extra Tückische Eingaben IT-Security Analysten und Szenebeobachter Schwerpunkt: Tools zur Website- Absicherung Veranstaltungen IT-Security

Größe: px
Ab Seite anzeigen:

Download "extra Tückische Eingaben IT-Security Analysten und Szenebeobachter Schwerpunkt: Tools zur Website- Absicherung Veranstaltungen IT-Security"

Transkript

1 sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG extra IT-Security Schwerpunkt: Tools zur Website- Absicherung Angriffsmöglichkeiten auf Webapplikationen und Abwehrtechniken Tückische Eingaben Firewalls für Webanwendungen Die Türsteher Einbruchssimulation mit Proxy und Plug-ins Gekonnte Handarbeit Identitätsmanagement in Zeiten von Webservices und Web 2.0 Meine Identität gehört mir Seite I Seite VI Seite XI Seite XIV Vorschau Storage Schwerpunkt: Disk-Systeme Technik und Produkte Seite XVI Veranstaltungen Oktober, London RSA Europe Oktober, München Systems November, Köln European Software Conference (ESWC) November, Düsseldorf ix-konferenz: Bessere Software! IT-Security Tückische Eingaben Angriffsmöglichkeiten auf Webapplikationen und Abwehrtechniken Die meisten heute verfügbaren Sicherheitsprodukte sind nicht in der Lage, die Anwendungen auf einem Webserver adäquat zu schützen. Hinzu kommt, dass es kaum Webanwendungen gibt, die fehlerfrei sind. Zum Schutz vor Übergriffen sollten Anwender die gängigsten Angriffstechniken verstehen und einen Applikations-Scanner sowie eine mit speziellen Funktionen ausgestattete Firewall installieren. Analysten und Szenebeobachter sind sich einig: Die meisten Hacker-Angriffe im Web erfolgen heutzutage auf Applikationsebene. Dabei geht es nicht um einfache Websites mit statischem Inhalt, sondern um dynamische Webapplikationen. Webauftritte mit einfachen HTML-Seiten ohne Formulare und Benutzerabfragen sind für einen Angreifer nur wenig interessant. Erst wenn Benutzereingaben verarbeitet werden, wie es bei Suchfunktionen, Onlinekatalogen, Bestellsystemen und so weiter der Fall ist, wird es für Hacker spannend. Besonders attraktiv sind Portale, die für Kunden oder Partnerfirmen konzipiert sind und mit internen IT-Systemen interagieren. Werden solche Systeme über einen Webbrowser bedient, kann man in den meisten Fällen davon ausgehen, dass sie Fehler enthalten, die einem Angreifer Tür und Tor öffnen können. Ob es sich im Einzelfall um eine ASP- oder PHP-basierte Anwendung, eine Webapplikation auf der Grundlage von Applikationsservern beziehungsweise Frameworks wie IBM Websphere, BEA Weblogic oder um eine SAP-Web-Application-Server-Anwendung handelt, macht kaum einen Unterschied. Denn fehlerfreie Software ist in diesem Umfeld nicht zu erwarten, und die Fehler sind meist gleichbedeutend mit Sicherheitslücken. Der zweite zu beachtende Ausgangspunkt ist, dass bestehende Firewalls in der Praxis nicht vor Angriffen auf Webapplikationen schützen können, selbst wenn deren Hersteller mit Funktionen für den Schutz auf Anwendungsebene werben. Eine der ältesten und auch trivialsten Angriffsmethoden beruht schlicht und einfach auf dem Zugriff auf URLs, die eigentlich nicht erreichbar sein sollten und die innerhalb der Anwendung auch nicht verlinkt sind. In der Praxis kommt es immer wieder vor, dass eine ASP-Datei in einer älteren Ver- I

2 sion mit der Endung.old oder.bak auf dem Server liegen bleibt. Wird beispielsweise eine ASP-Datei mit Namen feedback. asp als aufgerufen, könnte ein Angreifer durch Ausprobieren eine URL wie asp.old finden. Da die Endung nicht mehr.asp sondern.old lautet, würde diese Datei nicht auf dem Server interpretiert, sondern als Klartext an den Browser des Angreifers geschickt werden. Dieser kann dann im Quelltext gespeicherte Informationen oder Kennwörter heraussuchen. Diese Angriffstechnik nennt man Forceful Browsing. Einfallstor URL So harmlos sie zunächst aussehen mag, so tückisch wird sie beim Angriff auf Applikationsserver, denn hier bietet das Server-Framework häufig Funktionen über bekannte URLs. Selbst wenn diese URLs innerhalb der Applikation nicht verwendet werden, sind sie unter Umständen dennoch aktiv, und ein Angreifer kann durch direkte Eingabe der URL in der Adresszeile seines Browsers die dort angebotenen Funktionen aufrufen und nutzen. Ein SAP Web Application Server etwa bietet bereits in einer Basisinstallation mehr als 150 solcher URL-basierten Dienste an. Hier haben Administratoren kaum einen Überblick über die freigeschalteten oder tatsächlich benötigten Dienste und deren Funktionen. Diese könnten beispielsweise über den externen Zugriff auf SAP Remote Function Calls (RFCs) über das Simple Object Access Protocol (SOAP) für Unbefugte erreichbar sein. Ein Angreifer, der die Standard-URL einer dieser Funktionen kennt, ist damit in der Lage, Transaktionen auf dem SAP-Server auszulösen oder in einem zweiten Schritt Fehler in den somit erreichbaren SAP-RFCs auszunutzen und den SAP-Server selbst unter seine Kontrolle zu bringen. Etwas komplizierter ist der häufig genannte SQL-Injection- Angriff. Er kann Webapplikationen betreffen, die Daten in einer SQL-Datenbank speichern oder auf Daten einer bestehenden SQL-Datenbank zugreifen. Beispielsweise könnte eine Webapplikation Produktinformationen aus einer Datenbank abrufen und anzeigen, nachdem der Anwender die Artikelnummer des gewünschten Produkts eingegeben hat. Der zum Abfragen der Datenbank benötigte SQL-Befehl ließe sich dafür aus einem festen Teil und der eingegebenen Artikelnummer zusammenbauen. Zum Beispiel könnte der Programmierer den festen Text select name, beschreibung, preis from artikel where artno = ' mit der vom Benutzer eingegebenen Nummer und einem abschließenden Hochkomma zusammenfügen. SQL Injection nach Schema F Ein Angreifer macht sich dieses harmlose Programmkonstrukt zunutze und gibt anstelle einer Artikelnummer beispielsweise folgenden Text ein: ' union select name, password, null from shopusers --. Das erste Hochkomma terminiert den zu suchenden Text aus dem ursprünglichen SQL-Befehl und erweitert diesen dann mit dem Union-Schlüsselwort, das zwei Select-Befehle miteinander verbindet. Der sich daraus ergebende Befehl, der an die Datenbank gesendet wird, lautet: select name, beschreibung, preis from artikel where artno = '' union select name, password, null from shopusers --. Die beiden Bindestriche am Ende der Eingabe sorgen dafür, dass der folgende Text als Kommentar interpretiert wird und damit keinen Syntaxfehler auslösen kann. Der Angreifer würde in diesem Beispiel Namen und Kennwörter von Angreifer HTTP / Port 80 klassische Angriffe auf das Betriebssystem Angriffe auf Webapplikationen können klassische Firewalls nicht abwehren, denn sie erfolgen über erlaubte Wege, etwa Formulareingaben auf Webseiten et cetera (Abb. 1). Internet anderen Benutzern aus der Datenbank angezeigt bekommen. Dieses vereinfachte Beispiel geht davon aus, dass der Angreifer bereits weiß, dass es eine interessante Tabelle mit Namen shopusers gibt. Auch weiß er, welche Spalten die Tabelle enthält. In der Praxis müsste er dies erst herausfinden. Das bereitet jedoch keine größeren Schwierigkeiten, denn die vorhandenen Tabellen und ihre Spaltennamen stehen in bekannten Systemtabellen beziehungsweise in Views, die man ebenfalls abfragen kann. Bei Microsoft SQL gibt es dafür beispielsweise Views wie sys.objects oder sys.tables. Ein Angriff per SQL Injection ist damit meist ein Vorgang in mehreren Schritten. Im ersten Schritt identifiziert der Angreifer Eingabefelder oder andere Parameter, die für eine Datenbankabfrage verwendet werden. Im zweiten Schritt ermittelt er durch Ausprobieren die Struktur des benutzten SQL- Befehls und die Anzahl der abgefragten Spalten und danach fragt er schrittweise Systemtabellen und Benutzertabellen ab. Selbstverständlich beschränkt sich SQL Injection nicht nur auf das Auslesen von möglicherweise vertraulichen Daten. Genauso kann ein Angreifer im letzten Schritt auch Daten in der Datenbank manipulieren. Des LAN Angriffe auf CGI, PHP, Servlets Angriffe auf den Serverprozess bösartige Inhalte in Daten (URLs, Form contents, cookies) Webserver Weiteren ist es gelegentlich sogar möglich, aus dem SQL- Server auszubrechen und die Kontrolle über das Betriebssystem des Datenbankservers zu erlangen. Stored Procedures wie XP_CMDSHELL, die wie Microsofts SQL Befehle an das Betriebssystem übergeben, ermöglichen das. Erschwerend kommt hinzu, dass der erste Schritt zur Identifikation von möglichen Ansatzpunkten nicht nur einfach ist, sondern sich auch sehr gut automatisieren lässt. Webapplikations-Scanner nutzen das aus, um Schwachstellen aufzuspüren. WebInspect von HP (früher SPI-Dynamics) oder AppScan von IBM (ehemals Watchfire) durchlaufen wie eine Suchmaschine eine Webapplikation und geben unter anderem in jedes mögliche Eingabefeld Anführungszeichen, doppelte Bindestriche oder andere geeignete Sonderzeichen ein, um damit eine Fehlermeldung der zu prüfenden Applikation zu provozieren. Falls sie dabei an eine einfache SQL-Injection-Schwachstelle geraten, zeigt die zu prüfende Applikation einen internen Fehler oder sogar eine Datenbank-Fehlermeldung an. Daraus lässt sich schließen, dass die Eingabe des Sonderzeichens nicht einfach als Suchbegriff verwendet wurde, II ix extra 11/2007

3 Web Application Firewall der 2. Generation kämpft blitzschnell: Schutz von High-Performance-Anwendungen dank Cluster-Administration und Multi-Prozessoren-Fähigkeit bündelt Kräfte: Verteilte Administration verschiedener Web-Anwendungen dank Mandantenfähigkeit behält den Überblick: Einfache Administration im laufenden Betrieb dank grafischer Oberfläche und Lernmodus

4 sondern die SQL-Syntax der Backend-Abfrage verändert hat. Enthält das bereits beschriebene Beispiel nur ein einfaches Anführungszeichen, so ergibt sich der folgende SQL-Befehl: select name, beschreibung, preis from artikel where artno = '''. Da drei aufeinanderfolgende einfache Anführungszeichen keine gültige SQL-Syntax darstellen, erzeugt die betroffene Webapplikation einen Fehler. Die automatisierte Suche nach Schwachstellen in Webapplikationen durch Provozieren von Fehlermeldungen erscheint auf den ersten Blick relativ einfach. In der Praxis gibt es jedoch viele Webshops oder Portale mit einer komplizierten Session-Verwaltung, sodass schon das vollständig automatisierte Durchlaufen aller Seiten mit einem Crawler alles andere als trivial ist. Dies ist wohl einer der Gründe dafür, dass es bisher nur wenige kommerzielle Prüfwerkzeuge und im Open-Source-Umfeld bisher keine vergleichbaren Produkte gibt. Keine Änderung zur Laufzeit Es existieren mehrere Ansätze, die eine SQL Injection verhindern sollen. Die beste Methode besteht jedoch darin, im Allgemeinen sogenannte Prepared Statements für SQL-Befehle zu verwenden. Damit kann man auf die Textverkettung zum Zusammenbauen von SQL-Befehlen verzichten und eine Änderung der Befehle zur Laufzeit ist nicht mehr möglich. Die sicherlich am häufigsten vorhandene und dennoch am wenigsten verstandene Schwachstelle nennt sich Cross-Site Scripting oder abgekürzt XSS. Dabei wird nicht die Applikation selbst sondern der Browser eines anderen Anwenders über eine Schwachstelle in der Applikation angegriffen. Grundlage dafür ist Skript-Code, zumeist Javascript, der einem Anwender wie ein Teil der Website angezeigt und dabei vom Browser des Anwenders interpretiert wird. Die Auswirkungen reichen vom Vortäuschen von Seiteninhalten über das Stehlen von Zugangsdaten oder Session-IDs bis hin zur Kontrollübernahme des Browsers durch einen Angreifer. Die verwundbare Webapplikation, die den Angriff auf ahnungslose Anwender ermöglicht, ist zunächst nur ein Vermittler. Erst wenn ein Angreifer die Session-ID eines anderen legitimen und authentifizierten Benutzers per XSS stiehlt, kann er in einem zweiten Schritt auf Bereiche der Applikation zugreifen, die eigentlich nur für authentifizierte Benutzer erreichbar sind. Damit wird XSS zu einer Schwachstelle, mit der man auch starke Authentifizierung und Zugriffsbeschränkungen bei einer Webapplikation umgehen kann. In der trivialsten, aber eher seltenen Form von XSS bietet die Applikation dem Anwender eine Eingabemöglichkeit wie bei einem Gästebuch. Er kann Text eingeben, der auf dem Server gespeichert wird und den andere Benutzer später wieder angezeigt bekommen. Ist es bei dieser Texteingabe möglich, HTML-Tags und vor allem das <script>-tag einzugeben, kann ein Benutzer Javascript-Code zwischen <script> und </script> in seinem Text einbetten. Jeder Benutzer, der den Text später ansieht, erhielte dann nicht die Tags und den Code angezeigt, sondern sein Browser würde den Javascript- Code ausführen. Man spricht deshalb von persistentem XSS oder auch stored XSS. Sehr viel häufiger kommt nicht persistentes XSS vor. Dabei speichert die Applikation den Skript-Code nicht, sondern diesen muss das Opfer unbemerkt selbst als Parameter an einen Link übergeben. Der Angreifer benötigt dazu beispielsweise ein Eingabefeld oder einen URL-Parameter, der in einer Folgeseite ungefiltert wieder ausgegeben wird. Das klassische Beispiel hierfür sind Suchfunktionen innerhalb von Webseiten, bei denen der Benutzer einen Suchbegriff wie XYZ eingeben kann und die Website danach die Ergebnisse mit dem Hinweis Ihre Suche nach XYZ ergab folgende Treffer beantwortet. Das Opfer als Täter Da man solche Suchmasken nicht von Hand ausfüllen muss, sondern auch der direkte Aufruf des Skripts mit dem Suchbegriff als URL-Parameter möglich ist, könnte ein Angreifer einen Link auf die Suchseite mit Javascript zwischen <script> und </script> als Parameter verwenden. Diesen Link schickt er in einer gespooften Mail an ahnungslose Benutzer der Website, die dann beim Klick auf den Link zwar auf der echten Website landen, dabei aber den Javascript-Code zurückbekommen. Selbst vorsichtige Benutzer, die vor dem Klicken auf einen Link nachsehen, auf welchen Server der Link wirklich verweist, würden erkennen, dass der Link auf den echten Server zeigt. Der angehängte Skript- Code kann durch geschickte Schreibweise unauffällig gemacht werden. Zum Erkennen von XSS bieten sich die genannten Webapplikations-Scanner an. Bei ihrem Einsatz versucht die Software jedoch nicht, Fehlermeldungen zu provozieren. Stattdessen setzt sie automatisch Text zwischen Tags wie <script> und </script> in alle Eingabefelder und Parameter und prüft danach, ob die Eingabe ungefiltert in einer Ausgabeseite wieder auftaucht. Entsprechend einfach ließe sich XSS verhindern. Entweder bei der Eingabeverarbeitung oder der Aufbereitung von Ausgabeseiten oder im Idealfall sogar an beiden Stellen müsste Textfilterung verhindern, dass entsprechende Tags in Eingaben oder Parametern vorkommen. Da dies in der Praxis jedoch nicht so einfach umzusetzen ist oder immer wieder Parameter vergessen werden, geht der Trend heute zu zusätzlichem Schutz durch Web Application Firewalls. In letzter Zeit bauen immer mehr Serverbetreiber asynchrone Funktionen mit Ajax oder mit Techniken, die unter dem Schlagwort Web 2.0 laufen, in ihre Webapplikationen ein. Naturgemäß stellt sich die Frage, welche Auswirkungen diese neuen Funktionen auf die Sicherheit haben. Dabei ist recht schnell festzustellen, dass die Angriffsmethoden eigentlich gleich bleiben, dass jedoch die Möglichkeiten, Fehler zu machen, zunehmen. Prinzipiell lässt sich feststellen, dass durch Ajax beziehungsweise Web-2.0-Techniken zusätzliche Funktionen auf den Client verlagert werden, wodurch auch ein Angreifer mehr Einfluss auf den Ablauf nehmen kann. Die Angriffsfläche wird also größer. So gibt es beispielsweise Applikationen, die wie bisher auf SQL-Datenbanken im Backend zugreifen, die jedoch jetzt die SQL-Abfragen auf dem Client zusammenbauen und asynchron an den Server senden. Dabei sollte auf den ersten Blick klar sein, dass das keine gute Idee ist. Ein Angreifer kann jetzt so tun, als sei er ein Client und direkt SQL-Befehle an den Server senden, ohne sich um die Tricks und Kniffe von SQL Injection kümmern zu müssen. Einfacher kann man es einem Angreifer fast nicht machen. In diesem Fall handelt es sich nicht mehr um SQL Injection, sondern bereits um SQL Invitation. (sf/ur) Stefan Strobel ist Buchautor und Geschäftsführer des Heilbronner Beratungsunternehmens Cirosec. IV ix extra 11/2007

5 SUPERBLADE TM GET THE EDGE Performance mit bis zu 160 Cores in 7 HE Einsatz von Intel Xeon oder AMD Opteron Dual- oder QuadCore Prozessoren Netzteile mit 90%+ Wirkungsgrad Weniger Verkabelung Ethernet- und Infiniband-Switches Sehr gutes Preis-/Leistungsverhältnis Der SuperBlade sind optimiert für folgende Anwendungen: Enterprise, Finanzdienste, Datenbanken, Datenbank Center, wissenschaftliche Anwendungen, HPC, Personal Super Computer. 06/07 ServerBlade mit 3.5" oder 2.5" Festplatten Infiniband Switch mit 10 externen Anschlüssen Gigabit Ethernet Switch mit 10 externen Anschlüssen Management Modul zur Überwachung Weitere Informationen über unsere Produkte unter: und Hotline Alle Marken- und Produktbezeichnungen sind Warenzeichen oder eingetragene Warenzeichen des entsprechenden Unternehmens. Druckfehler, Irrtümer und CPI Computer Partner Handels GmbH Kapellenstr. 11 D Feldkirchen Telefon: (+49)-0 89/

6 Die Türsteher Firewalls für Webanwendungen Das erste Gebot für die Sicherheit von Webanwendungen ist eine sorgfältige Programmierung, die Schwachstellen vermeidet. Doch selbst dann bleiben die Applikationen angreifbar und müssen zusätzlich mit einer Web Application Firewall geschützt werden. So technisch unterschiedlich die Angriffe auf Webanwendungen wie Forceful Browsing, SQL Injection, Cross-Site Scripting oder Parametermanipulation auch sein mögen sie werden alle über das HTTP(S)- Protokoll zum Webserver beziehungsweise zur Webanwendung transportiert. Herkömmliche Paketfilter, die heute zum Teil noch als einzige Schutzmaßnahme vor dem Webserver stehen, erkennen solche Angriffe auf Anwendungsebene nicht, denn sie sind nicht in der Lage, in die über das HTTP-Protokoll übertragenen Inhalte hineinzuschauen. Auch das regelmäßige Patchen des Webservers schützt leider nicht gegen diese Art von Angriffen. Die Ursachen für die Schwachstellen, die diese Art von Attacken auf der Anwendungsebene erst möglich machen, sind fast immer Programmier- oder Designfehler bei der Entwicklung der Webanwendung. Nichts erscheint also naheliegender als sicher zu programmieren, um so die Schwachstellen von vornherein zu vermeiden. Dazu gehört zum Beispiel, dass sämtliche Daten, die an die Anwendung weitergegeben werden, auf bösartige Inhalte überprüft werden. Auf diese Weise lassen sich etwa SQL- oder Command-Injection- Angriffe erkennen. Um Parametermanipulationen aufzuspüren, muss man die Daten zusätzlich auf Gültigkeit bezüglich ihres aktuellen Kontextes prüfen. Leider erfordert die sichere Programmierung ein umfassendes und stets aktuelles Knowhow des Entwicklers im Bereich der Angriffstechniken auf der Anwendungsebene. Die Entwicklung eines Filters zur Erkennung bösartiger Benutzereingaben ist komplex und aufwendig, denn schließlich muss man alle Angriffsarten in allen Ausprägungen berücksichtigen auch dann, wenn sie in kodierter Form vorliegen. Gleichzeitig muss die Anwendung weiter funktionieren. Der Auftraggeber einer Webanwendung hat sicherlich kein Verständnis dafür, wenn ein Anwender in ein Namensfeld zum Beispiel O Brian eingibt und die HTTP- Anfrage aufgrund des Hochkommas wegen Verdachts auf SQL Injection verworfen wird. Kein Einfluss auf Fremdcode Darüber hinaus stellt die sichere Programmierung keine vollständige Lösung des Problems dar. Selbst eine optimal programmierte Webanwendung ist immer noch angreifbar. Der Grund dafür liegt darin, dass bei einer Webanwendung stets Fremdcode zur Ausführung kommt, auf dessen Qualität der Entwickler keinen Einfluss hat. Beispiele für diese Art von Fremdcode sind Programmbibliotheken Dritter, die man in den eigenen Code einbindet, oder die eingesetzten Web- und Applikationsserverprodukte, bei Angreifer WAF Da auch bei sorgfältiger Programmierung Angriffsmöglichkeiten auf Webanwendungen bestehen, sollte man sie mit einer vorgeschalteten Web Application Firewall, die alle HTTP-Anfragen prüft, schützen (Abb. 1). denen regelmäßig kritische Schwachstellen bekannt werden. Außerdem sind die heutigen Webanwendungen häufig selbst Drittprodukte, beispielsweise Portalanwendungen oder Webzugriffslösungen für . Aus diesen Gründen empfiehlt es sich für Unternehmen und Behörden, ihre Webanwendungen durch den Einsatz sogenannter Web Application Firewalls (kurz WAF) vor Angriffen zu schützen. Eine WAF steht vor der Webapplikation (siehe Abbildung 1) und prüft jede HTTP- Anfrage des Anwenders (oder Angreifers), bevor sie zur Anwendung gelangt. Erkennt sie bei der Prüfung einen Angriff, beispielsweise eine manipulierte Session-ID oder einen Betriebssystembefehl in einem Formularfeld (Command Injection), leitet sie die Daten nicht weiter, sondern erzeugt einen Protokolleintrag und liefert eine Fehlerseite an den Anwender aus. Web Application Firewalls sind meist als Reverse Proxy in ein Netzwerk integriert. Das heißt, sie nehmen stellvertretend für den Webserver jede HTTP-Anfrage des Anwenders entgegen, untersuchen sie inhaltlich und bauen dann eine neue, zweite HTTP-Verbindung zum von ihnen geschützten Webserver auf. Der Anwender merkt nicht, dass er nicht mit dem Webserver direkt kommuniziert. Die meisten WAF-Produkte lassen sich alternativ auch als Bridge ins Netzwerk integrieren, ähnlich wie ein netzwerkbasiertes Intrusion- Prevention-System. Im Falle dieser Integrationsvariante spricht der Anwender weiterhin direkt mit dem Webserver; die WAF sitzt aber im Datenstrom und holt sich die HTTP-Pakete heraus, um die darin enthaltenen Daten inhaltlich zu prüfen. Für geschäftskritische Anwendungen, die meistens auf sensible Backend-Systeme wie SAPs R/3 oder Datenbanken im internen Netzwerk zugreifen müssen, ist der Einsatz einer WAF besonders wichtig. Allerdings kommunizieren in solchen Fällen Anwender und Webserver typischerweise verschlüsselt über SSL. Damit ist jedoch die inhaltliche Analyse des Datenstroms zunächst unmöglich. WAF-Produkte bieten jedoch die Möglichkeit, SSL zu terminieren (Reverse Proxy) beziehungsweise passiv zu entschlüsseln (Bridge). Aufgrund ihrer Architektur sind moderne Systeme so leistungsfähig, dass durch die Entschlüsselung keine spürbaren Performance-Einbußen entstehen. Die Praxis zeigt übrigens, dass fast immer die Webanwendung mit ihren vielen Transaktionen den Flaschenhals bildet und nicht die Verarbeitung durch die WAF. Webanwendung 1 Webanwendung 2 Webanwendung 3 Webanwendung n VI ix extra 11/2007

7

8 Der Schutzmechanismus einer Web Application Firewall beruht auf ihrem Verständnis der von ihr geschützten Webanwendungen mit ihren einzelnen Seiten, Eingabefeldern, Cookies und Statuswerten. All dies befähigt sie, die aufgerufenen URLs sowie die Parameter in GETund POST-Requests zu kontrollieren und dabei Angriffe zu erkennen und zu blockieren. Woher weiß aber die Firewall, welche URLs zur Webanwendung gehören, ob Benutzereingaben gutartig sind oder ob beispielsweise eine Session-ID manipuliert wurde? Kontrolle der aufgerufenen URLs Eine WAF muss gewährleisten, dass nur URLs aufgerufen werden können, die zur Anwendung gehören. Der Zugriff auf alle anderen Ressourcen, die sich unterhalb der Webserver-Wurzel befinden, zum Beispiel DLLs, alte Dateiversionen (.old,.bak, et cetera) oder gar andere, interne Webanwendungen muss verhindert werden. Allein durch diese Kontrolle der URL-Aufrufe lässt sich bereits ein großer Teil des Angriffspotenzials vom Webserver fernhalten. Durch den Whitelist-Ansatz sind nur noch die URLs aufrufbar, die zur Anwendung gehören, alle anderen Zugriffe sind damit automatisch verboten. Anwender GET / 1a 2c Startseite: / start.html Cookie: Session a GET /msadc/msadcs.dll 2b Session 1357 Links: /products/index.html /services/index.html /cgi/feedback.pl WAF Es stellt sich die Frage, wie eine WAF unterscheiden kann, welche URLs zur Anwendung gehören und welche nicht. Die am Markt verfügbaren Produkte nutzen im Wesentlichen zwei Techniken für das Lernen der erlaubten URLs: dynamisches Lernen zur Laufzeit sowie statisches vor Aktivierung der WAF-Policy. Verwendet die WAF die Technik des dynamischen Lernens, so merkt sie sich die erlaubten URLs automatisch zur Laufzeit, also während der Anwender surft, durch Analyse der vom Webserver an den Anwender gesendeten Webseiten. Im Idealfall muss der Administrator nur einmal die gewünschten Einstiegsseiten der Webanwendung als erlaubte URLs definieren. Anschließend sucht die WAF zur Laufzeit aus jeder angeforderten Seite die im HTML- Code enthaltenen Links (<a href >) und Formular-Aktionen (<form action >) und fügt sie automatisch einer Liste der für diesen Anwender erlaubten URLs hinzu (siehe Abbildung 2). Beim dynamischen Lernen kann der Anwender also stets nur die bis zum jeweiligen Zeitpunkt gelernten URLs aufrufen. Es gilt das Motto: Alles was verlinkt ist, gehört zur Anwendung und darf daher aufgerufen werden. In der Regel verwaltet eine dynamisch lernende WAF für jeden Anwender eine individuelle dynamische Policy, die die meisten Produkte im Hauptspeicher pflegen. Um die HTTP-Anfrage eines Anwenders seiner Policy zuzuordnen, stellt die WAF ein anwenderspezifisches Cookie aus, das der Browser des Anwenders bei jeder HTTP-Anfrage wieder mit zurückschickt und das die WAF anschließend auswertet. Die Webanwendung bekommt von alledem nichts mit. Nach Ablauf eines frei definierbaren Timeouts, nach dem die WAF vom Anwender keine HTTP-Anfrage mehr gesehen hat, wird die dynamische Policy für diesen Anwender gelöscht. Beim nächsten Mal muss er beim Aufruf der Anwendung wieder über die definierten Startseiten einsteigen. Statisches versus dynamisches Lernen Beim statischen Lernen hingegen definiert der Administrator alle erlaubten URLs im Vorfeld, also vor Produktivschaltung der WAF-Policy. Was zunächst als aufwendig zu konfigurieren klingt, erweist sich in der Praxis jedoch als recht einfach und ist häufig sogar die bevorzugte Lernmethode: Die meisten WAF- Produkte unterstützen die Verwendung von Wildcards oder gar von regulären Ausdrücken bei der Definition der URLs (beispielsweise /[a-z].html) und beinhalten vor allem einen Lernmodus. Dieser zeichnet für eine GET / 1b 2a Startseite: / start.html Webserver Dynamisches Lernen zur Laufzeit: Die WAF analysiert nach dem Aufrufen einer erlaubten Startseite (1a, 1b) alle vom Webserver zurückgelieferten Webseiten (2a) und fügt deren URLs der dynamischen Policy hinzu (2c). Nicht gelernte URLs blockiert sie (3a) (Abb. 2). bestimmte Zeit alle URLs auf, die von einer vertrauenswürdigen IP-Adresse angefordert werden. Unter Verwendung eines Crawlers, der ausgehend von der Startseite alle Links automatisch verfolgt, lässt sich sehr schnell eine komplette Liste aller URLs aufzeichnen. Das dynamische Lernen zur Laufzeit erscheint im Vergleich zum statischen Lernen im ersten Augenblick als die elegantere Lernmethode, müssen doch nur einmalig die gültigen Startseiten definiert werden, und alles Weitere lernt die WAF automatisch. In der Praxis lässt sich das dynamische Lernen aus zwei Gründen jedoch leider nicht immer anwenden. Zum einen gibt es viele Webanwendungen, typischerweise Nachrichtenseiten wie bei denen jede Seite eine gültige Startseite sein kann. Bei solchen inhalteorientierten Webanwendungen müsste der Administrator in der WAF jede Seite und davon existieren meist sehr viele als gültige Startseite hinterlegen, sodass letzten Endes eine statische Policy entsteht. Für andere Arten von Webanwendungen, beispielsweise bei workfloworientierten E-Business-Anwendungen, eignet sich der dynamische Ansatz hingegen optimal: Hier ist es meist ausdrücklich gewünscht, dass der Anwender von einer definierten Startseite aus anfängt und sich von dort Seite für Seite durch die Anwendung durcharbeitet. Eine weiteres K.o.-Kriterium für die Nutzung des dynamischen Lernmodus kann die extensive Verwendung von Javascript im HTML-Code der Anwendung sein. Javascript ist für eine WAF so lange kein Problem, wie der Javascript-Code beispielsweise Plausibilitätsprüfungen bei Eingaben in ein Formularfeld vornimmt, etwa prüft, ob in ein Postleitzahlenfeld genau fünf Ziffern eingegeben wurden. Sobald Javascript aber auch dazu eingesetzt wird, auf VIII ix extra 11/2007

9 Warum vertrauen mehr als 1 Million Kunden unseren Microsoft SQL Server Lösungen? Die maßgeschneiderte Lösung Dell und Microsoft arbeiten eng zusammen, um Ihrem Unternehmen eine perfekt integrierte, vorkonfigurierte End-to-End Lösung anbieten zu können - optimal und individuell zugeschnitten auf Ihre speziellen Anforderungen! Ihre Vorteile auf einen Blick Microsoft SQL Server 2005 Lösungen von Dell wurden von Experten getestet und geprüft. Das Ergebnis ist eine hochwertige, skalierbare und verlässliche Businesslösung, die Ihnen helfen kann, Risiken zu minimieren und Kosten zu reduzieren - und dabei eine herausragende Leistung liefert. Dell Lösungen bieten Ihnen eine ausgewogene Kombination aus Server- und Speichersystemen, Microsoft Applikationen und Dell Professional Services (DPS) - alles aus einer Hand. Die auf Dell basierten Microsoft SQL Server 2005 Lösungen sind laut TCP-C Benchmark* Spitzenreiter im Preis-Leistungs-Vergleich. Beginnen Sie jetzt! Wenden Sie sich an unsere Kundenbetreuer, die Ihnen gerne Ihre individuelle IT-Lösung zusammenstellen / Mo - Fr 8-19 Uhr, Sa Uhr Bundesweit zum Nulltarif Sie benötigen weitere Informationen zu unseren Datenbank-Lösungen? Besuchen Sie uns unter Diese Werbung richtet sich an kleine und mittelständische Unternehmen. Die gesetzlichen Verbraucherschutzregelungen bleiben unverändert wirksam. Es gelten die allgemeinen Geschäftsbedingungen der Dell GmbH. Angebot kann von Abbildung abweichen. Änderungen, Druckfehler und Irrtümer vorbehalten. Dell, das Dell Logo, PowerEdge und PowerVault sind Marken der Dell Inc. Microsoft, Windows, SQL Server, Windows Vista und das Windows Vista-Logo sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder in anderen Ländern. *Basierend auf Transaction Processing Performance Council

10 dem Client zur Laufzeit die in der Seite verlinkten URLs zusammenzusetzen, kommt es unter Umständen zu Schwierigkeiten. Um solche URLs dynamisch zu lernen, müsste die WAF nämlich in der Lage sein, Javascript zu analysieren, damit sie die URLs berechnen kann. Das ist ohne Weiteres machbar, falls die URL im Skript-Code als Ganzes enthalten ist. Wird sie hingegen zum Beispiel mit String-Verkettungen zusammengebastelt, eventuell sogar noch unter Verwendung von Variablen, ist die WAF nicht mehr in der Lage, die daraus resultierende URL zu berechnen. In solchen Fällen, wie sie manchmal bei Navigationsleisten anzutreffen sind, muss der Administrator die URLs analog zur Einstiegsseite als statische Ausnahmeregel in der WAF konfigurieren. In der Praxis wird aufgrund der beschriebenen möglichen Seiteneffekte des dynamischen Lernens daher häufig eine statische WAF-Policy definiert und das dynamische Lernen nur für das Lernen von Formular-Aktionen aktiviert, aber nicht für das Lernen der sonstigen verlinkten URLs. Übermittelte Parameter überprüfen Das größte Angriffspotenzial auf Webanwendungen besteht in Injection-Angriffen (SQL Injection, Command Injection, Cross-Site Scripting et cetera), bei denen der Angreifer die jeweilige Angriffssyntax in die Felder von Webformularen eingibt, sowie in der Manipulation der Werte von Read-Only -Parametern wie Session-IDs, Hidden-Feldern oder Auswahlmöglichkeiten bei Radio Buttons in Webformularen. Eine zentrale Aufgabe einer WAF ist daher die Kontrolle aller Parameter, die in den HTTP-Anfragen an die Webanwendung übermittelt werden. Im Fall der Read-Only-Parameter muss sie gewährleisten, dass der Anwender die Werte nicht verändert hat, beispielsweise dass die Session-ID nicht von auf geändert wurde. Um Injection-Angriffen vorzubeugen, muss die Firewall alle Benutzereingaben in Webformularen sowie alle sonstigen Parameter hinsichtlich ihres Wertebereichs überprüfen. Zusätzlich muss sie die Länge der Parameterwerte kontrollieren, um der Ausnutzung etwaiger Pufferüberlauf- Schwachstellen vorzubeugen. Fast alle WAF-Produkte bieten die Möglichkeit, Wert und Länge jedes einzelnen Parameters der Webanwendung individuell zu konfigurieren. In der Praxis ist diese Vorgehensweise jedoch selbst bei einer kleinen Anwendung, die unter Umständen auch noch häufig geändert wird, nicht mit einem vertretbaren Konfigurationsaufwand zu betreiben. Aus diesem Grund aktivieren Anwender stattdessen meist die auf Blacklists basierenden Filtermodule der Firewall, die bei guten Produkten für alle Arten von Injection-Angriffen mitgeliefert werden. Die schwarzen Listen enthalten keine primitiven Muster wie ein <script>-tag (Cross-Site Scripting) oder ein Hochkomma (SQL Injection), sondern echte Angriffssyntax, zum Beispiel SQL- Sonderzeichen gefolgt von einem SQL-Befehl. Auf diese Weise sind bei einer WAF im Gegensatz zu Technologien wie Intrusion-Detection-/Intrusion- Prevention-Systemen kaum False Positives zu beobachten. Die Blacklist-basierten Überprüfungen erfolgen standardmäßig für alle Parameter einer Anwendung. Das heißt, es besteht keine Notwendigkeit, einzelne Parameter zu konfigurieren. Bei einem guten Produkt ist es freilich möglich, einzelne Felder oder Formulare von der Überprüfung auszunehmen und stattdessen etwa den Wertebereich des Parameters in Form einer Whitelist zu konfigurieren. Neben der Kontrolle der Benutzereingaben muss die Integrität der Read-Only-Parameter gewährleistet sein. Hierfür ist es erforderlich, dass die WAF die Benutzer-Session zur Laufzeit verfolgt und sich den Wert eines Read-Only-Parameters merkt, sobald dieser das erste Mal an den Anwender übermittelt wird. Dabei kommt wieder das oben beschriebene Konzept des dynamischen Lernens zur Laufzeit zur Anwendung: Aus den HTML- Seiten, die der Webserver an den Anwender ausliefert, extrahiert die WAF nicht nur die verlinkten URLs (Suche nach <a href >), sondern auch die darin enthaltenen Read-Only- Parameter, also beispielsweise die Auswahlmöglichkeiten bei einem Radio Button (Suche nach <input type=radio >). Bei den nachfolgenden HTTP-Anfragen, in denen die Parameter wieder übermittelt werden, prüft die WAF dann, ob die Werte noch dieselben sind. WEB APPLICATION FIREWALLS UND SCHWACHSTELLENSCANNER (ur) Steffen Gundel ist Mitgründer der cirosec GmbH in Heilbronn und Experte im Bereich Applikationssicherheit. Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. Hersteller Produkt Website Web Application Firewalls art of defence hyperguard Breach WebDefend/ModSecurity Cisco AVS 3100 Application Velocity System Citrix Citrix Application Firewall DenyAll rweb F5 TrafficShield, Magnifier Imperva SecureSphere NetContinuum NC-1100, NC Protegrity Defiance TMS United Security Providers Secure Entry Server Visonys Airlock Webschwachstellen-Scanner Acunetix Acunetix Cenzic Hailstorm HP WebInspect IBM Appscan Mayflower Chorizo-Scanner https://chorizo-scanner.com N-Stalker N-Stalker Syhunt Sandcat X ix extra 11/2007

11 Gekonnte Handarbeit Einbruchssimulation mit Proxy und Plug-ins Kraft. Können. Ausdauer. Ihre 19 IT hat hohe Ansprüche. Die Powerware 9140 USV erfüllt sie. Die größte Gefahr für die Sicherheit von Webanwendungen liegt in den Lücken, die durch Fehler in der Entwicklung zustande kommen. Um diese aufzudecken, lassen sich Scanner einsetzen. Effizienter noch sind die Penetrationstests, die mithilfe von Proxies oder Browser-Plug-ins, aber vor allem in Handarbeit über fingierte Angriffe die Schwachstellen offenlegen. Standardsoftware oder auch sonst weit verbreitete Anwendungen werden in regelmäßigen Abständen auf Sicherheitsprobleme untersucht. Denn die negative Publicity durch die Veröffentlichung einer entdeckten Lücke ist alles andere als ein erwünschter Werbeeffekt. Hinzu kommt, dass sich die auf diese Weise gefundenen Exploits auf dem Markt direkt versilbern lassen. Webapplikationen aber sind in vielen Fällen Eigenentwicklungen und finden in diesem Prozess kaum Beachtung. Deswegen gibt es kaum eine Webanwendung, in der der Interessierte keine Fehler beziehungsweise Schwachstellen findet. Umso wichtiger ist es, diese Anwendungen mit Scannern zu untersuchen. Diese reichen jedoch nicht aus, um alle Fehler zu finden. Deshalb sollte man ergänzend Penetrationstests durchführen. Schwachstellen-Penetrationstestern bieten sich einige Werkzeuge zur Automatisierung ihrer Aktionen an. Diese Tools sind hervorragend für die Vereinfachung des ersten Schritts dieser Aufgabe geeignet, doch die wirkliche Überprüfung muss immer in Handarbeit erfolgen. Ziel einer solchen Überprüfung ist es, die Sicherheit in der Kommunikation zwischen der Oberfläche der Anwendung und dem Server im Backend zu gewährleisten. Jede Anwendung bietet dem Benutzer eine Oberfläche, die sich als HTML-Format darstellt, aber im Hintergrund mit unterschiedlichen Techniken mit dem Server kommuniziert. In der einfacheren Welt vor vielen Jahren wurde diese Kommunikation über das Common Gateway Interface (CGI) abgewickelt. Es galten unkomplizierte Regeln, jeden Mausklick setzte der Browser in einen Request um und übertrug die Daten per POST oder GET. Dank neuer Techniken wie Javascript, Ajax, Webservices und Flash wird dem Browser die früher nur im Server enthaltene API präsentiert. Diese Tatsache macht das Testen nicht einfacher, aber wenigstens interessanter. Bei einem Penetrationstest hat der Tester die Aufgabe, unabhängig von der vorhandenen Technik die übertragenen Daten so zu verändern, Kraft 7,5 10 kva saubere, kontinuierliche Leistung in nur 6 HE Können Einfachste Installation, Wartung und Management Ausdauer Sicherer Betrieb schützt Ihre wertvollen IT-Investitionen über viele Jahre hinweg In Racks mit mittlerer bis hoher Leistungsdichte liefert die Doppelwandler-USV Powerware 9140 höchste Sicherheit keinen Stress. Mehr unter: Tel. +49(0) mit Sicherheit ix extra 11/2007 USV- UND DC-SYSTEME

12 IT-Sicherheit IT-Security Ihr Spezialist für die Sicherheit von Web-Applikationen Sicherheitsüberprüfungen / Audits Beratung zu Architekturen, Konzepten und Entwicklungsrichtlinien Schutz von Web- Applikationen mit Web-Applikations- Firewalls (WAFs) Trainings Hacking Extrem Web-Applikationen Lernen Sie die Vorgehensweise der Angreifer sowie bekannte und weniger bekannte Angriffstechniken auf Web-Applikationen in einem sehr praxisorientierten Stil kennen! Nur so können Sie Ihre IT-Infrastruktur vor Angriffen schützen Hamburg München Angriffe und Gegenmaßnahmen für Web-Applikationen und E-Business-Systeme In diesem Training werden Angriffsarten auf Web- Applikationen & E-Business- Systeme anhand zahlreicher, praxisnaher Beispiele demonstriert. Am zweiten Tag stellen wir ausführlich innovative Lösungsansätze vor Köln cirosec GmbH Edisonstraße Heilbronn Telefon (07131) dass potenzielle Fehler aufgespürt und ausgenutzt werden können. Jedes Formular, jedes Datenfeld, auch die verdeckten und im Hintergrund von beispielsweise Javascript inklusive Ajax übermittelten, nehmen ihren Weg durch das World Wide Web. Dies vereinfacht die Aufgabe des Testers, denn alle Daten werden im Klartext übertragen, und die Technik zum Abfangen dieser Daten setzt ohnehin schon jedes Unternehmen ein denn nichts anderes macht ein Proxy. So ist es naheliegend, auch die Penetrationstests durch einen Proxy zu unterstützen. Das OWASP (Open Web Application Security Project) bietet den WebScarab an, der durch seine vielen Funktionen Tests gut unterstützt. Die wichtigste Funktion ist die komplette Aufzeichnung der Requests. So kann der Tester die Webanwendung einfach beobachten und eine Liste aller genutzten Parameter und der in diesen üblicherweise übertragenen Daten erstellen. Im nächsten Schritt verändert er diese Daten so, dass der Server Dinge tut, die so vom Programmierer nicht beabsichtigt waren. Proxy als Werkzeug Eine vom Hacker gewünschte Reaktion sind Fehlermeldungen, die interne Daten offenlegen. Eine andere ist die Ausführung von Shell- oder Ein Zugriff auf aufgezeichnet vom WebScarab. Gut zu sehen die Anfragen an Werbeanbieter und Webseiten- Tracker (Abb. 1) Manuelle Request-Bearbeitung im WebScarab mit einem zugefügten Header (Abb. 2) SQL-Code. Details zu den möglichen Fehlern in Webapplikationen beschreibt der Artikel auf Seite I. Der Tester kann die Requests im Proxy auf zwei Arten verändern. Bei der ersten Methode stoppt der Proxy die Requests vor der Weiterleitung an den Server. Auf der Oberfläche sieht der Tester nun den Request inklusive aller Parameter und deren Daten. Dort kann er jeden angezeigten Wert editieren und danach den gesamten Request absenden. Der Server erhält den Request, als ob er vom Browser direkt gesendet worden wäre und kann keinen Unterschied feststellen. Der Vorteil hierbei besteht darin, dass ein Penetrationstester in den Ablauf einer Session gezielt eingreifen kann, wenn er beispielsweise ein bestimmtes Element eines Vorgangs als Schwachstelle identifiziert hat, der Server jedoch die Requests nur in einer bestimmten Reihenfolge akzeptiert. Wiederholbarkeit erwünscht Bei der zweiten Methode nutzt der Schwachstellentester die gespeicherten Daten der bereits gesendeten Requests. Der Proxy wiederum stellt die Daten in seiner Oberfläche zur Bearbeitung zur Verfügung. Auch in diesem Fall schickt der Tester den Request mit einem Klick ab. Der Unterschied und gleichzeitig Vorteil dieser Methode in bestimmten Situationen ist die Möglichkeit, den Vorgang beliebig oft zu wiederholen. Mit der ersten Methode lässt sich pro Klick im Browser nur ein Request bearbeiten, während mit dieser Methode diese Einschränkung fällt, denn der Proxy arbeitet autark und ist nicht davon abhängig, einen neuen Request vom Browser zu erhalten. Somit kann der Tester schnell viele Variationen der geänderten Daten ausprobie- ix extra 11/2007

13 _1I2hKalenderNetze.qxp :48 Uhr Seite 1 IT-Security emedia Fun-Shop Anzeige der Query-Strings von in Sleuth (Abb. 3) ren. Der Proxy zeigt ihm dafür eine Antwort vom Server im Text- oder HTML-Format an. In dieser Hinsicht lässt sich das Vorgehen am ehesten mit der Arbeit von Webanwendungs-Scannern vergleichen: Auch diese erzeugen Requests mit jeweils leicht veränderten Daten und schicken diese an den Server, um danach die Ergebnisse auszuwerten. WebScarab wie auch die anderen Penetrationstest- Proxies bieten dementsprechend einen ähnlichen Funktionsumfang wie die Scanner und unterstützen den Tester mit Features wie Fuzzing (das Erzeugen von zufälligen Daten, die über Eingabeschnittstellen eines Programms verarbeitet werden), Session-ID-Analyse und je nach Produkt auch selbst geschriebenen Plug-ins. Hilfreiche Browser Plug-ins Eine dritte Art der Request- Bearbeitung arbeitet mit Browser-Plug-ins, die es für den Internet Explorer in Form von Sleuth von sprite.com oder mit dem WebDeveloper von Chris Pederick für den Firefox gibt. Über die Plug-ins erhält der Tester einen Zugriff auf die HTML-Ergebnisse, während sie der Browser darstellt. Auch in diesem Fall kann er alle Werte verändern, allerdings nur die in der HTML-Darstellung ix extra 11/2007 enthaltenen. Der Zugriff auf die Header, die an den Server gesendet werden, gestaltet sich dabei schwieriger. Zum Hacken ist der Web- Developer auch nur bedingt geeignet, kann aber in manchen Tests nützliche Dienste leisten. Anders sieht es bei Sleuth aus. Die Software stellt eine Mischform zwischen Proxy und Plugin dar, kann also HTML im Browser bearbeiten und gleichzeitig auch als Proxy mit Automatisierung, Fuzzing und Request-Interception agieren. Der Nachteil der Mischform ist die unübersichtliche Darstellung der Requests und die Abhängigkeit vom Internet Explorer. Der Vorteil jedoch liegt in der übersichtlichen Darstellung der Daten der im Browser angezeigten HTML- Seite und in der eingebauten Authentifizierung. Fazit Durch schlanke und funktionale Werkzeuge kann ein Test einer Webanwendung erfolgreicher und schneller durchgeführt werden. Allerdings ist der Erfolg stark von der Erfahrung des Testers abhängig, da jede Webapplikation unterschiedliche Lücken hat, die sich teilweise an überraschenden Stellen in der Request-Verarbeitung verstecken. (sf/js) Christoph Puppe ist Security Consultant bei der HiSolutions AG in Berlin und seit mehreren Jahren als Berater tätig. Ein tragbares Netzhemd Bestellung emedia GmbH Bissendorfer Straße 8 D Hannover Der c t Kalender 2008 Die besten Illustrationen aus der c t DIN A3, quer, 26 Kalenderblätter, 4-farbig Best.-Nr.: Preis: 14,80 T-Shirt heise Netze, schwarz, 100% gekämmte Baumwolle, ca. 190 g/m, Nackenband, Doppelnaht an den Ärmeln und am Abschluss. Größe M Best.Nr.: Größe L Best.Nr.: Größe XL Best.Nr.: Größe XXL Best.Nr.: Preis: jeweils 9,80 Telefon: +49 [0] Fax: +49 [0] Preisänderung/Irrtum/Ausverkauf vorbehalten. Alle Preise inkl. MwSt.

14 Meine Identität gehört mir Identity-Management in Zeiten von Webservices und Web 2.0 Infolge der Öffnung der bislang abgeschotteten Unternehmensnetzwerke und der Verbreitung von Webservices rückt das Thema Identitäts- und Zugriffskontrolle noch mehr in den Mittelpunkt. Hier zeichnet sich ein grundlegender Wandel ab: Identity 2.0 soll dem Benutzer die Kontrolle über seine Daten zurückgeben. Die Grundlage bilden zwei ähnliche Systeme, OpenID und CardSpace. Letztlich geht es bei IT-Sicherheit immer darum zu gewährleisten, dass nur bestimmte Personen in ihrer digitalen oder beim physischen Zugang realen Identität bestimmte Dinge mit Systemen und den darauf laufenden Anwendungen machen dürfen. Die letzten Jahre haben gezeigt, dass Lösungen, die keine Rücksicht auf die Frage der digitalen Identität nehmen, im Grunde nur Notlösungen sind. Nirgendwo wird das deutlicher als bei Webservices. Kaum ein Thema hat die IT so verändert wie die Öffnung einst in sich geschlossener IT-Welten. Heute geht es nicht mehr darum, das Unternehmen nach außen über einen Perimeterschutz also an der Netzwerkgrenze abzuschotten. In der heutigen Welt soll vielmehr der Zugang auf IT-Ressourcen von außen erleichtert werden allerdings nur für ganz bestimmte Personen. Und die sollen auch nur ganz bestimmte Dinge tun dürfen. Dabei will man im Grunde zwei Dinge vereinen, die im Gegensatz zueinander stehen: Öffnung und Kontrolle. Wer die digitalen Relying Parties A B C 1) Get security token requirements Policy 4) Present security token Application InfoCard Information Card 1 Information Card 2 Information Card 3 2) Select desired identity by choosing an information card Identitäten seiner Kunden, Lieferanten oder auch Mitarbeiter nicht im Griff hat, geht ein hohes Risiko ein. Der Kunde hat ebenfalls zweigeteilte Interessen: Er möchte einerseits schnell und einfach auf Onlineinhalte zugreifen können, andererseits aber seine Privatsphäre gewahrt wissen. Je mehr persönliche Daten er im Zuge einer Shoppingtour im Internet preisgeben muss, desto mehr verliert er mit der Zeit die Kontrolle über das, was die Anbieter von ihm wissen. Im Kampf um die informationelle Selbstbestimmung, immerhin ein zumindest in Europa hochrangiges Rechtsgut, ist der Nutzer heute weitgehend der Unterlegene. Ein Grund dafür ist, dass erstaunlich viele Lösungen die Sicherheit heute noch ausschließlich auf der Systemebene angehen, also die Identität des Benutzers beispielsweise mit dessen IP-Adresse gleichsetzen. Das beginnt bei der Paketfilterung und geht bis hin zu Network-Access-Control- Lösungen oder Client-Management-Produkten, die zwar Systeme, aber keine individuellen Benutzer kennen. Ohne Identität geht nichts Security Token Identity Providers X Y Z 3) Get security token Security Token Kehrtwende: Anders als bei früheren Versuchen setzt Microsoft bei seinem mit Vista vorgestellten CardSpace- Modell, das auf verschiedenen Visitenkarten beruht, auf die Kontrolle und Hoheit des Nutzers über seine eigenen Daten ohne Einwilligung geht nichts. Bei der Kontrolle des Netzwerkzugangs kommt die Identität des Benutzers stärker ins Spiel. Unterschiedliche Mitarbeiter müssen meist auch auf unterschiedliche Anwendungen zugreifen können, um ihre Aufgaben zu erfüllen, und manchmal gelten dabei überdies unterschiedliche Regeln. Das gilt erst recht, wenn Externe auf das Unternehmensnetzwerk zugreiix extra 11/2007

15 fen sollen. Und will ein Kunde etwas bestellen, bezahlen und an seine Adresse geliefert bekommen, geht es nicht ohne Kenntnis seiner Identität. Sicherheit, das wird dadurch klar, ist nur über erfolgreiches Identitätsmanagement zu haben. Mehr noch: Durchgängige Sicherheitskonzepte vom Perimeter bis zu den Anwendungen verlangen geradezu eine durchgängige Sicht auf die Identität. Sicherheitslösungen müssen also zunehmend auf vorhandene Verzeichnisse zugreifen können oder auf virtuelle Verzeichnisdienste, die dann auf Verzeichnisse mit Kunden, Partnern oder Mitarbeitern verweisen und so eine virtuelle Gesamtsicht schaffen. Das Hauptproblem der neuen Offenheit vernetzter Systeme liegt nach Ansicht von Experten weniger in der technischen Umsetzung als vielmehr in der alten Sichtweise auf die IT-Security. Diese geht davon aus, dass der Anbieter einer Ware, Dienstleistung oder Information, mithin der Systemadministrator, derjenige ist, der die Identitäten zu verwalten hat. Wer seine persönlichen Daten nicht an der Tür abgibt, kommt gar nicht erst ins System. Dies gefällt einer kleinen, aber wachsenden Schar von Identitäts-Aktivisten gar nicht. Sie fordern nicht mehr und nicht weniger als eine Umkehrung der Machtverhältnisse: Der Benutzer soll wieder die Kontrolle über seine Daten bekommen. Ihr Schlagwort heißt: User-centric Identity. Selbstbestimmung auch im Netz Einer von ihnen ist Dick Hardt, Chef der kleinen Softwarefirma Sxip, der für Internet und Webservices ein dezentrales, kompatibles, skalierbares und sicheres System fordert, das dem Menschen erlaubt, sich im Internet genauso einfach auszuweisen wie in der richtigen Welt. Doch Hardt und seine Mitstreiter gehen einen Schritt weiter. Sie wollen, dass der Benutzer selbst bestimmen kann, welche Informationen er im Zuge der Anmeldung und Interaktion mit Webservices preisgibt. Dieses Identity 2.0 genannte Prinzip wäre Hardts Meinung nach ein auf Internetmaß zugeschnittenes Identity- und Access-Management-System, das einfach, sicher und offen ist und bei dem der Benutzer im Mittelpunkt steht. Bei Identity 1.0 weiß das System nur, dass eine Person ein Eintrag in einem Verzeichnis ist, aber es hat keine Ahnung, wer sie ist. In der abgeriegelten Welt geschlossener Firmennetze hat das noch genügt, zumal der Arbeitgeber der Besitzer der meisten Identitätsdaten der Mitarbeiter war. Im offenen Kontext von externen Webservices funktionieren solche Systeme Hardts Meinung nach nicht. Die Folge sei Ärger und Mehraufwand für den Benutzer, der immer wieder Namen, Kennwörter und viele Informationen über sich selbst eingeben muss. Dies aber steht dem Geschäftserfolg von Onlineanbietern im Weg. Gleichzeitig schafft die fehlende Selbstbestimmung des Nutzers ein Identitätsproblem für die Betreiber von Web-2.0-Anwendungen wie MySpace, Flickr oder die Videoarchive von YouTube, deren Reiz für die meisten Benutzer ja gerade darin besteht, sich nach außen auf möglichst kreative Weise darstellen zu können. Hardts Firma hat mit Sxipper, einem kostenlosen Plug-in für den Firefox-Browser, gezeigt, wo die Reise hingehen soll. Der Benutzer lädt die Erweiterung auf seinen Rechner herunter und trägt darin seine persönlichen Daten ein, etwa Privat- und Geschäftsadresse, Kreditkartennummern oder Führerscheindaten. Jedes Mal, wenn er danach auf eine Website zugreift, die Informationen über ihn fordert, startet Sxipper, stellt die gewünschten Informationen dar und fragt, ob der Benutzer mit der Übermittlung einverstanden ist. Pflichtfelder werden gekennzeichnet, freiwillige Angaben ebenfalls. Mit einem Mausklick auf ein Hakenkästchen entscheidet der Benutzer, welche Daten er weitergeben will und welche nicht. Vielversprechender Zusammenschluss Sxipper ist nur eine Lösung unter einem guten Dutzend, die große und kleine Anbieter unter dem Banner von OpenID entwickeln und anbieten. OpenID ist ein dezentrales System zur Identifizierung, dessen zugrunde liegendes Protokoll von Brad Fitzpatrick, dem Vater von Live- Journal (eine quelloffene Serversoftware), und David Recordon von VeriSign entwickelt wurde. Mit im Boot sind große Anbieter wie IBM und Novell sowie die Eclipse Foundation, die sich Hat Ihr Netzwerk wirklich keine Schwachstellen? Nur die AVG Internet Security Network Edition bietet: 2 Jahre Lizenzlaufzeit Anti-Virus Anti-Spyware Anti-Spam Firewall Kostenlose neue Programmversionen Zentrale Verwaltung für Server, Clients und Desktops 24/7 technische Unterstützung Alles über AVG: Halle B3.14 NEU! AVG Internet Security für Windows, für Netzwerke, für Linux und für -Server. Deutsche Vertretung und deutschsprachiger Support für AVG: Jürgen Jakob Software-Entwicklung AVG75 ISNE01 ix1107_x_000_avg.indd :43:26 Uhr

16 unter anderem mit dem quelloffenen Bandit-Projekt an der Entwicklung von Standards für das Identitätsmanagement über unterschiedliche Systeme hinweg beteiligt hat und somit einen einheitlichen Ansatz für die Sicherheit und Verwaltung von Identitäten schaffen will. OpenID dient zunächst nur zur gegenseitigen Identifikation von Benutzern. Die sollen sich mithilfe ihres digitalen Ausweises bei verschiedenen Websites anmelden können, ohne jedes Mal dieselben persönlichen Informationen eintippen zu müssen. Die anschließende Authentifizierung erfolgt durch einen sogenannten Identity Service Provider (auch ibroker genannt). Denjenigen, über dessen Website sich der Benutzer eingeloggt hat, bezeichnet man als Relying Party (RP), denn er vertraut aufgrund seiner in der Regel vorher vertraglich fixierten Beziehung zum Identity Service Provider dieser Authentifizierung. Der Identity Service Provider kann bei Bedarf zusätzliche Informationen vom Benutzer anfordern. Im Internet weist sich der OpenID-Benutzer mithilfe eines sogenannten URI (Uniform Resource Identifier) aus, den er von seinem ibroker erhält und der genauso arbeitet wie die URL eines Webdokuments. Zur Authentifizierung verwendet OpenID Standards wie Yadis, ein Protokoll und Datenformat, mit dem Informationen über unterstützte Dienste einer HTTP-URL im Konzept der URI-basierten Identität beschrieben und abgerufen werden können. Im Grunde genommen verwendet der Benutzer seinen URI als Benutzernamen, während sein Passwort sicher beim OpenID-Provider verwahrt wird. Prinzipiell ähneln OpenID-Lösungen dem neuen CardSpace- Modell von Microsoft, das der Konzern mit dem Start von Vista einführte. Hier trägt der Benutzer seine Identitätsdaten in sogenannten InfoCards ein, die auf der Festplatte liegen und Informationen wie Name, Geburtsdatum, Wohnort, Geschlecht, Telefonnummern, Kreditkartendaten und Ähnliches enthalten. Er kann mehrere Karten mit unterschiedlich ausführlichen Informationen über sich erstellen, je nach Anforderung. Verlangt nun eine Website bestimmte Daten, zückt CardSpace die passende Karte und fragt den Benutzer, ob er einverstanden ist, diese weiterzugeben. Oft genügt Vertrauen Diese Form der sogenannten Self-assertion (Selbstbehauptung) kommt ohne Verifizierung durch eine übergeordnete Instanz aus. Im Prinzip muss der Anbieter einfach glauben, was ihm der Benutzer sagt. Das ist in vielen Fällen im praktischen Leben ausreichend, etwa um sich Zutritt zu einem kostenlosen Onlinemagazin zu verschaffen oder sich in ein Chat-Forum einzuloggen. Wollen beide Seiten dagegen miteinander Geschäfte machen, genügt eine solche freiwillige Selbstauskunft nicht. In diesem Fall muss sich Disk-Subsysteme finden sich in den unterschiedlichsten Anwendungen als Primär- oder Sekundärspeicher, als virtuelle Tape Library, als Backup- oder Archivsystem. Genau so unterschiedlich sind die Umgebungen und Konfigurationen: als Speichererweiterung direkt an Server angeschlossen, für den Zugriff durch mehrere der CardSpace-Benutzer vorher, ähnlich wie beim ibroker von OpenID, bei einer vertrauenswürdigen Stelle (Trusted Third Party) anmelden und dort seine Daten hinterlegen. Das kann eine offiziell zugelassene Zertifizierungsstelle sein, zum Beispiel ein Trust Center, aber auch eine Bank, eine Kreditkartenfirma oder ein Arbeitgeber. Will ein Internetanbieter Informationen, wird die Anfrage automatisch an die Vertrauensstelle weitergeleitet, die die gewünschte Information bereitstellt. Gleichzeitig ergeht an den Benutzer eine Anfrage nach dessen Einverständnis, die Daten weitergeben zu dürfen. Häufig genügen auch sogenannte Metadaten. Beim Kauf per Kreditkarte reicht meistens eine Bestätigung: Zahlung erfolgt. Mehr muss der Anbieter gar nicht wissen. Ähnlich bei Informationen, die lediglich als Altersnachweis dienen. Statt des tatsächlichen Geburtsdatums genügt es, wenn von vertrauenswürdiger Seite bestätigt wird: Der Kunde ist über 18. Auf diese Weise soll sich die Menge der preiszugebenden In ix extra 12/2007 Storage Disk-Systeme: Technik und Produkte DIE WEITEREN IX EXTRAS: persönlichen Daten im Internet- Alltag deutlich reduzieren lassen zur Freude von Verbrauchern, aber auch zur Entlastung von Anbietern. Für Microsoft stellt OpenCard damit eine radikale Abkehr von früheren Systemen wie MS Passport dar, bei denen die Kontrolle über die Daten weitgehend in Redmond lag. Dennoch kam die Ankündigung im Februar 2007 für die Fachwelt einigermaßen überraschend, dass Microsoft und die OpenID-Gemeinde in Zukunft eng zusammenarbeiten und für vollständige Interoperabilität sorgen wollen. Die Nachricht von der ungewöhnlichen Allianz zeitigte gleich Folgen. So kündigte beispielsweise der Onlinedienst AOL an, künftig mit OpenID arbeiten zu wollen. Und Ping Identity, ein führender Hersteller von IAM-Systemen, will ein CardSpace-Modul als OpenSource-Element für den Apache 2 Server auf den Markt bringen. (sf/ur) Tim Cole ist Consultant bei Kuppinger Cole & Partner sowie Mitveranstalter der European Identity Conference. Server in ein Speichernetz eingebunden als Standalone-System, im Gruppenverbund, kaskadiert, gespiegelt, hierarchisch angeordnet oder über einen Virtualisierer zusammengeschaltet. Entsprechend groß ist die Spannbreite verfügbarer Disk- Systeme. Sie reicht vom einfachen JBOD bis zum Supersystem mit 247 Petabyte Gesamtkapazität. Was Disk-Systeme heute alles können, wie man das geeignete System für seine Umgebung findet und wie man sich auf künftige Anforderungen vorbereitet, erläutert ix extra in Heft 12/07. Erscheinungstermin: 15. November 2007 Ausgabe Thema Erscheinungstermin 01/08 Networking Aktuelle Trends bei Wireless LANs /08 Mobility Mobiler Arbeitsplatz: Konsolidierte Verwaltung; Notebooks als Desktopersatz 03/08 IT-Security Malware-Trends Trojaner, Botnetze & Co XVI ix extra 11/2007

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen Sicherheit auf Anwendungsebene Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

SQL Injection Funktionsweise und Gegenmaßnahmen

SQL Injection Funktionsweise und Gegenmaßnahmen SQL Injection Funktionsweise und Gegenmaßnahmen EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005 Problematik SQL-Injection

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

RWE Cloud Services. RWE Cloud Services Global Access Erste Schritte

RWE Cloud Services. RWE Cloud Services Global Access Erste Schritte Global Access Erste Schritte Copyright RWE IT. Any use or form of reproduction, in whole or part, of any material whether by photocopying or storing in any medium by electronic means or otherwise requires

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt Systemanforderungen und Installationsanleitung für Internet Security Inhalt 1 Systemanforderungen für Internet Security...2 2 Installationsanleitung: Internet Security für einen Test auf einem Computer

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

AJAX SSL- Wizard Referenz

AJAX SSL- Wizard Referenz AJAX SSL- Wizard Referenz Version 1.0.2+ - 04.04.2011 Präambel Die vorliegende Dokumentation beschreibt den AJAX basierten SSL- Wizard der CertCenter AG. Der SSL- Wizard kann mit wenigen Handgriffen nahtlos

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 Bei dem vierten Teil geht es um etwas praktisches: ein Emailformular, dass man auf der eigenen

Mehr

Secure Socket Layer (SSL) - Zertifikate

Secure Socket Layer (SSL) - Zertifikate e Einführung Zur Übertragung sensibler Daten über das Internet wurde das SSL-Protokoll entwickelt. SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") das von der Firma Netscape und RSA Data

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS Herzlich willkommen zu den Workshops von Sage. In diesen kompakten Anleitungen möchten wir Ihnen Tipps, Tricks und zusätzliches Know-how zu Ihrer Software von Sage mit dem Ziel vermitteln, Ihre Software

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

Einsatz von Applikationsservern. Untersucht am Beispiel des Sybase Enterprise Application Server

Einsatz von Applikationsservern. Untersucht am Beispiel des Sybase Enterprise Application Server Einsatz von Applikationsservern Untersucht am Beispiel des Sybase Enterprise Application Server Architektur von Datenbanksystemen Client / Server Modell (2 Schichten Modell) Benutzerschnittstelle Präsentationslogik

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

WordPress installieren und erste Einblicke ins Dashboard

WordPress installieren und erste Einblicke ins Dashboard WordPress installieren und erste Einblicke ins Dashboard Von: Chris am 16. Dezember 2013 In diesem Tutorial zeige ich euch wie ihr WordPress in der aktuellen Version 3.7.1 auf eurem Webspace installieren

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Stubbe-CS. Kurssystem. Günter Stubbe. Datum: 19. August 2013

Stubbe-CS. Kurssystem. Günter Stubbe. Datum: 19. August 2013 Kurssystem Günter Stubbe Datum: 19. August 2013 Aktualisiert: 6. September 2013 Inhaltsverzeichnis 1 Einleitung 5 2 Benutzer 7 2.1 Registrierung............................. 7 2.2 Login..................................

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

Dynamische Webseiten

Dynamische Webseiten Dynamische Webseiten Seminar Medientechnik 30.06.2003 Dynamische Webseiten 1 Inhalt Allgemeine Funktionsweise eines Webservers Grundgedanke von dynamischen Webseiten Einschub: Dynamische Seitenerzeugung

Mehr

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen)

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen) Datenschutzerklärung der Etacs GmbH Die Etacs GmbH wird den Anforderungen des Bundesdatenschutzgesetzes (BDSG) gerecht.personenbezogene Daten, d.h Angaben, mittels derer eine natürliche Person unmittelbar

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Anleitung zur VHS-Registrierung im KJP-Onlinesystem

Anleitung zur VHS-Registrierung im KJP-Onlinesystem Anleitung zur VHS-Registrierung im KJP-Onlinesystem Handbuch für die Mitarbeiter an Volkshochschulen Version: 1.0 Erstelldatum: 15. November 2011 Verfasser tops.net GmbH & Co. KG Tamás Lányi Holtorferstr.

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Modul 2.4.1: Möglichkeiten zur Erweiterung des Internet-Auftritts der Schule zu einem umfassenden Auftritt als Bildungsnetzwerk

Modul 2.4.1: Möglichkeiten zur Erweiterung des Internet-Auftritts der Schule zu einem umfassenden Auftritt als Bildungsnetzwerk Informationsmaterial zum Modul-Nr. 2.4: Bildungsnetzwerke planen (Schwerpunkt: IT-Unterstützung in Bildungsnetzwerken) Modul 2.4.1: Möglichkeiten zur Erweiterung des Internet-Auftritts der Schule zu einem

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Benutzerhandbuch. für das Extranet des. Landeswohlfahrtsverbandes Hessen. zur Anmeldung per Grid-Karte

Benutzerhandbuch. für das Extranet des. Landeswohlfahrtsverbandes Hessen. zur Anmeldung per Grid-Karte Extranet des LWV Hessen Benutzerhandbuch Benutzerhandbuch für das Extranet des Landeswohlfahrtsverbandes Hessen zur Anmeldung per Grid-Karte Benutzerhandbuch_Grid-Karte.doc Seite 1 von 21 Inhaltsverzeichnis

Mehr

ESB - Elektronischer Service Bericht

ESB - Elektronischer Service Bericht Desk Software & Consulting GmbH ESB - Elektronischer Service Bericht Dokumentation des elektronischen Serviceberichts Matthias Hoffmann 25.04.2012 DESK Software und Consulting GmbH Im Heerfeld 2-4 35713

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

IMBA. Installationsanleitung. SQL Server-Datenbankadapter. Das Instrument für den fähigkeitsgerechten Personaleinsatz

IMBA. Installationsanleitung. SQL Server-Datenbankadapter. Das Instrument für den fähigkeitsgerechten Personaleinsatz Das Instrument für den fähigkeitsgerechten Personaleinsatz IMBA SQL Server-Datenbankadapter Installationsanleitung gefördert durch das Bundesministerium für Gesundheit und Soziale Sicherung Vorbereitung

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Cookie-Richtlinie. Einführung Über Cookies

Cookie-Richtlinie. Einführung Über Cookies Einführung Über Cookie-Richtlinie s Verbesserung der Benutzererfahrung verwenden die meisten der von Ihnen besuchten Websites so genannte. Dabei unterscheidet man zwischen Session (für einen Besuch) und

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

SmartExporter 2013 R1

SmartExporter 2013 R1 Die aktuelle Version wartet mit zahlreichen neuen Features und umfangreichen Erweiterungen auf. So können mit SmartExporter 2013 R1 nun auch archivierte Daten extrahiert und das Herunterladen der Daten

Mehr

Checkliste. Integration Saferpay Business. Version 2.3. 110.0083 SIX Payment Services

Checkliste. Integration Saferpay Business. Version 2.3. 110.0083 SIX Payment Services Checkliste Integration Saferpay Business Version 2.3 110.0083 SIX Payment Services Einleitung Vielen Dank, dass Sie sich für Saferpay als E-Payment-Plattform entschieden haben. Dieses Dokument soll Ihnen

Mehr

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten Aktuelle Themen der Wirtschaftsinformatik Zusammenfassung 09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten 1 Serverseitige Webprogrammierung

Mehr

Call Button / HTTP - Systembeschreibung

Call Button / HTTP - Systembeschreibung Call Button / HTTP - Systembeschreibung Detlef Reil, 14.03.2004, zu Call Button, Version 040127, V1.50 Beta! Software System Für die Kommunikation zwischen den Call Buttons und der Applikation war bisher

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003 Page 1 of 23 SSL Aktivierung für OWA 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 20.05.2005 Die Aktivierung von SSL, für Outlook Web Access 2003 (OWA), kann mit einem selbst ausgestellten

Mehr

Informatives zur CAS genesisworld-administration

Informatives zur CAS genesisworld-administration Informatives zur CAS genesisworld-administration Inhalt dieser Präsentation Loadbalancing mit CAS genesisworld Der CAS Updateservice Einführung in Version x5 Konfigurationsmöglichkeit Sicherheit / Dienstübersicht

Mehr

Datenschutzerklärung von SL-Software

Datenschutzerklärung von SL-Software Datenschutzerklärung von SL-Software Software und Büroservice Christine Schremmer, Inhaberin Christine Schremmer, Odenwaldring 13, 63500 Seligenstadt (nachfolgend SL-Software bzw. Wir genannt) ist als

Mehr

E-Commerce: IT-Werkzeuge. Web-Programmierung. Kapitel 4: Einführung in JavaScript Stand: 03.11.2014. Übung WS 2014/2015. Benedikt Schumm M.Sc.

E-Commerce: IT-Werkzeuge. Web-Programmierung. Kapitel 4: Einführung in JavaScript Stand: 03.11.2014. Übung WS 2014/2015. Benedikt Schumm M.Sc. Übung WS 2014/2015 E-Commerce: IT-Werkzeuge Web-Programmierung Kapitel 4: Stand: 03.11.2014 Benedikt Schumm M.Sc. Lehrstuhl für ABWL und Wirtschaftsinformatik Katholische Universität Eichstätt-Ingolstadt

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Bin ich fit für myconvento?

Bin ich fit für myconvento? Bin ich fit für myconvento? Sie planen den Einsatz unserer innovativen Kommunikationslösung myconvento und fragen sich gerade, ob Ihr Rechner die Anforderungen erfüllt? Hier erfahren Sie mehr. Inhalt Was

Mehr

Xerox Remote-Dienste Ein Schritt in die richtige Richtung

Xerox Remote-Dienste Ein Schritt in die richtige Richtung Xerox Remote-Dienste Ein Schritt in die richtige Richtung Fehleranalyse Auswertung der Gerätedaten Fehlerbeseitigung Datensicherheit 701P41697 Überblick über die Remote-Dienste Die Remote-Dienste Die Remote-Dienste

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

COOKIES WAS SIND COOKIES? WIE SETZEN WIR COOKIES EIN?

COOKIES WAS SIND COOKIES? WIE SETZEN WIR COOKIES EIN? COOKIES Damit dieses Internetportal ordnungsgemäß funktioniert, legen wir manchmal kleine Dateien sogenannte Cookies auf Ihrem Gerät ab. Das ist bei den meisten großen Websites üblich. WAS SIND COOKIES?

Mehr

Babelprojekt.com Datenschutzhinweise

Babelprojekt.com Datenschutzhinweise Babelprojekt.com Datenschutzhinweise Datenschutzrichtlinie runterladen Letzte Aktualisierung: 24. Apr. 2015 Willkommen zur Webseite des Babelprojekt Kft. Babelprojekt bittet Sie darum, vor der Nutzung

Mehr