Grundpraktikum Netz- und Datensicherheit. Thema: Web-Angriffe

Größe: px
Ab Seite anzeigen:

Download "Grundpraktikum Netz- und Datensicherheit. Thema: Web-Angriffe"

Transkript

1 Grundpraktikum Netz- und Datensicherheit Thema: Web-Angriffe Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Versuchdurchführung: Raum ID 2/168 Betreuung: Florian Feldmann Zusammengestellt von: Stefan Hoffmann & Hannes Oberender & Florian Bache & Patrick Meier Stand: 25. Juni 2013 Version: 1.3

2 Vorwort Ziel des Praktikums soll sein, ihnen grundlegendes Wissen der Netz- und Datensicherheit praktisch darzustellen. Neben dem didaktischen Erfolg soll der Spaß an Kryptographie, Internetsicherheit oder Programmierung im Vordergrund stehen. Nichtsdestotrotz sollten Sie den Aufwand dieser Veranstaltung nicht unterschätzen! Sie werden in diesem Praktikum einer Auswahl an Themen begegnen, die in solch einem Umfang den Rahmen einer einzigen Vorlesung überschreiten würden. Vielmehr wird Ihnen Wissen vermittelt, das Bestandteil einiger Grundlagenvorlesungen ist, oder Basis für vertiefende Vorlesungen sein wird. Aus diesem Grund ist Ihre Vorbereitung entscheidend für den Erfolg des Praktikums. Das Studium der angegebenen Literaturreferenzen ist Voraussetzung für einen erfolgreichen Praktikumsversuch. Durch das Studium der Referenzen eignen Sie sich theoretisches Wissen an, das Grundlage für die Durchführung eines Versuchs ist und welches anschließend in einem Versuch praktisch untermauert sowie gefestigt werden soll. Die Aufgabe eines Betreuers ist somit nicht die Vermittlung des Grundlagenwissens, sondern die Unterstützung der Durchführung ihres Versuchs. Vor Beginn eines Versuchs wird in einem Vortestat überprüft, ob sie die Referenzen ausreichend studiert haben. Damit wird sichergestellt, dass Sie in der vorgegeben Zeit die gestellten Aufgaben lösen können. Sollte vom Betreuer festgestellt werden, dass Sie nachweislich nicht vorbereitet sind, werden Sie von dem Versuch ausgeschlossen und müssen zu einem Nachholtermin erscheinen. Ihr Ziel sollte es demnach sein, das Testat auf den direkten Weg zu erhalten. Zur Übung sollten Sie die untenstehenden Fragen beantworten können. Hinweise Lesen sie sich zuerst das Grundlagenkapitel durch. Recherchieren Sie bei Unklarheiten im Internet, diskutieren Sie mit Kommilitonen oder kontaktieren Sie bei schwerwiegenden Problemen Ihren Betreuer. Nehmen Sie bei Ihrer Recherche die angegebenen Quellen zur Hilfe, und versuchen Sie sich an den Hilfsfragen zu orientieren. Sie sollten unter allen Umständen auch Versuchen die Aufgaben so weit wie möglich zu bearbeiten. Nach einem Versuch muss jede Gruppe ein Protokoll anfertigen, in dem die Herleitung, die Lösung der Aufgaben, und vor allem deren Begründung unter Ausnutzung des gesammelten Wissens erörtert werden. Bei der Begründung können Zeichnungen helfen! Das Protokoll kann wahlweise in deutscher oder englischer Sprache erstellt werden. Es sollte den orthographischen und grammatischen Anforderungen der Sprache genügen. Sie haben bis zu einer Woche Zeit, um ihr computergefertigtes Protokoll in ausgedruckter Form beim Betreuer abzugeben, ansonsten erhalten sie Ihr Endtestat nicht. Bei offenen Fragen richten Sie sich immer an den jeweiligen Betreuer! Viel Spaß! Grundpraktikum NDS - Web Angriffe Juni 2013

3 1 Analyse der Verhaltensweise und Technicken von Phishern 1 Analyse der Verhaltensweise und Technicken von Phishern Identitätsdiebstahl durch Phishing ist eines der am schnellsten wachsenden Verbrechen im Internet. Dabei werden unachtsame Nutzer auf gefälschte Webseiten gelockt, die sie zur Preisgabe von privaten Daten (z.b. Passwörter, TANs) verleiten. In diesem Abschnitt ist es Ihre Aufgabe, die Verhaltensweise und Technik von Phishern zu begreifen und zu verstehen, denn nur so können geeignete Maßnahmen gegen Phishing entwickelt werden. 1.1 Rock Phishing Kit Analyse Ein neu entdeckter Phishing-Server hosted oft mehr als nur eine gefälschte Banken-Website. In diversen Unterverzeichnissen liegen Phishing-Seiten für meist mehr als ein Dutzend Banken. Nach eigenen Untersuchungen halten Webserver, die mit dem Rock Phishing Kitëingerichtet werden, Phishing-Sites von mehr als 20 Institutionen. Darunter befinden sich diverse deutsche, als auch ausländische Banken und auch E-Commerceanwendungen, wie Ebay, Amazon und PayPal. Alle Phishing-Sites sind nach dem gleichen Schema aufgebaut. Sie bestehen aus kopierten und dann für die Zwecke der Täter angepassten Original-Seiten der Banken. Die Anpassungen bestehen im Einfügen eines Eingabeformulars für die Zugangsdaten, einschließlich PIN und mehrerer TAN sowie mehrerer Javascript-Module. Auf dem Weblog von F-Secure [1] finden Sie ein Video des Rock Phishing Kit in Aktion. Abbildung 1: Video auf Weblog von F-Secure 1.2 Erkennung von Anti-Phishing Maßnahmen Sie haben in der ersten Aufgabe nun im Groben kennengelernt, was für Techniken und Methoden ein Phisher anwenden könnte um Opfer abzuphishen. In diesem Abschnitt ist es Ihre Aufgabe, sich in die Grundpraktikum NDS - Web Angriffe Juni 2013

4 2 Sicherheit von Web-Anwendungen Lage eines Phishers hinein zu versetzen. Ihr Ziel ist es, möglichst viele, gültige Zugangsdaten zu einem Onlinebankingsystem abzuphishen, um sich selbst finanziell zu bereichern. Stand der Dinge ist, dass Sie bereits Ihren sogenannten Trägerangreifer damit beauftragt haben eine neue Spamwelle mit Phishingmails loszuschicken und nun warten Sie auf die ersten Opfer. Zudem haben Sie sich bereits illegalen Zugang zu einem Webserver verschafft, auf dem Sie nun das Rock Phishing Kit installiert haben. Normalerweise können Sie davon ausgehen, dass es sich bei 99% der eingehenden Zugangsdaten um gültige Accounts handelt mit denen Sie dann im Anschluss illegale Transaktionen tätigen können. Allerdings wissen Sie von einer Gruppe, die sich damit beschäftigt Phishingformulare mit ungültigen, markierten Zugangsattributen zu fluten, um die Phisher auf die falsche Fährte zu lenken. Diese sogenannten Phoneytokens sind das Lockmittel und unterscheiden sich nicht von regulären Eingaben betrogener Nutzer. Sie wurden in Bezug auf die betroffene Webanwendung und die lokalen Umstände der eigentlichen Opfer generiert. Wenn Sie, als Phisher, sich nun mit einem Phoneytoken auf der Webseite der Bank anmelden, werden Sie automatisch auf den Phoneypot weitergeleitet, der in Analogie zu einem Honeypot die eigentliche Bankanwendung simuliert. Der Phoneypot dient dem Zweck, Daten über den Nutzer des Phoneytokens zu sammeln und analysiert sowohl netzwerk- als auch transaktionsbezogene Informationen seines Nutzers. Ihre Aufgabe wird es nun sein, Phoneytokens von den realen, gephishten Accounts zu unterscheiden und zwar bereits in der Übertragungsphase, sprich: Wenn die Zugangsdaten an Ihrem Phishingserver ankommen. Auf technischer Ebene bedeutet dies, dass Sie sich den Netzwerkverkehr von und zu Ihrem Phishingserver genau anschauen und so versuchen können, die automatischen Phoneytokensender von realen, manuellen Opfern zu unterscheiden. Denn automatisierte Verfahren machen oft Feinheitsfehler oder wurden schlecht implementiert und führen so z.b. keinen korrekten HTTP Request durch. In Ihrem Fall werden Sie nur auf Layer 7 analysieren und nicht die unteren Layer in Betracht ziehen. Unter [2] und [3] finden Sie Hintergrundinformationen zu diesem doch recht einfachen Ansatz gegen Phishing. 2 Sicherheit von Web-Anwendungen Die Sicherheit von Webanwendungen geht keineswegs nur die Betreiber von Online-Shops und Banking- Portalen an. Vielmehr sind zunehmend auch kleinere oder privat betriebene Websites das Ziel böswilliger Angreifer aus dem Internet. Nicht unbedingt, weil es da Geld oder geheime Daten zu holen gäbe, sondern um den gekaperten Server für eigene Zwecke zu missbrauchen. Dort kann man dann raubkopierte Software archivieren und tauschen, verteilte Denial-of-Service-Angriffe vorbereiten oder Spam-Mails verschicken. Oder der Angreifer manipuliert die Webseiten, um Besucher mit Dialern oder Spyware zu infizieren. Weitere Informationen über solche Attack-Frameworks finden Sie hier [17] und hier [18]. Seitdem 1971 in den USA offiziell bekannt wurde, dass durch das Pfeifen eines 2600 Hertz Tons in ein Telefon, Gespräche kostenlos geführt werden können, ziehen sich input validation Fehler durch die Geschichte der Computersicherheit wie ein roter Faden. Als man damals mit der Spielzeug-Pfeife aus einer Frühstücksflockenpackung den 2600 Hertz Ton erzeugte [5], und ein Telefon diesen Ton aufnahm, signalisierte der Ton der Vermittlungsstelle dass ein neues - kostenfreies Gespäch initiiert werden soll. Befehle an die Vermittlungsstelle wurden somit über den gleichen Kanal geschickt wie das Gespräch des Kunden. Grundpraktikum NDS - Web Angriffe Juni 2013

5 2 Sicherheit von Web-Anwendungen Abbildung 2: in-band und out-of-band signalling Diese Technik wird in-band signalling genannt und wurde von den Telefonanbietern durch die outof-band signalling Technik abgelöst, die das kostenlose Telefonieren auf die oben genannte Weise schwieriger machte. Ein input validation Fehler tritt auf, wenn Nutzdaten (Telefongespräche) und Steuerdaten (Vermittlungsstellensignale; Wahl einer Nummer) über den gleichen Kanal gesendet werden und keine klare Trennung durch den Empfänger (Vermittlungsstelle, Server) durchgeführt werden kann. Ein Angreifer ist somit in der Lage gezielt manipulierte Nutzdaten zu senden, die von dem Empfänger als Steuerdaten interpretiert werden. Dadurch kann er die Logik des Empfänger-Systems beliebig beeinflussen. Cross-site scripting (XSS) Fehler sind die input validation Fehler der heutigen Zeit. Im Jahr 2006 waren 21,5% der gemeldeten Schwachstellen XSS Fehler [6]. Durch einen XSS Fehler kann der Angreifer zum Beispiel die Darstellung einer Internetseite manipulieren. Die Voraussetzung ist, dass eine Internetseite Benutzereingaben akzeptiert, zum Beispiel eine Suchanfrage, und daraufhin eine dynamische Seite mit den Suchergebnissen generiert. Falls die Webanwendung die Benutzereingaben nicht ausreichend validiert, kann der Angreifer Steuerbefehle in die Suchanfrage einbetten und somit die Darstellung ändern. Praktisch bedeutet Validieren zum Beispiel dass HTML Steuerbefehle aus der Suchanfrage entfernt werden müssen, da sonst die Suchantwort die HTML Steuerbefehle enthält, welche wiederum die Darstellung der Internetseite manipulieren können. Grundpraktikum NDS - Web Angriffe Juni 2013

6 2 Sicherheit von Web-Anwendungen Abbildung 3: Funktionsweise von XSS Da die meisten Webanwendungen dynamisch Antworten generieren, ist ein Großteil der XSS Fehler nicht persistent, d.h. dass ein Benutzer erst auf einen speziell gefertigten Internetlink klicken muss, um auf die verfälschte Seite zu gelangen. Ein persistentes XSS hingegen könnte in einem Diskussionsfaden eines Internetforums die Loginfelder so abändern, dass das eingegebene Passwort in dem Loginfeld an den Angreifer gesendet wird. Daher sind XSS Fehler gerade für Phisher attraktiv. Ein Internetlink der auf eine verfälschte Seite einer verwundbaren Bank verweist, funktioniert selbst unter dem als sicher geltenden HTTPS (TLS/SSL) Protokoll, welches die Anwendungsdaten verschlüsselt und authentifiziert überträgt. Dies eröffnet dem Phisher die Möglichkeit PINs und TANs zu stehlen obwohl in der Adresszeile des Webbrowsers eine gültige Bank HTTPS URL steht. In der jüngeren Vergangenheit war jede große Internetseite betroffen: der Phishmarkt [7] zeigte, dass 33 österreichische und 48 deutsche Banken zwischen Oktober 2006 und Januar 2007 für XSS Angriffe verwundbar gewesen sind. XSS Attacken gehören zu der Klasse der sogenannten IO-errors (Input-Output Errors) zu der auch Attacken wie SQL-Injections gehören. Letztere sind im Rahmen dieses Praktikums aber nicht relevant und werden deshalb nicht weiter behandelt. Weitere Klassen sind die der interface flaws welche z.b. das lesen nicht öffentlicher Verzeichnisse auf dem Serversystem ermöglicht. Beispiel: Buffer/Integer/Heap overflows gehören zur Klasse der data reference failures wohingegen format strings und race condition zur Klasse der os interface failures gehören. Mit Websicherheit hat das dann aber nur noch bedingt was zu tun, daher sollte die Auflistung nur der Vollständigkeit dienen. Grundpraktikum NDS - Web Angriffe Juni 2013

7 2 Sicherheit von Web-Anwendungen Aber wie Sie sehen, gibt es ein breites Spektrum an Angriffsvektoren, die man nutzen kann Schadcode auf Server oder Client durchführen zu lassen. Wir beschäftigen uns nun mit einer speziellen Art von XSS-Angriffen, dem Session-Hijacking. Oftmals ist in der Literatur und Presse auch von Session Riding die Rede und teilweise wird sogar behauptet, diese beiden Begriffe hätten nichts miteinander zu tun. Die Differenzierung ist aber gerade hier recht schwierig. Eine Sitzung (engl. Session) bezeichnet in der EDV eine stehende Verbindung eines Clients mit einem Server (siehe auch Client-Server-System). Den Anfang einer Sitzung bezeichnet man als Login, das Ende als Logout. Grundsätzlich ist HTTP ein verbindungsloses/zustandsloses Protokoll, da jeder HTTP-Request vom Webserver als neue Verbindung entgegengenommen, abgearbeitet und direkt danach wieder geschlossen wird (es geht auch anders, wie [11] zeigt). Da viele Webanwendungen aber darauf angewiesen sind ihre Benutzer auch über die Dauer eines solchen Requests hinaus zuzuordnen, implementieren sie eine eigene Sitzungsverwaltung. Dazu wird zu Beginn jeder Sitzung eine eindeutige Sitzungs-ID generiert, die der Browser des Benutzers bei allen folgenden Anfragen anfügt, sei es über GET- oder POST-Parameter oder wie meistens über ein Cookie. Beispiel für eine SessionID als GET-Parameter: Kann der Angreifer diese Sitzungs-ID mitlesen, kann er durch das Anfügen der Sitzungs-ID an eigene HTTP-Requests die Sitzung übernehmen. Dies geschieht öfters mal durch unbedarfte Nutzer, die in Webforen z.b. komplette Links mit Session-IDs posten. Mehr Informationen zu Session Riding finden Sie hier [12]. Abbildung 4: XSS Session Hijacking Grundpraktikum NDS - Web Angriffe Juni 2013

8 3 Aufgaben 3 Aufgaben Analyse der Verhaltensweise und Technik von Phishern Sie finden unter /home/student/desktop/praktikum/webattack/rock-phishing-kit/ einen Programmausschnitt aus dem Rock Phishing Kit das eine Phishingwebseite der Citibank darstellt. 3.1 In der Datei index.html befindet sich in den Zeilen 3-29 ein Javascript. Was ist die Funktion dieses Scriptes? Was soll durch die Verwendung eines solchen Scriptes erreicht werden? Was geschieht bei Betätigung des Update Buttons? Hilfe zum grundlegenden Verständnis von Javascript finden Sie hier [8]. Sie brauchen die Funktion nicht vollständig zu erläutern, sondern lediglich den Sinn und Zweck erklären. 3.2 Was ist die Aufgabe der verify.php Datei? Beschreiben Sie die einzelnen Zeilen der Datei oberflächlich (was passiert im Groben). Erklären Sie die Zeilen $ar=array... und $cc=$ar[ 2 ]... ausführlich und versuchen Sie zu verstehen, wozu dieser Programmcode nützlich sein könnte. Was passiert am Ende des Programmes? Hilfe zum grundlegenden Verständnis von PHP finden Sie hier [9]. Nun versetzen Sie sich in die Rolle eines Phishers, der versuchen möchte gültige, gephishte Zugangsdaten von ungültigen, künstlich erstellten Phoneytokens zu trennen. Sie versuchen also auf technischer Ebene die Phoneytokensender zu entlarven. Sie finden die Log-Datei Ihres Apache-Webserver unter /home/student/desktop/praktikum/webattack/access.log. Die Phishingwebseite, die Sie aufgesetzt haben, finden Sie unter /home/student/desktop/praktikum/webattack/phishwebseite 3.3 In der access.log Datei befinden sich 3 Logs von 3 verschiedenen Clienten. Bei 2 Clienten handelt es sich um Phoneytokensender, bei einem um ein reales Opfer. Die Phoneytokensender wurden teilweise schlecht implementiert und weisen daher protokollspezifische Fehler auf, die Sie nun ausnutzen werden um die Sender zu entlarven. Ihre Aufgabe ist es daher, das valide Phishingopfer von den beiden Phoneytokensendern zu differenzieren. Dazu sollten Sie als erstes den Ordner /home/student/desktop/praktikum/webattack/phish-webseite in das htdocs-verzeichnis des Apache- Webservers bringen. Grundpraktikum NDS - Web Angriffe Juni 2013

9 3 Aufgaben Wenn Sie nun die Phishingwebseite lokal über Ihren Apache aufrufen, werden jeweils in den Log- Dateien Ihre Anfragen protokolliert (meist unter /var/log/apache2/ access.log). Vergleichen Sie nun die eigenen Logdateien mit der vorhandenen access.log. Hilfe zur Auswertung von Apache-Logdateien finden Sie hier [4]. Was fällt Ihnen bei den Requests auf? Von welcher IP hat das reale Phishingopfer seine Zugangsdaten übertragen und an Hand welcher Unterscheidungsmerkmale konnten Sie die Phoneytokensender entlarven? Wie bereits erwähnt, sollte man sich bei der Entlarvung von Phoneytokensender sich nicht nur auf Layer 7 Attribute verlassen. Welche weiteren Layer und welche spezifischen Attribute könnten Ihrer Meinung nach zur Entlarvung beitragen? Tipp: Um Anhand von Logdateien Phoneytokensender von realen Opfern zu unterscheiden, muss man verstehen was genau eigentlich in die Logdatei geschrieben wird. Schauen Sie sich also die Hilfe für Apache-Logs [4] genau an und versuchen Sie zu verstehen was die einzelnen Felder bedeuten. Nun sortieren Sie aus: Welche Felder sind irrelevant, welche wiederum sind wichtig und vor allem, was wurde bei den Requests in der Logdatei falsch gemacht. Eine einleitende Beschreibung zum HTTP Protokoll finden Sie hier [10]. Probieren Sie den Versuch selbst aus indem Sie den lokal installierten Apache nutzen um die Phishingwebseite aufzurufen. Nutzen Sie hierfür verschiedene installierte Browser. Anschließend schauen Sie sich die Logfiles auf Ihrem System an und vergleichen diese mit der access.log. Dann werden Sie sicherlich zur Lösung kommen. Letzter Hinweis: Die Zeit der Request können Sie vernachlässigen. Teil2: Sicherheit von Webanwendungen In der einleitenden Beschreibung wurde bereits erwähnt, dass XSS Attacken nicht durch die Benutzung von SSL/TLS verhindert werden können bzw. SSL/TLS größtenteils nicht gegen diese Attacken schützt. Eine Frage daher vorab: 3.4 Warum schützt das SSL/TLS Protokoll nicht vor Missbrauch durch die meisten XSS Attacken? Welche XSS Attacken werden durch die Nutzung von SSL/TLS verhindert? Sie werden nun im Folgenden eine eigene XSS-Attacke gegen eine vordefinierte Seite fahren. Unter /home/student/desktop/praktikum/webattack/ride-my-session finden Sie alle dazu nötigen Dateien. Uns interessiert vorerst einmal die index.php Datei. Machen Sie den Ordner dem Apachen zugänglich und rufen Sie diesen Ordner über den Browser auf. Sie sehen nun eine Pseudo-Webanwendung für Onlinebanking. Füllen Sie nun die Eingabefelder aus und klicken Sie auf abschicken. Ihre Überweisung wurde nun getätigt. Im Prinzip laufen so Onlinebanking-Anwendungen ab, nur eben mit einer sehr viel komplexeren Front- und Backend-Struktur. 3.5 Erklären Sie grob was beim Aufruf der index.php Datei abläuft. Was lösen Sie durch das Klicken des abschicken Buttons aus? Grundpraktikum NDS - Web Angriffe Juni 2013

10 3 Aufgaben Nehmen Sie das bereits besprochene Programm Wireshark (ehemals ethereal ) zur Hilfe und analysieren Sie den TCP/IP Datenstrom bzw. den http-datenstrom. (Hinweis: Bitte erklären Sie nur, was auf Layer 3-7 abläuft und NICHT was das Script an sich macht. Es soll hier nur sichergestellt werden, dass Ihnen klar ist, wie Webserver mit ihren Clienten kommunizieren). 3.6 Nun untersuchen Sie die index.php genauer. Öffnen Sie dazu die Datei mit einem Texteditor Ihrer Wahl (z.b. vim, gedit usw... ). Was passiert in den ersten Zeilen des Programmcodes? Siehe auch [9] und [13]. Was sehen Sie im Adressfenster des Webbrowsers wenn sie den Button klicken? Erklären Sie, was diese Variablen bedeuten und inwiefern der PHP dafür zuständig ist. Stichwort: GET-Variablen [14] Die Programmierer dieser Webanwendung werden schlecht bezahlt und arbeiten zu unregelmäßigen in einem sehr unattraktiven Arbeitsumfeld [15]. Es wurden daher fatale Fehler in der Programmierung dieser Webanwendung gemacht, die Sie nun im folgenden Ausnutzen werden, um Schadcode auf den Webclienten Ihrer Opfer auszuführen. Im Detail handelt es sich hierbei nicht um Schadcode sondern um die oben bereits genannten IO-errors. Dem Webclient des Opfers wird also fremder Code untergejubelt, den dieser dann interpretiert da er diesen als unkritisch einstuft. Der Nutzer, das eigentliche Opfer, bekommt davon nichts mit, vorausgesetzt, die Attacke wurde gut gemacht. 3.7 Untersuchen Sie nun die index.php nach dem Programmierfehler. Hinweis: Sie werden über die Adresszeile in den GET-Variablen den Schadcode hinzufügen. Grundpraktikum NDS - Web Angriffe Juni 2013

11 4 Fragen 4 Fragen 1. Was ist das RockPhishing Kit? Was ist MPack, was IcePack? 2. Was muss man derzeit auf dem freien Markt ungefähr für eine Software wie MPack bezahlen? 3. Nennen Sie ein Beispiel für input validation Fehler. 4. Schützt SSL vor input validation Fehlern? 5. Nennen Sie ein Beispiel für out-of-band signalling. 6. Wer trägt Schuld an XSS Lücken, der Server oder der Client oder beide? Argumentieren Sie! 7. Was für Probleme könnten Ihrer Meinung nach auftreten, wenn eine SessionID nicht rein zufällig gewählt wurde? 8. Welche Schutzfunktion sollte grundlegend das Aufrufen von verhindern, wenn der Server korrket konfiguriert wurde? 9. Grundlegende Frage: Ist das surfen mit Javascript enabled sicherer? Argumentieren Sie! 10. Sie alle kennen das Campussystem VSPL. Würde es Ihrer Meinung nach sinnvoll sein, Javascript in dieser Anwendung zu aktivieren bzw. zu deaktivieren? Was sind die Vorund Nachteile? 11. Können alleine durch XSS Attacken Daten aus einer Datenbank gestohlen werden? 12. Was kann serverseitig bzw. clientseitig gegen XSS getan werden? Vorschläge! 13. Der Sammy-Wurm auf der Plattform MySpace.com war der schnellste Wurm der bisherigen Internetgeschichte. Recherchieren und erklären Sie, warum dieser Wurm überhaupt möglich war. Wer trägt die Schuld? Grundpraktikum NDS - Web Angriffe Juni 2013

12 Literatur Literatur [1] Adobe. PS language specifications. specs.html. [2] Dobbertin, Bosselaers, and Preneel. The hash function RIPEMD bosselae/ripemd160.html. [3] Eastlake. US Secure Hash Algorithm 1, [4] Klima and Dufek. MD5-Collisions - Algorithm from Pavel Dufek: Modification of Klima s program, collisions.html. [5] Lucks and Daum. The Story of Alice and her Boss, ec05.pdf. [6] Rivest. The MD4 Message-Digest Algorithm, [7] Rivest. The MD5 Message-Digest Algorithm, [8] Wang and Yu. How to break MD5 and other hash functions. Advances in Cryptology - EURO- CRYPT 2005, pages 19 35, Grundpraktikum NDS - Web Angriffe Juni 2013

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12 Operator Guide Einleitung Diese Guide vermittelt ihnen das Operator Know How für die Gästbox. Was müssen Sie wissen bevor Sie sich an die Arbeit machen. Von welchem PC aus kann ich die Gästbox bedienen.

Mehr

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 Bei dem vierten Teil geht es um etwas praktisches: ein Emailformular, dass man auf der eigenen

Mehr

Infoblatt BROWSER TIPSS. Mozilla Firefox & Internet Explorer. 2012, netzpepper

Infoblatt BROWSER TIPSS. Mozilla Firefox & Internet Explorer. 2012, netzpepper Infoblatt BROWSER TIPSS Mozilla Firefox & Internet Explorer 2012, netzpepper Alle Rechte vorbehalten. Nachdruck oder Vervielfältigung auch auszugsweise nur mit schriftlicher Genehmigung des Autors. Stand:

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten Seit Anfang Juni 2012 hat Facebook die Static FBML Reiter deaktiviert, so wird es relativ schwierig für Firmenseiten eigene Impressumsreiter

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Grundpraktikum Netz- und Datensicherheit. Thema: Sicheres CGI-Scripting

Grundpraktikum Netz- und Datensicherheit. Thema: Sicheres CGI-Scripting Grundpraktikum Netz- und Datensicherheit Thema: Sicheres CGI-Scripting Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Versuchdurchführung: Raum ID 2/168 Betreuung: Florian Feldmann Zusammengestellt

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

WordPress installieren und erste Einblicke ins Dashboard

WordPress installieren und erste Einblicke ins Dashboard WordPress installieren und erste Einblicke ins Dashboard Von: Chris am 16. Dezember 2013 In diesem Tutorial zeige ich euch wie ihr WordPress in der aktuellen Version 3.7.1 auf eurem Webspace installieren

Mehr

Phishing Betrug im Internet Einführung, Beispiele und Ermittlungsansätze

Phishing Betrug im Internet Einführung, Beispiele und Ermittlungsansätze 9. Tagung der Schweizerischen Expertenvereinigung «Bekämpfung der Wirtschaftskriminalität» Phishing Betrug im Internet Einführung, Beispiele und Ermittlungsansätze IWI Institut für Wirtschaftsinformatik

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Publizieren von Webs mit SmartFTP

Publizieren von Webs mit SmartFTP Publizieren von Webs mit SmartFTP Informationen FTP steht für File Transfer Protocol. Ein Protokoll ist eine Sprache, die es Computern ermöglicht, miteinander zu kommunizieren. FTP ist das Standardprotokoll

Mehr

Grundpraktikum Netz- und Datensicherheit. Thema: Konfiguration von Apache HTTPD

Grundpraktikum Netz- und Datensicherheit. Thema: Konfiguration von Apache HTTPD Grundpraktikum Netz- und Datensicherheit Thema: Konfiguration von Apache HTTPD Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Versuchdurchführung: Raum ID 2/168 Zusammengestellt von: Andre

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

Erkennen und verhindern Sie Einbrüche über Web-Anwendungen Hack Schützen Sie Ihren Webserver und dynamischen Inhalt vor Einbrüchen.

Erkennen und verhindern Sie Einbrüche über Web-Anwendungen Hack Schützen Sie Ihren Webserver und dynamischen Inhalt vor Einbrüchen. HACK 117 Erkennen und verhindern Sie Einbrüche über Web-Anwendungen Hack Schützen Sie Ihren Webserver und dynamischen Inhalt vor Einbrüchen. #117 Das Entdecken von Einbrüchen, die herkömmliche Protokolle

Mehr

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung Musterlösung für Schulen in Baden-Württemberg Windows 2003 Netzwerkanalyse mit Wireshark Stand: 10.02.2011 / 1. Fassung Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Installation SuperWebMailer

Installation SuperWebMailer Installation SuperWebMailer Die Installation von SuperWebMailer ist einfach gestaltet. Es müssen zuerst per FTP alle Dateien auf die eigene Webpräsenz/Server übertragen werden, danach ist das Script install.php

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

www.flatbooster.com FILEZILLA HANDBUCH

www.flatbooster.com FILEZILLA HANDBUCH www.flatbooster.com FILEZILLA HANDBUCH deutsche Auflage Datum: 12.03.2011 Version: 1.0.2 Download: http://flatbooster.com/support Inhaltsverzeichnis 1 Filezilla FTP Programm 1 1.1 Filezilla installieren.................................

Mehr

Dokumentation Softwareprojekt AlumniDatenbank

Dokumentation Softwareprojekt AlumniDatenbank Dokumentation Softwareprojekt AlumniDatenbank an der Hochschule Anhalt (FH) Hochschule für angewandte Wissenschaften Fachbereich Informatik 13. Februar 2007 Betreuer (HS Anhalt): Prof. Dr. Detlef Klöditz

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

AJAX SSL- Wizard Referenz

AJAX SSL- Wizard Referenz AJAX SSL- Wizard Referenz Version 1.0.2+ - 04.04.2011 Präambel Die vorliegende Dokumentation beschreibt den AJAX basierten SSL- Wizard der CertCenter AG. Der SSL- Wizard kann mit wenigen Handgriffen nahtlos

Mehr

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey Kurzanleitung RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal - 2 - Vorwort zu dieser Anleitung SysCP ist eine freie und kostenlose Software zur Administration von Webservern.

Mehr

PhPepperShop ProfitApp Modul

PhPepperShop ProfitApp Modul PhPepperShop ProfitApp Modul Datum: 13. Januar 2015 Version: 1.2 PhPepperShop ProfitApp Modul Anleitung Glarotech GmbH Inhaltsverzeichnis 1. Einleitung...3 2. Installation...3 2.1 Systemanforderungen /

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker?

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? Dipl.-Inform. Dominik Vallendor 14. November 2013 Tralios IT GmbH www.tralios.de Über mich Dipl.-Inform. Dominik

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Stubbe-CS. Kurssystem. Günter Stubbe. Datum: 19. August 2013

Stubbe-CS. Kurssystem. Günter Stubbe. Datum: 19. August 2013 Kurssystem Günter Stubbe Datum: 19. August 2013 Aktualisiert: 6. September 2013 Inhaltsverzeichnis 1 Einleitung 5 2 Benutzer 7 2.1 Registrierung............................. 7 2.2 Login..................................

