Penetrationstest Christian Pohl

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Penetrationstest Christian Pohl"

Transkript

1 Penetrationstest Christian Pohl

2 Agenda Motivation Schwachstellen im Webumfeld Penetrationstests Vorteile Nachteile In medias res! Datenklau Benutzerkonten knacken Was kann ich tun? Seite 2

3 Motivation Quelle: Heise Security Seite 3

4 Schwachstellen im Webumfeld OWASP Top 10 A1-Injection A2-Cross Site Scripting (XSS) A3-Broken Authentication and Session Management A4-Insecure Direct Object References A5-Cross Site Request Forgery (CSRF) A6-Security Misconfiguration A7-Insecure Cryptographic Storage A8-Failure to Restrict URL Access A9-Insufficient Transport Layer Protection A10-Unvalidated Redirects and Forwards SQL, OS, and LDAP injection Eingabevalidierung, Maskierung Sessionfixation Directory Traversal, getfile.php Fernsteuerung des Browsers Absicherung des Netzwerks, der Server, Dienste... Passworte, Kreditkarten Durchgängige Berechtigungsprüfung Anmeldung über HTTP Ungeprüfte Weiterleitungen Seite 4

5 Penetrationstests Im technischen Sprachgebrauch versteht man unter einem Penetrationstest den kontrollierten Versuch,... in ein bestimmtes Computersystem bzw. -netzwerk einzudringen, um Schwachstellen zu identifizieren. Dazu werden die gleichen bzw. ähnliche Techniken eingesetzt, die auch bei einem realen Angriff verwendet werden. Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), Studie zur Durchführung von Penetrationstests Seite 5

6 Penetrationstests Vorteile Extrem flexibel einsetzbar Technisch: Netz-, System- und Applikationsebene Organisatorisch: in Prozessen Vergleichsweise wenig Aufwand Fakten zur realen Schwachstellensituation, des Sicherheitsniveaus des Untersuchungsgegenstandes Bewertung der Sicherheitsrelevanz Grenzen Kein Anspruch auf Vollständigkeit Keine Aussage über zukünftige Situation Ursachenfindung meist nur sehr begrenzt möglich Seite 6

7 In medias res Demoaufbau super-test-shop Apache Webserver OSCommerce modifiziert um anfällig für SQL-Injection und XSS zu sein. MySQL Browser Seite 7

8 In medias res - Vorsicht 202a StGB - Ausspähen von Daten (1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. ( ) 269 StGB - Fälschung beweiserheblicher Daten (1) Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. ( ) Bild: Robb at de.wikipedia Seite 8

9 Informationssammlung Mit der Anwendung arbeiten Eingabefelder überprüfen auf Maskierung und Eingabevalidierung Sonderzeichen, HTML, Javascript, SQL Parameter Tampering Clientseitige Überprüfungen umgehen, Hidden-Fields Rückgabe auswerten Fehler? Ungewöhnliche Rückgabe? Notizen machen Nichts vergessen, Logbuch! Seite 9

10 Informationssammlung Mit der Anwendung arbeiten Eingabefelder überprüfen auf Maskierung und Eingabevalidierung Sonderzeichen, HTML, Javascript, SQL Parameter Tampering Clientseitige Überprüfungen umgehen, Hidden-Fields Rückgabe auswerten Fehler? Ungewöhnliche Rückgabe? Notizen machen Nichts vergessen, Logbuch! Seite 10

11 Informationssammlung Mit der Anwendung arbeiten Eingabefelder überprüfen auf Maskierung und Eingabevalidierung Sonderzeichen, HTML, Javascript, SQL Parameter Tampering Clientseitige Überprüfungen umgehen, Hidden-Fields Rückgabe auswerten Fehler? Ungewöhnliche Rückgabe? Notizen machen Nichts vergessen, Logbuch! Seite 11

12 Informationssammlung Mit der Anwendung arbeiten Eingabefelder überprüfen auf Maskierung und Eingabevalidierung Sonderzeichen, HTML, Javascript, SQL Parameter Tampering Clientseitige Überprüfungen umgehen, Hidden-Fields Rückgabe auswerten Fehler? Ungewöhnliche Rückgabe? Notizen machen Nichts vergessen, Logbuch! Seite 12

13 Injection Injection Schwachstellen treten auf, wenn eine Applikation Daten einer nicht vertrauenswürdigen Quelle nimmt und diese ohne Überprüfung oder Maskierung als Teil eines Befehls an den Befehlsinterpreter sendet. Dies kann dazu führen, dass der Interpreter ungewollte Befehle ausführt und Zugriff auf geschützte Daten ermöglicht. Quelle: OWASP Seite 13

14 Code Injection - Beispiel Einbringen eines Betriebssystembefehls in ein CGI-Skript Gewolltes Ergebnis: ping einer Maschine bsp.cgi? ruft man das ganze aber so auf: bsp.cgi? ;ls / Seite 14

15 SQL Injection Codebeispiel Einbringen von eigenen SQL-Befehlen in bestehende Datenbankabfragen (Beispiel in PHP). $query="select beschreibung from produkte where name like '".$_GET['name']."%' "; Gewollte resultierende Abfrage (name = "Uhr") Select beschreibung from produkte where name like 'Uhr%' Setze name=' union select password from customers where name like ' Resulitierende Datenbankabfrage Kundenlogins select beschreibung from produkte where name like '' union select password from customers where name like '%' Seite 15

16 SQL Injection - Ausprägungen Stacked Query Es wird ein zweiter SQL Befehl angehängt. Union Query Der Inhalt z.b. der Produktsuche wird über eine Union mit anderen Daten gefüllt. Error Based Die Ausgabe der Manipulation erscheint in einer Fehlermeldung. Blind Injection Indirekte Ausgabe der Manipulation. Ergebnisliste oder nicht. Fehlermeldung oder nicht. Seite 16

17 Manueller Beweis in der Beispielapplikation Fehler or '1'='1 Bewertung Anakin (erstes Produkt im Artikelstamm) or '1'='0 Bewertung R2D2 (Produkt mir ID 30) and '1'='0 Redirekt auf Liste Seite 17

18 Datenklau boolen-based blind products_id=30' AND 2520=2520 AND 'KVus'='KVus Ergebnis oder nicht Ergebnis error-based products_id=30' AND (SELECT 4340 FROM(SELECT COUNT(*),CONCAT(0x3a a,(SELECT (CASE WHEN (4340=4340) THEN 1 ELSE 0 END)),0x3a696c793a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'HdRp'='HdRp Duplicate entry ':sdu:1:ily:1' for key 'group_key' UNION query products_id=-5215' UNION SELECT NULL, CONCAT(0x3a a,0x63756f ,0x3a696c793a), NULL, NULL, NULL, NULL from products p, products_description pd where 'SNzS'='SNzS [:sdu:cuoqerddcf:ily:] Anfällig für SQL Injection (Ausgabe des Tools sqlmap) Seite 18

19 Benutzerkonten knacken select * from customers select * from administrators Opensource Anwendung, wir wissen wie das Passwort gespeichert wird Passwortfunktion: $hash=md5($salt.$plain) Passwortspalte: $hash:$salt Anfällig für SQL Injection John The Ripper entsprechend konfigurieren und ihn mit den (entsprechend formatierten) Hashes füttern. Seite 19

20 Benutzerkonten knacken select * from customers select * from administrators Opensource Anwendung, wir wissen wie das Passwort gespeichert wird Passwortfunktion: $hash=md5($salt.$plain) Passwortspalte: $hash:$salt Anfällig für SQL Injection Wie viele Logins mit demselben Benutzer und Passwort haben Sie? John The Ripper entsprechend konfigurieren und ihn mit den (entsprechend formatierten) Hashes füttern. Seite 20

21 Was kann ich tun Sicherheit auf allen Ebenen Konfiguration von OS, DB, Applikationsserver Netzseitige Absicherung Richtige Benutzung der Datzenbankschnittstellen (Stichwort prepared Statements ) Begrenzung der Auswirkung von Schwachstellen Kann ich die Benutzerkennung bis zur Datenbank durchreichen? Label Security, Zugriff über Prozeduren, etc. Trennung Owner (DDL) vom Nutzer (DML) Jede Applikation hat ihr eignes Schema Sicherstellung der Nachvollziehbarkeit auf allen Ebenen Seite 21

22 Kontakt Secaron AG Ludwigstr. 45 D Hallbergmoos Tel Fax Ansprechpartner: Christian Pohl Seite 22

Web 2.0-Hacking Live Vorführung. Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011

Web 2.0-Hacking Live Vorführung. Philipp Rocholl, Secaron AG Proseminar Network Hacking und Abwehr, 27.01.2011 Web 2.0-Hacking Live Vorführung Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011 Übersicht Vorstellung Motivation Penetrationstests Schwachstellenklassen im Webumfeld Live

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

PHP-5-Zertifizierung. Block 12 Security.

PHP-5-Zertifizierung. Block 12 Security. PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.

Mehr

Thema PHP-Sicherheits-Training-System. vorgelegt von Timo Pagel

Thema PHP-Sicherheits-Training-System. vorgelegt von Timo Pagel Thema PHP-Sicherheits-Training-System vorgelegt von Timo Pagel Hamburg, den 29.04.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 24 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Thema PHP-Sicherheits-Training-System. Timo Pagel

Thema PHP-Sicherheits-Training-System. Timo Pagel Thema PHP-Sicherheits-Training-System Timo Pagel Hamburg, den 13.05.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 27 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration einer

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Security-Webinar. September Dr. Christopher Kunz, filoo GmbH

Security-Webinar. September Dr. Christopher Kunz, filoo GmbH Security-Webinar September 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12 OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

CASE STUDY SICHERES ONLINEBANKING

CASE STUDY SICHERES ONLINEBANKING CASE STUDY SICHERES ONLINEBANKING Spätestens seit den Enthüllungen von Edward Snowden ist IT-Sicherheit ein nicht nur in den Medien intensiv diskutiertes Thema. Auch die Bundesregierung will mit dem in

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Informationstechnik & System-Management SQL INJECTION. Selbstgemachte Sicherheitslücken. SQL-Injection ITSB2006 Michael Donabaum

Informationstechnik & System-Management SQL INJECTION. Selbstgemachte Sicherheitslücken. SQL-Injection ITSB2006 Michael Donabaum SQL INJECTION Selbstgemachte Sicherheitslücken Beschreibung SQL-Injection SQL-Einschleusung Ausnutzen von Sicherheitslücken in Zusammenspiel mit SQL-Datenbanken Mangelnde Maskierung von Metazeichen \ ;

Mehr

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Stefan Schlott @_skyr DIE OWASP TOP-10 Alpha und Omega der Security-Talks :-) TOP 10 VON 2013 1. Injection 2. Broken Authentication/Session Management

Mehr

MySQL, Java und einiges mehr

MySQL, Java und einiges mehr MySQL, Java und einiges mehr Client Der Browser Firefox Chrome Safari Internet Explorer URL http://localhost:8080/html/index.html Internet Die darzustellende Webseite HTML Server Apache Tomcat Jetty

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09 AppSec Germany 2009 AppSec Germany 2009 Conference http://www.owasp.org/index.php/germany Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Nürnberg, 13.10.09 Sebastian

Mehr

PHP + MySQL. Die MySQL-Datenbank. Hochschule Karlsruhe Technik & Wirtschaft Internet-Technologien T3B250 SS2014 Prof. Dipl.-Ing.

PHP + MySQL. Die MySQL-Datenbank. Hochschule Karlsruhe Technik & Wirtschaft Internet-Technologien T3B250 SS2014 Prof. Dipl.-Ing. PHP + MySQL Die MySQL-Datenbank Zusammenspiel Apache, PHP, PHPMyAdmin und MySQL PHPMyAdmin Verwaltungstool Nutzer Datei.php oder Datei.pl Apache HTTP-Server PHP Scriptsprache Perl Scriptsprache MySQL Datenbank

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung. Carsten Czarski, ORACLE Deutschland B.V. Co.

<Insert Picture Here> APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung. Carsten Czarski, ORACLE Deutschland B.V. Co. APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung Carsten Czarski, ORACLE Deutschland B.V. Co. KG Themen Grundsätzliches zur APEX-Architektur Security-Attribute in

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Vorlesung 4: Sommersemester 2015 h_da, Lehrbeauftragter Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP

Mehr

Web-Security. IT-Security. Andreas Unterweger. Studiengang Web Business & Technology FH Kufstein. Sommersemester 2017

Web-Security. IT-Security. Andreas Unterweger. Studiengang Web Business & Technology FH Kufstein. Sommersemester 2017 Web-Security IT-Security Andreas Unterweger Studiengang Web Business & Technology FH Kufstein Sommersemester 2017 Andreas Unterweger (FH Kufstein) Web-Security Sommersemester 2017 1 / 24 Überblick Web-Security

Mehr

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller OWASP Top 10: Scanning JSF Andreas Hartmann & Stephan Müller 07.04.2011 Andreas Hartmann (Principal Software Engineer): Leichtgewichtige Softwarearchitekturen und Frameworks auf Basis der JEE Plattform

Mehr

SQL-Injection in the news Stand: 17.06.2006 24:00

SQL-Injection in the news Stand: 17.06.2006 24:00 Vernetzte Unternehmen I SQL-Injection Prof. Dr. H. Strack, Dipl.-Inf.(FH) Ch. Karich SQL-Injection in the news Stand: 17.06.2006 24:00 Heise-Newsticker: 02.06.06: SQL-Injection-Lücke in MySQL gestopft

Mehr

SQL-Injection by. SQL Injection Teil 2 R. Mirzaev & J. Kresslein 1

SQL-Injection by. SQL Injection Teil 2 R. Mirzaev & J. Kresslein 1 SQL-Injection by SQL Injection Teil 2 R. Mirzaev & J. Kresslein 1 Inhalt Schon bekannte Angriffsformen? User-Agent based SQL Injection + Demo Zeitbasierte SQL Injection Blind SQL Injection + Demo PostgreSQL

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

SQL-Injection. Seite 1 / 16

SQL-Injection. Seite 1 / 16 SQL-Injection Seite 1 / 16 Allgemein: SQL (Structured Query Language) Datenbanksprache zur Definition von Datenstrukturen in Datenbanken Bearbeiten und Abfragen von Datensätzen Definition: SQL-Injection

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2016 Zentrum für Informationssicherheit Webanwendungssicherheit-Workshop 15. 17. November 2016, Frankfurt Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de Webanwendungssicherheit

Mehr

Die Datenbank und der Strukturentwurf wurden vorher mit phpmyadmin erzeugt.

Die Datenbank und der Strukturentwurf wurden vorher mit phpmyadmin erzeugt. PHP und MySQLi Der Benutzer kann mit Hilfe von PHP eine komfortable Schnittstelle zu den MySQL-Datenbanken herstellen, um Daten anzuzeigen, einzufügen, zu verändern und zu löschen. Die Datenbank und der

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Schutz von Datenbanken vor fehlerhaften Webanwendungen

Schutz von Datenbanken vor fehlerhaften Webanwendungen Schutz von Datenbanken vor fehlerhaften Webanwendungen Agenda 1. Problemstellung 2. Appliance zum Schutz von Webanwendungen 3. Prototyp 4. Ausblick Benjamin Große 2 Agenda 1. Problemstellung 2. Appliance

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter Top 10 Was t/nun? Nürnberg, 20.10.2010 Dirk Wetter Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The Foundation Permission

Mehr

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim Tim Weber 9. November 2006 Übersicht 1. Die Sprache PHP 2. Sicherheitslücken und Angriffsszenarien

Mehr

HISOLUTIONS - SCHWACHSTELLENREPORT

HISOLUTIONS - SCHWACHSTELLENREPORT HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations- und

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

OWASP Top 10 Was t/nun? OWASP Nürnberg, The OWASP Foundation AppSec Germany Dirk Wetter

OWASP Top 10 Was t/nun? OWASP Nürnberg, The OWASP Foundation  AppSec Germany Dirk Wetter Top 10 Was t/nun? Nürnberg, 20.10.2010 Dirk Wetter Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The Foundation Permission

Mehr

SQL Injection Funktionsweise und Gegenmaßnahmen

SQL Injection Funktionsweise und Gegenmaßnahmen SQL Injection Funktionsweise und Gegenmaßnahmen EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005 Problematik SQL-Injection

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Abbildung 6-8: Abfolge beim doppelten Abschicken von Formularen

Abbildung 6-8: Abfolge beim doppelten Abschicken von Formularen HACK #55 Hack Doppeltes Abschicken von Formularen verhindern Durch die Verwendung einer Transaktionstabelle in Ihrer Datenbank können Sie das klassische Problem der doppelt abgeschickten Formulare verhindern.

Mehr

secunet Security Networks AG Sicherheit in Web-Portalen Hamburg, 22.11.2010 Dipl. Inform. Dirk Reimers

secunet Security Networks AG Sicherheit in Web-Portalen Hamburg, 22.11.2010 Dipl. Inform. Dirk Reimers secunet Security Networks AG Sicherheit in Web-Portalen Hamburg, 22.11.2010 Dipl. Inform. Dirk Reimers Vorstellung Dirk Reimers - DFN-CERT (bis 1998) - secunet seit 1999 - Principal Informations-Sicherheitsmanagement,

Mehr

Datenbanken. Ein DBS besteht aus zwei Teilen:

Datenbanken. Ein DBS besteht aus zwei Teilen: Datenbanken Wikipedia gibt unter http://de.wikipedia.org/wiki/datenbank einen kompakten Einblick in die Welt der Datenbanken, Datenbanksysteme, Datenbankmanagementsysteme & Co: Ein Datenbanksystem (DBS)

Mehr

Entwicklungsumgebung für die Laborübung

Entwicklungsumgebung für die Laborübung Entwicklungsumgebung für die Laborübung VL Datenbanksysteme Ingo Feinerer Arbeitsbereich Datenbanken und Artificial Intelligence Institut für Informationssysteme Technische Universität Wien Gliederung

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Schutzgut Daten 202 a StGB Ausspähen von Daten 303 a Datenveränderung 303 b Computersabotage 269 Fälschung beweiserheblicher Daten

Schutzgut Daten 202 a StGB Ausspähen von Daten 303 a Datenveränderung 303 b Computersabotage 269 Fälschung beweiserheblicher Daten Schutzgut Daten 202 a StGB Ausspähen von Daten (1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Informationssicherheit und Datenschutz

Informationssicherheit und Datenschutz Informationssicherheit und Datenschutz Henning Bergmann Datenschutzbeauftragter IT Security Manager Asklepios Kliniken Hamburg GmbH Sylt Barmbek (Hamburg) Falkenstein Ini Hannover Bad Griesbach Inhalt

Mehr

Schönes neues Internet

Schönes neues Internet Schönes neues Internet Markus de Brün Bundesamt für Sicherheit in der Informationstechnik AK Sicherheit, 7. Oktober 2009 Markus de Brün 7. Oktober 2009 Folie 1 Agenda Gefahr aus dem Web aktuelle Lage &

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil

FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Compass Security AG Glärnischstrasse 7 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch www.csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_V1.1.doc Version: v1.1

Mehr

Design Bugs OWASP The OWASP Foundation Alexios Fakos Senior Security Consultant n.runs AG

Design Bugs OWASP The OWASP Foundation  Alexios Fakos Senior Security Consultant n.runs AG Design Bugs 13.10.2009 Alexios Fakos Senior Security Consultant n.runs AG alexios.fakos@nruns.com Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr