LC3 - Lanworks: IT-Sicherheit So denken Angreifer

Größe: px
Ab Seite anzeigen:

Download "LC3 - Lanworks: IT-Sicherheit So denken Angreifer"

Transkript

1 LC3 - Lanworks: IT-Sicherheit So denken Angreifer Tobias Elsner, Berater mit Fokus auf Informationssicherheit, Firma Lanworks Marcus Jäger, Senior Systems Engineer Network/Security, Citrix Systems

2 Die Gesichter zu den Namen Tobias Elsner arbeitet seit seinem Universitätsabschluss als Diplom-Biologe im Jahr 2001 Vollzeit in der IT mit besonderem Fokus auf Informationssicherheit, Betriebssystemvirtualisierung und Linux. Seit 2007 ist er als Berater im Bereich IT Engineering der Firma Lanworks aus Düsseldorf tätig. Marcus Jäger (42) ist seit Juli 2007 als Senior System Engineer und Netzwerk/Security-Technologe im Bereich Datacenter & Cloud Networking bei der Firma Citrix Systems GmbH in Hallbergmoos tätig. Nach Abschluss seines Studiums der Informationstechnik in Hannover 1994, arbeitete er viele Jahre als Senior Systemingenieur/Consultant im Bereich IT- Security/Networking und "WebComputing".

3 Bedrohungen aus dem BBI es gibt einen, der kann es erklären BBI: Böses Böses Internet

4 Webapplikationssicherheit: Agenda Einleitung: Was ist eine Webanwendung und was eine Website? Angriffe: Welche Motivationen stecken dahinter? Methoden: Wie hackt man eigentlich eine Website? Gegenmaßnahmen: Welche Möglichkeiten gibt es?

5 Einleitung: Websites und Webanwendungen Website: allgemeiner Begriff für Webpräsenz im WWW Daten/Dateien werden per HTTP übertragen Webapplikation/-anwendung: Dynamische Website Eine Anwendung mit Datenbankzugriff läuft auf einem Webserver Umsetzung: Programm in PHP, ASP, Perl, Python, Java-Servlet, JSP, Als CGI-Anwendung oder eingebettet

6 Einleitung: Webanwendung

7 Einleitung: Was ist eine RIA Rich Internet Application Vom Server geliefert, auf dem Client ausgeführt Die Webanwendung wird auf dem Server ausgeführt Web Browserintern: JavaSkript (z. B. Ajax) Pluginbasiert: Java Applet, Flash, Silverlight

8 Angriffe: Gefahren für Webanwendungen Ausfälle durch technische Fehler Abhilfe: Redundanz Ausfälle durch Überlastung Abhilfe: Lastverteilung Gezielte Angriffe mit unterschiedlich schweren Folgen: Vandalismus, Beschmiertes Plakat bis Datendiebstahl mit massiven finanziellen Folgen

9 Angriffe: Motivation der Angreifer Spaß, Weil es geht, Skriptkiddies Rufschädigung Brückenkopf für weitere Angriffe Datendiebstahl Politische Motive, Hacktivisten Im Folgenden einige Beispiele

10 Angriffe: Skriptkiddies MTV-Hack

11 Angriffe: Rufschädigung, Hacktivisten GEMA-Hack

12 Angriffe: Brückenkopf für weitere Attacken Bundespolizei

13 Angriffe: Datendiebstahl Sony-Hack

14 Angriffe: Fake für Marketingzwecke Dacia- Hack

15 Methoden: Wie hackt man eine Website? Injection (SQL, OS, LDAP) Cross Site Scripting (XSS) Authentisierungs-/Autorisierungsfehler Ungesicherte direkte Objektreferenzen Cross Site Request Forgery und viele weitere Open Web Application Security Project (OWASP Top 10)

16 Methoden: Injection Alle Webanwendungen benötigen Benutzereingaben Eingaben müssen überprüft und bereinigt werden Sonst: Eingabe von Kommandos (z. B. SQL) möglich Beispiel: show databases; --- SQL-Injection Datendiebstahl, Vandalismus OS-Injection Ausführen beliebiger Programme LDAP-Injection Datendiebstahl

17 Methoden: Cross Site Scripting HTML-Injection Der Fehler: Anwendung gibt Eingaben ungefiltert zurück Eigentlich führen Browser nur Skripte der Zielwebsite aus Genau danach sieht es für den Browser hier aus Wie genau gelangen die Eingaben in die Anwendung? Skript im URL (reflexiv) Opfer klickt auf präparierten Link (u. a. Kurz-URL!) type="text/javascript">alert("blafasel");</script> Skript befindet sich bereits auf dem Server (persistent) Formulareingaben, z. B. Gästebucheintrag

18 Methoden: Umgehung der Authentisierung Häufig verwendet: HTTP-Authentication (Basic/Digest) Oft als Bestandteil der Webanwendung Warum ist Passwortauthentisierung unsicher? Was kann man besser machen: Policies, Passworthashes, Zugriffsrechte Passwortauthentisierung nur mit SSL/TLS! Alternativen zur Passwortauthentisierung verwenden: SSL/TLS-Authentisierung mit Clientzertifikat Tokenbasierte Authentisierung (z. B. Yubikey) OpenID: Anwendung fragt

19 Methoden: Objektreferenzierung Fast alle Anwendungen referenzieren auf Dateien Referenzierung ist häufig dynamisch Variable Referenzen müssen immer geprüft werden Sonst: Auslesen anderer Dateien möglich Directory Traversal Beispiel: /etc/passwd Weitere Gefahr: URL-Includes Code Injection

20 Methoden: Cross Site Request Forgery Ausnutzen der Vertrauensstellung, die eine Browser zu einem Server hat z. B. Benutzer ist per Browser auf Admin-Interface/Webshop angemeldet Angreifer führt über XSS oder lokalen Exploit unbemerkt Anweisungen aus Abhilfe serverseitig: Page-Token Abhilfe clientseitig: Sandboxes, Antivirensoftware

21 Gegenmaßnahmen: Wichtigste Regel Traue niemals den Eingaben der Benutzer!

22 Gegenmaßnahmen: Übersicht Netzwerkdesign Softwareauswahl Konfiguration Webanwendung Web-Applikations-Firewall

23 Gegenmaßnahmen: Netzwerkdesign Wo steht der Webserver?: LAN, DMZ, Provider Wo steht die Datenbank? Welche Daten sind nötig? Demilitarisierte Zone: physikalisch oder virtualisiert Einsatz von Firewalls Hosting und Public Cloud

24 Gegenmaßnahmen: Softwareauswahl Plattform: Linux, BSD, Solaris, Windows Welcher Webserver? Apache oder IIS? Alternativ: lighthttpd (youtube), nginx (Wikimedia, Hulu) Sicherheit der gängigen Produkte ist hoch! Datenbanken: MSSQL, mysql, postgres, NoSQL,... Wirkungsvoll: SELinux, AppArmor

25 Gegenmaßnahmen: Konfiguration Betriebssystem: Minimalismus (!), Zugriffsrechte Kontrolle der offenen TCP/UDP-Ports! (Portscan) Personal Firewall? Überprufen der Standardkonfiguration z. B. allow_url_include = Off bei PHP Chroot-Umgebungen Was ist mit SSL/TLS?

26 Gegenmaßnahmen: Webanwendung PHP, Python, Perl, Ruby, Java, Flash,? Sauber entwickeln! Beherrschen von Sprache und DB Keine fremden Templates Berücksichtigung der OWASP-Regeln Externe Entwickler: Der Preis ist nicht alles! Fremdanwendungen: Updates einspielen, WAF...

27 Gegenmaßnahmen: WAF Webapplikationsfirewall, HTTP-Application-Level-Gateway Ratsam für eingekaufte Webanwendungen! Untersucht eingehende und ausgehende Daten Whitelist durch Lernphase Als Plugin: mod_security für Apache Als Netzwerkhost: Reverse-Proxy oder transparent Citrix Netscaler

28 Hilfe ist in Sicht

29 Der Hauptdarsteller Citrix NetScaler Das Schweizer Messer für IT-Infrastrukturen

30 Full Proxy Fünf wesentliche Begriffe TCP Client TCP Backend Der "Full Proxy" Ansatz bietet einen imensen Funktionumfang! 1. VServer: Nimmt Anfragen der Clients entgegen (20) 2. Service (Backend): Netzwerk Endpunkt an den der NetScaler weiter leitet (21) 3. Monitor: Prüft periodisch die Funktion des Backend-Services (29+) 4. Load Balancing Methode: Auswahl des Services zur Weiterleitung (15+) 5. Persistence (Stickiness): Client wird immer an selben Service geleitet (9+)

31 Citrix NetScaler in drei Funktionskategorien

32 Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B P2P Verfügbarkeit Performance Sicherheit Load Balancing Information auf Layer 3 (IP) / Layer 4 (TCP/UDP) entscheiden, auf welche Services weitergeleitet wird Content Switching Information auf Layer 7 (HTTP, FTP, DNS, RADIUS, TCP, UDP ) entscheiden auf welche Gruppe von Backend- Services weitergeleitet wird Surge Protection + Sure Connect Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue) Global Server Load Balancing (GSLB) Verteilung des Verkehrs durch intelligente Namensauflösung des NetScalers

33 NetScaler Surge Protection Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue) Ohne NetScaler Server-Überlastung REQUESTS 100% 0% Mit NetScaler Surge Protection 100% REQUESTS SURGE QUEUE 0%

34 Application Templates Ermöglicht applikationsnahe NetScaler Konfiguration Funktionen: Import, Export Angabe von VServer-IP und Backend- Service-IP erfolgt beim Import Vereinfachung und Portierbarkeit der Konfiguration für 6 Basis Funktionen Templates z.z. verfügbar für EasyCall, OWA, Sharepoint, SAP NetWeaver, Oracle, Gereric Web-App pexpert+templates

35 Verbesserung der Betriebssicherheit mit NetScaler VPX durch Übertragbarkeit der Konfiguration zwischen VPX und MPX App NetScaler VPX 5. Config in Staging Umgebung laden 6. Config validieren 7. Config in Produktion übernehmen 8. Überprüfung finalisieren 3. Config bearbeiten 4. Config export Configuration Repository App NetScaler VPX 2. Provisionierung der Dev- Instanzen aus Repository 1. Konfiguration in Repository laden App NetScaler MPX

36 Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B Verfügbarkeit Performance Sicherheit TCP Offload Befreit Server vom Verbindungs-Management HTTP Compression Daten-Komprimierung vor Daten-Auslieferung Integrated Caching NetScaler als Caching Instanz im Netzwerk Erweiterte TCP-Optimierung Wesentlich effizientere Verbindungen durch TCP-Windows Scaling, SACK und TCP-Buffering SSL Offload Übernimmt CPU intensive Entschlüsselungs-Aufgaben für Backend-Server

37 SSL-Beschleunigung (SSL-Offload) Spezielle Hardware im NetScaler beschleunigt alle SSL-Operationen Nach Decryption(Offload) auf NetScaler ist Layer 7 Content Switching möglich Re-Encryption für des Traffics zwischen NetScaler und Backend möglich End-to-End Sicherheit Hohe Performance TPS SSL Vorgänge / Sek Mbps - SSL verschlüsselter Durchsatz /Sec gleichzeitige SSL Sessions Vorteile: Entlastung der Web-Server von CPU intensiven Prozessen Reduzierung der jährlichen SSL-Zertifikatskosten

38 HTTP Callout Externe Information steuern die NetScaler Funktionen NetScaler leitet Teile des Client Requests auf den Callout Server und wertet dessen Response auf bestimmte Inhalte hin aus. Integrierbar in HTTP/TCP-ContentSwitching, Rewrite, Responder, Token Loadbalancing-Methode. Anwendungsfälle: IP blacklisting SPAM verification Access control Identify management integration Custom content rewrite UDDI access Format loading

39 AppExpert Rate Controls ermöglichen die Isolation von kritischen Applikationen und Objekten User(s) Rate Time Object Action IP Address IP Range/Subnet Cookie Value Wildcards Any header or payload Requests Packets Bandwidth Measured in milliseconds Vserver IP URL/URI Image File Any header or payload Throttle Invoke Policy Responder Rewrite Cache etc. Alert Log Trap

40 Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B Verfügbarkeit Performance Sicherheit Schutz auf Application Layer Schutz vor Datendiebstahl und Ausnutzung von Sicherheitslöchern DoS-Abwehr DoS-Schutz durch Full-Proxy-Architekur, Verhinderung von HTTP-DoS-Angriffen Filtering, Rewriting und Responder Granularer Filter in Hin- und Rückrichtung. HTTP Inhalte können modifiziert, direkt beantwortet oder umgeleitet werden NetScaler als Simultan Dolmetscher SSL-VPN (AGEE) Verschlüsselung, Authentifizierung, Autorisierung und Endgeräte-Scan VOR dem Einlass in das Netzwerk

41 WAF(Web Application Firewall) - Hybrid Security Model Optimaler Schutz durch Kombination beider Security Ansätze Positiv Schutz vor Day-0 Angriffen Erfordert Lernen der Applikations Strukturen Hybrid Schutz vor bekannten(1200 "on board"-signaturen) und unbekannten Angriffen (19 Security Checks) Negativ Schneller aktiver Schutz vor bekannten Angriffen Erfordert Pflege von Signaturen

42 Optimaler Schutz durch 19 Methoden (Security Checks) bi-direktional durch URL-Closure bi-direktional bi-direktional Import von WSDL und XML Schema Files

43 WAF: Referenz-Links in bislang über 1200 Signaturen sorgen für optimale Information beim Anpassen der Signaturen

44 WAF: Das Update einer Signatur wird zum Kinderspiel Die neue Signatur kann vor der Übernahme überprüft werden Detail-Ansicht welche Signatur sich geändert hat oder neu hinzugekommen ist Geänderte Signaturen können durch Umschalten zwischen ALT und NEU verglichen werden Filter steuern, was zur besseren Übersicht ausgeblendet wird OK = Übernahme der Signatur

45 Eigene Signaturen lassen sich hinzufügen

46 WAF: Scanner für Applikations-Sicherheitslücken Während eines Scans erstellte Signaturen lassen sich im NetScaler verwenden Startet regelmäßige Scans Geschützte Website Import der Signaturen in NetScaler

47 Schutz vor Cookie Attacken Cookie-Verschlüsselung Verhindert Mitlesen oder Fälschen von Cookie Informationen Verschlüsselt Applikations/Server Cookies und entschlüsselt vom Client gesendete Cookies Verschlüsselt alle Application Cookies (persistente, nichtpersistente) AES-192 Verschlüsselung

48 Schutz vor Cookie Attacken Proxy Cookies Ersetzt alle Server Cookies durch einen einzigen "Web Application Firewall Session Cookie" Am Client ist nur das WAF Cookie sichtbar Anwendbar nur auf Session Cookies (nicht-persistente)

49 Schutz vor Cookie Attacken Flag Cookies HTTP Only Flag Cookie ist für JavaScript nicht angreifbar Secure Flag Cookie wird nur für HTTPS URLs bereitgestellt Beide Attribute werden zum Set-Cookie Header hinzugefügt

50 Autom. gelernte RegEx - übersichtlich im Visualizer NetScaler schlägt RegEx vor / direkten Übernahme ins Regelwerk PCRE - Perl Compatible Regular Expressions

51 GUI Monitoring

52 Nach OWASP sind Web-Applikation optimal hinter NetScaler geschützt Zu jedem Angriff-Szenario auf der OWASP Top Ten Liste existiert eine korrespondierende Schutz-Methode auf dem NetScaler OWASP: Open Web Application Security Project

53 Mit NetScaler zur PCI DSS "Compliance" ein Muss für Applikationen im Umgang mit Kreditkarteninformationen Der einfachste Weg zur Erfüllung des PCI DSS Standards führt über den Einsatz des NetScalers als PCI DSS zertifizierte WAF (PCI DSS 2.0) Die Überwachung erfolgt durch das "PCI Security Standards Council" https://www.pcisecuritystandards.org/ PCI DSS: Payment Card Industry Data Security Standard

54 Weitere Schutzmechanismen des NetScalers im Sinne einer WAF

55 AAA-TM NetScaler als multifunktionale Authentication Instanz, inkl. SSO (Basic+FormBased) Client bekommt erneuten HTTP Redirect zu seinem ursprünglichen Ziel, hat jetzt aber das Cookie im Bauch https://mail.firma.de https://aaa.firma.de /vpn/tmindex.html https://mail.firma.de/owa/ https://mail.firma.de/?4711 Client verbindet sich auf sein gewünschten Ziel-VServer Client bekommt HTTP Redirect zum AAA-VServer und bekommt nach erfolgreicher Anmeldung einen Authentication-Cookie Authorization Policies regeln den Zugriff ins Backend, Traffic Policies das SSO zum Backend

56 Rewrite NetScaler als Simultan Dolmetscher in Hin-(Request) und Rückrichtung (Response) ohne Rewrite mit Rewrite INSERT_BEFORE REPLACE_ALL ohne Rewrite HTTP/1.x 200 OK Content-Type: text/html Content-Location: Last-Modified: Fri, 09 May :11:01 GMT Accept-Ranges: bytes Etag: "98d5983deb1c81:2fb" Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Tue, 10 Jun :23:52 GMT Cache-Control: private Content-Encoding: gzip Content-Length: INSERT_AFTER DELETE_HTTP_HEADER INSERT_HTTP_HEADER mit Rewrite HTTP/1.x 200 OK Content-Type: text/html Content-Location: Last-Modified: Tue, 10 Jun :36:27 GMT Accept-Ranges: bytes Etag: "50fa565d7cbc81:2fb" X-Powered-By: ASP.NET Date: Tue, 10 Jun :28:11 GMT mjg-header: Hiho TEX-2012 Cache-Control: private Content-Encoding: gzip Content-Length:

57 URL Transformation vereinfachte Konfiguration beim Rewrite von URLs Erhöhung der Sicherheit durch Verbergen von internen Informationen (vergleichbar einem IP-NAT auf Layer-7) Wechselnde oder historisch gewachsene Applikations-URLs werden zum Kinderspiel User wird unabhängig von Applikations-Änderungen Infrastruktur-Änderungen

58 NetScaler hilft bei der ERSTELLUNG und der PRÜFUNG der Expression mit dem Evaluator

59 Rewrite Überprüfung der Konfiguration wird zum Kinderspiel mit dem Action Evaluator Mit dem "Rewrite Action Evaluator" wird der Test von von Rewrite Konfigurationen zum Kinderspiel

60 Responder NetScaler gibt direkt Antwort oder ist FILTER ungewollter Anfragen Der NetScalers verarbeitet für die Antwort sowohl statische als auch dynamische Inhalte aus dem Client Request für die Bildung von HTTP-Header und Body. Action-Type Redirect : Action-Type Respond with : Policy-Type DROP/RESET :

61 Am VServer kommen alle Funktionen zusammen und der Visualizer gibt eine Gesamtbild der Konfiguration Konfiguration via Drag&Drop Visualizer auch für GSLB, Network, WAF

62 AppFlow - Traffic-Analyse mit NetScaler Ermöglicht Einblick in das Applikations-Verhalten Cloud-Ready Kein SPAN-Port/Network-TAP erforderlich Troubleshooting bei schlechter Applikations-Performance Erkennen von DoS-Attacken auf Application Layer IPFIX Protokoll ist Bestandteil typischer Analytics- Applikationen - große Auswahl NetScaler überträgt Datensätze via Push

63 NetScaler Editionen und Platformen

64 "Pay-As-You-Grow" und "BurstPacks" mehr Performance durch Upgrade der Lizenz, ohne Tausch der Hardware - gern auch zeitlich begrenzt(burstpacks)! Athens1 Athens2 Corinth Constantinople Galata: SDX 17550, 19550, 20550, NetScaler virtuelle Instanzen ab NSOS Corinth/Constantinople: 20 NetScaler virtuelle Instanzen ab NSOS Pay-As-You-Grow: BurstPacks:

65 Passt sich nahtlos in jedes Backend ein Hardware- oder Software-Appliance Hypervisor-unabhängig: XenServer, VMware, Hyper-V Gleicher Funktionsumfang, Konfiguration und GUI NetScaler MPX Appliances NetScaler VPX für XenServer NetScaler VPX für Vmware NetScaler VPX für Hyper-V Beschleunigung Verfügbarkeit Offload Sicherheit ESX / ESXi 3.5 / 4.0

66 Work better. Live better.

Citrix NetScaler als hoch verfügbare Schaltzentrale für XenApp Umgebungen

Citrix NetScaler als hoch verfügbare Schaltzentrale für XenApp Umgebungen Citrix NetScaler als hoch verfügbare Schaltzentrale für XenApp Umgebungen Citrix-Seminar 05.05.2011 Heimon Hinze hhinze@netik.de 05.05.2011 Dr. Netik & Partner GmbH 1 Citrix Netscaler Nur eine weitere

Mehr

Stuttgart I 25.09.2012 Citrix NetScaler Verfügbarkeit, Sicherheit und Transparenz im Netz für die Cloud Referent: Fritz Schmidt-Steylaers

Stuttgart I 25.09.2012 Citrix NetScaler Verfügbarkeit, Sicherheit und Transparenz im Netz für die Cloud Referent: Fritz Schmidt-Steylaers Stuttgart I 25.09.2012 Citrix NetScaler Verfügbarkeit, Sicherheit und Transparenz im Netz für die Cloud Referent: Fritz Schmidt-Steylaers Track 3 I Vortrag 12 CloudMACHER 2012 www.cloudmacher.de Citrix

Mehr

DC2 Ohne Netzwerk keine Cloud: Citrix Networking Lösungen in Cloud Umgebungen

DC2 Ohne Netzwerk keine Cloud: Citrix Networking Lösungen in Cloud Umgebungen DC2 Ohne Netzwerk keine Cloud: Citrix Networking Lösungen in Cloud Umgebungen Phuc Tran & Dominik Feser Systems Engineering Datacenter & Cloud, Citrix Systems GmbH Hybrid Cloud ist die Kombination der

Mehr

Citrix Networking Produkt Übersicht NetScaler & Cloud Bridge. marcus.jaeger@citrix.com Senior Systems Engineer Networking

Citrix Networking Produkt Übersicht NetScaler & Cloud Bridge. marcus.jaeger@citrix.com Senior Systems Engineer Networking Citrix Networking Produkt Übersicht NetScaler & Cloud Bridge marcus.jaeger@citrix.com Senior Systems Engineer Networking NetScaler Das Schweizer Messer für Ihre IT-Infrastruktur FTP SQL NetScaler S1 A1

Mehr

Citrix NetScaler Seminar 2011

Citrix NetScaler Seminar 2011 Citrix NetScaler Seminar 2011 Natanael Mignon Consulting»Lounge Wer wir sind» Eine Marke der» 20 Jahre Erfahrung in Beratung und Unterstützung von Unternehmen» Über 50 Mitarbeiter für Deutschland und Mitteleuropa»

Mehr

Citrix NetScaler: Ein kompletter Ersatz für Microsoft Forefront Threat Management Gateway

Citrix NetScaler: Ein kompletter Ersatz für Microsoft Forefront Threat Management Gateway Citrix NetScaler: Ein kompletter Ersatz für Microsoft Forefront Threat Management Gateway Mauro Mantovani, Technical Solution Architect 1 Agenda Microsoft Threat Management Gateway (TMG): Übersicht Was

Mehr

Durch Netzwerk-Optimierung und- Virtualisierung zu einer flexiblen Cloud-Infrastruktur. Marcus Jäger

Durch Netzwerk-Optimierung und- Virtualisierung zu einer flexiblen Cloud-Infrastruktur. Marcus Jäger Durch Netzwerk-Optimierung und- Virtualisierung zu einer flexiblen Cloud-Infrastruktur Marcus Jäger Die Kombination bringt wesentliche Vorteile Private Cloud Public Cloud Enterprise Cloud Dedizierte Infrastruktur

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

NetScaler der ADC der Zukunft Einsatzbereiche beim Kunden

NetScaler der ADC der Zukunft Einsatzbereiche beim Kunden NetScaler der ADC der Zukunft Einsatzbereiche beim Kunden Joerg Rieckhoff, Product Sales Specialist, Networking-Nord By the numbers $2.2 Mrd. revenue 8,000+ employees 250,000+ customers 10,000+ partners

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Intelligenter Betriebsstättenzugriff mit Citrix NetScaler v1.13, 28.09.2010

Intelligenter Betriebsstättenzugriff mit Citrix NetScaler v1.13, 28.09.2010 Intelligenter Betriebsstättenzugriff mit Citrix NetScaler v1.13, 28.09.2010 Thorsten Rood, net.workers AG Principal Architect CTP, CCIA, MCITP 30.09.2010 I Networkers AG I Seite 1 Den Betrieb eines Rechenzentrums

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Kai Wilke Consultant - IT Security Microsoft MVP a. D. mailto:kw@itacs.de Agenda Microsoft Forefront

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Citrix Networking-Lösungen. Mehr Tempo und Ausfallsicherheit mit physischen und virtuellen Appliances

Citrix Networking-Lösungen. Mehr Tempo und Ausfallsicherheit mit physischen und virtuellen Appliances Citrix Networking-Lösungen Mehr Tempo und Ausfallsicherheit mit physischen und virtuellen Appliances Citrix Networking-Lösungen Receiver Branch Repeater Access Gateway XenDesktop XenApp XenServer NetScaler

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Sicherheit, Identity Management und Remote Corporate Access

Sicherheit, Identity Management und Remote Corporate Access Sicherheit, Identity Management und Remote Corporate Access Ralf M. Schnell - Technical Evangelist, Microsoft Deutschland GmbH Hans Schermer - Senior Systems Engineer, Citrix Systems GmbH Identität in

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Citrix Netzwerktechnologien

Citrix Netzwerktechnologien Thomas Reger Business Development Citrix Netzwerktechnologien Sicherer Zugriff in der Cloud A world where people can work or play from anywhere IT 1.0 Apps Werden von der IT gemanaged IT Ist im Zentrum

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Erfahren Sie mehr zu LoadMaster für Azure

Erfahren Sie mehr zu LoadMaster für Azure Immer mehr Unternehmen wechseln von einer lokalen Rechenzentrumsarchitektur zu einer öffentlichen Cloud-Plattform wie Microsoft Azure. Ziel ist es, die Betriebskosten zu senken. Da cloud-basierte Dienste

Mehr

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL Einführung Globales Filesharing ist ein Megatrend Sync & Share ist eine neue Produktkategorie

Mehr

Citrix Networking-Lösungen: Maximale Sicherheit und Performance in jedem Netzwerk

Citrix Networking-Lösungen: Maximale Sicherheit und Performance in jedem Netzwerk Citrix Networking-Lösungen: Maximale Sicherheit und Performance in jedem Netzwerk Hannover CeBit März, 2014 Jörg Rieckhoff NetScaler (ADC) Neue Hardware Modelle: verbesserte Preis/Leistung Bewährt in MSFT

Mehr

Was eine WAF (nicht) kann. Ausgabe 2013

Was eine WAF (nicht) kann. Ausgabe 2013 Was eine WAF (nicht) kann. Ausgabe 2013 Mirko Dziadzka http://mirko.dziadzka.de/ @MirkoDziadzka OWASP Stammtisch München - 19.11.2013 1 / 27 Inhalt Worum soll es heute gehen Meine (subjektive) Meinung

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Web APIs auf dem Prüfstand Volle Kontrolle oder fertig mit den Azure Mobile Services?

Web APIs auf dem Prüfstand Volle Kontrolle oder fertig mit den Azure Mobile Services? Web APIs auf dem Prüfstand Volle Kontrolle oder fertig mit den Azure Mobile Services? Web APIs Wo kommen wir her? Remote Procedure Calls (RPC) Verben/Aktionen im Endpunkt enthalten GetCustomer InsertInvoice

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

ArcGIS for Server 10.1-10.2 : Sicherung von Diensten und Anwendungen Erfahrung von Kanton Freiburg

ArcGIS for Server 10.1-10.2 : Sicherung von Diensten und Anwendungen Erfahrung von Kanton Freiburg Service du cadastre et de la géomatique SCG Amt für Vermessung und Geomatik VGA ArcGIS for Server 10.1-10.2 : Sicherung von Diensten und Anwendungen Erfahrung von Kanton Freiburg Fabien Hamel Direction

Mehr

Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen

Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen Peter Metz Sales Manager Application Networking Group Citrix Systems International GmbH Application Delivery mit Citrix Citrix NetScaler

Mehr

LC5 Citrix NetScaler und CloudGateway Enterprise Lösungen für Enterprise Cloud Networks

LC5 Citrix NetScaler und CloudGateway Enterprise Lösungen für Enterprise Cloud Networks LC5 Citrix NetScaler und CloudGateway Enterprise Lösungen für Enterprise Cloud Networks Claudio Mascaro, SE, BCD-SINTRAG AG Peter Leimgruber, SE, Citrix Systems Cloud Networking mit NetScaler In der PC-Ära:

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Internet Information Services v6.0

Internet Information Services v6.0 Internet Information Services v6.0 IIS History Evolution von IIS: V1.0 kostenlos auf der CeBit 1996 verteilt V2.0 Teil von Windows NT 4.0 V3.0 Als Update in SP3 von NT4.0 integriert V4.0 Windows NT 4.0

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

Webserver allgemein Voraussetzung für die Integration von Plone NginX Apache 2 Demonstration Zusammenfassung

Webserver allgemein Voraussetzung für die Integration von Plone NginX Apache 2 Demonstration Zusammenfassung Webserver allgemein Voraussetzung für die Integration von Plone NginX Apache 2 Demonstration Zusammenfassung Software zur Annahme und Verarbeitung von HTTP/HTTPs- Requests (Port 80/443) benutzerdefinierte

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Ferdinand Sikora Channel Account Manager Etappen der Virtualisierung Stage 1 Server Virtualisierung Stage 2 Erweiterung & Desktop Server

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business -

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:

Mehr

Remote Zugriff sicher mit Access Gateway Valentine Cambier

Remote Zugriff sicher mit Access Gateway Valentine Cambier Remote Zugriff sicher mit Access Gateway Valentine Cambier Channel Development Manager Citrix Systems Deutschland GmbH Sicherer Zugriff auf alle Citrix Anwendungen und virtuellen Desktops Eine integrierte

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Cloud Control, Single Sign On in Active Directory Umfeld

Cloud Control, Single Sign On in Active Directory Umfeld Cloud Control, Single Sign On in Active Directory Umfeld Abdi Mohammadi ORACLE Deutschland B.V. & Co. KG Hamburg Schlüsselworte Cloud Control, SSO, SPNEGO,, Enterprise User Security, Web SSO, Oracle Access

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Sicherheit mobiler Apps. Andreas Kurtz

Sicherheit mobiler Apps. Andreas Kurtz Sicherheit mobiler Apps Andreas Kurtz Agenda OWASP Mobile Security Project OWASP TOP 10 Mobile Risks Beispiele und Erfahrungen aus der Praxis Fokus auf Defizite bei Authentisierung/Autorisierung Zusammenfassung

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Tobias Wassermann. Sichere Webanwendungen mit PHP

Tobias Wassermann. Sichere Webanwendungen mit PHP Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung GecMeGUI Eine SSO-enabled WebGUI mit clientseitiger Schlüsselgenerierung Hochschule Furtwangen Frank Dölitzscher 04.04.2011 Agenda Web GUI 1. Einführung 2. Absicherung des Service Zugangs 3. Web GUI Sicherung

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Inhaltsverzeichnis. Einleitung... 11

Inhaltsverzeichnis. Einleitung... 11 Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP

Mehr

Machen Sie Ihre Infrastruktur mit Citrix Networking-Lösungen fit für die Zukunft

Machen Sie Ihre Infrastruktur mit Citrix Networking-Lösungen fit für die Zukunft Machen Sie Ihre Infrastruktur mit Citrix Networking-Lösungen fit für die Zukunft Höhere Verfügbarkeit, maximale Sicherheit und bessere Performance in jedem Netzwerk Citrix Cloud Networking Service & Application

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

Themen des Kapitels. 2 Übersicht XenDesktop

Themen des Kapitels. 2 Übersicht XenDesktop 2 Übersicht XenDesktop Übersicht XenDesktop Funktionen und Komponenten. 2.1 Übersicht Themen des Kapitels Übersicht XenDesktop Themen des Kapitels Aufbau der XenDesktop Infrastruktur Funktionen von XenDesktop

Mehr

Informatives zur CAS genesisworld-administration

Informatives zur CAS genesisworld-administration Informatives zur CAS genesisworld-administration Inhalt dieser Präsentation Loadbalancing mit CAS genesisworld Der CAS Updateservice Einführung in Version x5 Konfigurationsmöglichkeit Sicherheit / Dienstübersicht

Mehr

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH Windows Azure für Java Architekten Holger Sirtl Microsoft Deutschland GmbH Agenda Schichten des Cloud Computings Überblick über die Windows Azure Platform Einsatzmöglichkeiten für Java-Architekten Ausführung

Mehr

Microsoft Azure: Ein Überblick für Entwickler. Malte Lantin Technical Evangelist, Developer Experience & Evangelism (DX) Microsoft Deutschland GmbH

Microsoft Azure: Ein Überblick für Entwickler. Malte Lantin Technical Evangelist, Developer Experience & Evangelism (DX) Microsoft Deutschland GmbH Microsoft Azure: Ein Überblick für Entwickler Malte Lantin Technical Evangelist, Developer Experience & Evangelism (DX) Microsoft Deutschland GmbH Moderne Softwareentwicklung Microsoft Azure unterstützt

Mehr

Load Balancing mit Freier Software

Load Balancing mit Freier Software Volker Dormeyer GNU/LinuxTag 2005 Inhalt 1 Begriffserläuterung OSI und IP Schichten 2 3 Inhalt Begriffserläuterung OSI und IP Schichten 1 Begriffserläuterung OSI und IP Schichten

Mehr

SHAREPOINT NEXT GENERATION EIN AUSBLICK

SHAREPOINT NEXT GENERATION EIN AUSBLICK Ihr starker IT-Partner. Heute und morgen SHAREPOINT NEXT GENERATION EIN AUSBLICK Bechtle IT-Forum Nord 27.09.2012 Emporio Tower, DE 20355 Hamburg Vorstellung Christoph Hannappel Consultant Seit 2009 bei

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 6. FTP Proxy (Anti Virus) 6.1 Einleitung Sie konfigurieren den FTP Proxy, um den Datentransfer übers Internet zu kontrollieren. Ein FTP Server befindet sich vorkonfiguriert im Internet mit der IP-Adresse

Mehr

Einstieg Projektziel Proxy Grundlagen Demonstration Ausblick. Reverse Proxys. Robert Hilbrich. Fakultät für Informatik Humboldt Universität Berlin

Einstieg Projektziel Proxy Grundlagen Demonstration Ausblick. Reverse Proxys. Robert Hilbrich. Fakultät für Informatik Humboldt Universität Berlin Reverse Proxys Robert Hilbrich Fakultät für Informatik Humboldt Universität Berlin 28. September 2006 John von Neumann, 1949 It would appear that we have reached the limits of what it is possible to achieve

Mehr

Oracle Database Firewall

Oracle Database Firewall Oracle Database Firewall Suvad Sahovic Senior Systemberater suvad.sahovic@oracle.com Agenda Oracle Database Firewall im Überblick Oracle Database Firewall im Einsatz Verfügbarkeit

Mehr

Mobile Backend in der

Mobile Backend in der Mobile Backend in der Cloud Azure Mobile Services / Websites / Active Directory / Kontext Auth Back-Office Mobile Users Push Data Website DevOps Social Networks Logic Others TFS online Windows Azure Mobile

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr