LC3 - Lanworks: IT-Sicherheit So denken Angreifer

Größe: px
Ab Seite anzeigen:

Download "LC3 - Lanworks: IT-Sicherheit So denken Angreifer"

Transkript

1 LC3 - Lanworks: IT-Sicherheit So denken Angreifer Tobias Elsner, Berater mit Fokus auf Informationssicherheit, Firma Lanworks Marcus Jäger, Senior Systems Engineer Network/Security, Citrix Systems

2 Die Gesichter zu den Namen Tobias Elsner arbeitet seit seinem Universitätsabschluss als Diplom-Biologe im Jahr 2001 Vollzeit in der IT mit besonderem Fokus auf Informationssicherheit, Betriebssystemvirtualisierung und Linux. Seit 2007 ist er als Berater im Bereich IT Engineering der Firma Lanworks aus Düsseldorf tätig. Marcus Jäger (42) ist seit Juli 2007 als Senior System Engineer und Netzwerk/Security-Technologe im Bereich Datacenter & Cloud Networking bei der Firma Citrix Systems GmbH in Hallbergmoos tätig. Nach Abschluss seines Studiums der Informationstechnik in Hannover 1994, arbeitete er viele Jahre als Senior Systemingenieur/Consultant im Bereich IT- Security/Networking und "WebComputing".

3 Bedrohungen aus dem BBI es gibt einen, der kann es erklären BBI: Böses Böses Internet

4 Webapplikationssicherheit: Agenda Einleitung: Was ist eine Webanwendung und was eine Website? Angriffe: Welche Motivationen stecken dahinter? Methoden: Wie hackt man eigentlich eine Website? Gegenmaßnahmen: Welche Möglichkeiten gibt es?

5 Einleitung: Websites und Webanwendungen Website: allgemeiner Begriff für Webpräsenz im WWW Daten/Dateien werden per HTTP übertragen Webapplikation/-anwendung: Dynamische Website Eine Anwendung mit Datenbankzugriff läuft auf einem Webserver Umsetzung: Programm in PHP, ASP, Perl, Python, Java-Servlet, JSP, Als CGI-Anwendung oder eingebettet

6 Einleitung: Webanwendung

7 Einleitung: Was ist eine RIA Rich Internet Application Vom Server geliefert, auf dem Client ausgeführt Die Webanwendung wird auf dem Server ausgeführt Web Browserintern: JavaSkript (z. B. Ajax) Pluginbasiert: Java Applet, Flash, Silverlight

8 Angriffe: Gefahren für Webanwendungen Ausfälle durch technische Fehler Abhilfe: Redundanz Ausfälle durch Überlastung Abhilfe: Lastverteilung Gezielte Angriffe mit unterschiedlich schweren Folgen: Vandalismus, Beschmiertes Plakat bis Datendiebstahl mit massiven finanziellen Folgen

9 Angriffe: Motivation der Angreifer Spaß, Weil es geht, Skriptkiddies Rufschädigung Brückenkopf für weitere Angriffe Datendiebstahl Politische Motive, Hacktivisten Im Folgenden einige Beispiele

10 Angriffe: Skriptkiddies MTV-Hack

11 Angriffe: Rufschädigung, Hacktivisten GEMA-Hack

12 Angriffe: Brückenkopf für weitere Attacken Bundespolizei

13 Angriffe: Datendiebstahl Sony-Hack

14 Angriffe: Fake für Marketingzwecke Dacia- Hack

15 Methoden: Wie hackt man eine Website? Injection (SQL, OS, LDAP) Cross Site Scripting (XSS) Authentisierungs-/Autorisierungsfehler Ungesicherte direkte Objektreferenzen Cross Site Request Forgery und viele weitere Open Web Application Security Project (OWASP Top 10)

16 Methoden: Injection Alle Webanwendungen benötigen Benutzereingaben Eingaben müssen überprüft und bereinigt werden Sonst: Eingabe von Kommandos (z. B. SQL) möglich Beispiel: show databases; --- SQL-Injection Datendiebstahl, Vandalismus OS-Injection Ausführen beliebiger Programme LDAP-Injection Datendiebstahl

17 Methoden: Cross Site Scripting HTML-Injection Der Fehler: Anwendung gibt Eingaben ungefiltert zurück Eigentlich führen Browser nur Skripte der Zielwebsite aus Genau danach sieht es für den Browser hier aus Wie genau gelangen die Eingaben in die Anwendung? Skript im URL (reflexiv) Opfer klickt auf präparierten Link (u. a. Kurz-URL!) type="text/javascript">alert("blafasel");</script> Skript befindet sich bereits auf dem Server (persistent) Formulareingaben, z. B. Gästebucheintrag

18 Methoden: Umgehung der Authentisierung Häufig verwendet: HTTP-Authentication (Basic/Digest) Oft als Bestandteil der Webanwendung Warum ist Passwortauthentisierung unsicher? Was kann man besser machen: Policies, Passworthashes, Zugriffsrechte Passwortauthentisierung nur mit SSL/TLS! Alternativen zur Passwortauthentisierung verwenden: SSL/TLS-Authentisierung mit Clientzertifikat Tokenbasierte Authentisierung (z. B. Yubikey) OpenID: Anwendung fragt

19 Methoden: Objektreferenzierung Fast alle Anwendungen referenzieren auf Dateien Referenzierung ist häufig dynamisch Variable Referenzen müssen immer geprüft werden Sonst: Auslesen anderer Dateien möglich Directory Traversal Beispiel: /etc/passwd Weitere Gefahr: URL-Includes Code Injection

20 Methoden: Cross Site Request Forgery Ausnutzen der Vertrauensstellung, die eine Browser zu einem Server hat z. B. Benutzer ist per Browser auf Admin-Interface/Webshop angemeldet Angreifer führt über XSS oder lokalen Exploit unbemerkt Anweisungen aus Abhilfe serverseitig: Page-Token Abhilfe clientseitig: Sandboxes, Antivirensoftware

21 Gegenmaßnahmen: Wichtigste Regel Traue niemals den Eingaben der Benutzer!

22 Gegenmaßnahmen: Übersicht Netzwerkdesign Softwareauswahl Konfiguration Webanwendung Web-Applikations-Firewall

23 Gegenmaßnahmen: Netzwerkdesign Wo steht der Webserver?: LAN, DMZ, Provider Wo steht die Datenbank? Welche Daten sind nötig? Demilitarisierte Zone: physikalisch oder virtualisiert Einsatz von Firewalls Hosting und Public Cloud

24 Gegenmaßnahmen: Softwareauswahl Plattform: Linux, BSD, Solaris, Windows Welcher Webserver? Apache oder IIS? Alternativ: lighthttpd (youtube), nginx (Wikimedia, Hulu) Sicherheit der gängigen Produkte ist hoch! Datenbanken: MSSQL, mysql, postgres, NoSQL,... Wirkungsvoll: SELinux, AppArmor

25 Gegenmaßnahmen: Konfiguration Betriebssystem: Minimalismus (!), Zugriffsrechte Kontrolle der offenen TCP/UDP-Ports! (Portscan) Personal Firewall? Überprufen der Standardkonfiguration z. B. allow_url_include = Off bei PHP Chroot-Umgebungen Was ist mit SSL/TLS?

26 Gegenmaßnahmen: Webanwendung PHP, Python, Perl, Ruby, Java, Flash,? Sauber entwickeln! Beherrschen von Sprache und DB Keine fremden Templates Berücksichtigung der OWASP-Regeln Externe Entwickler: Der Preis ist nicht alles! Fremdanwendungen: Updates einspielen, WAF...

27 Gegenmaßnahmen: WAF Webapplikationsfirewall, HTTP-Application-Level-Gateway Ratsam für eingekaufte Webanwendungen! Untersucht eingehende und ausgehende Daten Whitelist durch Lernphase Als Plugin: mod_security für Apache Als Netzwerkhost: Reverse-Proxy oder transparent Citrix Netscaler

28 Hilfe ist in Sicht

29 Der Hauptdarsteller Citrix NetScaler Das Schweizer Messer für IT-Infrastrukturen

30 Full Proxy Fünf wesentliche Begriffe TCP Client TCP Backend Der "Full Proxy" Ansatz bietet einen imensen Funktionumfang! 1. VServer: Nimmt Anfragen der Clients entgegen (20) 2. Service (Backend): Netzwerk Endpunkt an den der NetScaler weiter leitet (21) 3. Monitor: Prüft periodisch die Funktion des Backend-Services (29+) 4. Load Balancing Methode: Auswahl des Services zur Weiterleitung (15+) 5. Persistence (Stickiness): Client wird immer an selben Service geleitet (9+)

31 Citrix NetScaler in drei Funktionskategorien

32 Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B P2P Verfügbarkeit Performance Sicherheit Load Balancing Information auf Layer 3 (IP) / Layer 4 (TCP/UDP) entscheiden, auf welche Services weitergeleitet wird Content Switching Information auf Layer 7 (HTTP, FTP, DNS, RADIUS, TCP, UDP ) entscheiden auf welche Gruppe von Backend- Services weitergeleitet wird Surge Protection + Sure Connect Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue) Global Server Load Balancing (GSLB) Verteilung des Verkehrs durch intelligente Namensauflösung des NetScalers

33 NetScaler Surge Protection Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue) Ohne NetScaler Server-Überlastung REQUESTS 100% 0% Mit NetScaler Surge Protection 100% REQUESTS SURGE QUEUE 0%

34 Application Templates Ermöglicht applikationsnahe NetScaler Konfiguration Funktionen: Import, Export Angabe von VServer-IP und Backend- Service-IP erfolgt beim Import Vereinfachung und Portierbarkeit der Konfiguration für 6 Basis Funktionen Templates z.z. verfügbar für EasyCall, OWA, Sharepoint, SAP NetWeaver, Oracle, Gereric Web-App pexpert+templates

35 Verbesserung der Betriebssicherheit mit NetScaler VPX durch Übertragbarkeit der Konfiguration zwischen VPX und MPX App NetScaler VPX 5. Config in Staging Umgebung laden 6. Config validieren 7. Config in Produktion übernehmen 8. Überprüfung finalisieren 3. Config bearbeiten 4. Config export Configuration Repository App NetScaler VPX 2. Provisionierung der Dev- Instanzen aus Repository 1. Konfiguration in Repository laden App NetScaler MPX

36 Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B Verfügbarkeit Performance Sicherheit TCP Offload Befreit Server vom Verbindungs-Management HTTP Compression Daten-Komprimierung vor Daten-Auslieferung Integrated Caching NetScaler als Caching Instanz im Netzwerk Erweiterte TCP-Optimierung Wesentlich effizientere Verbindungen durch TCP-Windows Scaling, SACK und TCP-Buffering SSL Offload Übernimmt CPU intensive Entschlüsselungs-Aufgaben für Backend-Server

37 SSL-Beschleunigung (SSL-Offload) Spezielle Hardware im NetScaler beschleunigt alle SSL-Operationen Nach Decryption(Offload) auf NetScaler ist Layer 7 Content Switching möglich Re-Encryption für des Traffics zwischen NetScaler und Backend möglich End-to-End Sicherheit Hohe Performance TPS SSL Vorgänge / Sek Mbps - SSL verschlüsselter Durchsatz /Sec gleichzeitige SSL Sessions Vorteile: Entlastung der Web-Server von CPU intensiven Prozessen Reduzierung der jährlichen SSL-Zertifikatskosten

38 HTTP Callout Externe Information steuern die NetScaler Funktionen NetScaler leitet Teile des Client Requests auf den Callout Server und wertet dessen Response auf bestimmte Inhalte hin aus. Integrierbar in HTTP/TCP-ContentSwitching, Rewrite, Responder, Token Loadbalancing-Methode. Anwendungsfälle: IP blacklisting SPAM verification Access control Identify management integration Custom content rewrite UDDI access Format loading

39 AppExpert Rate Controls ermöglichen die Isolation von kritischen Applikationen und Objekten User(s) Rate Time Object Action IP Address IP Range/Subnet Cookie Value Wildcards Any header or payload Requests Packets Bandwidth Measured in milliseconds Vserver IP URL/URI Image File Any header or payload Throttle Invoke Policy Responder Rewrite Cache etc. Alert Log Trap

40 Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B Verfügbarkeit Performance Sicherheit Schutz auf Application Layer Schutz vor Datendiebstahl und Ausnutzung von Sicherheitslöchern DoS-Abwehr DoS-Schutz durch Full-Proxy-Architekur, Verhinderung von HTTP-DoS-Angriffen Filtering, Rewriting und Responder Granularer Filter in Hin- und Rückrichtung. HTTP Inhalte können modifiziert, direkt beantwortet oder umgeleitet werden NetScaler als Simultan Dolmetscher SSL-VPN (AGEE) Verschlüsselung, Authentifizierung, Autorisierung und Endgeräte-Scan VOR dem Einlass in das Netzwerk

41 WAF(Web Application Firewall) - Hybrid Security Model Optimaler Schutz durch Kombination beider Security Ansätze Positiv Schutz vor Day-0 Angriffen Erfordert Lernen der Applikations Strukturen Hybrid Schutz vor bekannten(1200 "on board"-signaturen) und unbekannten Angriffen (19 Security Checks) Negativ Schneller aktiver Schutz vor bekannten Angriffen Erfordert Pflege von Signaturen

42 Optimaler Schutz durch 19 Methoden (Security Checks) bi-direktional durch URL-Closure bi-direktional bi-direktional Import von WSDL und XML Schema Files

43 WAF: Referenz-Links in bislang über 1200 Signaturen sorgen für optimale Information beim Anpassen der Signaturen

44 WAF: Das Update einer Signatur wird zum Kinderspiel Die neue Signatur kann vor der Übernahme überprüft werden Detail-Ansicht welche Signatur sich geändert hat oder neu hinzugekommen ist Geänderte Signaturen können durch Umschalten zwischen ALT und NEU verglichen werden Filter steuern, was zur besseren Übersicht ausgeblendet wird OK = Übernahme der Signatur

45 Eigene Signaturen lassen sich hinzufügen

46 WAF: Scanner für Applikations-Sicherheitslücken Während eines Scans erstellte Signaturen lassen sich im NetScaler verwenden Startet regelmäßige Scans Geschützte Website Import der Signaturen in NetScaler

47 Schutz vor Cookie Attacken Cookie-Verschlüsselung Verhindert Mitlesen oder Fälschen von Cookie Informationen Verschlüsselt Applikations/Server Cookies und entschlüsselt vom Client gesendete Cookies Verschlüsselt alle Application Cookies (persistente, nichtpersistente) AES-192 Verschlüsselung

48 Schutz vor Cookie Attacken Proxy Cookies Ersetzt alle Server Cookies durch einen einzigen "Web Application Firewall Session Cookie" Am Client ist nur das WAF Cookie sichtbar Anwendbar nur auf Session Cookies (nicht-persistente)

49 Schutz vor Cookie Attacken Flag Cookies HTTP Only Flag Cookie ist für JavaScript nicht angreifbar Secure Flag Cookie wird nur für HTTPS URLs bereitgestellt Beide Attribute werden zum Set-Cookie Header hinzugefügt

50 Autom. gelernte RegEx - übersichtlich im Visualizer NetScaler schlägt RegEx vor / direkten Übernahme ins Regelwerk PCRE - Perl Compatible Regular Expressions

51 GUI Monitoring

52 Nach OWASP sind Web-Applikation optimal hinter NetScaler geschützt Zu jedem Angriff-Szenario auf der OWASP Top Ten Liste existiert eine korrespondierende Schutz-Methode auf dem NetScaler OWASP: Open Web Application Security Project

53 Mit NetScaler zur PCI DSS "Compliance" ein Muss für Applikationen im Umgang mit Kreditkarteninformationen Der einfachste Weg zur Erfüllung des PCI DSS Standards führt über den Einsatz des NetScalers als PCI DSS zertifizierte WAF (PCI DSS 2.0) Die Überwachung erfolgt durch das "PCI Security Standards Council" https://www.pcisecuritystandards.org/ PCI DSS: Payment Card Industry Data Security Standard

54 Weitere Schutzmechanismen des NetScalers im Sinne einer WAF

55 AAA-TM NetScaler als multifunktionale Authentication Instanz, inkl. SSO (Basic+FormBased) Client bekommt erneuten HTTP Redirect zu seinem ursprünglichen Ziel, hat jetzt aber das Cookie im Bauch https://mail.firma.de https://aaa.firma.de /vpn/tmindex.html https://mail.firma.de/owa/ https://mail.firma.de/?4711 Client verbindet sich auf sein gewünschten Ziel-VServer Client bekommt HTTP Redirect zum AAA-VServer und bekommt nach erfolgreicher Anmeldung einen Authentication-Cookie Authorization Policies regeln den Zugriff ins Backend, Traffic Policies das SSO zum Backend

56 Rewrite NetScaler als Simultan Dolmetscher in Hin-(Request) und Rückrichtung (Response) ohne Rewrite mit Rewrite INSERT_BEFORE REPLACE_ALL ohne Rewrite HTTP/1.x 200 OK Content-Type: text/html Content-Location: Last-Modified: Fri, 09 May :11:01 GMT Accept-Ranges: bytes Etag: "98d5983deb1c81:2fb" Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Tue, 10 Jun :23:52 GMT Cache-Control: private Content-Encoding: gzip Content-Length: INSERT_AFTER DELETE_HTTP_HEADER INSERT_HTTP_HEADER mit Rewrite HTTP/1.x 200 OK Content-Type: text/html Content-Location: Last-Modified: Tue, 10 Jun :36:27 GMT Accept-Ranges: bytes Etag: "50fa565d7cbc81:2fb" X-Powered-By: ASP.NET Date: Tue, 10 Jun :28:11 GMT mjg-header: Hiho TEX-2012 Cache-Control: private Content-Encoding: gzip Content-Length:

57 URL Transformation vereinfachte Konfiguration beim Rewrite von URLs Erhöhung der Sicherheit durch Verbergen von internen Informationen (vergleichbar einem IP-NAT auf Layer-7) Wechselnde oder historisch gewachsene Applikations-URLs werden zum Kinderspiel User wird unabhängig von Applikations-Änderungen Infrastruktur-Änderungen

58 NetScaler hilft bei der ERSTELLUNG und der PRÜFUNG der Expression mit dem Evaluator

59 Rewrite Überprüfung der Konfiguration wird zum Kinderspiel mit dem Action Evaluator Mit dem "Rewrite Action Evaluator" wird der Test von von Rewrite Konfigurationen zum Kinderspiel

60 Responder NetScaler gibt direkt Antwort oder ist FILTER ungewollter Anfragen Der NetScalers verarbeitet für die Antwort sowohl statische als auch dynamische Inhalte aus dem Client Request für die Bildung von HTTP-Header und Body. Action-Type Redirect : Action-Type Respond with : Policy-Type DROP/RESET :

61 Am VServer kommen alle Funktionen zusammen und der Visualizer gibt eine Gesamtbild der Konfiguration Konfiguration via Drag&Drop Visualizer auch für GSLB, Network, WAF

62 AppFlow - Traffic-Analyse mit NetScaler Ermöglicht Einblick in das Applikations-Verhalten Cloud-Ready Kein SPAN-Port/Network-TAP erforderlich Troubleshooting bei schlechter Applikations-Performance Erkennen von DoS-Attacken auf Application Layer IPFIX Protokoll ist Bestandteil typischer Analytics- Applikationen - große Auswahl NetScaler überträgt Datensätze via Push

63 NetScaler Editionen und Platformen

64 "Pay-As-You-Grow" und "BurstPacks" mehr Performance durch Upgrade der Lizenz, ohne Tausch der Hardware - gern auch zeitlich begrenzt(burstpacks)! Athens1 Athens2 Corinth Constantinople Galata: SDX 17550, 19550, 20550, NetScaler virtuelle Instanzen ab NSOS Corinth/Constantinople: 20 NetScaler virtuelle Instanzen ab NSOS Pay-As-You-Grow: BurstPacks:

65 Passt sich nahtlos in jedes Backend ein Hardware- oder Software-Appliance Hypervisor-unabhängig: XenServer, VMware, Hyper-V Gleicher Funktionsumfang, Konfiguration und GUI NetScaler MPX Appliances NetScaler VPX für XenServer NetScaler VPX für Vmware NetScaler VPX für Hyper-V Beschleunigung Verfügbarkeit Offload Sicherheit ESX / ESXi 3.5 / 4.0

66 Work better. Live better.

Stuttgart I 25.09.2012 Citrix NetScaler Verfügbarkeit, Sicherheit und Transparenz im Netz für die Cloud Referent: Fritz Schmidt-Steylaers

Stuttgart I 25.09.2012 Citrix NetScaler Verfügbarkeit, Sicherheit und Transparenz im Netz für die Cloud Referent: Fritz Schmidt-Steylaers Stuttgart I 25.09.2012 Citrix NetScaler Verfügbarkeit, Sicherheit und Transparenz im Netz für die Cloud Referent: Fritz Schmidt-Steylaers Track 3 I Vortrag 12 CloudMACHER 2012 www.cloudmacher.de Citrix

Mehr

DC2 Ohne Netzwerk keine Cloud: Citrix Networking Lösungen in Cloud Umgebungen

DC2 Ohne Netzwerk keine Cloud: Citrix Networking Lösungen in Cloud Umgebungen DC2 Ohne Netzwerk keine Cloud: Citrix Networking Lösungen in Cloud Umgebungen Phuc Tran & Dominik Feser Systems Engineering Datacenter & Cloud, Citrix Systems GmbH Hybrid Cloud ist die Kombination der

Mehr

Citrix Networking Produkt Übersicht NetScaler & Cloud Bridge. marcus.jaeger@citrix.com Senior Systems Engineer Networking

Citrix Networking Produkt Übersicht NetScaler & Cloud Bridge. marcus.jaeger@citrix.com Senior Systems Engineer Networking Citrix Networking Produkt Übersicht NetScaler & Cloud Bridge marcus.jaeger@citrix.com Senior Systems Engineer Networking NetScaler Das Schweizer Messer für Ihre IT-Infrastruktur FTP SQL NetScaler S1 A1

Mehr

Durch Netzwerk-Optimierung und- Virtualisierung zu einer flexiblen Cloud-Infrastruktur. Marcus Jäger

Durch Netzwerk-Optimierung und- Virtualisierung zu einer flexiblen Cloud-Infrastruktur. Marcus Jäger Durch Netzwerk-Optimierung und- Virtualisierung zu einer flexiblen Cloud-Infrastruktur Marcus Jäger Die Kombination bringt wesentliche Vorteile Private Cloud Public Cloud Enterprise Cloud Dedizierte Infrastruktur

Mehr

Citrix NetScaler Seminar 2011

Citrix NetScaler Seminar 2011 Citrix NetScaler Seminar 2011 Natanael Mignon Consulting»Lounge Wer wir sind» Eine Marke der» 20 Jahre Erfahrung in Beratung und Unterstützung von Unternehmen» Über 50 Mitarbeiter für Deutschland und Mitteleuropa»

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

NetScaler der ADC der Zukunft Einsatzbereiche beim Kunden

NetScaler der ADC der Zukunft Einsatzbereiche beim Kunden NetScaler der ADC der Zukunft Einsatzbereiche beim Kunden Joerg Rieckhoff, Product Sales Specialist, Networking-Nord By the numbers $2.2 Mrd. revenue 8,000+ employees 250,000+ customers 10,000+ partners

Mehr

Citrix NetScaler: Ein kompletter Ersatz für Microsoft Forefront Threat Management Gateway

Citrix NetScaler: Ein kompletter Ersatz für Microsoft Forefront Threat Management Gateway Citrix NetScaler: Ein kompletter Ersatz für Microsoft Forefront Threat Management Gateway Mauro Mantovani, Technical Solution Architect 1 Agenda Microsoft Threat Management Gateway (TMG): Übersicht Was

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Kai Wilke Consultant - IT Security Microsoft MVP a. D. mailto:kw@itacs.de Agenda Microsoft Forefront

Mehr

Intelligenter Betriebsstättenzugriff mit Citrix NetScaler v1.13, 28.09.2010

Intelligenter Betriebsstättenzugriff mit Citrix NetScaler v1.13, 28.09.2010 Intelligenter Betriebsstättenzugriff mit Citrix NetScaler v1.13, 28.09.2010 Thorsten Rood, net.workers AG Principal Architect CTP, CCIA, MCITP 30.09.2010 I Networkers AG I Seite 1 Den Betrieb eines Rechenzentrums

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Citrix Netzwerktechnologien

Citrix Netzwerktechnologien Thomas Reger Business Development Citrix Netzwerktechnologien Sicherer Zugriff in der Cloud A world where people can work or play from anywhere IT 1.0 Apps Werden von der IT gemanaged IT Ist im Zentrum

Mehr

LC5 Citrix NetScaler und CloudGateway Enterprise Lösungen für Enterprise Cloud Networks

LC5 Citrix NetScaler und CloudGateway Enterprise Lösungen für Enterprise Cloud Networks LC5 Citrix NetScaler und CloudGateway Enterprise Lösungen für Enterprise Cloud Networks Claudio Mascaro, SE, BCD-SINTRAG AG Peter Leimgruber, SE, Citrix Systems Cloud Networking mit NetScaler In der PC-Ära:

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Sicherheit, Identity Management und Remote Corporate Access

Sicherheit, Identity Management und Remote Corporate Access Sicherheit, Identity Management und Remote Corporate Access Ralf M. Schnell - Technical Evangelist, Microsoft Deutschland GmbH Hans Schermer - Senior Systems Engineer, Citrix Systems GmbH Identität in

Mehr

Citrix Networking-Lösungen: Maximale Sicherheit und Performance in jedem Netzwerk

Citrix Networking-Lösungen: Maximale Sicherheit und Performance in jedem Netzwerk Citrix Networking-Lösungen: Maximale Sicherheit und Performance in jedem Netzwerk Hannover CeBit März, 2014 Jörg Rieckhoff NetScaler (ADC) Neue Hardware Modelle: verbesserte Preis/Leistung Bewährt in MSFT

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Ferdinand Sikora Channel Account Manager Etappen der Virtualisierung Stage 1 Server Virtualisierung Stage 2 Erweiterung & Desktop Server

Mehr

Sicherheit mobiler Apps. Andreas Kurtz

Sicherheit mobiler Apps. Andreas Kurtz Sicherheit mobiler Apps Andreas Kurtz Agenda OWASP Mobile Security Project OWASP TOP 10 Mobile Risks Beispiele und Erfahrungen aus der Praxis Fokus auf Defizite bei Authentisierung/Autorisierung Zusammenfassung

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL Einführung Globales Filesharing ist ein Megatrend Sync & Share ist eine neue Produktkategorie

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Themen des Kapitels. 2 Übersicht XenDesktop

Themen des Kapitels. 2 Übersicht XenDesktop 2 Übersicht XenDesktop Übersicht XenDesktop Funktionen und Komponenten. 2.1 Übersicht Themen des Kapitels Übersicht XenDesktop Themen des Kapitels Aufbau der XenDesktop Infrastruktur Funktionen von XenDesktop

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

Projekt Copernicus oder Sophos UTM, quo vadis?

Projekt Copernicus oder Sophos UTM, quo vadis? Projekt Copernicus oder Sophos UTM, quo vadis? Was bisher geschah Sophos kauft im Februar 2014 den indischen Firewall Anbieter Cyberoam Technologies. gegründet 1999, 550 Mitarbeiter Next-Generation Firewall

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen

Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen Peter Metz Sales Manager Application Networking Group Citrix Systems International GmbH Application Delivery mit Citrix Citrix NetScaler

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1 HOB RD VPN HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime Joachim Gietl Vertriebsleiter Central Europe 6/9/2008 1 HOB RD VPN Eine branchenunabhängige Lösung für alle Unternehmen die Ihren Außendienst

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

Webserver allgemein Voraussetzung für die Integration von Plone NginX Apache 2 Demonstration Zusammenfassung

Webserver allgemein Voraussetzung für die Integration von Plone NginX Apache 2 Demonstration Zusammenfassung Webserver allgemein Voraussetzung für die Integration von Plone NginX Apache 2 Demonstration Zusammenfassung Software zur Annahme und Verarbeitung von HTTP/HTTPs- Requests (Port 80/443) benutzerdefinierte

Mehr

Machen Sie Ihre Infrastruktur mit Citrix Networking-Lösungen fit für die Zukunft

Machen Sie Ihre Infrastruktur mit Citrix Networking-Lösungen fit für die Zukunft Machen Sie Ihre Infrastruktur mit Citrix Networking-Lösungen fit für die Zukunft Höhere Verfügbarkeit, maximale Sicherheit und bessere Performance in jedem Netzwerk Citrix Cloud Networking Service & Application

Mehr

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business -

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Remote Zugriff sicher mit Access Gateway Valentine Cambier

Remote Zugriff sicher mit Access Gateway Valentine Cambier Remote Zugriff sicher mit Access Gateway Valentine Cambier Channel Development Manager Citrix Systems Deutschland GmbH Sicherer Zugriff auf alle Citrix Anwendungen und virtuellen Desktops Eine integrierte

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Citrix - Virtualisierung und Optimierung in SharePoint. Server Umgebungen. Peter Leimgruber Citrix Systems GmbH

Citrix - Virtualisierung und Optimierung in SharePoint. Server Umgebungen. Peter Leimgruber Citrix Systems GmbH Citrix - Virtualisierung und Optimierung in SharePoint Server Umgebungen Peter Leimgruber Citrix Systems GmbH Citrix-Microsoft Alliance eine lange Historie! 1989 Microsoft licenses OS/2 to Citrix for multi-user

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

SHAREPOINT NEXT GENERATION EIN AUSBLICK

SHAREPOINT NEXT GENERATION EIN AUSBLICK Ihr starker IT-Partner. Heute und morgen SHAREPOINT NEXT GENERATION EIN AUSBLICK Bechtle IT-Forum Nord 27.09.2012 Emporio Tower, DE 20355 Hamburg Vorstellung Christoph Hannappel Consultant Seit 2009 bei

Mehr

Um asynchrone Aufrufe zwischen Browser und Web Anwendung zu ermöglichen, die Ajax Hilfsmittel DWR ist gebraucht.

Um asynchrone Aufrufe zwischen Browser und Web Anwendung zu ermöglichen, die Ajax Hilfsmittel DWR ist gebraucht. Technisches Design Inhalt Design Übersicht Menü und DispatcherServlet DWR Servlet Viewer Servlets Controllers Managers Sicherheit Anwendung Architektur Component Diagram Deployment Diagram Komponente Sequence

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

y Hypertext braucht Ressourcen-Identifikation y Unterschied zwischen Link und Identifier

y Hypertext braucht Ressourcen-Identifikation y Unterschied zwischen Link und Identifier +\SHUWH[W7UDQVIHU3URWRFRO +773 (ULN:LOGH 7,.² (7+= ULFK 6RPPHUVHPHVWHU hehuvlfkw y Hypertext braucht Ressourcen-Identifikation y Unterschied zwischen Link und Identifier y Universal Resource Identifier

Mehr

Internet Information Services v6.0

Internet Information Services v6.0 Internet Information Services v6.0 IIS History Evolution von IIS: V1.0 kostenlos auf der CeBit 1996 verteilt V2.0 Teil von Windows NT 4.0 V3.0 Als Update in SP3 von NT4.0 integriert V4.0 Windows NT 4.0

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Optimierungsansätze bei Virtualisierung und Zentralisierung von Servern

Optimierungsansätze bei Virtualisierung und Zentralisierung von Servern Optimierungsansätze bei Virtualisierung und Zentralisierung von Servern Ing. Michael Gruber schoeller network control 20.5.2010 Conect schoeller network control ist Spezialist für Analyse, Optimierung

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Sicherheit für virtualiserte Welten. Thorsten Schuberth Senior Technical Consultant & Security Evangelist

Sicherheit für virtualiserte Welten. Thorsten Schuberth Senior Technical Consultant & Security Evangelist Sicherheit für virtualiserte Welten Thorsten Schuberth Senior Technical Consultant & Security Evangelist 2010 Check Point Software Technologies Ltd. [Unrestricted] For everyone 1 Agenda Grundsätzliches:

Mehr

Breaking the Kill Chain

Breaking the Kill Chain Breaking the Kill Chain Eine ganzheitliche Lösung zur Abwehr heutiger Angriffe Frank Barthel, Senior System Engineer Copyright Fortinet Inc. All rights reserved. Typischer Ablauf eines zielgerichteten

Mehr

Sicherheit mobiler Apps OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. Andreas Kurtz

Sicherheit mobiler Apps OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. Andreas Kurtz Sicherheit mobiler Apps Andreas Kurtz 17.11.2011 NESO Security Labs GmbH Universität Erlangen-Nürnberg mail@andreas-kurtz.de Copyright The Foundation Permission is granted to copy, distribute and/or modify

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

.NET-Objekte einfach speichern Michael Braam, Senior Sales Engineer InterSystems GmbH

.NET-Objekte einfach speichern Michael Braam, Senior Sales Engineer InterSystems GmbH Make Applications Faster.NET-Objekte einfach speichern Michael Braam, Senior Sales Engineer InterSystems GmbH Agenda Vorstellung InterSystems Überblick Caché Live Demo InterSystems auf einen Blick 100.000

Mehr

ITdesign ProtectIT Paket

ITdesign ProtectIT Paket ITdesign ProtectIT Paket Version 1.0 Konzeption und Inhalt: ITdesign Nutzung durch Dritte nur mit schriftlicher Genehmigung von ITdesign INHALTSVERZEICHNIS 1 ITDESIGN PROTECTIT... 3 1.1 BETRIEBSSYSTEME

Mehr

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best.

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best. Oracle VM Support und Lizensierung best Open Systems Day April 2010 Unterföhring Marco Kühn best Systeme GmbH marco.kuehn@best.de Agenda Oracle VM 2.2 Oracle VM 3.0 Oracle DB in virtualisierten Umgebungen

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Softwareentwicklung mit Enterprise JAVA Beans

Softwareentwicklung mit Enterprise JAVA Beans Softwareentwicklung mit Enterprise JAVA Beans Java Enterprise Edition - Überblick Was ist J2EE Java EE? Zunächst mal: Eine Menge von Spezifikationen und Regeln. April 1997: SUN initiiert die Entwicklung

Mehr

Intelligent Data Center Networking. Frankfurt, 17. September 2014

Intelligent Data Center Networking. Frankfurt, 17. September 2014 Intelligent Data Center Networking Frankfurt, 17. September 2014 Agenda 1. Herausforderungen im Rechenzentrum 2. Ziele 3. Status Quo 4. Ein neuer Weg 5. Mögliche Lösung 6. Beispiel Use Case 2 Viele Herausforderungen

Mehr

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung GecMeGUI Eine SSO-enabled WebGUI mit clientseitiger Schlüsselgenerierung Hochschule Furtwangen Frank Dölitzscher 04.04.2011 Agenda Web GUI 1. Einführung 2. Absicherung des Service Zugangs 3. Web GUI Sicherung

Mehr

Mehr erreichen mit der bestehenden Infrastuktur. Mathias Widler Regional Sales Manager DACH mwidler@a10networks.com

Mehr erreichen mit der bestehenden Infrastuktur. Mathias Widler Regional Sales Manager DACH mwidler@a10networks.com Mehr erreichen mit der bestehenden Infrastuktur Mathias Widler Regional Sales Manager DACH mwidler@a10networks.com 1 Das Unternehmen A10 Networks Gegründet 2004, 240 Mitarbeiter Mission: Marktführer im

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Microsoft Azure: Ein Überblick für Entwickler. Malte Lantin Technical Evangelist, Developer Experience & Evangelism (DX) Microsoft Deutschland GmbH

Microsoft Azure: Ein Überblick für Entwickler. Malte Lantin Technical Evangelist, Developer Experience & Evangelism (DX) Microsoft Deutschland GmbH Microsoft Azure: Ein Überblick für Entwickler Malte Lantin Technical Evangelist, Developer Experience & Evangelism (DX) Microsoft Deutschland GmbH Moderne Softwareentwicklung Microsoft Azure unterstützt

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1

HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1 HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1 AGENDA Einführung Apps - Einführung Apps Architektur SharePoint-Hosted Apps Cloud-Hosted Apps Ausblick 11.09.2012 IOZ AG 2 ÜBER

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

DNS, FTP, TLD Wie kommt meine Website ins Internet?

DNS, FTP, TLD Wie kommt meine Website ins Internet? DNS, FTP, TLD Wie kommt meine Website ins Internet? Ein Blick hinter die Kulissen Martin Kaiser http://www.kaiser.cx/ Über mich Elektrotechnik-Studium Uni Karlsruhe Mitarbeiter bei verschiedenen Internetprovidern

Mehr