Mehr

Web Exploit Toolkits - Moderne Infektionsroutinen -

Web Exploit Toolkits - Moderne Infektionsroutinen - Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

KOGIS Checkservice Benutzerhandbuch

KOGIS Checkservice Benutzerhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 KOGIS Checkservice Benutzerhandbuch Zusammenfassung Diese Dokumentation beschreibt die Bedienung des KOGIS Checkservice. 4.2.2015

Mehr

Anbindung an Wer-hat-Fotos.net

Anbindung an Wer-hat-Fotos.net Anbindung an Wer-hat-Fotos.net Stand: 7. Juni 2012 2012 Virthos Systems GmbH www.pixtacy.de Anbindung an Wer-hat-Fotos.net Einleitung Einleitung Dieses Dokument beschreibt, wie Sie Ihren Pixtacy-Shop an

Mehr

SMS-Gateway HTTP(S) Schnittstellenbeschreibung

SMS-Gateway HTTP(S) Schnittstellenbeschreibung SMS-Gateway HTTP(S) Schnittstellenbeschreibung Version 1.01 02.05.2013 Web: http://www.sms-expert.de Allgemeine Beschreibung der HTTP(S)- Schnittstelle des SMS-Gateways Inhaltsverzeichnis 1. Einleitung...

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

SSL Sicherheit. Hinweise zur Sicherheit der SSLverschlüsselten. 2014-04-04 Rainer Meier Mühlistr. 4 6288 Schongau skybeam@skybeam.ch.

SSL Sicherheit. Hinweise zur Sicherheit der SSLverschlüsselten. 2014-04-04 Rainer Meier Mühlistr. 4 6288 Schongau skybeam@skybeam.ch. SSL Sicherheit Hinweise zur Sicherheit der SSLverschlüsselten Datenübermittlung Meier Informatik Rainer Meier Mühlistr. 4 6288 Schongau skybeam@skybeam.ch by Rainer Meier Sicherheitshinweise Seite 2 1.

Mehr

Roundcube Webmail Kurzanleitung

Roundcube Webmail Kurzanleitung Roundcube Webmail Kurzanleitung Roundcube Webmail ist ein IMAP Client, der als Schnittstelle zu unserem E-Mail-Server dient. Er hat eine Oberfläche, die E-Mail-Programmen für den Desktop ähnelt. Öffnen

Mehr

INSTALLATION. Voraussetzungen

INSTALLATION. Voraussetzungen INSTALLATION Voraussetzungen Um Papoo zu installieren brauchen Sie natürlich eine aktuelle Papoo Version die Sie sich auf der Seite http://www.papoo.de herunterladen können. Papoo ist ein webbasiertes

Mehr

Wie erstelle ich Backups meiner TYPO3 Präsentation?

Wie erstelle ich Backups meiner TYPO3 Präsentation? » Diese FAQ als PDF downloaden Wie erstelle ich Backups meiner TYPO3 Präsentation? Aufgrund einer Sicherheitslücke in der Backupfunktion des Confixx Professional, wurde diese vor einiger Zeit für sämtliche

Mehr

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage .htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess

Mehr

RÖK Typo3 Dokumentation

RÖK Typo3 Dokumentation 2012 RÖK Typo3 Dokumentation Redakteur Sparten Eine Hilfe für den Einstieg in Typo3. Innpuls Werbeagentur GmbH 01.01.2012 2 RÖK Typo3 Dokumentation Inhalt 1) Was ist Typo3... 3 2) Typo3 aufrufen und Anmelden...

Mehr

Digitale Identität. Candid Wüest Threat Researcher Symantec Switzerland

Digitale Identität. Candid Wüest Threat Researcher Symantec Switzerland Candid Wüest Threat Researcher Symantec Switzerland Agenda 1 Welche Informationen gibt es online 2 Wie kommen die Daten abhanden 3 Was wird mit den Daten angestellt 4 Q & A Candid Wüest 2 Was gehört dazu?

Mehr

JSF Erstellen einer einfachen Bankanwendung mit Kontoübersicht und Überweisung

JSF Erstellen einer einfachen Bankanwendung mit Kontoübersicht und Überweisung Universität Bayreuth Lehrstuhl für Angewandte Informatik IV Datenbanken und Informationssysteme Prof. Dr.-Ing. Jablonski JSF Erstellen einer einfachen Bankanwendung mit Kontoübersicht und Überweisung Dipl.

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST 2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.

Mehr

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien 3. Installation Ihres Shops im Internet / Kurzanleitung Kurzanleitung: Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien Geben Sie während der Webbasierten Installationsroutine alle

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Installation von Wordpress

Installation von Wordpress Installation von Wordpress Wordpress (http://wordpress-deutschland.org/) ist ein sehr bekanntes Blog-Script, welches Ihnen ermöglicht, schnell und einfach ein Blog auf Ihrem Webspace zu installieren. Sie

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Schnittstellenbeschreibung

Schnittstellenbeschreibung Schnittstellenbeschreibung Inhalt: - Beschreibung - Vorbereitungen - Die Details - Die verschiedenen Nachrichtenarten - Nachrichtenarchiv - Rückgabewerte - Schnellübersicht und Preisliste Weltweite-SMS.de

Mehr

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003 Page 1 of 23 SSL Aktivierung für OWA 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 20.05.2005 Die Aktivierung von SSL, für Outlook Web Access 2003 (OWA), kann mit einem selbst ausgestellten

Mehr

Sichere E-Mail-Kommunikation mit fat

Sichere E-Mail-Kommunikation mit fat Sichere E-Mail-Kommunikation mit fat Inhalt Über das Verfahren... 1 Eine sichere E-Mail lesen... 2 Eine sichere E-Mail auf Ihrem PC abspeichern... 8 Eine sichere Antwort-E-Mail verschicken... 8 Einem fat-mitarbeiter

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Registrierung als Android Market Developer

Registrierung als Android Market Developer Registrierung als Android Market Developer Bitte befolgen Sie für die Registrierung als Android Market Developer folgende Schritte: Öffnen Sie die Website http://market.android.com/publish/. Zur Registrierung

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

eytron VMS Webanwendung Fehlersuche und -Behebung

eytron VMS Webanwendung Fehlersuche und -Behebung eytron VMS Webanwendung Fehlersuche und -Behebung 2009 ABUS Security-Center GmbH & Co. KG, Alle Rechte vorbehalten Diese Anleitung soll Ihnen Unterstützung für den Fall geben, dass die Webanwendung nach

Mehr

Kundeninformationen zu Secure-E-Mail

Kundeninformationen zu Secure-E-Mail Kreissparkasse Saalfeld-Rudolstadt Kundeninformationen zu Secure-E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

VB.net Programmierung und Beispielprogramm für GSV

VB.net Programmierung und Beispielprogramm für GSV VB.net Programmierung und Beispielprogramm für GSV Dokumentation Stand vom 26.05.2011 Tel +49 (0)3302 78620 60, Fax +49 (0)3302 78620 69, info@me-systeme.de, www.me-systeme.de 1 Inhaltsverzeichnis Vorwort...2

Mehr

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration...

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration... Inhaltsverzeichnis 1. Wireless Switching... 2 1.1 Einleitung... 2 1.2 Voraussetzungen... 2 1.3 Konfiguration... 2 2. Wireless Switch Konfiguration... 3 2.1 Zugriff auf den Switch... 3 2.2 IP Adresse ändern...

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Multivariate Tests mit Google Analytics

Multivariate Tests mit Google Analytics Table of Contents 1. Einleitung 2. Ziele festlegen 3. Einrichtung eines Multivariate Tests in Google Analytics 4. Das JavaScript 5. Die Auswertung der Ergebnisse Multivariate Tests mit Google Analytics

Mehr

Merak: Email einrichten und verwalten (Merak)

Merak: Email einrichten und verwalten (Merak) Welche Vorteile hat der neue Mailserver? Der Merak Mailserver läuft schneller und wesentlich stabiler als der bisher verwendete Mailserver. Zudem wird nun ein integrierter Spamschutz mit angegeben, der

Mehr

Häufig gestellte Fragen zu Brainloop Secure Dataroom

Häufig gestellte Fragen zu Brainloop Secure Dataroom Häufig gestellte Fragen zu Brainloop Secure Dataroom Klicken Sie auf eine der Fragen unten, um die Antwort dazu anzuzeigen. 1. Ich versuche mich zu registrieren, aber erhalte keine TAN. Warum? 2. Ich kann

Mehr

Inhaltsverzeichnis. Seite

Inhaltsverzeichnis. Seite UEmail und GMX Inhaltsverzeichnis I. Email/ Allgemeines 1 II. Emailprogramm GMX 1 1. Zugangsdaten bei GMX 1 2. Anmelden bei GMX/ Zugang zu Ihrem Email-Postfach 1 3. Lesen neuer Emails 4 4. Neue Email schreiben

Mehr

IntelliShare E-Mail-Verschlüsselung. IntelliShare - Anwenderhandbuch. Inhalt. Sicherheit. Echtheit. Vertraulichkeit.

IntelliShare E-Mail-Verschlüsselung. IntelliShare - Anwenderhandbuch. Inhalt. Sicherheit. Echtheit. Vertraulichkeit. IntelliShare E-Mail-Verschlüsselung IntelliShare - Anwenderhandbuch Sicherheit. Echtheit. Vertraulichkeit. Inhalt Vorwort... 2 Soe versenden Sie Daten mit IntelliShare:... 2 Datenversand mit dem IntelliShare

Mehr

Herzlich willkommen im Modul Web-Engineering

Herzlich willkommen im Modul Web-Engineering Herbst 2014 Herzlich willkommen im Modul Web-Engineering Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Martin Hüsler und Rainer Telesko

Mehr

Konfiguration und Verwendung von MIT - Hosted Exchange

Konfiguration und Verwendung von MIT - Hosted Exchange Konfiguration und Verwendung von MIT - Hosted Exchange Version 3.0, 15. April 2014 Exchange Online via Browser nutzen Sie können mit einem Browser von einem beliebigen Computer aus auf Ihr MIT-Hosted Exchange

Mehr

Bedienungsanleitung Internet-Veranstaltungskalender Eventsonline

Bedienungsanleitung Internet-Veranstaltungskalender Eventsonline Bedienungsanleitung Internet-Veranstaltungskalender Eventsonline Klicken sie auf Eine Veranstaltung neu Anmelden. Es öffnet sich ein neues Browserfenster 1. Titel Tragen Sie hier die Überschrift den Titel

Mehr

Der Weg ist das Ziel Kontrollfluss-Integrität in Web-Applikationen sichern

Der Weg ist das Ziel Kontrollfluss-Integrität in Web-Applikationen sichern Der Weg ist das Ziel Kontrollfluss-Integrität in Web-Applikationen sichern Bastian Braun (gemeinsame Arbeit mit Patrick Gemein, Hans P. Reiser) Institute of IT-Security and Security Law (ISL), Universität

Mehr

Kosten... 6 Was kostet das Versenden eines Faxes... 6 Was kostet der Empfang eines Faxes... 6 Was kostet der Empfang einer Voice-Mail...

Kosten... 6 Was kostet das Versenden eines Faxes... 6 Was kostet der Empfang eines Faxes... 6 Was kostet der Empfang einer Voice-Mail... UMS Rufnummern und PIN... 2 Wie lautet die Rufnummer meiner Voice-Mailbox (Anrufbeantworter)... 2 Wie lautet die Rufnummer meiner Fax-Mailbox... 2 Welche Rufnummer wird beim Versenden von Faxen übermittelt...

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr