Testing Module Compass Security AG 14. January 2010

Größe: px
Ab Seite anzeigen:

Download "Testing Module Compass Security AG 14. January 2010"

Transkript

1 Compass Security AG Glärnischstrasse 7 CH-8640 Rapperswil T F Testing Module Compass Security AG 14. January 2010 Name des Dokumentes: security_module_beschreibung_v1 1_deu.doc Version: v1.1 Autor(en): Ivan Buetler, Compass Security AG Cyrill Brunschwiler, Compass Security AG Lieferungsdatum: 14. Januar 2010 Klassifikation:

2 Inhaltsverzeichnis 1 SECURITY TESTING MODULES Einleitung Testing Modules Übersicht Implementation Testing Local Testing Remote Testing Network Testing DB Testing Application Security Testing Web Application Security Testing Checklisten Network Pentest Web Application Pentest Source Code Review Seite: 2

3 1 Security Testing Modules 1.1 Einleitung Bei der Durchführung von IT Security Penetration Tests, Audits und Security Assessments werden verschiedene Arbeiten und Aktivitäten durchgeführt, die in sogenannten Testing Modulen definiert sind. Die Arbeiten werden in Testing Module unterteilt, damit die verantwortlichen Stellen bei deren Durchführung ein gemeinsames Verständnis über den Inhalt und die Rahmenbedingungen haben. Das Ziel dieses Dokumentes ist es, zu erklären, welche Test Module definiert sind und was deren Inhalt und Zielsetzung ist. Dadurch soll die Arbeit zwischen dem Projektteam und der Sicherheitsabteilung abgestimmt werden. 1.2 Testing Modules Übersicht IT Security Testing Module Name Implementation Testing (Feature Check) Local Testing (Hardening Check) Remote Testing (Network Pentest) Network Testing (Topology Review) Beschreibung Prüfung von neuen Funktionalitäten und Features. Typischerweise wird dieses Testing Modul dort eingesetzt, wo ein wichtiges Update oder Feature installiert wird und die Gesamtsicherheit beeinflusst werden könnte. Beispielsweise eine neue Chat Anwendung im Business Portal oder die Erweiterung von Client Certificates bei der Authentisierung. Prüfung der lokalen Sicherheit eines Computer Systems wie z.b. einem Windows-, Linux-, Solaris-, AIX- oder anderen Servern. Dabei werden hauptsächlich das Hardening und die File- als auch Prozessrechte, wie auch die zum Betriebssystem gehörenden Services wie SSH etc. analysiert. Die Beurteilung von Zusatzprodukten auf dem OS wie beispielsweise ein Web Application Server sind in diesem Modul nicht enthalten. Prüfung der Zielsysteme bezüglich Netzwerkattacken aus dem gleichen und/oder einem fremden Netzwerksegment. Dazu gehört die Identifikation von Security Schwachstellen die durch Angreifer ausgenützt werden können, welche über keine Account Information auf dem Zielsystem verfügen. In diesem Testing Modul wird der klassische Penetration Test mit automatisierten Portscans, Fingerprinting und Vulnerability Scanning durchgeführt. Das Network Testing Modul analysiert die Einbindung des Zielsystems in die IT Landschaft. Der Fokus wird dabei auf das Zonenkonzept, Inside-Out Bedrohungen und Firewalling gelegt. Dieses Modul wird in enger Zusammenarbeit mit dem Netzwerk- und Firewall Team durchgeführt und auf Wunsch technische Untersuchungen anhand der Szenario Technik (was wäre wenn) definiert, priorisiert und durchgeführt. Das Ziel ist es, sämtliche Verbindungen vom und zum Zielsystem zu kennen und bezüglich Schwachstellen zu beurteilen. Seite: 3

