b. einen Stack-Dump oder lokale Umgebungsvariablen im Browser Fenster preisgegeben werden. Bei Applikations- Servern sollten Sie stattdessen nur eine eindeutige Fehler-Id ausgeben, welche mit einer genauen, internen Fehler-Aufzeichnung korrespondiert. Wichtig ist auch, dass der fehlerhafte URL-Request nicht in der Antwort repetiert wird, denn dies kann eventuell dazu führen, dass der Server seine eigene HTML- Antwort vor der Ausgabe selbst (dynamisch) interpretiert und über diesen Mechanismus sich z.b. beliebige Server Side Includes oder Java Server-Pages ausführen lassen (mittels server-seitigem Script Code in der Anfrage). 5. Log-Files und Applikation gegen Download sichern Legen Sie die Log-Files des Servers nicht im HTTP Request Path ab, damit diese in jedem Fall vor einem unerwünschten Download geschützt sind. Konfigurieren Sie zudem den Server so, dass direkt ausführbarer Code niemals herunter geladen Seite 4 von 17

5 werden kann. Deaktivieren Sie unbedingt auch "Directory-Browsing". 6. Alle CGI und Form Input-Parameter bei jedem HTTP Request neu prüfen Prüfen Sie die Input-Parameter bei jedem HTTP Request. D.h. es darf nicht möglich sein, HTML-, Javascript-, ActiveX oder SQL-Code als Input in die Applikation einzuschleusen. Es besteht sonst die Gefahr, dass dieser Code direkt von der Web Applikation ausgeführt wird (z.b. bei SQL) bzw. dass über die Datenbank der Web Applikation dieser Code im Kontext eines anderen Benutzers in dessen Web Browser ausgeführt wird. Beachten Sie auch, dass der Wert von HTML Form Feldern auf Client-Seite sehr einfach "böswillig" gefälscht werden kann und z.b. in Formular Input-Feldern, in welchen sich üblicherweise nur Zahlen selektieren lassen, Cross-Scripting oder SQL-Code auftritt. Besondere Beachtung benötigt auch die oft unterlassene Server-Seitige Prüfung von hidden HTML Form-Parametern oder Parametern von Auswahllisten, Radiobuttons und Checkboxen. 7. Daten-Import von externen Quellen auch prüfen Prüfen Sie beim automatisierten Datenimport von externen Quellen die Daten genau so sorgfältig, wie die Input-Parameter eines HTTP Requests (siehe vorhergehendes Unterkapitel). Dies ist besonders wichtig, wenn die importierten Daten bzw. Fragmente davon direkt im Browser-Fenster Ihrer Endbenutzer ausgegeben werden. Bei einem Unterlassen dieser Massnahme besteht sonst die Gefahr, dass über den Daten- Import böswilliger Code im Browser-Context der Endbenutzer ausgeführt wird. Dazu Ergänzend sollte bei dynamischen erzeugten HTML Text-Fragmenten - welche z.b. aus einer Datenbank stammen - deren Inhalt immer über eine Wrapper-Methode bzw. -Funktion ausgegeben werden, welche alle "exotischen" ASCII-Zeichen wie z.b. ", &, <, >, ", ' und : vor jeder Ausgabe konsequent in die entsprechenden dezimalen HTML Unicode-Zeichen umcodiert (z.b. &#039; statt '). Dadurch stelle Sie sicher, dass ein ausgegebener Text niemals als Script von einem Web Browser interpretiert wird, sondern in jeden Fall "nur" dargestellt wird. 8. Unzulässige Requests verzögern Falls ein unzulässiger bzw. fehlerhafter URL-Aufruf erkannt wird, so sollte die entsprechende Fehlermeldung einige Sekunden (5..10) verzögert ausgegeben werden. Dadurch reduzieren Sie die Bandbreite von Hacking-Versuchen gegenüber der Web Applikation und verringern so die Wahrscheinlichkeit eines erfolgreichen Angriffs. 9. Unzulässige Requests separat aufzeichnen Zeichnen Sie unzulässige URL Requests in einer separaten Log-Datei auf - damit Sie die "Schwarzen Schafe" unter den Endbenutzern besser erkennen können. Zur Aufzeichnung gehört in jedem Fall die genaue Zeit, die remote IP-Adresse sowie das genaue URL des unzulässigen Requests. Bei angemeldeten Benutzern sollte auch die eindeutige Benutzer-Identifikation in die Aufzeichnung mit einfliessen. 10. Server Administrations-Port von Web Service-Port trennen Viele Server verfügen oft über interne "Service-Funktionalitäten", welche z.b. "online Konfigurationsänderungen" oder ein Remote-Shutdown über einen Web Browser zulassen. Trennen Sie den Server Port dieser internen "Service- Funktionalitäten" vom "gewöhnlichen" Server Port, damit Ihre Firewall diese "Service-Funktionalitäten" für (externe) Internet-Benutzer blockieren kann. Beachten Sie in diesem Zusammenhang, dass auch eine spezielle Authorisierung - besonders bei unverschlüsselten HTTP Verbindungen - kein wirksamer Schutz ist und ein Trennen der beiden Server Ports nie ersetzen kann. Seite 5 von 17

6 11. Betrieb ohne Log-Aufzeichnungen verunmöglichen Stellen Sie sicher, dass der Server seinen Dienst verweigert, wenn keine Log- Aufzeichnungen mehr geschrieben werden können (.z.b. wenn kein Disk-Platz mehr zur Verfügung steht). Seite 6 von 17

7 II Standard Security: für persönliche Daten und einfache Geschäftstransaktionen Dieses Unterkapitel enthält - ergänzend zur Basic Security - zusätzliche Sicherheits- Empfehlungen. Z.B. für E-Commerce Shops oder auch für Web Applikationen, welche die Speicherung und Verwaltung persönlicher Daten erlauben. 12. Nur verschlüsselte HTTPS-Verbindungen verwenden Verwenden Sie ausschliesslich das verschlüsselte HTTPS-Protokoll, um persönliche Daten zwischen dem Endbenutzer und der Web Applikation auszutauschen. Die Verschlüsselungs-Tiefe sollte dabei mindestens 128 Bit betragen (bzw. 112 Bits bei 3DES). 13. Web Applikationen nicht im Browser integrieren Liefern Sie die einzelnen Elemente eines Browser-Fensters (HTML-Seite inkl. referenzierte Bilder, HTML-Frames und Animationen, etc.) ausschliesslich von einem Web Server. Bei "zusammengesetzten" HTTP/HTTPS Seiten von mehreren Web Servern vermeiden Sie so die Warnung "Diese Seite enthält sowohl unsichere wie auch sichere Elemente". Ein Mix der Elemente, von zwei oder mehreren HTTPS Servern im gleichen Browser-Fenster, wird zur Zeit von keinem Browser richtig unterstützt - d.h. es wird vom Browser immer nur ein Server-Zertifikat dem Endbenutzer angezeigt, was verunmöglicht, dass der Benutzer die Gültigkeit aller Elemente einer Web Page verifizieren kann. Viele Web Browser kollabieren zudem unter solchen Bedingungen - einzig der Microsoft Internet Explorer "überlebt" eine solche Situation, jedoch auch nur unter der Voraussetzung, dass alle Server-Zertifikate vom Browser als "gültig" betrachtet werden und keine (implizite) Nachfrage nach der Gültigkeit beim Endbenutzer nötig ist. 14. Nur offiziell ausgestellte SSL Server-Zertifikate verwenden Verwenden Sie nie selbst erzeugten SSL Server-Zertifikate, da diese eine Warnungsmeldung im Web Browsers des Endbenutzers zur Folge haben. Die Endbenutzer gewöhnen sich unter solchen Umständen an diese Warnungsmeldung und ein realer Entschlüsselungs-Angriff mit einer "Man in the Middle" Attacke wird später nicht erkannt, d.h. es besteht die Gefahr, dass die vermeintlich gut verschlüsselte Verbindung zur Laufzeit von unberechtigten Dritten abgehört und dechiffriert wird. Das richtige Verhalten bei einer solchen Warnungsmeldung währe eigentlich, dass der Endbenutzer z.b. per Telefon beim Ihrem Support nachfragt, ob ein technischer Grund für eine solche Warnung besteht. Vermeiden Sie darum unbedingt solche Situationen. Das "Importieren" von selbst erstellten Root CA Zertifikaten in den Web Browser ist zwar auf den ersten Blick eine mögliche Lösung. Diese hat jedoch aus der Sicht des Endbenutzers den unerwünschten und eventuell (fatalen) Effekt, dass von nun an der Web Browser jedes abgeleitete (weitere) Zertifikat der neu importierten Root CA ungeprüft akzeptiert und so die Sicherheit gegenüber gefährlichen Web- Inhalten aus der Sicht des Endbenutzers stark reduziert wird. Verwenden Sie keine inoffiziellen Root CA Zertifikaten, welche von Software- Lieferanten zur Inbetriebnahme Ihrer Web Applikation abgegeben wurden. 15. Session(-ID) beim Login wechseln Falls Ihr Applikationsserver bereits vor dem Login-Vorgang eine anonyme Session erzeugt, so sollten der Applikationsserver während des Login-Vorgangs - nach der erfolgreichen Eingabe der Benutzer-Authentisierung - dem Benutzer eine neue Session(-ID) zuweisen. Dies ist besonders wichtig, wenn dabei gleichzeitig ein Übergang vom unverschlüsselten HTTP- Protokoll hin zum verschlüsselten HTTPS-Protokoll erfolgt. Seite 7 von 17

8 16. Temporäre Cookies als Session-Kontext erzwingen Erzwingen Sie durch eine entsprechende Programmierung und Konfiguration des Applikationsservers, dass ausschliesslich temporäre Session-Cookies als Session- Kontext verwendet werden. Sämtliche anderen Verfahren zum Halten des Session- Kontexts führen zu Sicherheitslücken oder sind zu vielen Web Browser-Produkten inkompatibel. Dekonfigurieren Sie auch URL-Rewriting als alternatives Verfahren zum Halten des Session-Kontexts. Programmieren Sie den Applikationsserver so, dass dieser Browser erkennt, bei denen temporäre Session-Cookies deaktiviert wurden: geben Sie in einem solchen Fall dem Endbenutzer eine Fehlermeldung mit der Aufforderung aus, temporäre Session-Cookies für Ihre Web Applikation zuzulassen. Stellen Sie sicher, dass das Secure-Flag im Session-Cookie gesetzt ist. 17. Keine zusätzlichen Session-Kontexte verwenden Halten Sie Ihre Programmierer dazu an, auch in schwierigen Situationen ausschliesslich die server-seitigen Speicher-Strukturen zum Führen von benutzerspezifischen Session-Informationen zu verwenden (sog. server-seitiger Session Context). Das Ergänzen eines Session-Cookies mit zusätzlichen, unabhängigen Kontext-Verfahren wie z.b. FORM/CGI-Parametern, oder auch zusätzlichen Cookies, enthält immer ein zusätzliches Sicherheitsrisiko. 18. Keine sensitiven Daten in permanenten Cookies speichern Speichern Sie in permanenten Cookies nur allgemeine, nicht sensitive Daten, wie z.b. die bevorzugte Sprache des Endbenutzers. Jedoch nie Daten, welchen einen direkten persönlichen oder geschäftlichen Bezug darstellen. 19. Kein initiales Standard-Passwort setzen Vergeben Sie für neue Benutzer-Accounts kein Passwort, welches immer gleich lautet oder aus dem Benutzer-Account Namen leicht abgeleitet werden kann. Verwenden Sie stattdessen ein zufällig generiertes Passwort welches für jeden neunen Benutzer unterschiedlich ist. Lässt sich dies aus betrieblichen Gründen nicht realisieren so müssen Sie mindestens erzwingen, dass ein neuer Benutzer beim der ersten Anmeldung sein Passwort ändern muss. 20. Passwort-Speicherung im Web Browser unterdrücken Verwenden Sie immer die Option AUTOCOMPLETE="off" bei Passwort- Eingabefeldern eines HTML-Formulars. Dadurch wird verhindert, dass das Passwort im Browser (lokal) permanent gespeichert wird, und ein unberechtigter Dritter, welcher sich an den PC setzt, das vom Browser gespeicherte Passwort "automatisch" benutzen kann. 21. Passwort-Änderung zulassen Geben Sie dem Benutzer immer die Gelegenheit, sein Passwort jederzeit - jedoch erst nach einer erfolgreichen Authentisierung - zu ändern. Verlangen Sie bei der Passwort-Änderung zur Sicherheit nochmals das alte Passwort. 22. Logout ermöglichen Geben Sie dem Benutzer immer die Gelegenheit, sich bei der Applikation abzumelden. 23. Passwörter nur als Hashwert speichern Speichern Sie die Passwörter der Benutzer nie im Klartext und auch nicht verschlüsselt in der Datenbank, sondern nur deren Hashwerte bzw. Prüfsummen (z.b. MD5 Algorithmus verwenden). Dadurch kann ein Passwort nicht ohne Seite 8 von 17

9 weiteres "intern" eingesehen werden oder versehentlich an unberechtigte Dritte "verraten" werden. Programmieren Sie den Login-Vorgang so, dass dieser die Prüfsumme des Passworts jeweils neu berechnet und diese danach mit der gespeicherten Prüfsumme vergleicht. 24. Benutzer Accounts bei mehrmaligem falschen Login automatisch sperren Bei mehrmaligen, fehlgeschlagenen Anmeldeversuchen eines Benutzers innert kürzerer Zeit sollte der Benutzer-Account automatisch gesperrt werden. Geben Sie auch nach einer automatischen Sperre die gleiche Fehlermeldung aus, wie wenn ein falsches Passwort eingegeben würde. Dadurch verhindern Sie mindestens eine gewisse Zeit, dass ein potentieller Angreifer die Sperre als solche erkennt und dadurch auf andere Arten von Attacken ausweicht. Je nachdem, wie schützenswert die Daten Ihrer Web Applikation sind, kann eine Sperre nur temporär für einige Zeit gelten - oder auch abschliessend sein. Zeichnen Sie jeden falschen Authentisierungs-Versuch eines Benutzers in den Logdaten auf, inkl. der genauen Zeit und der Remote-IP Adresse. 25. Zugriffsverletzungen des Rollenkonzepts immer prüfen und loggen Prüfen Sie bei jedem HTTP-Request (immer wieder), ob der Benutzer wirklich die Berechtigung hat, die entsprechende Aktion durchzuführen. Besonders dann, wenn im weiteren Sinn nur "Nummern" in Request-Parametern über die Berechtigung entscheiden. Es gibt auf dem Markt auch Tools WebProxy), mit denen sich hidden HTML Form-Parameter und andere HTTP-Request Daten zu Testzwecken leicht fälschen lassen. Damit können Sie auf einfache Weise selbst prüfen, ob die Web Applikation das Rollenkonzept und die Autorisierung des Benutzers immer - auf jeder Web Page - berücksichtigt. 26. Keine Preise als CGI- oder hidden Formular-Parameter übergeben Falls Sie einen E-Commerce Shop programmieren so achten Sie darauf, dass während der Zusammenstellung des Warenkorbs sowie auch bei Checkout/Bezahlen niemals die Preise sondern immer nur die Artikel-Nummer und die Anzahl Artikel als CGI- oder hidden Formular-Parameter dem nächsten URL- Aufruf übergeben werden - und berechnen Sie daraus den Totalpreis jeweils immer neu. Es besteht sonst die Gefahr, dass ein Kunde die HTTP-Parameter bzw. Preise zu seinen Gunsten fälscht und zu ungewollt tiefen Preisen einkauft. Führen Sie den Warenkorb falls immer möglich nur in einem Server-Seitigen Context. 27. Login- und Logout-Vorgang der Benutzer protokollieren Zeichnen Sie jede An- und Abmeldung eines Endbenutzers inkl. remote IP- Adresse und genaue Zeit auf. 28. Business-Transaction Log separat führen Trennen Sie das Business-Transaction Log, d.h. die Aufzeichnung der Geschäftstransaktionen, vom "gewöhnlichen" Applikations- und Fehler-Log. Der Nachvollzug von Geschäftstransaktionen wird so einfacher. Über längere Zeit gesehen sparen Sie auch Backup/Archiv-Kosten, da nur die Geschäftstransaktionen über Jahre gespeichert werden müssen. Eine gute Idee ist auch, das Business-Transaction Log direkt mittels Datenbank- Triggern zu realisieren und in der Datenbank selbst zu führen. Dies erlaubt u.a. die schnelle Suche nach Geschäftstransaktionen und bildet auch eine gute Grundlage für spätere statistische Auswertungen. Der Hauptnutzen aus Security-Sicht besteht bei der Verwendung von Datenbank-Triggern jedoch darin, dass Seite 9 von 17

10 Geschäftstransaktionen unter allen Umständen automatisch protokolliert werden. 29. Log-Files nicht auf dem eigenen Rechner speichern Leiten Sie den Log-Output des Applikationsservers und gegebenenfalls des vorgeschalteten Reverse-Proxys auf ein "write-only" Netzwerk-Device eines besonders sicheren "Log Servers" um, so dass die die Log-Dateien niemals lokal veränderbar sind. Dadurch sind die Log-Dateien auch bei einem Einbruch wesentlich besser geschützt, so dass das "Verwischen von Spuren" schwieriger bis unmöglich wird. Bei UNIX-Systemen sollte natürlich auch mit dem syslog so verfahren werden (syslogd) - und ebenso mit den Log-Dateien der Datenbank. 30. Remote IP-Adresse vom Reverse Proxy an den Applikationsserver weiterleiten Falls ein Reverse Proxy dem eigentlichen Applikationsserver vorgeschaltet ist, so sollte der Reverse Proxy so konfiguriert werden, dass dieser die remote IP- Adresse des Endbenutzers an den Applikationsserver weiterreicht. Damit im Log des Applikationsservers auch die ursprüngliche remote IP-Adresse des Benutzers gespeichert werden kann Seite 10 von 17

11 III High Security: für E-Banking sowie für besonders schützenswerte Daten Dieses Kapitel enthält zusätzliche Sicherheitsempfehlungen welche bei E-Banking Applikationen sowie für Web Applikationen mit besonders Schützenswerten persönlichen Daten (z.b. Patientendaten, Gerichtsakten etc.) zur Anwendung kommen. Nebst vielen, rein technischen Massnamen sind auf dieser Sicherheitsstufe auch organisatorische Massnahmen nötig, um einen entsprechende Sicherheit erfolgreich zu gewährleisten. Vorausgesetzt wird, dass die Empfehlungen für Basic Security und Standard Security bereits realisiert worden sind. 31. Verschlüsselungs-Tiefe und -Protokoll kontrollieren Kontrollieren Sie am Server-Seitigen Verschlüsselungs-Endpunkt die zwischen Web Browser und Web Server ausgehandelte Verschlüsselungstiefe. Leiten Sie alle Benutzer, bei welchen nur eine Verbindung mit einer geringen Verschlüsselungstiefe zustande kommt (kleiner 128 Bit, bzw. 112 Bit), auf eine Fehlerseite um. Kontrollieren Sie auch am Verschlüsselungs-Endpunkt die zwischen Web Browser und Web Server ausgehandelte Version des SSL Protokolls. Leiten Sie alle Benutzer, bei welchen nur eine Verbindung mit dem veralteten SSL Protokoll der Version 2 zustande kommt, auf eine Fehlerseite um. 32. Immer vollständige Zertifikats-Kette des SSL Server-Zertifikats übertragen Da bei vielen Web Browsern korrekterweise nur die Zertifikate der Root-CA (wie z.b. VeriSign) - jedoch nicht deren Zwischenzertifikate lokal gespeichert werden - muss der HTTPS Server so konfiguriert sein, dass beim ersten Verbindungsaufbau, bei der sog. Handshake-Phase, nebst den eigentlichen Server-Zertifikat auch die Zwischenzertifikate der Root-CA mit an den Web Browser gesendet werden. Geschieht dies nicht, so können viele Web Browser Produkte das Server-Zertifikat nicht überprüfen und geben eine Warnungs-Meldung an den Endbenutzer aus, welche fälschlicherweise suggeriert, dass die Verbindung nicht sicher ist. Die Endbenutzer gewöhnen sich damit an diese Warnungsmeldung und reagieren später falsch, wenn z.b. eine echte "Man in the Middle" Attacke auftritt bzw. eine ähnliche Warnungsmeldung (aus anderen Gründen) zurecht vom Web Browser angezeigt wird. Aktuell sind noch immer ca. 30% aller HTTPS Web Server diesbezüglich falsch konfiguriert. Mit dem auf unserer Web Page integrierten Web Server SSL Check im linken Navigationsbalken können Sie selbst überprüfen, ob Ihr HTTPS Server diesen Mangel enthält. Alternativ können sie z.b. mit einem aktuellen Mozilla Browser die entsprechende Fehlermeldung selbst verifizieren. Beim Microsoft Internet Explorer sind die Zwischenzertifikate jedoch bereits (fälschlicherweise) auf dem lokalen PC abgelegt. Aus diesem Grund wird darum keine Fehlermeldung ausgegeben. Beim Klicken auf das Schloss-Symbol -> Zertifizierungspfad wird dieser Pfad bei fehlenden Zwischenzertifikaten automatisch den lokal gespeicherten Zwischenzertifikaten ergänzt, so dass leider nicht festgestellt werden kann, welches Zertifikat nun vom Web Server stammt und welches lokal ergänzt wurde. 33. SSL Client-Zertifikate verwenden Sichern Sie die verschlüsselte Verbindung zusätzlich mit einem Client-Zertifikat. Nur dadurch können Sie Ihre Endbenutzer vor einer relativ leicht zu realisierenden "Man in the Middle" Attacke schützen. Seite 11 von 17

12 Ihre Endbenutzer sind so auch vor gefälschten s sicher, welche diese dazu verleiten, sich bei einer vorgetäuschten Web Site anzumelden. Es ist technisch nicht möglich durch einen vorgetäuschten HTTPS Web Server ein Client-Zertifikat zu kopieren oder weiterzugeben. Halten Sie das Client-Zertifikat auf dem Endbenutzer-PC am besten in einer eigenen Hardware mit integriertem Crypto-Prozessor (z.b. spezieller USB-Token oder Smartcard) - damit dieses nicht von der Festplatte gestohlen werden kann. 34. SSL Server-Zertifikat in spezieller Hardware speichern Halten Sie das Server-Zertifikat nie auf der Harddisk des Servers sondern immer in einer speziellen Hardware mit einem integrierten, leistungsfähigen Crypto- Prozessor (sog. HSM Modul). Die Hardware sollte zudem so beschaffen sein, dass in dieser das Zertifikat bzw. dessen private Key wohl gespeichert, jedoch niemals zurückgelesen werden kann. Der integriere Crypto-Prozessor dient einem ähnlichen Zweck: dadurch muss das Zertifikat nie in den Arbeitsspeicher des Servers geladen werden sondern bleibt unter allen Umständen innerhalb der speziellen Hardware. Dies verhindert, dass durch Kopieren unbemerkt ein Duplikat des Server-Zertifikats bzw. dessen Private-Key erzeugt werden kann. Ein solches Duplikat ist ideal dazu geeignet, eine perfekte "Man in the Middle" Attacke durchzuführen, ohne dass irgendeine Warnung im Browser-Fenster des Endbenutzers erscheint. 35. "Trusted" SSL Library verwenden Damit sichergestellt ist, dass die verwendete SSL-Library auch keine (gewollt) eingebaute Backdoors oder "geheime Schwachpunkte" enthält, sollten Sie nur OpenSource Libraries oder "Clean Room Implementationen" verwenden. Wie z.b. OpenSSL oder das kommerzielle Produkt IAIK-iSaSiLk der TUG Graz. Dabei sollten Sie Produkte vorziehen, deren Source-Code Sie zumindest einsehen können. 36. Starke Authentisierung verwenden Verwenden Sie zur Authentisierung eines Benutzers mindesten (zusätzlich) ein komplexes Sicherheitselement, welches nicht bereits im PC selbst gespeichert ist. Z.B. der vorhergehend erwähnte USB-Token. Auch TAN-Nummern/Zugangs- Nummernliste oder SecureID Cards können diesen Zweck erfüllen. Biometrische Verfahren sind im Prinzip auch gut geeignet. Zurzeit lassen sich diese (alle) jedoch noch sehr einfach austricksen und genügen darum den Sicherheitsanforderungen noch nicht. 37. URL Whitelist-Filter implementieren Unterdrücken Sie mit einem speziellen Filter im Reverse Proxy oder im Applikations-Server sämtliche URL-Aufrufe (URL Request Paths), welche nicht zu Ihrer Web Site gehören. Da nie ganz klar ist, welche URL s von der "eingebauten Intelligenz" eines Web- bzw. Applikations-Servers beantwortet werden, ist die Realisierung eines URL Whitelist-Filters ein muss. Der zulässige URL Request Path einer Web Applikation kann durchaus auch Wildcards ("*") enthalten. Alternativ unterstützen sog. Web Application Firewalls, welche das HTTP Protokoll inkl. sämtlicher zulässiger CGI- und Form-Parametern kontollieren u.a. auch die Realisierung von URL Whitelist-Filtern. 38. Keine Hyperlinks auf fremde Web-Seiten integrieren Setzen Sie in der Web Applikation keine Hyperlinks auf andere Web Sites. Auch nicht auf eigene Web Sites, wenn diese wiederum Hyperlinks auf fremde Web Sites enthalten. Seite 12 von 17

13 Sobald beim Endbenutzer die Situation auftritt, dass weitere Browser Fenster zu anderen Web Applikationen bzw. Web Sites offen sind, kann ein "bösartig" programmierter Web Server speziellen Code an den Web Browser übermitteln, welcher durch Client-Side Cross-Scripting Mechanismen z.b. die Session-ID Ihrer Web Applikation ausliest oder die Web Applikation ohne Zutun des Endbenutzers "fernbedient". Falls es unumgänglich ist, Daten von fremden Anbietern darzustellen, so sollten diese Daten mittels Ihrer Web-Applikation zuerst Server-Seitig geladen werden, wobei auch eine vollständige Prüfung gegenüber Cross-Scripting Code erfolgen muss. Erst danach erfolgt die Ausgabe dieser fremden Daten im Kontext Ihrer eigenen Web Applikation. 39. Session-Timeout kurz halten Halten Sie den Session-Timeout, d.h. die Inaktivitäts-Zeitdauer bei deren Überschreitung der Endbenutzer automatisch abgemeldet wird, kurz. Empfohlen sind Zeiten im Bereich von fünf bis zehn Minuten. Durch eine geschickte Programmierung Ihrer Web Applikation können sie zudem erreichen, dass ein automatisch abgemeldeter Benutzer nach einer erneuten Authentisierung sich wieder auf demselben Menüpunkt befindet, wo er letztmals - vor der automatische erzwungenen Abmeldung - war. Dies reduziert die Komforteinbusse des Endbenutzers durch den kurzen Session-Timeout ganz erheblich. 40. Keine endlosen Surf-Sessions erlauben Setzen Sie eine maximale Zeitdauer der Session - unabhängig vom inaktivitäts Session-Timeout. D.h. wie lange ein Endbenutzer sich maximal innerhalb der Web Applikation aufhalten kann, ohne sich neu zu Authentisieren. Empfohlen sind Zeiten um 2 bis 4 Stunden. Dies verhindert z.b., dass "Man in the Middle" Attacken und Trojanische Programme Session-ID s sammeln und durch automatisierte, periodische Requests die gesammelten Sessions "warm halten" und weiterleiten können. 41. Mehrfaches Login des gleichen Benutzers ausschliessen Dieser Fall sollte "theoretisch" eigentlich gar nicht vorkommen, da eine stake Authentisierung verwendet wird. Allenfalls hat sich der Endbenutzer versehentlich zweimal angemeldet - oder seine Internet-Verbindung wurde unterbrochen. Vielleicht wurde aber auch TAN-Nummern oder die Zugangs-Nummernliste inkl. der zusätzlichen Sicherheitselemente unbemerkt kopiert. Löschen Sie in jedem Fall im Applikations-Server die alte Session desselben Benutzers. Geben Sie zudem bei der neuen, doppelten Authentisierung dem Benutzer eine Warnungs-Meldung aus, dass eine bereits bestehende, aktive Session terminiert wurde. 42. Initial-Authentisierung nicht über ungesicherte Kanäle übertragen Übertragen Sie die Sicherheitselemente zum Zugriff auf die Applikation nie über ungesicherte Kanäle (wie z.b. ) an die Benutzer. Auch nicht in "dringenden Fällen" und auch nicht an eigene Support-Personen vor Ort beim Kunden. 43. Gesperrte Accounts nur nach sorgfältiger Authentisierung wieder entsperren Instruieren Sie Ihr Support-Personal dahingehend, dass gesperrte Benutzer- Accounts nur nach sorgfältiger, erneuter, nicht Computer-gestützter Authentisierung entsperrt werden. Kann keine vollständige Authentisierung durchgeführt werden (z.b. am Telefon), so sollte "höchstens" die Entsperrung unter Beibehaltung des alten Passworts vorgenommen werden - ohne dieses zu erwähnen. Noch besser ist, wenn Sie die gleichen Vorsichtsmassnahmen (wieder) anwenden, wie wenn der Benutzer zum ersten Mal in Ihrem System erfasst würde. Seite 13 von 17

14 Alternativ zu einer Entsperrung können auch neu erzeugte Sicherheitselemente an den Endbenutzer (erneut wieder) übertragen werden (neues Passwort etc.). Analog einer Initial-Authentisierung - wiederum über einen gesicherten Kanal. 44. Kryptologische Zufallszahlen-Generatoren verwenden Nebst der sauberen Implementation und der hohen Verschlüsselungstiefe hängt die Qualität einer sicheren Verbindung direkt mit den dazu nötigen Zufallszahlen- Generatoren sowohl auf Client- wie auch auf Server-Seite ab. Ein möglicher Angriffspunkt kann z.b. sein, dass auf Client-Seite der SSL-Library bzw. dem Web Browser ein Zufallszahlen-Generator "untergeschoben" wird, welcher vorhersagbare Zahlen liefert. In einem solchen Fall wird auch eine 128-Bit Verschlüsselungstiefe nicht davor schützen, dass der Datentransfer abgehört werden kann. Während Sie auf Client-Seite in der Regel wenig Einfluss auf die Qualität des Zufallszahlen-Generators haben, so sollten Sie dennoch auf Server-Seite qualitativ hochwertige Zufallszahlen-Generatoren verwenden, um den Session-Context bzw. die Session-Id zu erzeugen. 45. Limiten setzen und Risk-Management implementieren Setzen Sie innerhalb der Web Applikation immer Limiten, bei deren Überschreitung eine manuelle Kontrolle nötig ist. Dies ist eine mächtige Massnahme im grösseren "Ereignissen" vorzubeugen. Bei einem E-Commerce Shop welcher nur Blumen verkauft, welche mittels Kreditkarte bezahlt werden, könnte die Limite für einen maximalen Einkauf z.b. 500 Euro betragen - oder z.b Euro pro Kunde und Tag. Bei E-Banking Applikationen sollten diese Limiten eher aus der Transaktions- History des Kunden oder Begünstigten selbst berechnet werden: so könnten z.b. ungewöhnlich hohe Zahlungen aus oder nach fremden Ländern ein Grund für eine vertiefte Kontrolle sein. Überlegen sie auch selbst, welche weiteren Limiten für Ihre Web Applikation Sinn machen. 46. GMT als applikations-interne Zeitbasis verwenden Damit die Nachvollziehbarkeit der aufgezeichneten Daten auch während des Übergangs Sommerzeit/Winterzeit gewährleistet ist, sollten sie applikations-intern alle Zeiten in GMT führen, und den Endbenutzern die Zeit jeweils umgerechnet in deren lokale Zeit darstellen (lokale Zeitzone im Benutzerprofil speichern). Dies verhindert bei Software-Komponenten auch ungewollte Rückwärts- Zeitsprünge, bei der Rückstellung der Zeit um eine Stunde und hat den zusätzlichen Vorteil, dass bei "internationalen Kunden" Daten mit Zeitangaben in der gewohnten Zeitzone des Kunden dargestellt werden können. Der tiefere Sinn bezüglich Security besteht jedoch darin, dass die zeitliche Nachvollziehbarkeit der Log-Daten und Transaktionen auch bei der Umstellung Sommerzeit/Winterzeit nicht durcheinander gerät. 47. Anonyme Benutzer von authentisierten Benutzern trennen Einen besseren Schutz vor anonymen Hacking-Versuchen erreichen Sie dadurch, dass dem eigentlichen Applikationsserver eine Reverse Proxy Server vorgeschaltet wird, welcher den Endbenutzer Authentisiert und erst bei einer erfolgreichen Authentisierung des Endbenutzers den Datentransfer zum eigentlichen Applikationsserver weiterleitet. 48. Schutzmassnahmen auf Kundeseite fördern Halten Sie Ihre Endbenutzer dazu an, einen Firewall sowie einen Virenscanner einzusetzen. Publizieren Sie den Fingerprint Ihres SSL-Server Zertifikats auch auf anderen Medien als dem Internet (z.b. auf Papier in Mailings). Sensibilisieren Sie Ihre Kunden dahingehend, dass diese Ihren Help-Desk per Telefon anrufen, wenn Seite 14 von 17

15 neu unübliche Fehlermeldungen im Web Browser ausgegeben werden. 49. Benutzeranfragen und Störungsmeldungen richtig behandeln Schulen Sie Ihr Supportpersonal dahingehend, dass diese mit den Symptomen der wahrscheinlichsten Angriffsversuchen auf Ihre Endbenutzer vertraut sind, und in einem solchen Fall einen Angriffsversuch erkennen und direkt Ihre Interne IT Security-Abteilung kontaktieren. 50. Angriffsversuche periodisch Auswerten Protokollieren Sie "mutwillige" Angriffe auf das Rollenkonzept der Web Applikation (z.b. mittels manipulierten HTML Form-Parametern) mit einer besonderen Kennzeichnung und werten Sie solche Angriffsversuche regelmässig aus. Dadurch können Sie gezielt die wenigen Schwarzen Schafe unter Ihren Endbenutzern eliminieren. 51. Shutdown-Kriterien und Notfall-Konzepte vorbereiten Legen Sie im vornherein definierte Kriterien fest, unter welchen Umständen Sie die Web Applikation temporär vom Netz nehmen, wie Sie am effizientesten auf Angriffsversuche (auch gegen Ihre Kunden) reagieren, und wie Sie in einem solchen Fall mit Ihren Kunden kommunizieren. Seite 15 von 17

16 IV Weitere Empfehlungen 52. Alle Team-Mitglieder sensibilisieren Sensibilisieren Sie alle Team-Mitglieder bezüglich Security. Es nützt nicht viel, wenn Ihr Kollege über keine Kenntnisse der notwendigen Vorkehrungen verfügt. Teile Sie gemeinsam das Wissen in diesem Bereich und kommunizieren Sie auch, welche Konsequenzen das Unterlassen von Sicherheitsmassnamen für die Beurteilung Ihres Teams und Ihrer Firma haben könnte. 53. Qualitätssicherung mit einbeziehen Oft werden von der klassischen Qualitätssicherungs-Abteilung die Security- Aspekte zuwenig geprüft. Verlangen Sie auch in diesem Bereich entsprechende Tests. Legen Sie besonderen Wert darauf, dass Angriffsversuche auf das Rollenkonzept der Applikation mittels gefälschter HTTP-Parametern sowie korrekte Überprüfung aller HTML Formular Input-Parameter ausführlich getestet wird. 54. Umsetzung von Security-Massnahmen bei Aufwandschätzungen mit berücksichtigen Schätzen Sie den Projekt-Aufwand so, dass alle Aufwände zum Erreichen der notwendigen Sicherheitsmassnamen bereits inbegriffen sind. Falls Sie bereits wissen, dass ein Security-Audit Bestandteil der Abnahme ist, so sollten Sie auch eine Reserve für unvorhergesehene Fehlerbehebungen mit einplanen. 55. Auf ausgewogene Sicherheit achten Falls die Umsetzung einer einzelnen Massnahme zu hohen Kosten führt, so sollten Sie zuerst überlegen, ob die Realisierung - um Vergleich zu anderen Massnahmen bzw. Bedrohungen - wirklich berechtigt ist. Oder als Metapher formuliert: wenn Sie Ihr Haus vor Überschwemmungen schützen möchten - so nützt eine 2 Meter hohe Mauer nur auf der Hinterseite nichts - viel besser währe, wenn sie nur eine 50 Zentimeter hohe Mauer bauen würden - dafür rund um das Haus. 56. Hilfe anfordern, Übersicht behalten und Risiken delegieren Fordern Sie interne oder externe Hilfe an, wenn Sie bei der Beurteilung oder bei der Umsetzung von Sicherheitsmassnamen unsicher sind. Es ist nicht so einfach, eine reale Bedrohung von einer rein theoretischen, unwahrscheinlichen Bedrohung zu unterscheiden. Informieren Sie sich im Web über tatsächlich, bereits realisierte Vorkommnisse und legen Sie den Schwerpunkt Ihrer Sicherheits-Massnahmen auf die Abwehr dieser realen Angriffe. Falls Sie zur Überzeugung gelangt sind, dass in Ihrer Web Applikation ein grösseres Sicherheitsleck bereits besteht - bei welchem zur Behebung ein zusätzlicher Aufwand nötig ist - so sollten Sie Ihren Vorgesetzen umgehend mit einer schriftlichen Beschreibung informieren und gleichzeitig die nötigen Mittel und Ressourcen anfordern, um dieses Risiko zu eliminieren. Werden die Ressourcen oder Mittel nicht freigegeben, so müssen Sie das Risiko nicht selbst tragen. Dies entspricht auch dem üblichen Vorgehen bei allen Qualitätssicherungs- Massnahmen. Es ist Schlussendlich ein Entscheid des Managements, welche Risiken tragbar sind. Voraussetzung ist jedoch, dass die entsprechenden Entscheidungsträger genügend gut informiert wurden. Seite 16 von 17

17 V Hyperlinks Link-Sammlung zum Thema Web Application Security in Englischer Sprache: - SecurityTechNet.com Hyperlinks zum Thema IT-Security in Deutscher Sprache: - Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) - Security Portal des heise Verlags Hyperlinks zum Thema HTTPS/SSL in Deutscher Sprache: - SSL-Studie (BSI, PDF-Datei) - Angriffe in der Praxis: Verschlüsselungs-Algorithmen (heise Security) VI Feedback Ihre Kritik, Kommentare, Fragen oder Ergänzungen sind willkommen und werden von uns in der Regel innerhalb von drei Arbeitstagen beantwortet. Gegebenfalls erweitern oder ergänzen wir dabei auch die hier vorliegenden Web Application Security Tips. Senden Sie bitte Ihre Nachricht an Beachten Sie bitte, dass Ihre Nachricht gegebenenfalls anonymisiert publiziert wird (ohne Ihren vollen Namen und ohne Ihre Adresse). Wir sichern Ihnen verbindlich zu, Ihre Nachricht rein fachlich zu behandeln, Ihre Namen und Ihre Adresse nicht an Dritte weiterzureichen und Ihnen keinerlei Werb s zuzustellen. Aus urheberrechtlichen Gründen können wir Ihnen jedoch kein Copyright auf Ihre Nachricht gewähren. Seite 17 von 17

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

> Internet Explorer 8

> Internet Explorer 8 > Internet Explorer 8 Browsereinstellungen optimieren Übersicht Inhalt Seite 1. Cache und Cookies löschen 2. Sicherheits- und Datenschutzeinstellungen 2 5 Stand Juli 2009 1. Cache und Cookies löschen Jede

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

Qualitätssicherung durch Lasttests Vortrag für Führungskräfte und Projektleiter

Qualitätssicherung durch Lasttests Vortrag für Führungskräfte und Projektleiter Qualitätssicherung durch Lasttests Vortrag für Führungskräfte und Projektleiter Ingenieurbüro David Fischer GmbH www.proxy-sniffer.com Inhalt 1. Übergeordnete Zielsetzungen 2. Negativ-Beispiele aus der

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

D.C.DialogManager Internet

D.C.DialogManager Internet D.C.DialogManager Internet Diese Hinweise sollen die wichtigsten Fragen im Zusammenhang mit der Nutzung des D.C.Dialogmanager beantworten. Sie wenden sich an Personen, die zur Nutzung des D.C.Dialogmanager

Mehr

BusinessMail X.400 Webinterface Mailbox V2.6

BusinessMail X.400 Webinterface Mailbox V2.6 V2.6 Benutzerinformation (1) In der Vergangenheit mussten Sie eine Sperre für Mitteilungen aus dem Internet bzw. die Freischaltung von definierten Partner über ein Formblatt bei der zentralen Administration

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Online-Banking. 45 Tipps für das sichere Online-Banking

Online-Banking. 45 Tipps für das sichere Online-Banking Online-Banking 45 Tipps für das sichere Online-Banking Notwendige Sicherheitsvorkehrungen am PC Versuchen Sie, möglichst wenige Personen an 1 dem PC arbeiten zu lassen, an dem Sie auch das Online-Banking

Mehr

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation bnsyncservice Voraussetzungen: Tobit DAVID Version 12, DVWIN32: 12.00a.4147, DVAPI: 12.00a.0363 Exchange Server (Microsoft Online Services) Grundsätzlich wird von Seiten KWP ausschließlich die CLOUD-Lösung

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

USB Security Stick. Deutsch. Benutzerhandbuch

USB Security Stick. Deutsch. Benutzerhandbuch USB Security Stick Deutsch Benutzerhandbuch 2 Inhaltsverzeichnis Allgemeines 4 Der mechanische Schreibschutzschalter 4 Verwendung unter Windows 6 Einstellungen 10 Benutzerpasswort ändern 11 Formatieren

Mehr

Konfigurationsanleitung Hosted Exchange mit Outlook 2007

Konfigurationsanleitung Hosted Exchange mit Outlook 2007 Konfigurationsanleitung Hosted Exchange mit Outlook 2007 Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden. Everyware

Mehr

Horstbox Professional (DVA-G3342SB)

Horstbox Professional (DVA-G3342SB) Horstbox Professional (DVA-G3342SB) Anleitung zur Einrichtung eines VoIP Kontos mit einem DPH-120S Telefon im Expertenmodus: Vorraussetzung ist, dass die Horstbox bereits mit den DSL Zugangsdaten online

Mehr

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen Sicherheit auf Anwendungsebene Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern

Mehr

Installation Anleitung für JTheseus und MS SQL Server 2000

Installation Anleitung für JTheseus und MS SQL Server 2000 Installation Anleitung für JTheseus und MS SQL Server 2000 Inhaltsverzeichnis 1 Installation der Datenbank 3 1.1 Erstellen der Datenbank 3 1.2 Tabellen und Minimal Daten einlesen 4 1.3 Benutzer JTheseus

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Installationsanleitung

Installationsanleitung Installationsanleitung Dieses Werk ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung der OutStart E-Learning GmbH unzulässig und

Mehr

Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihrer Raiffeisenbank Thurnauer Land eg

Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihrer Raiffeisenbank Thurnauer Land eg Sicherheitsvorkehrungen am eigenen PC 1 Versuchen Sie, so wenig Personen wie möglich an dem PC arbeiten zu lassen, den Sie für das Online-Banking nutzen. Dadurch werden die Risiken reduziert, die durch

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

Schnittstellenbeschreibung

Schnittstellenbeschreibung Schnittstellenbeschreibung Inhalt: - Beschreibung - Vorbereitungen - Die Details - Die verschiedenen Nachrichtenarten - Nachrichtenarchiv - Rückgabewerte - Schnellübersicht und Preisliste Weltweite-SMS.de

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Erste Hilfe «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Cache Einstellungen Im Internet Explorer von Microsoft wie auch in anderen Browsern (zum Beispiel Firefox) gibt

Mehr

Zuweiserportal - Zertifikatsinstallation

Zuweiserportal - Zertifikatsinstallation Zuweiserportal - Zertifikatsinstallation Inhaltsverzeichnis 1. Installation des Clientzertifikats... 1 1.1 Windows Vista / 7 mit Internet Explorer 8... 1 1.1.1 Zertifikatsabruf vorbereiten... 1 1.1.2 Sicherheitseinstellungen

Mehr

Checkliste Sicheres e-banking Die einzelnen Punkte sind auf den folgenden Seiten Schritt für Schritt erklärt.

Checkliste Sicheres e-banking Die einzelnen Punkte sind auf den folgenden Seiten Schritt für Schritt erklärt. Sicheres e-banking (Checklliiste und Anlleiitung) Dokumentt verrffügbarr untterr:: www..mel lani..admi in..ch Version 1.0 14.04.2005 Checkliste Sicheres e-banking Die einzelnen Punkte sind auf den folgenden

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Begriffe (siehe auch zusätzliche Arbeitsblätter)

Begriffe (siehe auch zusätzliche Arbeitsblätter) Begriffe (siehe auch zusätzliche Arbeitsblätter) Die URL-Adresse(Uniform Resource Locator)(einheitlicher Quellenlokalisierer)ist die Bezeichnung die gesamte Adresse, wie z.b.: www.dscc-berlin.de http://

Mehr

> Mozilla Firefox 3.5

> Mozilla Firefox 3.5 -- > Mozilla Firefox 3.5 Browsereinstellungen optimieren - Übersicht - Inhalt Seite 1. Cache und Cookies löschen 2 2. Sicherheits- und Datenschutzeinstellungen 3 Stand März 2010 - 1. Cache und Cookies

Mehr

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden -

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - Sparkasse Rosenheim-Bad Aibing Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen,

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Zertifikate Radius 50

Zertifikate Radius 50 Herstellen einer Wirelessverbindung mit Zertifikat über einen ZyAIR G-1000 Access Point und einen Radius 50 Server Die nachfolgende Anleitung beschreibt, wie eine ZyWALL Vantage RADIUS 50 in ein WLAN zur

Mehr

Phishing. Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihren Volksbanken Raiffeisenbanken.

Phishing. Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihren Volksbanken Raiffeisenbanken. Phishing Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihren Volksbanken Raiffeisenbanken. Sicherheitsvorkehrungen am eigenen PC 1 2 3 4 5 Versuchen Sie, so wenig Personen wie möglich an dem

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

Benutzeranleitung ebanking Login-Stick

Benutzeranleitung ebanking Login-Stick Benutzeranleitung ebanking Login-Stick www.valiant.ch/ebanking Nähe, die Sie weiterbringt. 2 Benutzeranleitung ebanking Login-Stick Ihr ebanking Login-Stick Der Schlüssel zum VALIANTnet. Der Einsatz Ihres

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

Smartcard Management System

Smartcard Management System Smartcard Management System Benutzerhandbuch Zertifiziert vom Nationalinstitut für Standardisierung und Technologie der Vereinigten Staaten von Amerika. Certified by the National Institute of Standards

Mehr

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS Herzlich willkommen zu den Workshops von Sage. In diesen kompakten Anleitungen möchten wir Ihnen Tipps, Tricks und zusätzliches Know-how zu Ihrer Software von Sage mit dem Ziel vermitteln, Ihre Software

Mehr

Sparkasse Vogtland. Secure E-Mail Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure E-Mail 1

Sparkasse Vogtland. Secure E-Mail Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure E-Mail 1 Secure E-Mail Datensicherheit im Internet Sparkasse Kundenleitfaden Sparkasse Kundeninformation Secure E-Mail 1 Willkommen bei Secure E-Mail In unserem elektronischen Zeitalter ersetzen E-Mails zunehmend

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Schritt für Schritt Anleitung! Tipp: Drucken Sie sich das Dokument aus und befolgen Sie jeden einzelnen Schritt. Dann wird es funktionieren! Inhaltsverzeichnis

Mehr

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Willkommen zu Release 6 von 4D v11 SQL. Dieses Dokument beschreibt die neuen Funktionalitäten und Änderungen der Version. Erweiterte Verschlüsselungsmöglichkeiten Release 6 von 4D v11 SQL erweitert

Mehr

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen HS-Anhalt (FH) Fachbereich EMW Seite 1 von 8 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003 Voraussetzungen Es ist keinerlei Zusatzsoftware erforderlich.

Mehr

Anleitung MRA Service mit MAC

Anleitung MRA Service mit MAC Anleitung MRA Service mit MAC Dokumentbezeichnung Anleitung MRA Service unter MAC Version 2 Ausgabedatum 7. September 2009 Anzahl Seiten 12 Eigentumsrechte Dieses Dokument ist Eigentum des Migros-Genossenschafts-Bund

Mehr

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003 Page 1 of 23 SSL Aktivierung für OWA 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 20.05.2005 Die Aktivierung von SSL, für Outlook Web Access 2003 (OWA), kann mit einem selbst ausgestellten

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Anleitung zur Aktualisierung

Anleitung zur Aktualisierung CONTREXX AKTUALISIERUNG 2010 COMVATION AG. Alle Rechte vorbehalten. Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte, auch die der Modifikation, der Übersetzung, des Nachdrucks und der Vervielfältigung,

Mehr

Installationsanleitung SSL Zertifikat

Installationsanleitung SSL Zertifikat Installationsanleitung SSL Zertifikat HRM Systems AG, Technikumstrasse 82, Postfach, CH-8401 Winterthur, Telefon +41 52 269 17 47, www.hrm-systems.ch Inhaltsverzeichnis 1. Einleitung 3 2. Austausch Zertifikat

Mehr

Fachhochschule Fulda. Bedienungsanleitung für QISPOS (Notenverbuchung und Leistungsverbuchung für Prüfer)

Fachhochschule Fulda. Bedienungsanleitung für QISPOS (Notenverbuchung und Leistungsverbuchung für Prüfer) Fachhochschule Fulda Bedienungsanleitung für QISPOS (Notenverbuchung und Leistungsverbuchung für Prüfer) Inhaltsverzeichnis 1. Vorgehensweise bei der ersten Anmeldung... 1 2. Startseite... 1 3. Login...

Mehr

Handlungsanweisung für den Remotezugriff per SSL-VPN auf Resourcen am UKD

Handlungsanweisung für den Remotezugriff per SSL-VPN auf Resourcen am UKD Handlungsanweisung für den Remotezugriff per SSL-VPN auf Resourcen am UKD 1. Vorbemerkungen Beim Remotezugriff per SSL-VPN über ihren Browser erfolgt der Zugriff auf vordefinierte Resourcen am UKD ohne

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

Hochschulrechenzentrum

Hochschulrechenzentrum #95 Version 2 Einleitung Das ZEDAT-Portal ist ein Dienst der ZEDAT, der es Ihnen ermöglicht, den eigenen Account auf bequeme und sichere Weise mit einem Webbrowser zu verwalten. Sie können dort persönliche

Mehr

E-Mail: BSCWMaster@dlz-it.de Tel.: +49 (3677) 669 2491 1. ALLGEMEINES ZU WEBDAV 1. 1.1 Vorteile 1. 1.2 Hinweise 2 2. WEBDAV MIT WINDOWS 7 3

E-Mail: BSCWMaster@dlz-it.de Tel.: +49 (3677) 669 2491 1. ALLGEMEINES ZU WEBDAV 1. 1.1 Vorteile 1. 1.2 Hinweise 2 2. WEBDAV MIT WINDOWS 7 3 WebDAV 1. ALLGEMEINES ZU WEBDAV 1 1.1 Vorteile 1 1.2 Hinweise 2 2. WEBDAV MIT WINDOWS 7 3 2.1 WebDAV Verbindung einrichten 3 2.1.1 1.Variante 3 2.1.2 2.Varainte 4 2.1.3 Netzwerkadresse hinzufügen 5 2.2

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Technische Voraussetzungen Stand: 29. Juli 2014

Technische Voraussetzungen Stand: 29. Juli 2014 Technische Voraussetzungen Stand: 29. Juli 2014 FineSolutions AG Culmannstrasse 37 8006 Zürich Telefon +41 44 245 85 85 Telefax +41 44 245 85 95 support@finesolutions.ch Inhaltsverzeichnis 1 Einführung...

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

BrainTrade Internet Fileservice

BrainTrade Internet Fileservice XONTRO BrainTrade Internet Fileservice Anleitung Stand: Version 1.3 BRAINTRADE Gesellschaft für Börsensysteme mbh Seite 2 Inhalt BrainTrade Internet Fileservice... 3 Einleitung... 3 Sicherheit... 3 Sicherheitsempfehlungen...

Mehr

Sparkasse Jerichower Land

Sparkasse Jerichower Land Kundenleitfaden zu Secure E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben

Mehr

Sicherheitszertifikat überprüfen. 128-Bit-Verschlüsselung. Passwort und PIN-Code für den Kartenleser. Schutz vor Manipulationen

Sicherheitszertifikat überprüfen. 128-Bit-Verschlüsselung. Passwort und PIN-Code für den Kartenleser. Schutz vor Manipulationen Verbindung zur Bank Rufen Sie für die E-Banking-Loginseite ausschliesslich über unsere Webseite http://www.zugerkb.ch oder via Direktlink https://wwwsec.ebanking.zugerkb.ch auf. Sollten Sie per E-Mail

Mehr

Handbuch organice Business Intelligence

Handbuch organice Business Intelligence Handbuch organice Business Intelligence Stand: Februar 2014, Version 1.1.0.1 2001-2014 organice Software GmbH Grunewaldstr. 22, 12165 Berlin Alle Rechte vorbehalten. Die Software und dieses Handbuch dürfen

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Knowledge Base SIP-Konfiguration auf der Fortigate

Knowledge Base SIP-Konfiguration auf der Fortigate Datum 05/01/2011 09:21:00 Hersteller Fortinet Modell Type(n) Fortigate Firmware v4.2 Copyright Boll Engineering AG, Wettingen Autor Sy Dokument-Version 1.0 Situation: SIP-Traffic auf einer Firewall zuzulassen

Mehr

TimePunch SQL Server Datenbank Setup

TimePunch SQL Server Datenbank Setup TimePunch TimePunch SQL Server Datenbank Setup Benutzerhandbuch 26.11.2013 TimePunch KG, Wormser Str. 37, 68642 Bürstadt Dokumenten Information: Dokumenten-Name Benutzerhandbuch, TimePunch SQL Server Datenbank

Mehr

Tec Local 4.0 Installationsanleitung: Besteller & Mehrplatz (Client) TecLocal 4.0. Installationsanleitung: Besteller-Modus bei Mehrplatzinstallation

Tec Local 4.0 Installationsanleitung: Besteller & Mehrplatz (Client) TecLocal 4.0. Installationsanleitung: Besteller-Modus bei Mehrplatzinstallation Tec Local 4.0 Installationsanleitung: Besteller & Mehrplatz (Client) TecLocal 4.0 Installationsanleitung: Besteller-Modus bei Mehrplatzinstallation (Teil II - Client) Version: 1.0 Autor: TecCom Solution

Mehr

Installationsanleitung für die h_da Zertifikate

Installationsanleitung für die h_da Zertifikate Zentrale Serverdienste Installationsanleitung für die h_da Zertifikate Dokumentennummer: IT-ZSD-008 Version 1.3 Stand 23.05.2013 Historie Version Datum Änderung Autor 1.0 22.10.2008 Dokument angelegt tbo

Mehr

Datensicherheit auf dem iphone

Datensicherheit auf dem iphone Datensicherheit auf dem iphone Kapitel 14 Auf dem iphone sammeln sich sehr schnell jede Menge privater und sensibler Informationen an: Adressen, Termine, Notizen, Nachrichten, allerlei Passwörter und Zugangsdaten

Mehr

Access Card Display für Ihre UBS Online Services Gebrauchsanleitung

Access Card Display für Ihre UBS Online Services Gebrauchsanleitung ab Access Card Display für Ihre UBS Online Services Gebrauchsanleitung www.ubs.com ab Erscheint auch in englischer Sprache. April 2014. (L46995) UBS 2014. Das Schlüsselsymbol und UBS gehören zu den geschützten

Mehr

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM Server-Eye Stand 30.07.2013 Copyright 2012 by REDDOXX GmbH REDDOXX GmbH Neue Weilheimer Str. 14 D-73230 Kirchheim Fon: +49 (0)7021 92846-0 Fax: +49 (0)7021 92846-99 E-Mail: info@reddoxx.com Internet: http://www.reddoxx.com

Mehr

Häufig gestellte Fragen zu Brainloop Secure Dataroom

Häufig gestellte Fragen zu Brainloop Secure Dataroom Häufig gestellte Fragen zu Brainloop Secure Dataroom Klicken Sie auf eine der Fragen unten, um die Antwort dazu anzuzeigen. 1. Ich versuche mich zu registrieren, aber erhalte keine TAN. Warum? 2. Ich kann

Mehr

BMW Financial Services Online-Banking. Freude am Fahren. www.bmwbank.de INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES.

BMW Financial Services Online-Banking. Freude am Fahren. www.bmwbank.de INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES. BMW Financial Services Online-Banking www.bmwbank.de Freude am Fahren INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES. INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN.

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Willkommen zur S-Web Schulung Zweiter Tag. Dirk Speckhardt

Willkommen zur S-Web Schulung Zweiter Tag. Dirk Speckhardt Willkommen zur S-Web Schulung Zweiter Tag Dirk Speckhardt 1 S-Web Schulung Zweiter Tag: 09:00-10:45 Kapitel 5 Login und IT-Sicherheit 10:45-11:00 Kaffeepause 11:00-12:30 Kapitel 6 Variablen / Alarming

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste

Mehr

Erweiterung für Premium Auszeichnung

Erweiterung für Premium Auszeichnung Anforderungen Beliebige Inhalte sollen im System als Premium Inhalt gekennzeichnet werden können Premium Inhalte sollen weiterhin für unberechtigte Benutzer sichtbar sein, allerdings nur ein bestimmter

Mehr

A B A S T A R T Fehlerbehebung

A B A S T A R T Fehlerbehebung A B A S T A R T Fehlerbehebung April 2015 / OM Version 1.0 Diese Unterlagen sind urheberrechtlich geschützt. Insbesondere das Recht, die Unterlagen mittels irgendeines Mediums (grafisch, technisch, elektronisch

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Gültig ab: 3. Dezember 2013

Gültig ab: 3. Dezember 2013 Cookies Richtlinie Gültig ab: 3. Dezember 2013 Hinweis: Bitte achten Sie darauf, dass dieses Dokument eine Übersetzung der englischen Fassung ist. Im Streitfall hat die englische Fassung Vorrang. Cookies

Mehr

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12 Operator Guide Einleitung Diese Guide vermittelt ihnen das Operator Know How für die Gästbox. Was müssen Sie wissen bevor Sie sich an die Arbeit machen. Von welchem PC aus kann ich die Gästbox bedienen.

Mehr

Datenschutzerklärung für RENA Internet-Auftritt

Datenschutzerklärung für RENA Internet-Auftritt Datenschutzerklärung für RENA Internet-Auftritt Vielen Dank für Ihr Interesse an unserem Internetauftritt und unserem Unternehmen. Wir legen großen Wert auf den Schutz Ihrer Daten und die Wahrung Ihrer

Mehr

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Sicherheitskonzept und Sicherheitspru fung Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Einführung Die Firma MVZ Labor PD Dr. Volkmann und Kollegen GbR, nachstehend als Labor

Mehr

crm-now/ps Anwenderhandbuch für die Thunderbird Erweiterung Zweite Ausgabe

crm-now/ps Anwenderhandbuch für die Thunderbird Erweiterung Zweite Ausgabe crm-now/ps Anwenderhandbuch für die Thunderbird Erweiterung Zweite Ausgabe crm-now/ps: Copyright 2006 crm-now Versionsgeschichte Version 02 08.09.2006 Release Version Version 01 16.06.2005 crm-now c/o

Mehr

EDI Connect goes BusinessContact V2.1

EDI Connect goes BusinessContact V2.1 EDI Connect goes BusinessContact V2.1 Allgemeine Informationen Ziel dieser Konfiguration ist die Kommunikation von EDI Connect mit dem neuen BusinessContact V2.1 Service herzustellen Dazu sind im wesentlichen

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Arbeiten mit Outlook Web Access und Outlook 2003

Arbeiten mit Outlook Web Access und Outlook 2003 Konfigurationsanleitung inode Hosted Exchange Arbeiten mit Outlook Web Access und Outlook 2003 Inhaltsverzeichnis 1. Grundlegendes...3 2. Online Administration...4 2.1 Mail Administration Einrichten des

Mehr

Dokumentation Windows 2000 Webserver 24.09.2004

Dokumentation Windows 2000 Webserver 24.09.2004 Inhaltsverzeichnis 1 Zum Dokument...2 2 Aufträge...3 2.1 Arbeitsauftrag 1...3 2.1.1 Aufgaben...3 2.2 Arbeitsauftrag 2...3 2.2.1 Aufgaben...3 3 Windows 2000 Server Installation:...4 3.1 Partitionierung:...4

Mehr