4 IT Security Testing Module Name DB Testing (DB Access Hardening) Application Security Testing (Application Security Analysis) Web Application Security Testing (Web Application Pentest) Beschreibung Prüfung der Datenbankverbindungen im Rahmen einer Security Untersuchung. Analyse der verwendeten technischen DB User seitens der Anwendung auf die DB, deren Verbindungsart (SSL) und das Berechtigungskonzept seitens DB. Das Modul geht vom Prinzip "Least Privileges" aus. Damit ist gemeint, dass eine Anwendung auf die für die Anwendung notwendigen Privilegien wie lesen, schreiben, oder verändern reduziert wird. Es soll verhindert werden, dass aus einer Anwendung heraus ein DB Vollzugriff (DBA, SA) oder sogar ein Ausbruch auf das Betriebssystem möglich ist. Dieses Testing Modul fokussiert sich auf die Anwendungsebene bei IT Security Untersuchungen. Dort wo das Network Testing oder Local Testing Modul sich gegenüber der Anwendung abgrenzt, beginnt das Application Security Testing. Typischerweise werden die Tests mit Test Accounts durchgeführt und möglicherweise die Konfiguration des Application Server oder FAT Client in der Beurteilung berücksichtigt. Das Web App Security Testing Modul fokussiert sich auf die meistverbreitete Art aller Applications auf die Web Anwendung. Hierbei werden Test Accounts für den Login vorausgesetzt, und die Sicherheit der Web Anwendung auf OWASP TOP 10 Sicherheits- und Compass Web Checklists untersucht. Prüfungen gegenüber SQL Injection, Cross Site Scripting, HTML Injection, Session Fixation, AJAX Hacking etc. sind in diesem Modul enthalten Implementation Testing Haben Sie eine neue Funktion in Ihrer Anwendung? Setzten Sie einen neuen Algorithmus oder eine Technologie ein? Wurde das bestehende Konzept mit Erneuerungen erweitert? Falls Sie diese Fragen mit "JA" beantworten können, dann benötigen Sie das Testing Module "Implementation Test" Folgende Arbeiten werden bei Implementation Tests durchgeführt Workshop mit dem Team bezüglich der Neuerung Konzept Review der neuen Funktionalität auf Papier Source Code Analyse der neuen Funktionalität Implementation Check der neuen Funktionalität in der Test-, Staging- oder Produktivumgebung Reverse Engineering von eingesetzten Komponenten (FAT Clients) Aufzeigen des Deltas zur 'alten' Variante Typischerweise kommt das Implementation Testing auch zum Einsatz, wenn eine neue Bibliothek oder zum Beispiel ein neuer Authentisierungsmechanismus zum Einsatz kommt. Seite: 4

5 1.2.3 Local Testing Wie gut ist das System gehärtet? Sind nur die wirklich notwendigen Services aktiv? Werden diese Prozesse mit einem wenig privilegierten User gestartet? Wie gut ist das System auf dem neuesten Patch Level? Sind die Filesystem Berechtigungen derart gesetzt, dass ein bestmöglicher Schutz vor lokalen Angreifern besteht? Sind die Small Services des Betriebssystems wie SSH, DHCP, Sendmail, etc. sicher konfiguriert, falls diese benötigt werden? Falls Sie diese Fragen mit "JA" beantworten können, benötigen Sie das Testing Module "Local Testing". Hierbei gibt es verschiedene Vorgehensmethoden Unix: Compass liefert ein Shell Script, das nach dem Review des Kunden als "root" auf dem zu untersuchenden Host gestartet wird. Die Output Ergebnisse werden an Compass zur Beurteilung retourniert. Unix und Windows: Compass arbeitet interaktiv zusammen mit dem Kunden als "root" oder Admin auf dem zu prüfenden System und erstellt Logs und Screenshots. Diese Ergebnisdaten werden im Anschluss bei Compass beurteilt. Üblicherweise wird im Anschluss an die Auswertung noch ein Meeting oder ein Telefonat mit einer fachkundigen Person abgehalten, damit allfällige Fragen zur Konfiguration geklärt werden können Remote Testing Wie gut ist das System im Netzwerk sichtbar? Kann ein Angreifer Produkt und Version wie auch die bereitgestellten Services identifizieren und potenzielle Schwachstellen feststellen? Soll die Frage beantwortet werden, ob es bekannte Sicherheitslücken gibt? Falls Sie diese Frage mit "JA" beantworten, dann benötigen Sie das Remote Testing Module. Das Modul wird auch durch die OSSTMM Methodik definiert, die beschreibt, welche Arbeiten bei einem Remote Testing durchgeführt werden sollten. Dies umfasst: Passive und aktive Informationsbeschaffung Portscanning des zu testenden Systems vom lokalen oder einem fremden Netz aus. Vulnerability Scanning des Zielsystems False-Positive Bewertung der Ergebnisse Manuelle Tests je nach Art und Typ der identifizierten Dienste Auf Wunsch können auch Schwachstellen ausgenutzt werden Die Scanning Szenarien können wahlweise auch aus dem Modul "Network Testing" hergeleitet werden. Hierbei kann es auch vorkommen, dass das System über eine Firewall oder IPS hinweg analysiert wird, falls diese Fragestellung von Interesse ist. Die Angriffe sollten in der Regel in einer möglichst produktionsnahen Umgebung durchgeführt werden. Falls produktive System betroffen sind, kann Compass Security die Tests so gestalten, dass die Wahrscheinlichkeit eines Systemabsturzes verschwindend klein ist. Seite: 5

6 1.2.5 Network Testing Wie gut ist das System in die IT Architektur eingebettet? Ist die Zonenbildung mittels Firewall oder Router korrekt und adäquat? Welche Gefahr geht vom Office-, Management- oder Support LAN aus? Falls Sie an der Beantwortung dieser Fragen interessiert sind, benötigen Sie das Network Testing Module. Typischerweise wird dieses Modul mit der sogenannten Szenario Technik untersucht. Dabei werden verschiedene Angreifer in unterschiedlichen Netzen angenommen, welche einen Angriff auf das Zielsystem vornehmen. Diese Szenarien werden mit dem Kunden besprochen, priorisiert und in einem Testplan abgesprochen. Das Network Testing Module basiert auf folgenden Arbeiten Beurteilung IT Architektur und Netzlayout / Zonenbildung Erstellung der Szenarien und Abstimmung mit dem Kunden Durchführung der Szenarien mit dem Firewall Admin an der FW Console Durchführung der Szenarien mittels Remote Testing Module. Zur Vervollständigung dieser Art von Tests werden in der Regel auch Konfigurationsanalysen der Netzwerkkomponenten durchgeführt. Das heisst, es werden Firewall, LoadBalancer, IDS, IPS, Router oder Switch-Konfigurationen bezüglich Sicherheit und Zugriffsschutz beurteilt DB Testing Mit welchem User verbindet eine Anwendung auf eine Datenbank? Hat dieser User lediglich die notwendigen Rechte um Tabellen zu schreiben, zu erweitern und zu löschen? Gibt es eine Trennung zum administrativen User der das Schema kontrolliert? Ist sichergestellt, dass dieser User keine DBA/SA/Root Rechte erlangen kann? Ist die Verbindung verschlüsselt und geschützt gegen Man in the Middle Attacken wie auch Lauschattacken? Wenn Sie diese Fragen mit "JA" beantworten, dann benötigen Sie das DB Testing Module. Beim DB Testing Module wird untersucht, wie die Verbindung und die Rechte des DB Users auf der DB sind, um die Anforderungen an "least privileges" zu beurteilen. Typischerweise gehören dazu folgende Arbeiten Beurteilung TCPDUMP Aufzeichnung der DB Verbindung (falls über das Netzwerk) Analyse der Datenbank Rechte, zusammen mit dem DB Admin, um zu prüfen, dass der User least Privileges in der DB und keine Möglichkeit für Ausbruch auf DBA oder Root Rechte hat. Untersuchung für die Verwaltung von DB Credentials bei der Anwendung Die Untersuchung der Datenbank geschieht in der Regel unter dem Beisein des DB Administrators. Gemeinsam werden dann die zu erarbeitenden Resultate und Commands besprochen. Seite: 6

7 1.2.7 Application Security Testing Haben Sie eine neue Anwendung entwickelt, eingekauft oder betrieben? Ist Ihnen der Security Level der Anwendung unbekannt? Möglicherweise ist die Anwendung eine Blackbox? Falls Sie diese Fragen mit "JA" beantworten können, benötigen Sie das Application Security Testing Module. Dieses Modul ist für jede Art von Anwendung gedacht, mit Ausnahme von Web Anwendungen. Normalerweise werden auch Login Test Daten zur Verfügung gestellt, damit man die Sicherheit als authentisierter Benutzer überprüfen kann. Dies ist insbesondere bei Autorisierungstests notwendig. Dieses Modul umfasst folgende typische Arbeiten Analyse der Anwendungsverbindungen Analyse der verwendeten Protokolle Prüfung der Verschlüsselung bzw. CipherSuites und des Credential Management Beurteilung der Anwendungsarchitektur (z.b. FAT Client oder ähnlich) Configuration Review Server Teil Configuration Review Client Teil Reverse Engineering Client Software (falls nötig) Web Application Security Testing Haben Sie eine neue Web Anwendung im Einsatz? Wie gut ist dieses Web GUI gegenüber Web Attacken wie SQL Injection, Cross Site Scripting, Session Fixation und ähnlichem geschützt? Falls Sie diese Fragen mit "JA" beantworten können, benötigen Sie das Web Application Security Testing Module. Das Modul richtet sich nach den OWASP/WASC Standards und überprüft die Sicherheit der Application mit automatisierten Web Security Tools wie auch durch manuelle Tests. Normalweise werden auch Login Test Daten zur Verfügung gestellt, damit man die Sicherheit als authentisierter Benutzer überprüfen kann. Dies ist insbesondere bei Autorisierungstests notwendig. Ein Web App Test enthält folgende Arbeiten Analyse Web Anwendung mit Web Vulnerability Scanning Methoden Analyse Web Anwendung mit Manual Hacking Bereitstellung rekursives Directory Listing des Servers (falls nötig) durch den Kunden Remote Hacking auf das Web GUI, ohne Configuration Review der Application Server Reverse Engineering Web 2.0 Technologien (Applet, Flash, Silverlight, Java Native Client, GWT, RAP) Die Configuration Review des Servers wird durch das Modul "Application Security Testing" abgedeckt. Seite: 7

8 1.3 Checklisten Network Pentest What is the main focus of the tests? [ ] Get to know all effective and potential vulnerabilities to be able to improve the perimeter security. [ ] Showcase for awareness purposes. Thus, penetration testers must break-in and steal internal data. Check the steps you'd expect us to perform [ ] Information Gathering. Acquisition of the IP addresses and domain-names of the customer's perimeter network based on public information [ ] Visibility Scan. Identification of the accessible systems using network scanning techniques. [ ] Vulnerability Scan. Scanning and Internet research to locate weaknesses within the identified services. [ ] Manual Hacking. Attacks on the services as an anonymous user. Exploitation of critical issues that could lead to a denial of service condition will not be conducted or only if requested by the customer. [ ] Exploitation of critical issues. This could lead to DoS conditions or system break-down. [ ] Web Application Hacking. Verify if identified applications are resistant to common application security threats such as SQL injection and cross-site scripting, etc. [ ] Indirect Attacks. A CD-Rom/USB stick containing a Trojan Horse (self-programmed) shall be sent to few persons. It will be tested whether the prevention methods such as proxy, content-filter, Anti-Virus products or personal firewalls are effective. Check which of the following items you are going to provide to the penetration testers. The items left unchecked must be identified by the testing company itself. [ ] None [ ] Company names [ ] IP address ranges (subnets) [ ] IP addresses (hosts) [ ] A list of target persons for malware attacks Please give a rough estimate of the amount and scale of the networks to be penetrated Approx. number of A-Class Subnets to be investigated in Approx. number of B-Class Subnets to be investigated in Approx. number of C-Class Subnets to be investigated in Approx. number of expected hosts (+/- 20%) Please describe the artifacts you are going to expect: [ ] Non-technical management summary Language (EN/DE): [ ] Vulnerability table to be able to track issues. The weakness table must list all discovered issues and give hints for elimination (technical language) Language (EN/DE): Seite: 8

9 [ ] Technical details on the performed tests. The appendix must contain all test cases and test protocols to allow the customer personnel to look up technical details and to reproduce and retest vulnerabilities. Language (EN/DE): [ ] Non-technical management presentation. Presentation and discussion of the results in a non-technical language. Language (EN/DE):, Location: [ ] Concluding technical discussion. Discussion of the penetration test results and answering and resolving of open questions regarding the report. Language (EN/DE):, Location: Web Application Pentest Business Case of the Application Short description of the business case - Short description of the main use cases Coverage [ ] Identify low-hanging fruits only [ ] Cover OWASP Top Ten [ ] In-depth analysis Check the items that must be tested (please complete) [ ] Specific functionality only [ ] Traffic Encryption [ ] Session Handling [ ] Authentication [ ] Authorization and Access Control [ ] Input Validation and Output Encoding [ ] Transaction Safety Exposure [ ] Application is reachable over Internet [ ] Application is reachable over Internet for partner networks only [ ] Application is reachable within the internal network only [ ] Application displays content from third-party content providers [ ] Application makes use of third-party hosted scripts (eg. Google Analytics) [ ] Application provides back-office functionality Architecture Components [ ] Network Firewall [ ] EntryServer, ReverseProxy, ApplicationLevelFirewall, WAF, SOAP Firewall [ ] Webserver, Presentation Server [ ] Business Logic Server [ ] Database SQL, XML-based, file-based [ ] Authentication Server (LDAP, AD, RADIUS, RSA ACE, RACF) [ ] Access to ERP Systems Seite: 9

10 Client Technology [ ] Plain HTML (no client logic) / Browser based [ ] Client Side Applet [ ] Client Side Flash [ ] Client Side ActiveX [ ] Java Fat Client (must be downloaded, installed) [ ] Windows Binary Client Application [ ] Rich Client: HTML with JSON/AJAX/Web2.0 [ ] WebService/SOAP Client Application Complexity [ ] Content is managed in a CMS [ ] 1-5 unique Input Forms/Dynamic Pages [ ] 6-20 unique Input Forms/Dynamic Pages [ ] unique Input Forms/Dynamic Pages [ ] more than 100 unique Input Forms/Dynamic Pages Authentication [ ] Only anonymous users (public access) [ ] Username/Password authentication with self-registration [ ] Username/Password authentication (managed) [ ] User/Pass/OTP, mtan, challenge-response, time-based, SecurID [ ] Client certificates (Soft-Cert) [ ] SmartCard Role-Concept / Authorization [ ] Only one role [ ] Users/Admins [ ] Different roles (2-4 roles) [ ] Fine grained role concept (many different roles) [ ] 4-eyes principle implemented [ ] 6-eyes principle implemented Frameworks, APIs, Technologies name all APIs, Plug-ins, Libraries and Technologies you use e.g. Struts, Seam, JSF, Spring, Symfony, Apache Xerces, jquery, AJAX, JSON, Google Web Toolkit... Language Java, C++, C#, Visual Basic, Cobol, Ansi C, Pascal, PHP, Ruby, Perl, Python, JavaScript, ActionScript Seite: 10

11 1.3.3 Source Code Review Business Case of the Application Short description of the business case - Short description of the main use cases Functions and Services Is there a login page? - Are there different roles (authorization levels)? - If there are different roles: how many? - Are there any third-party service that the application connects to? - Is there any backoffice functionality? Check the items that must be tested (please complete) [ ] Authentication [ ] Authorization [ ] Input Validation [ ] Output Encoding [ ] Database Access [ ] Race Conditions [ ] Transaction Safety [ ] Encryption Routines [ ] Integrity Check Features [ ] Secure Programming Practice Language Java, C++, C#, Visual Basic, Cobol, Ansi C, Pascal, PHP, Ruby, Perl, Python, JavaScript, ActionScript Frameworks, APIs, Technologies name all APIs, Plug-ins, Libraries and Technologies you use e.g. Struts, Seam, JSF, Spring, Symfony, Apache Xerces, jquery, AJAX, JSON, Google Web Toolkit... Total Lines of Code (TLoC) /- 10% Estimated Lines of Code subject to review e.g. 10% of TLoC Seite: 11

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= Error: "Could not connect to the SQL Server Instance" or "Failed to open a connection to the database." When you attempt to launch ACT! by Sage or ACT by Sage Premium for

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Version/Datum: 1.5 13-Dezember-2006

Version/Datum: 1.5 13-Dezember-2006 TIC Antispam: Limitierung SMTP Inbound Kunde/Projekt: TIC The Internet Company AG Version/Datum: 1.5 13-Dezember-2006 Autor/Autoren: Aldo Britschgi aldo.britschgi@tic.ch i:\products\antispam antivirus\smtp

Mehr

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Compass E-Lab Remote Security Lab 19. November 2008 Name des Dokumentes: DE_Hacking_Lab_V3.2.doc

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

Algorithms for graph visualization

Algorithms for graph visualization Algorithms for graph visualization Project - Orthogonal Grid Layout with Small Area W INTER SEMESTER 2013/2014 Martin No llenburg KIT Universita t des Landes Baden-Wu rttemberg und nationales Forschungszentrum

Mehr

Employment and Salary Verification in the Internet (PA-PA-US)

Employment and Salary Verification in the Internet (PA-PA-US) Employment and Salary Verification in the Internet (PA-PA-US) HELP.PYUS Release 4.6C Employment and Salary Verification in the Internet (PA-PA-US SAP AG Copyright Copyright 2001 SAP AG. Alle Rechte vorbehalten.

Mehr

Secure Authentication for System & Network Administration

Secure Authentication for System & Network Administration Secure Authentication for System & Network Administration Erol Längle, Security Consultant Patrik Di Lena, Systems & Network Engineer Inter-Networking AG (Switzerland) Agenda! Ausgangslage! Komplexität!

Mehr

Titelbild1 ANSYS. Customer Portal LogIn

Titelbild1 ANSYS. Customer Portal LogIn Titelbild1 ANSYS Customer Portal LogIn 1 Neuanmeldung Neuanmeldung: Bitte Not yet a member anklicken Adressen-Check Adressdaten eintragen Customer No. ist hier bereits erforderlich HERE - Button Hier nochmal

Mehr

Delivering services in a user-focussed way - The new DFN-CERT Portal -

Delivering services in a user-focussed way - The new DFN-CERT Portal - Delivering services in a user-focussed way - The new DFN-CERT Portal - 29th TF-CSIRT Meeting in Hamburg 25. January 2010 Marcus Pattloch (cert@dfn.de) How do we deal with the ever growing workload? 29th

Mehr

AnyWeb AG 2008 www.anyweb.ch

AnyWeb AG 2008 www.anyweb.ch OMW 8.1- What s new System- Applikations- und Servicemanagement Agenda Was ist OMW HTTPS Agent Remote Agent Installation User Role Based Service View Custom Message Attributes Maintenace Mode Weitere Erweiterungen

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Hacking-Lab Online Hack&Learn 9. December 2008

Hacking-Lab Online Hack&Learn 9. December 2008 Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Hacking-Lab Online Hack&Learn 9. December 2008 Name des Dokumentes: DE_Hacking_Lab_V3.3_OpenVPN.doc

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Ingenics Project Portal

Ingenics Project Portal Version: 00; Status: E Seite: 1/6 This document is drawn to show the functions of the project portal developed by Ingenics AG. To use the portal enter the following URL in your Browser: https://projectportal.ingenics.de

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Entwicklung und Integration mobiler Anwendungen. Oracle Deutschland B.V. & Co. KG

Entwicklung und Integration mobiler Anwendungen. <Speaker> Oracle Deutschland B.V. & Co. KG Entwicklung und Integration mobiler Anwendungen Oracle Deutschland B.V. & Co. KG Global Users (Millions) Der Trend ist eindeutig. Trend zu mobilen Endgeräten Wachstum des mobilen Datenverkehrs

Mehr

Hackerpraktikum SS 202

Hackerpraktikum SS 202 Hackerpraktikum SS 202 Philipp Schwarte, Lars Fischer Universität Siegen April 17, 2012 Philipp Schwarte, Lars Fischer 1/18 Organisation wöchentliche Übung mit Vorlesungsanteil alle zwei Wochen neue Aufgaben

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Nürnberg, 25.11.2014 Kongress SPS/IPC/Drives 2014. Technische Sicherheitstests

Nürnberg, 25.11.2014 Kongress SPS/IPC/Drives 2014. Technische Sicherheitstests Nürnberg, 25.11.2014 Kongress SPS/IPC/Drives 2014 Technische Sicherheitstests von Industrial Control Systems (ICS) Autoren Heiko Rudolph heiko.rudolph@admeritia.de +49 2173 20363-0 +49 162 2414691 Aaron

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

Check Point Software Technologies LTD.

Check Point Software Technologies LTD. Check Point Software Technologies LTD. Oct. 2013 Marc Mayer A Global Security Leader Leader Founded 1993 Global leader in firewall/vpn* and mobile data encryption More than 100,000 protected businesses

Mehr

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Ferdinand Sikora Channel Account Manager Etappen der Virtualisierung Stage 1 Server Virtualisierung Stage 2 Erweiterung & Desktop Server

Mehr

Mobile Backend in der

Mobile Backend in der Mobile Backend in der Cloud Azure Mobile Services / Websites / Active Directory / Kontext Auth Back-Office Mobile Users Push Data Website DevOps Social Networks Logic Others TFS online Windows Azure Mobile

Mehr

Automated Information Collection in Windows NT Networks

Automated Information Collection in Windows NT Networks Automated Information Collection in Windows NT Networks Dirk Reimers reimers@.de Overview Motivation Collecting information with automated tools CASTInG NT Technical background Example data Questions &

Mehr

EEX Kundeninformation 2002-08-30

EEX Kundeninformation 2002-08-30 EEX Kundeninformation 2002-08-30 Terminmarkt - Eurex Release 6.0; Versand der Simulations-Kits Kit-Versand: Am Freitag, 30. August 2002, versendet Eurex nach Handelsschluss die Simulations -Kits für Eurex

Mehr

BlackBerry Mobile Fusion Universal Device Service. Thomas Dingfelder, Senior Technical Account Manager ubitexx a Subsidiary of Research In Motion

BlackBerry Mobile Fusion Universal Device Service. Thomas Dingfelder, Senior Technical Account Manager ubitexx a Subsidiary of Research In Motion BlackBerry Mobile Fusion Universal Device Service Stefan Mennecke, Director Stefan Mennecke, Director Thomas Dingfelder, Senior Technical Account Manager ubitexx a Subsidiary of Research In Motion RIM

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

Advanced Persistent Threat

Advanced Persistent Threat Advanced Persistent Threat Ivan Bütler Compass Security AG, Schweiz Ivan.buetler@csnc.ch Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61

Mehr

Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance

Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance SWG Partner Academy Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance 3. Tag, Donnerstag den 09.10.2008 Michael Bleichert Rational Channel Manager Germany Michael.Bleichert@de.ibm.com

Mehr

Softwareanforderungen für Microsoft Dynamics CRM Server 2015

Softwareanforderungen für Microsoft Dynamics CRM Server 2015 Softwareanforderungen für Microsoft Dynamics CRM Server 2015 https://technet.microsoft.com/de-de/library/hh699671.aspx Windows Server-Betriebssystem Microsoft Dynamics CRM Server 2015 kann nur auf Computern

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia 3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia Alexander Meisel HP OpenView 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change

Mehr

Effizienz im Vor-Ort-Service

Effizienz im Vor-Ort-Service Installation: Anleitung SatWork Integrierte Auftragsabwicklung & -Disposition Februar 2012 Disposition & Auftragsabwicklung Effizienz im Vor-Ort-Service Disclaimer Vertraulichkeit Der Inhalt dieses Dokuments

Mehr

TVHD800x0. Port-Weiterleitung. Version 1.1

TVHD800x0. Port-Weiterleitung. Version 1.1 TVHD800x0 Port-Weiterleitung Version 1.1 Inhalt: 1. Übersicht der Ports 2. Ein- / Umstellung der Ports 3. Sonstige Hinweise Haftungsausschluss Diese Bedienungsanleitung wurde mit größter Sorgfalt erstellt.

Mehr

Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com. z/os Explorer. 2014 IBM Corporation

Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com. z/os Explorer. 2014 IBM Corporation Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com z/os Explorer Agenda Introduction and Background Why do you want z/os Explorer? What does z/os Explorer do? z/os Resource Management

Mehr

MySQL Queries on "Nmap Results"

MySQL Queries on Nmap Results MySQL Queries on "Nmap Results" SQL Abfragen auf Nmap Ergebnisse Ivan Bütler 31. August 2009 Wer den Portscanner "NMAP" häufig benutzt weiss, dass die Auswertung von grossen Scans mit vielen C- oder sogar

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Managing Security Information in the Enterprise

Managing Security Information in the Enterprise Swiss Security Summit 2002 Managing Security Information in the Enterprise Zurich Financial Services Urs Blum, CISSP urs.blum@zurich.com Zurich Financial Services Introduction Strategie Umsetzung Betrieb

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com)

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Inhalt Content Citrix-Anmeldung Login to Citrix Was bedeutet PIN und Token (bei Anmeldungen aus dem Internet)? What does PIN and Token

Mehr

Group and Session Management for Collaborative Applications

Group and Session Management for Collaborative Applications Diss. ETH No. 12075 Group and Session Management for Collaborative Applications A dissertation submitted to the SWISS FEDERAL INSTITUTE OF TECHNOLOGY ZÜRICH for the degree of Doctor of Technical Seiences

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Augsburg, 19.02.2014- Cyber-Sicherheits-Tag 2014. Audit-Methodik für Installationen von Industrial Control Systems (ICS)

Augsburg, 19.02.2014- Cyber-Sicherheits-Tag 2014. Audit-Methodik für Installationen von Industrial Control Systems (ICS) Augsburg, 19.02.2014- Cyber-Sicherheits-Tag 2014 Audit-Methodik für Installationen von Industrial Control Systems (ICS) Referent Mario Corosidis Mario.corosidis@admeritia.de +49 2173 20363-0 +49 162 2414692

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Der LeadershipCompass Das richtige Identity Provisioning für ihr Unternehmen

Der LeadershipCompass Das richtige Identity Provisioning für ihr Unternehmen KuppingerCole Der LeadershipCompass Das richtige Identity Provisioning für ihr Unternehmen Martin Kuppinger Founder and Principal Analyst KuppingerCole mk@kuppingercole.com Identity und Access Management

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Web 2.0 Architekturen und Frameworks

Web 2.0 Architekturen und Frameworks Web 2.0 Architekturen und Frameworks codecentric GmbH Mirko Novakovic codecentric GmbH Quality Technische Qualitätssicherung in Software-Projekten mit Fokus auf Performance, Verfügbarkeit und Wartbarkeit

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

EEX Kundeninformation 2007-09-05

EEX Kundeninformation 2007-09-05 EEX Eurex Release 10.0: Dokumentation Windows Server 2003 auf Workstations; Windows Server 2003 Service Pack 2: Information bezüglich Support Sehr geehrte Handelsteilnehmer, Im Rahmen von Eurex Release

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

OpenVMS und OpenSource Ein Widerspruch? peter ranisch openvms@ranisch.at

OpenVMS und OpenSource Ein Widerspruch? peter ranisch openvms@ranisch.at OpenVMS und OpenSource Ein Widerspruch? peter ranisch openvms@ranisch.at Perens' principles Under Perens' definition, open source describes a broad general type of software license that makes source code

Mehr

Sicherheit dank Durchblick. Thomas Fleischmann Sales Engineer, Central Europe

Sicherheit dank Durchblick. Thomas Fleischmann Sales Engineer, Central Europe Sicherheit dank Durchblick Thomas Fleischmann Sales Engineer, Central Europe Threat Landscape Immer wieder neue Schlagzeilen Cybercrime ist profitabel Wachsende Branche 2013: 9 Zero Day Vulnerabilities

Mehr

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60

Mehr

Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co.

Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co. Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co. Carsten Hoffmann Presales Manager City Tour 2011 1 Sicherheitskonzepte in Zeiten von Epsilon, RSA, HBGary, Sony & Co. Carsten Hoffmann Presales

Mehr

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks)

Mehr

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2 ReadMe zur Installation der BRICKware for Windows, Version 6.1.2 Seiten 2-4 ReadMe on Installing BRICKware for Windows, Version 6.1.2 Pages 5/6 BRICKware for Windows ReadMe 1 1 BRICKware for Windows, Version

Mehr

Portal for ArcGIS - Eine Einführung

Portal for ArcGIS - Eine Einführung 2013 Europe, Middle East, and Africa User Conference October 23-25 Munich, Germany Portal for ArcGIS - Eine Einführung Dr. Gerd van de Sand Dr. Markus Hoffmann Einsatz Portal for ArcGIS Agenda ArcGIS Plattform

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

PCI Compliance. Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor

PCI Compliance. Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor PCI Compliance Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor Agenda Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

If you have any issue logging in, please Contact us Haben Sie Probleme bei der Anmeldung, kontaktieren Sie uns bitte 1

If you have any issue logging in, please Contact us Haben Sie Probleme bei der Anmeldung, kontaktieren Sie uns bitte 1 Existing Members Log-in Anmeldung bestehender Mitglieder Enter Email address: E-Mail-Adresse eingeben: Submit Abschicken Enter password: Kennwort eingeben: Remember me on this computer Meine Daten auf

Mehr

Verzeichnisdienste in heterogenen Systemen

Verzeichnisdienste in heterogenen Systemen Verzeichnisdienste in heterogenen Systemen Zielsetzungen Implementierung Aufbau: Active Directory (AD) auf Basis von Windows Server 008 R mit Windows Client(s), Linux Client(s) und einem Linux Server (Dateiserver).

Mehr

Um asynchrone Aufrufe zwischen Browser und Web Anwendung zu ermöglichen, die Ajax Hilfsmittel DWR ist gebraucht.

Um asynchrone Aufrufe zwischen Browser und Web Anwendung zu ermöglichen, die Ajax Hilfsmittel DWR ist gebraucht. Technisches Design Inhalt Design Übersicht Menü und DispatcherServlet DWR Servlet Viewer Servlets Controllers Managers Sicherheit Anwendung Architektur Component Diagram Deployment Diagram Komponente Sequence

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010 Webapplikations-Sicherheit: Erfahrungen aus der Praxis Stefan Hölzner, Jan Kästle 26.01.2010 Agenda Schwachstellen: die Ursachen Angriffstechniken aus der Praxis root-access in 20 Schritten 2 Schwachstellen:

Mehr

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ /XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz

Mehr

Documentation TYC. Registration manual. Registration and Login. issued 1. April 2013 by EN changed 11. June 2015 by EN version 1 status finished

Documentation TYC. Registration manual. Registration and Login. issued 1. April 2013 by EN changed 11. June 2015 by EN version 1 status finished Documentation TYC Registration manual Registration and Login issued 1. April 2013 by EN changed 11. June 2015 by EN version 1 status finished Content 1 Registration... 3 2 Login... 4 2.1 First login...

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

INFINIGATE. - Managed Security Services -

INFINIGATE. - Managed Security Services - INFINIGATE - Managed Security Services - Michael Dudli, Teamleader Security Engineering, Infinigate Christoph Barreith, Senior Security Engineering, Infinigate Agenda Was ist Managed Security Services?

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Netzmanagement Folie 1 Virtuelle Private Netze Begriffsdefinition Fortsetz. VPNC Definition "A virtual private network (VPN) is a private

Mehr

IT-Security durch das passende OS. Oracle Solaris 11.2.

IT-Security durch das passende OS. Oracle Solaris 11.2. IT-Security durch das passende OS. Oracle Solaris 11.2. Heiko Stein Senior IT-Architekt etomer GmbH Agenda. Motivation (?) Compliance und Security in Solaris 11.2 Besondere Funktionen und deren Nutzung

Mehr

Exercise (Part XI) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part XI) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1 Exercise (Part XI) Notes: The exercise is based on Microsoft Dynamics CRM Online. For all screenshots: Copyright Microsoft Corporation. The sign ## is you personal number to be used in all exercises. All

Mehr

Perinorm Systemvoraussetzungen ab Version Release 2010

Perinorm Systemvoraussetzungen ab Version Release 2010 Perinorm Systemvoraussetzungen ab Version Release 2010 1. DVD Version - Einzelplatzversion Betriebssystem Unterstützte Betriebssysteme Windows XP, Windows Vista Windows 7 (falls bereits verfügbar) Auf

Mehr

Ralf M. Schnell. Technical Evangelist Microsoft Deutschland GmbH

Ralf M. Schnell. Technical Evangelist Microsoft Deutschland GmbH Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH Was ist Server Core? Warum Server Core? Was kann man damit machen? Was kann man damit nicht machen? Server Core: Installation Server Core:

Mehr

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL Einführung Globales Filesharing ist ein Megatrend Sync & Share ist eine neue Produktkategorie

Mehr

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1 Exercise (Part II) Notes: The exercise is based on Microsoft Dynamics CRM Online. For all screenshots: Copyright Microsoft Corporation. The sign ## is you personal number to be used in all exercises. All

Mehr

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Zielsetzung: System Verwendung von Cloud-Systemen für das Hosting von online Spielen (IaaS) Reservieren/Buchen von Resources

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

IT-Sicherheit und OFM: Eine Herkulesaufgabe?

IT-Sicherheit und OFM: Eine Herkulesaufgabe? IT-Sicherheit und OFM: Eine Herkulesaufgabe? Mohammad Esad-Djou, Solution Architect Frank Burkhardt, Senior Consultant OPITZ CONSULTING Deutschland GmbH Nürnberg, 20.11.2014 OPITZ CONSULTING GmbH 2014

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Prozess Dimension von SPICE/ISO 15504 Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Kapsch BusinessCom AG. Risiko des Unternehmens. Werte, Bedrohung und Verletzbarkeit

Kapsch BusinessCom AG. Risiko des Unternehmens. Werte, Bedrohung und Verletzbarkeit Risiko des Unternehmens Werte, Bedrohung und Verletzbarkeit 33 Risikoabschätzung > Sicherheit ist Risikoabschätzung > Es gibt keine unknackbaren Code > Wie lange ist ein Geheimnis ein Geheimnis? > Wie

Mehr