Grundpraktikum Netz- und Datensicherheit. Thema: Web-Angriffe

Größe: px
Ab Seite anzeigen:

Download "Grundpraktikum Netz- und Datensicherheit. Thema: Web-Angriffe"

Transkript

1 Grundpraktikum Netz- und Datensicherheit Thema: Web-Angriffe Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Versuchdurchführung: Raum ID 2/168 Betreuung: Florian Feldmann Zusammengestellt von: Stefan Hoffmann & Hannes Oberender & Florian Bache & Patrick Meier Stand: 25. Juni 2013 Version: 1.3

2 Vorwort Ziel des Praktikums soll sein, ihnen grundlegendes Wissen der Netz- und Datensicherheit praktisch darzustellen. Neben dem didaktischen Erfolg soll der Spaß an Kryptographie, Internetsicherheit oder Programmierung im Vordergrund stehen. Nichtsdestotrotz sollten Sie den Aufwand dieser Veranstaltung nicht unterschätzen! Sie werden in diesem Praktikum einer Auswahl an Themen begegnen, die in solch einem Umfang den Rahmen einer einzigen Vorlesung überschreiten würden. Vielmehr wird Ihnen Wissen vermittelt, das Bestandteil einiger Grundlagenvorlesungen ist, oder Basis für vertiefende Vorlesungen sein wird. Aus diesem Grund ist Ihre Vorbereitung entscheidend für den Erfolg des Praktikums. Das Studium der angegebenen Literaturreferenzen ist Voraussetzung für einen erfolgreichen Praktikumsversuch. Durch das Studium der Referenzen eignen Sie sich theoretisches Wissen an, das Grundlage für die Durchführung eines Versuchs ist und welches anschließend in einem Versuch praktisch untermauert sowie gefestigt werden soll. Die Aufgabe eines Betreuers ist somit nicht die Vermittlung des Grundlagenwissens, sondern die Unterstützung der Durchführung ihres Versuchs. Vor Beginn eines Versuchs wird in einem Vortestat überprüft, ob sie die Referenzen ausreichend studiert haben. Damit wird sichergestellt, dass Sie in der vorgegeben Zeit die gestellten Aufgaben lösen können. Sollte vom Betreuer festgestellt werden, dass Sie nachweislich nicht vorbereitet sind, werden Sie von dem Versuch ausgeschlossen und müssen zu einem Nachholtermin erscheinen. Ihr Ziel sollte es demnach sein, das Testat auf den direkten Weg zu erhalten. Zur Übung sollten Sie die untenstehenden Fragen beantworten können. Hinweise Lesen sie sich zuerst das Grundlagenkapitel durch. Recherchieren Sie bei Unklarheiten im Internet, diskutieren Sie mit Kommilitonen oder kontaktieren Sie bei schwerwiegenden Problemen Ihren Betreuer. Nehmen Sie bei Ihrer Recherche die angegebenen Quellen zur Hilfe, und versuchen Sie sich an den Hilfsfragen zu orientieren. Sie sollten unter allen Umständen auch Versuchen die Aufgaben so weit wie möglich zu bearbeiten. Nach einem Versuch muss jede Gruppe ein Protokoll anfertigen, in dem die Herleitung, die Lösung der Aufgaben, und vor allem deren Begründung unter Ausnutzung des gesammelten Wissens erörtert werden. Bei der Begründung können Zeichnungen helfen! Das Protokoll kann wahlweise in deutscher oder englischer Sprache erstellt werden. Es sollte den orthographischen und grammatischen Anforderungen der Sprache genügen. Sie haben bis zu einer Woche Zeit, um ihr computergefertigtes Protokoll in ausgedruckter Form beim Betreuer abzugeben, ansonsten erhalten sie Ihr Endtestat nicht. Bei offenen Fragen richten Sie sich immer an den jeweiligen Betreuer! Viel Spaß! Grundpraktikum NDS - Web Angriffe Juni 2013

3 1 Analyse der Verhaltensweise und Technicken von Phishern 1 Analyse der Verhaltensweise und Technicken von Phishern Identitätsdiebstahl durch Phishing ist eines der am schnellsten wachsenden Verbrechen im Internet. Dabei werden unachtsame Nutzer auf gefälschte Webseiten gelockt, die sie zur Preisgabe von privaten Daten (z.b. Passwörter, TANs) verleiten. In diesem Abschnitt ist es Ihre Aufgabe, die Verhaltensweise und Technik von Phishern zu begreifen und zu verstehen, denn nur so können geeignete Maßnahmen gegen Phishing entwickelt werden. 1.1 Rock Phishing Kit Analyse Ein neu entdeckter Phishing-Server hosted oft mehr als nur eine gefälschte Banken-Website. In diversen Unterverzeichnissen liegen Phishing-Seiten für meist mehr als ein Dutzend Banken. Nach eigenen Untersuchungen halten Webserver, die mit dem Rock Phishing Kitëingerichtet werden, Phishing-Sites von mehr als 20 Institutionen. Darunter befinden sich diverse deutsche, als auch ausländische Banken und auch E-Commerceanwendungen, wie Ebay, Amazon und PayPal. Alle Phishing-Sites sind nach dem gleichen Schema aufgebaut. Sie bestehen aus kopierten und dann für die Zwecke der Täter angepassten Original-Seiten der Banken. Die Anpassungen bestehen im Einfügen eines Eingabeformulars für die Zugangsdaten, einschließlich PIN und mehrerer TAN sowie mehrerer Javascript-Module. Auf dem Weblog von F-Secure [1] finden Sie ein Video des Rock Phishing Kit in Aktion. Abbildung 1: Video auf Weblog von F-Secure 1.2 Erkennung von Anti-Phishing Maßnahmen Sie haben in der ersten Aufgabe nun im Groben kennengelernt, was für Techniken und Methoden ein Phisher anwenden könnte um Opfer abzuphishen. In diesem Abschnitt ist es Ihre Aufgabe, sich in die Grundpraktikum NDS - Web Angriffe Juni 2013

4 2 Sicherheit von Web-Anwendungen Lage eines Phishers hinein zu versetzen. Ihr Ziel ist es, möglichst viele, gültige Zugangsdaten zu einem Onlinebankingsystem abzuphishen, um sich selbst finanziell zu bereichern. Stand der Dinge ist, dass Sie bereits Ihren sogenannten Trägerangreifer damit beauftragt haben eine neue Spamwelle mit Phishingmails loszuschicken und nun warten Sie auf die ersten Opfer. Zudem haben Sie sich bereits illegalen Zugang zu einem Webserver verschafft, auf dem Sie nun das Rock Phishing Kit installiert haben. Normalerweise können Sie davon ausgehen, dass es sich bei 99% der eingehenden Zugangsdaten um gültige Accounts handelt mit denen Sie dann im Anschluss illegale Transaktionen tätigen können. Allerdings wissen Sie von einer Gruppe, die sich damit beschäftigt Phishingformulare mit ungültigen, markierten Zugangsattributen zu fluten, um die Phisher auf die falsche Fährte zu lenken. Diese sogenannten Phoneytokens sind das Lockmittel und unterscheiden sich nicht von regulären Eingaben betrogener Nutzer. Sie wurden in Bezug auf die betroffene Webanwendung und die lokalen Umstände der eigentlichen Opfer generiert. Wenn Sie, als Phisher, sich nun mit einem Phoneytoken auf der Webseite der Bank anmelden, werden Sie automatisch auf den Phoneypot weitergeleitet, der in Analogie zu einem Honeypot die eigentliche Bankanwendung simuliert. Der Phoneypot dient dem Zweck, Daten über den Nutzer des Phoneytokens zu sammeln und analysiert sowohl netzwerk- als auch transaktionsbezogene Informationen seines Nutzers. Ihre Aufgabe wird es nun sein, Phoneytokens von den realen, gephishten Accounts zu unterscheiden und zwar bereits in der Übertragungsphase, sprich: Wenn die Zugangsdaten an Ihrem Phishingserver ankommen. Auf technischer Ebene bedeutet dies, dass Sie sich den Netzwerkverkehr von und zu Ihrem Phishingserver genau anschauen und so versuchen können, die automatischen Phoneytokensender von realen, manuellen Opfern zu unterscheiden. Denn automatisierte Verfahren machen oft Feinheitsfehler oder wurden schlecht implementiert und führen so z.b. keinen korrekten HTTP Request durch. In Ihrem Fall werden Sie nur auf Layer 7 analysieren und nicht die unteren Layer in Betracht ziehen. Unter [2] und [3] finden Sie Hintergrundinformationen zu diesem doch recht einfachen Ansatz gegen Phishing. 2 Sicherheit von Web-Anwendungen Die Sicherheit von Webanwendungen geht keineswegs nur die Betreiber von Online-Shops und Banking- Portalen an. Vielmehr sind zunehmend auch kleinere oder privat betriebene Websites das Ziel böswilliger Angreifer aus dem Internet. Nicht unbedingt, weil es da Geld oder geheime Daten zu holen gäbe, sondern um den gekaperten Server für eigene Zwecke zu missbrauchen. Dort kann man dann raubkopierte Software archivieren und tauschen, verteilte Denial-of-Service-Angriffe vorbereiten oder Spam-Mails verschicken. Oder der Angreifer manipuliert die Webseiten, um Besucher mit Dialern oder Spyware zu infizieren. Weitere Informationen über solche Attack-Frameworks finden Sie hier [17] und hier [18]. Seitdem 1971 in den USA offiziell bekannt wurde, dass durch das Pfeifen eines 2600 Hertz Tons in ein Telefon, Gespräche kostenlos geführt werden können, ziehen sich input validation Fehler durch die Geschichte der Computersicherheit wie ein roter Faden. Als man damals mit der Spielzeug-Pfeife aus einer Frühstücksflockenpackung den 2600 Hertz Ton erzeugte [5], und ein Telefon diesen Ton aufnahm, signalisierte der Ton der Vermittlungsstelle dass ein neues - kostenfreies Gespäch initiiert werden soll. Befehle an die Vermittlungsstelle wurden somit über den gleichen Kanal geschickt wie das Gespräch des Kunden. Grundpraktikum NDS - Web Angriffe Juni 2013

5 2 Sicherheit von Web-Anwendungen Abbildung 2: in-band und out-of-band signalling Diese Technik wird in-band signalling genannt und wurde von den Telefonanbietern durch die outof-band signalling Technik abgelöst, die das kostenlose Telefonieren auf die oben genannte Weise schwieriger machte. Ein input validation Fehler tritt auf, wenn Nutzdaten (Telefongespräche) und Steuerdaten (Vermittlungsstellensignale; Wahl einer Nummer) über den gleichen Kanal gesendet werden und keine klare Trennung durch den Empfänger (Vermittlungsstelle, Server) durchgeführt werden kann. Ein Angreifer ist somit in der Lage gezielt manipulierte Nutzdaten zu senden, die von dem Empfänger als Steuerdaten interpretiert werden. Dadurch kann er die Logik des Empfänger-Systems beliebig beeinflussen. Cross-site scripting (XSS) Fehler sind die input validation Fehler der heutigen Zeit. Im Jahr 2006 waren 21,5% der gemeldeten Schwachstellen XSS Fehler [6]. Durch einen XSS Fehler kann der Angreifer zum Beispiel die Darstellung einer Internetseite manipulieren. Die Voraussetzung ist, dass eine Internetseite Benutzereingaben akzeptiert, zum Beispiel eine Suchanfrage, und daraufhin eine dynamische Seite mit den Suchergebnissen generiert. Falls die Webanwendung die Benutzereingaben nicht ausreichend validiert, kann der Angreifer Steuerbefehle in die Suchanfrage einbetten und somit die Darstellung ändern. Praktisch bedeutet Validieren zum Beispiel dass HTML Steuerbefehle aus der Suchanfrage entfernt werden müssen, da sonst die Suchantwort die HTML Steuerbefehle enthält, welche wiederum die Darstellung der Internetseite manipulieren können. Grundpraktikum NDS - Web Angriffe Juni 2013

6 2 Sicherheit von Web-Anwendungen Abbildung 3: Funktionsweise von XSS Da die meisten Webanwendungen dynamisch Antworten generieren, ist ein Großteil der XSS Fehler nicht persistent, d.h. dass ein Benutzer erst auf einen speziell gefertigten Internetlink klicken muss, um auf die verfälschte Seite zu gelangen. Ein persistentes XSS hingegen könnte in einem Diskussionsfaden eines Internetforums die Loginfelder so abändern, dass das eingegebene Passwort in dem Loginfeld an den Angreifer gesendet wird. Daher sind XSS Fehler gerade für Phisher attraktiv. Ein Internetlink der auf eine verfälschte Seite einer verwundbaren Bank verweist, funktioniert selbst unter dem als sicher geltenden HTTPS (TLS/SSL) Protokoll, welches die Anwendungsdaten verschlüsselt und authentifiziert überträgt. Dies eröffnet dem Phisher die Möglichkeit PINs und TANs zu stehlen obwohl in der Adresszeile des Webbrowsers eine gültige Bank HTTPS URL steht. In der jüngeren Vergangenheit war jede große Internetseite betroffen: der Phishmarkt [7] zeigte, dass 33 österreichische und 48 deutsche Banken zwischen Oktober 2006 und Januar 2007 für XSS Angriffe verwundbar gewesen sind. XSS Attacken gehören zu der Klasse der sogenannten IO-errors (Input-Output Errors) zu der auch Attacken wie SQL-Injections gehören. Letztere sind im Rahmen dieses Praktikums aber nicht relevant und werden deshalb nicht weiter behandelt. Weitere Klassen sind die der interface flaws welche z.b. das lesen nicht öffentlicher Verzeichnisse auf dem Serversystem ermöglicht. Beispiel: Buffer/Integer/Heap overflows gehören zur Klasse der data reference failures wohingegen format strings und race condition zur Klasse der os interface failures gehören. Mit Websicherheit hat das dann aber nur noch bedingt was zu tun, daher sollte die Auflistung nur der Vollständigkeit dienen. Grundpraktikum NDS - Web Angriffe Juni 2013

7 2 Sicherheit von Web-Anwendungen Aber wie Sie sehen, gibt es ein breites Spektrum an Angriffsvektoren, die man nutzen kann Schadcode auf Server oder Client durchführen zu lassen. Wir beschäftigen uns nun mit einer speziellen Art von XSS-Angriffen, dem Session-Hijacking. Oftmals ist in der Literatur und Presse auch von Session Riding die Rede und teilweise wird sogar behauptet, diese beiden Begriffe hätten nichts miteinander zu tun. Die Differenzierung ist aber gerade hier recht schwierig. Eine Sitzung (engl. Session) bezeichnet in der EDV eine stehende Verbindung eines Clients mit einem Server (siehe auch Client-Server-System). Den Anfang einer Sitzung bezeichnet man als Login, das Ende als Logout. Grundsätzlich ist HTTP ein verbindungsloses/zustandsloses Protokoll, da jeder HTTP-Request vom Webserver als neue Verbindung entgegengenommen, abgearbeitet und direkt danach wieder geschlossen wird (es geht auch anders, wie [11] zeigt). Da viele Webanwendungen aber darauf angewiesen sind ihre Benutzer auch über die Dauer eines solchen Requests hinaus zuzuordnen, implementieren sie eine eigene Sitzungsverwaltung. Dazu wird zu Beginn jeder Sitzung eine eindeutige Sitzungs-ID generiert, die der Browser des Benutzers bei allen folgenden Anfragen anfügt, sei es über GET- oder POST-Parameter oder wie meistens über ein Cookie. Beispiel für eine SessionID als GET-Parameter: Kann der Angreifer diese Sitzungs-ID mitlesen, kann er durch das Anfügen der Sitzungs-ID an eigene HTTP-Requests die Sitzung übernehmen. Dies geschieht öfters mal durch unbedarfte Nutzer, die in Webforen z.b. komplette Links mit Session-IDs posten. Mehr Informationen zu Session Riding finden Sie hier [12]. Abbildung 4: XSS Session Hijacking Grundpraktikum NDS - Web Angriffe Juni 2013

8 3 Aufgaben 3 Aufgaben Analyse der Verhaltensweise und Technik von Phishern Sie finden unter /home/student/desktop/praktikum/webattack/rock-phishing-kit/ einen Programmausschnitt aus dem Rock Phishing Kit das eine Phishingwebseite der Citibank darstellt. 3.1 In der Datei index.html befindet sich in den Zeilen 3-29 ein Javascript. Was ist die Funktion dieses Scriptes? Was soll durch die Verwendung eines solchen Scriptes erreicht werden? Was geschieht bei Betätigung des Update Buttons? Hilfe zum grundlegenden Verständnis von Javascript finden Sie hier [8]. Sie brauchen die Funktion nicht vollständig zu erläutern, sondern lediglich den Sinn und Zweck erklären. 3.2 Was ist die Aufgabe der verify.php Datei? Beschreiben Sie die einzelnen Zeilen der Datei oberflächlich (was passiert im Groben). Erklären Sie die Zeilen $ar=array... und $cc=$ar[ 2 ]... ausführlich und versuchen Sie zu verstehen, wozu dieser Programmcode nützlich sein könnte. Was passiert am Ende des Programmes? Hilfe zum grundlegenden Verständnis von PHP finden Sie hier [9]. Nun versetzen Sie sich in die Rolle eines Phishers, der versuchen möchte gültige, gephishte Zugangsdaten von ungültigen, künstlich erstellten Phoneytokens zu trennen. Sie versuchen also auf technischer Ebene die Phoneytokensender zu entlarven. Sie finden die Log-Datei Ihres Apache-Webserver unter /home/student/desktop/praktikum/webattack/access.log. Die Phishingwebseite, die Sie aufgesetzt haben, finden Sie unter /home/student/desktop/praktikum/webattack/phishwebseite 3.3 In der access.log Datei befinden sich 3 Logs von 3 verschiedenen Clienten. Bei 2 Clienten handelt es sich um Phoneytokensender, bei einem um ein reales Opfer. Die Phoneytokensender wurden teilweise schlecht implementiert und weisen daher protokollspezifische Fehler auf, die Sie nun ausnutzen werden um die Sender zu entlarven. Ihre Aufgabe ist es daher, das valide Phishingopfer von den beiden Phoneytokensendern zu differenzieren. Dazu sollten Sie als erstes den Ordner /home/student/desktop/praktikum/webattack/phish-webseite in das htdocs-verzeichnis des Apache- Webservers bringen. Grundpraktikum NDS - Web Angriffe Juni 2013

9 3 Aufgaben Wenn Sie nun die Phishingwebseite lokal über Ihren Apache aufrufen, werden jeweils in den Log- Dateien Ihre Anfragen protokolliert (meist unter /var/log/apache2/ access.log). Vergleichen Sie nun die eigenen Logdateien mit der vorhandenen access.log. Hilfe zur Auswertung von Apache-Logdateien finden Sie hier [4]. Was fällt Ihnen bei den Requests auf? Von welcher IP hat das reale Phishingopfer seine Zugangsdaten übertragen und an Hand welcher Unterscheidungsmerkmale konnten Sie die Phoneytokensender entlarven? Wie bereits erwähnt, sollte man sich bei der Entlarvung von Phoneytokensender sich nicht nur auf Layer 7 Attribute verlassen. Welche weiteren Layer und welche spezifischen Attribute könnten Ihrer Meinung nach zur Entlarvung beitragen? Tipp: Um Anhand von Logdateien Phoneytokensender von realen Opfern zu unterscheiden, muss man verstehen was genau eigentlich in die Logdatei geschrieben wird. Schauen Sie sich also die Hilfe für Apache-Logs [4] genau an und versuchen Sie zu verstehen was die einzelnen Felder bedeuten. Nun sortieren Sie aus: Welche Felder sind irrelevant, welche wiederum sind wichtig und vor allem, was wurde bei den Requests in der Logdatei falsch gemacht. Eine einleitende Beschreibung zum HTTP Protokoll finden Sie hier [10]. Probieren Sie den Versuch selbst aus indem Sie den lokal installierten Apache nutzen um die Phishingwebseite aufzurufen. Nutzen Sie hierfür verschiedene installierte Browser. Anschließend schauen Sie sich die Logfiles auf Ihrem System an und vergleichen diese mit der access.log. Dann werden Sie sicherlich zur Lösung kommen. Letzter Hinweis: Die Zeit der Request können Sie vernachlässigen. Teil2: Sicherheit von Webanwendungen In der einleitenden Beschreibung wurde bereits erwähnt, dass XSS Attacken nicht durch die Benutzung von SSL/TLS verhindert werden können bzw. SSL/TLS größtenteils nicht gegen diese Attacken schützt. Eine Frage daher vorab: 3.4 Warum schützt das SSL/TLS Protokoll nicht vor Missbrauch durch die meisten XSS Attacken? Welche XSS Attacken werden durch die Nutzung von SSL/TLS verhindert? Sie werden nun im Folgenden eine eigene XSS-Attacke gegen eine vordefinierte Seite fahren. Unter /home/student/desktop/praktikum/webattack/ride-my-session finden Sie alle dazu nötigen Dateien. Uns interessiert vorerst einmal die index.php Datei. Machen Sie den Ordner dem Apachen zugänglich und rufen Sie diesen Ordner über den Browser auf. Sie sehen nun eine Pseudo-Webanwendung für Onlinebanking. Füllen Sie nun die Eingabefelder aus und klicken Sie auf abschicken. Ihre Überweisung wurde nun getätigt. Im Prinzip laufen so Onlinebanking-Anwendungen ab, nur eben mit einer sehr viel komplexeren Front- und Backend-Struktur. 3.5 Erklären Sie grob was beim Aufruf der index.php Datei abläuft. Was lösen Sie durch das Klicken des abschicken Buttons aus? Grundpraktikum NDS - Web Angriffe Juni 2013

10 3 Aufgaben Nehmen Sie das bereits besprochene Programm Wireshark (ehemals ethereal ) zur Hilfe und analysieren Sie den TCP/IP Datenstrom bzw. den http-datenstrom. (Hinweis: Bitte erklären Sie nur, was auf Layer 3-7 abläuft und NICHT was das Script an sich macht. Es soll hier nur sichergestellt werden, dass Ihnen klar ist, wie Webserver mit ihren Clienten kommunizieren). 3.6 Nun untersuchen Sie die index.php genauer. Öffnen Sie dazu die Datei mit einem Texteditor Ihrer Wahl (z.b. vim, gedit usw... ). Was passiert in den ersten Zeilen des Programmcodes? Siehe auch [9] und [13]. Was sehen Sie im Adressfenster des Webbrowsers wenn sie den Button klicken? Erklären Sie, was diese Variablen bedeuten und inwiefern der PHP dafür zuständig ist. Stichwort: GET-Variablen [14] Die Programmierer dieser Webanwendung werden schlecht bezahlt und arbeiten zu unregelmäßigen in einem sehr unattraktiven Arbeitsumfeld [15]. Es wurden daher fatale Fehler in der Programmierung dieser Webanwendung gemacht, die Sie nun im folgenden Ausnutzen werden, um Schadcode auf den Webclienten Ihrer Opfer auszuführen. Im Detail handelt es sich hierbei nicht um Schadcode sondern um die oben bereits genannten IO-errors. Dem Webclient des Opfers wird also fremder Code untergejubelt, den dieser dann interpretiert da er diesen als unkritisch einstuft. Der Nutzer, das eigentliche Opfer, bekommt davon nichts mit, vorausgesetzt, die Attacke wurde gut gemacht. 3.7 Untersuchen Sie nun die index.php nach dem Programmierfehler. Hinweis: Sie werden über die Adresszeile in den GET-Variablen den Schadcode hinzufügen. Grundpraktikum NDS - Web Angriffe Juni 2013

11 4 Fragen 4 Fragen 1. Was ist das RockPhishing Kit? Was ist MPack, was IcePack? 2. Was muss man derzeit auf dem freien Markt ungefähr für eine Software wie MPack bezahlen? 3. Nennen Sie ein Beispiel für input validation Fehler. 4. Schützt SSL vor input validation Fehlern? 5. Nennen Sie ein Beispiel für out-of-band signalling. 6. Wer trägt Schuld an XSS Lücken, der Server oder der Client oder beide? Argumentieren Sie! 7. Was für Probleme könnten Ihrer Meinung nach auftreten, wenn eine SessionID nicht rein zufällig gewählt wurde? 8. Welche Schutzfunktion sollte grundlegend das Aufrufen von verhindern, wenn der Server korrket konfiguriert wurde? 9. Grundlegende Frage: Ist das surfen mit Javascript enabled sicherer? Argumentieren Sie! 10. Sie alle kennen das Campussystem VSPL. Würde es Ihrer Meinung nach sinnvoll sein, Javascript in dieser Anwendung zu aktivieren bzw. zu deaktivieren? Was sind die Vorund Nachteile? 11. Können alleine durch XSS Attacken Daten aus einer Datenbank gestohlen werden? 12. Was kann serverseitig bzw. clientseitig gegen XSS getan werden? Vorschläge! 13. Der Sammy-Wurm auf der Plattform MySpace.com war der schnellste Wurm der bisherigen Internetgeschichte. Recherchieren und erklären Sie, warum dieser Wurm überhaupt möglich war. Wer trägt die Schuld? Grundpraktikum NDS - Web Angriffe Juni 2013

12 Literatur Literatur [1] Adobe. PS language specifications. specs.html. [2] Dobbertin, Bosselaers, and Preneel. The hash function RIPEMD bosselae/ripemd160.html. [3] Eastlake. US Secure Hash Algorithm 1, [4] Klima and Dufek. MD5-Collisions - Algorithm from Pavel Dufek: Modification of Klima s program, collisions.html. [5] Lucks and Daum. The Story of Alice and her Boss, ec05.pdf. [6] Rivest. The MD4 Message-Digest Algorithm, [7] Rivest. The MD5 Message-Digest Algorithm, [8] Wang and Yu. How to break MD5 and other hash functions. Advances in Cryptology - EURO- CRYPT 2005, pages 19 35, Grundpraktikum NDS - Web Angriffe Juni 2013

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Einrichtung Secure-FTP

Einrichtung Secure-FTP Einrichtung Secure-FTP ONEGroup Hochriesstrasse 16 83101 Rohrdorf Steffen Prochnow Hochriesstrasse 16 83101 Rohrdorf Tel.: (08032) 989 492 Fax.: (01212) 568 596 498 agb@onegroup.de 1. Vorwort... 2 2. Einrichtung

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Roundcube Webmail Kurzanleitung

Roundcube Webmail Kurzanleitung Roundcube Webmail Kurzanleitung Roundcube Webmail ist ein IMAP Client, der als Schnittstelle zu unserem E-Mail-Server dient. Er hat eine Oberfläche, die E-Mail-Programmen für den Desktop ähnelt. Öffnen

Mehr

Anbindung an Wer-hat-Fotos.net

Anbindung an Wer-hat-Fotos.net Anbindung an Wer-hat-Fotos.net Stand: 7. Juni 2012 2012 Virthos Systems GmbH www.pixtacy.de Anbindung an Wer-hat-Fotos.net Einleitung Einleitung Dieses Dokument beschreibt, wie Sie Ihren Pixtacy-Shop an

Mehr

Erlernbarkeit. Einsatzbereich. Preis. Ausführungsort

Erlernbarkeit. Einsatzbereich. Preis. Ausführungsort 1.3 PHP Vorzüge Erlernbarkeit Im Vergleich zu anderen Sprachen ist PHP relativ leicht erlernbar. Dies liegt hauptsächlich daran, dass PHP im Gegensatz zu anderen Sprachen ausschließlich für die Webserver-Programmierung

Mehr

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3 Inhalt: Ihre persönliche Sedcard..... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3 Passwort ändern... 3 email ändern... 4 Sedcard-Daten bearbeiten... 4 Logout... 7 Ich kann die Sedcard

Mehr

01 Einführung in PHP. Einführung in PHP 1/13 PHP in Aktion

01 Einführung in PHP. Einführung in PHP 1/13 PHP in Aktion 01 Einführung in PHP Einführung in PHP 1/13 PHP in Aktion PHP ist eine Programmiersprache, die ganz verschiedene Dinge tun kann: von einem Browser gesendete Formularinhalte auswerten, angepasste Webinhalte

Mehr

Sessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1

Sessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1 Sessions mit PHP Annabell Langs 2004 Sessions in PHP - Annabell Langs 1 Sessions» Inhaltsverzeichnis Wozu Sessions? 3 Wie funktionieren Sessions? 5 Wie kann ich die Session-ID übergeben? 8 Sicherheit 9

Mehr

Anleitung - Mass E-Mailer 2.6. 2003 by Patrick Biegel 25.06.2005

Anleitung - Mass E-Mailer 2.6. 2003 by Patrick Biegel 25.06.2005 Anleitung - Mass E-Mailer 2.6 2003 by Patrick Biegel 25.06.2005 Inhalt Einleitung...3 Neu in der Version 2.6...3 Installation...4 Links...4 E-Mail Form...5 Send E-Mails...7 Edit List...8 Save List...9

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2 Mac OSX Consoliero Teil 14 Seite: 1/10 Mac OS X Consoliero Weiterführende Dokumentationen für Administratoren. Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2 Christoph Müller, PTS

Mehr

BUERGERMELDUNGEN.COM ANLEITUNG FÜR BENUTZER

BUERGERMELDUNGEN.COM ANLEITUNG FÜR BENUTZER BUERGERMELDUNGEN.COM ANLEITUNG FÜR BENUTZER Seite 1 1 ERSTELLEN DES BENUTZERKONTOS Um eine Bürgermeldung für Deine Gemeinde zu erstellen, musst Du Dich zuerst im System registrieren. Dazu gibt es 2 Möglichkeiten:

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

Aufgaben HTML Formulare. Prof. Dr. rer. nat. Claus Brell, http://claus-brell.de, claus.brell@hs-niederrhein.de, Wirtschaftsinformatik, Statistik

Aufgaben HTML Formulare. Prof. Dr. rer. nat. Claus Brell, http://claus-brell.de, claus.brell@hs-niederrhein.de, Wirtschaftsinformatik, Statistik 1 Aufgaben HTML Formulare Aufgabe 1 (Vorbereitung) Google Suche 2 Probieren vor Studieren.. Arbeitsauftrag: 1.) Fügen Sie mit Notepad++ in Ihrer Datei index.html den unten gezeigten Quelltextschnipsel

Mehr

ViSAS Domainadminlevel Quick-Start Anleitung

ViSAS Domainadminlevel Quick-Start Anleitung 1. Was ist VISAS? VISAS ist eine Weboberfläche, mit der Sie viele wichtige Einstellungen rund um Ihre Internetpräsenz vornehmen können. Die folgenden Beschreibungen beziehen sich auf alle Rechte eines

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Nutzerhandbuch Softwaresystem Inspirata. Benutzerhandbuch Softwaresystem Inspirata

Nutzerhandbuch Softwaresystem Inspirata. Benutzerhandbuch Softwaresystem Inspirata Benutzerhandbuch Softwaresystem Inspirata 1 Inhaltsverzeichnis 1. Login und Logout... 3 2. Kalender/Buchungen auswählen... 5 3. Betreuer... 7 3.1 Buchung anlegen... 7 3.2 Betreuer zuordnen... 8 3.3 Notiz

Mehr

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank In den ersten beiden Abschnitten (rbanken1.pdf und rbanken2.pdf) haben wir uns mit am Ende mysql beschäftigt und kennengelernt, wie man

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Publizieren von Webs mit SmartFTP

Publizieren von Webs mit SmartFTP Publizieren von Webs mit SmartFTP Informationen FTP steht für File Transfer Protocol. Ein Protokoll ist eine Sprache, die es Computern ermöglicht, miteinander zu kommunizieren. FTP ist das Standardprotokoll

Mehr

www.flatbooster.com FILEZILLA HANDBUCH

www.flatbooster.com FILEZILLA HANDBUCH www.flatbooster.com FILEZILLA HANDBUCH deutsche Auflage Datum: 12.03.2011 Version: 1.0.2 Download: http://flatbooster.com/support Inhaltsverzeichnis 1 Filezilla FTP Programm 1 1.1 Filezilla installieren.................................

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Kurzanleitung SEPPmail

Kurzanleitung SEPPmail Eine Region Meine Bank Kurzanleitung SEPPmail (E-Mail Verschlüsselungslösung) Im folgenden Dokument wird Ihnen Schritt für Schritt die Bedienung unserer Verschlüsselungslösung SEPPmail gezeigt und alle

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Der SAP BW-BPS Web Interface Builder

Der SAP BW-BPS Web Interface Builder Der SAP BW-BPS Web Interface Builder Projekt: elearning SAP BPS Auftraggeber: Prof. Dr. Jörg Courant Gruppe 3: Bearbeiter: Diana Krebs Stefan Henneicke Uwe Jänsch Andy Renner Daniel Fraede Uwe Jänsch 1

Mehr

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey

Kurzanleitung. RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal. 2008 by Ralf Dingeldey. 2008 by Ralf Dingeldey Kurzanleitung RD Internetdienstleistungen Ralf Dingeldey Darmstädterstraße 1 64686 Lautertal - 2 - Vorwort zu dieser Anleitung SysCP ist eine freie und kostenlose Software zur Administration von Webservern.

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Schnittstellenbeschreibung

Schnittstellenbeschreibung Schnittstellenbeschreibung Inhalt: - Beschreibung - Vorbereitungen - Die Details - Die verschiedenen Nachrichtenarten - Nachrichtenarchiv - Rückgabewerte - Schnellübersicht und Preisliste Weltweite-SMS.de

Mehr

Infoblatt BROWSER TIPSS. Mozilla Firefox & Internet Explorer. 2012, netzpepper

Infoblatt BROWSER TIPSS. Mozilla Firefox & Internet Explorer. 2012, netzpepper Infoblatt BROWSER TIPSS Mozilla Firefox & Internet Explorer 2012, netzpepper Alle Rechte vorbehalten. Nachdruck oder Vervielfältigung auch auszugsweise nur mit schriftlicher Genehmigung des Autors. Stand:

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail Sparkasse Aurich-Norden Ostfriesische Sparkasse Kundeninformation zu Secure E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst

Mehr

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten Seit Anfang Juni 2012 hat Facebook die Static FBML Reiter deaktiviert, so wird es relativ schwierig für Firmenseiten eigene Impressumsreiter

Mehr

Verantwortlich für den Inhalt. NAUE GmbH & Co. KG Kent von Maubeuge Gewerbestraße 2 D-32339 Espelkamp-Fiestel

Verantwortlich für den Inhalt. NAUE GmbH & Co. KG Kent von Maubeuge Gewerbestraße 2 D-32339 Espelkamp-Fiestel Verantwortlich für den Inhalt NAUE GmbH & Co. KG Kent von Maubeuge Gewerbestraße 2 D-32339 Espelkamp-Fiestel Tel.: +49 5743 41-0 Fax.: +49 5743 41-240 E-Mail: kvmaubeuge@naue.com NAUE GmbH & Co. KG Rechtsform:

Mehr

Wie funktioniert das WWW? Sicher im WWW

Wie funktioniert das WWW? Sicher im WWW Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/

Mehr

Verschlüsselte Mailverbindungen verwenden

Verschlüsselte Mailverbindungen verwenden Verschlüsselte Mailverbindungen verwenden Neu können Sie ohne lästige Zertifikatswarnungen unterwegs sicher mailen. Dies ist wichtig, um Passwortklau zu verhindern (vor allem unterwegs auf offenen WLANs

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung Musterlösung für Schulen in Baden-Württemberg Windows 2003 Netzwerkanalyse mit Wireshark Stand: 10.02.2011 / 1. Fassung Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg

Mehr

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien 3. Installation Ihres Shops im Internet / Kurzanleitung Kurzanleitung: Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien Geben Sie während der Webbasierten Installationsroutine alle

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail Kundeninformation zu Secure E-Mail Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

PHP Kurs Online Kurs Analysten Programmierer Web PHP

PHP Kurs Online Kurs Analysten Programmierer Web PHP PHP Kurs Online Kurs Analysten Programmierer Web PHP Akademie Domani info@akademiedomani.de Allgemeines Programm des Kurses PHP Modul 1 - Einführung und Installation PHP-Umgebung Erste Lerneinheit Introduzione

Mehr

Guide DynDNS und Portforwarding

Guide DynDNS und Portforwarding Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch

Mehr

Erste Schritte in der Benutzung von Microsoft SharePoint 2010

Erste Schritte in der Benutzung von Microsoft SharePoint 2010 Erste Schritte in der Benutzung von Microsoft SharePoint 2010 Inhalt 1. Einleitung... 1 2. Browserwahl und Einstellungen... 1 3. Anmeldung und die Startseite... 3 4. Upload von Dokumenten... 3 5. Gemeinsamer

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03

PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 PHP Einsteiger Tutorial Kapitel 4: Ein Email Kontaktformular in PHP Version 1.0 letzte Änderung: 2005-02-03 Bei dem vierten Teil geht es um etwas praktisches: ein Emailformular, dass man auf der eigenen

Mehr

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen HS-Anhalt (FH) Fachbereich EMW Seite 1 von 8 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003 Voraussetzungen Es ist keinerlei Zusatzsoftware erforderlich.

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

9.2 Weitergeben. 9.2.1 Online-Album. 9.2 Weitergeben. Flash-Player

9.2 Weitergeben. 9.2.1 Online-Album. 9.2 Weitergeben. Flash-Player 9.2 Weitergeben Das Weitergeben und das Erstellen unterscheiden sich eigentlich nur wenig. Beim Erstellen liegt das Augenmerk mehr auf dem Ausdrucken, bei der Weitergabe handelt es sich eher um die elektronische

Mehr

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Secure E-Mail S Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Einleitung Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend

Mehr

Installation SuperWebMailer

Installation SuperWebMailer Installation SuperWebMailer Die Installation von SuperWebMailer ist einfach gestaltet. Es müssen zuerst per FTP alle Dateien auf die eigene Webpräsenz/Server übertragen werden, danach ist das Script install.php

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Citrix Hilfe Dokument

Citrix Hilfe Dokument Citrix Hilfe Dokument Inhaltsverzeichnis 1. Anmelden... 1 2. Internet Browser Einstellungen... 3 3. Passwort Ändern... 4 4. Sitzungsinaktivität... 5 5. Citrix Receiver Installation (Citrix Client)... 5

Mehr

Bedienungsanleitung für den SecureCourier

Bedienungsanleitung für den SecureCourier Bedienungsanleitung für den SecureCourier Wo kann ich den SecureCourier nach der Installation auf meinem Computer finden? Den SecureCourier finden Sie dort, wo Sie mit Dateien umgehen und arbeiten. Bei

Mehr

Kundeninformation z u Secure E-Mail der Sparkasse Odenwaldkreis

Kundeninformation z u Secure E-Mail der Sparkasse Odenwaldkreis Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen" der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen oft keinen ausreichenden Schutz,

Mehr

Multivariate Tests mit Google Analytics

Multivariate Tests mit Google Analytics Table of Contents 1. Einleitung 2. Ziele festlegen 3. Einrichtung eines Multivariate Tests in Google Analytics 4. Das JavaScript 5. Die Auswertung der Ergebnisse Multivariate Tests mit Google Analytics

Mehr

Dokumentation Softwareprojekt AlumniDatenbank

Dokumentation Softwareprojekt AlumniDatenbank Dokumentation Softwareprojekt AlumniDatenbank an der Hochschule Anhalt (FH) Hochschule für angewandte Wissenschaften Fachbereich Informatik 13. Februar 2007 Betreuer (HS Anhalt): Prof. Dr. Detlef Klöditz

Mehr

Sichere E-Mail-Kommunikation mit fat

Sichere E-Mail-Kommunikation mit fat Sichere E-Mail-Kommunikation mit fat Inhalt Über das Verfahren... 1 Eine sichere E-Mail lesen... 2 Eine sichere E-Mail auf Ihrem PC abspeichern... 8 Eine sichere Antwort-E-Mail verschicken... 8 Einem fat-mitarbeiter

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

ESB - Elektronischer Service Bericht

ESB - Elektronischer Service Bericht Desk Software & Consulting GmbH ESB - Elektronischer Service Bericht Dokumentation des elektronischen Serviceberichts Matthias Hoffmann 25.04.2012 DESK Software und Consulting GmbH Im Heerfeld 2-4 35713

Mehr

KOGIS Checkservice Benutzerhandbuch

KOGIS Checkservice Benutzerhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 KOGIS Checkservice Benutzerhandbuch Zusammenfassung Diese Dokumentation beschreibt die Bedienung des KOGIS Checkservice. 4.2.2015

Mehr

Sparkasse Duisburg. E-Mail versenden aber sicher! Sichere E-Mail. Anwendungsleitfaden für Kunden

Sparkasse Duisburg. E-Mail versenden aber sicher! Sichere E-Mail. Anwendungsleitfaden für Kunden Sparkasse Duisburg E-Mail versenden aber sicher! Sichere E-Mail Anwendungsleitfaden für Kunden ,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität.

Mehr

Call - ID. Call-ID. Leitfaden Installation und Konfiguration CALL-ID Stand : 30. Mai 2008

Call - ID. Call-ID. Leitfaden Installation und Konfiguration CALL-ID Stand : 30. Mai 2008 Call - ID Call-ID ist ein Programm zur direkten Anzeige von eingehenden Anrufen durch automatisches öffnen der entsprechenden Tobit-Adresskarte oder Wahlweise separatem Pop-Up. Zudem erstellt Call-ID eine

Mehr

Secure Mail. Leitfaden für Kunden & Partner der Libera AG. Zürich, 11. November 2013

Secure Mail. Leitfaden für Kunden & Partner der Libera AG. Zürich, 11. November 2013 Secure Mail Leitfaden für Kunden & Partner der Libera AG Zürich, 11. November 2013 Aeschengraben 10 Postfach CH-4010 Basel Telefon +41 61 205 74 00 Telefax +41 61 205 74 99 Stockerstrasse 34 Postfach CH-8022

Mehr

S Stadtsparkasse. Sichere E-Mail. Remscheid. Produktinformation

S Stadtsparkasse. Sichere E-Mail. Remscheid. Produktinformation Sichere E-Mail Produktinformation Produktinformation Sichere E-Mail 2 Allgemeines Mit E-Mail nutzen Sie eines der am häufigsten verwendeten technischen Kommunikationsmittel. Beim täglichen Gebrauch der

Mehr

Verarbeitung der Eingangsmeldungen in einem Callcenter

Verarbeitung der Eingangsmeldungen in einem Callcenter Q-up ist ein Produkt der: Anwendungsbeispiele Verarbeitung der Eingangsmeldungen in einem Callcenter Der Testdatengenerator Der Testdatengenerator Verarbeitung der Eingangsmeldungen in einem Callcenter

Mehr

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12 Operator Guide Einleitung Diese Guide vermittelt ihnen das Operator Know How für die Gästbox. Was müssen Sie wissen bevor Sie sich an die Arbeit machen. Von welchem PC aus kann ich die Gästbox bedienen.

Mehr

Leitfaden zur Nutzung von binder CryptShare

Leitfaden zur Nutzung von binder CryptShare Leitfaden zur Nutzung von binder CryptShare Franz Binder GmbH & Co. Elektrische Bauelemente KG Rötelstraße 27 74172 Neckarsulm Telefon +49 (0) 71 32-325-0 Telefax +49 (0) 71 32-325-150 Email info@binder-connector

Mehr

www.da-software.de Anleitung FormMail-Script für DA-FormMaker

www.da-software.de Anleitung FormMail-Script für DA-FormMaker da www.da-software.de Anleitung FormMail-Script für DA-FormMaker 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS... 2 2 ALLGEMEINES... 3 2.1 ÜBER DIESES DOKUMENT... 3 2.2 KONTAKT... 3 2.3

Mehr

Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan

Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan Starten Sie Ihren Internet-Browser und rufen Sie anschließend unsere Internetseite www.volksbank-magdeburg.de auf. Klicken Sie dann rechts oben

Mehr

So erstellen bzw. ändern Sie schnell und einfach Texte auf der Aktuelles -Seite Ihrer Praxishomepage

So erstellen bzw. ändern Sie schnell und einfach Texte auf der Aktuelles -Seite Ihrer Praxishomepage Anleitung zum Einpflegen von Praxisnachrichten auf LGNW Praxishomepages Stand: 15.September 2013 So erstellen bzw. ändern Sie schnell und einfach Texte auf der Aktuelles -Seite Ihrer Praxishomepage 1.

Mehr

ELOoffice. ELOoffice und Terminal Server. Inhaltsverzeichnis. In dieser Unterrichtseinheit lernen Sie. Unit. Dauer dieser Unit 25 Minuten

ELOoffice. ELOoffice und Terminal Server. Inhaltsverzeichnis. In dieser Unterrichtseinheit lernen Sie. Unit. Dauer dieser Unit 25 Minuten Dauer dieser Unit 25 Minuten Unit In dieser Unterrichtseinheit lernen Sie Die ELOoffice Lizensierung von der PC-bezogenen Lizenz auf eine anwenderbezogene Lizenz umzuschalten Inhaltsverzeichnis Inhaltsverzeichnis...1

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail S Sparkasse Höxter Kundeninformation zu Secure E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie

Mehr

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert

Mehr

DLS 7.0 Microsoft Windows XP Service Pack 2. Anleitung zur Konfiguration

DLS 7.0 Microsoft Windows XP Service Pack 2. Anleitung zur Konfiguration DLS 7.0 Microsoft Windows XP Service Pack 2 Anleitung zur Konfiguration Projekt: DLS 7.0 Thema: MS Win XP SP 2 Autor: Björn Schweitzer Aktualisiert von: Andreas Tusche am 18.08.2004 2:38 Dateiname: xpsp2.doc

Mehr

Adressetiketten mit Hilfe der freien Namenslisten in BS und der Seriendruckfunktion von Microsoft Word erstellen

Adressetiketten mit Hilfe der freien Namenslisten in BS und der Seriendruckfunktion von Microsoft Word erstellen Adressetiketten mit Hilfe der freien Namenslisten in BS und der Seriendruckfunktion von Microsoft Word erstellen Mit dem Programmpunkt freie Namenslisten können Sie in Verbindung mit Microsoft Word Adressetiketten,

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Stadt-Sparkasse Solingen. Kundeninformation zur "Sicheren E-Mail"

Stadt-Sparkasse Solingen. Kundeninformation zur Sicheren E-Mail Kundeninformation zur "Sicheren E-Mail" 2 Allgemeines Die E-Mail ist heute eines der am häufigsten verwendeten technischen Kommunikationsmittel. Trotz des täglichen Gebrauchs tritt das Thema "Sichere E-Mail"

Mehr

Leitfaden zur Nutzung des System CryptShare

Leitfaden zur Nutzung des System CryptShare Leitfaden zur Nutzung des System CryptShare 1. Funktionsweise und Sicherheit 1.1 Funktionen Die Web-Anwendung CryptShare ermöglicht den einfachen und sicheren Austausch vertraulicher Informationen. Von

Mehr

pr[sms] Installationsleitfaden für den Versand von Bildern mit Wap-Push Version: 1.0 Stand: 01.11.2005 Autor: Gollob Florian

pr[sms] Installationsleitfaden für den Versand von Bildern mit Wap-Push Version: 1.0 Stand: 01.11.2005 Autor: Gollob Florian pr[sms] Installationsleitfaden für den Versand von Bildern mit Wap-Push Version: 1.0 Stand: 01.11.2005 Autor: Gollob Florian Einleitung pr[sms] Installationsleitfaden für den Wap-Push Versand Einleitung

Mehr

Fragen und Antworten zum Zwei-Schritt-TAN-Verfahren (FAQ)

Fragen und Antworten zum Zwei-Schritt-TAN-Verfahren (FAQ) A) Allgemein 1. Was ist das Zwei-Schritt-TAN-Verfahren? 2. Welche Kosten entstehen beim zweistufigen TAN-Verfahren? 3. Wie lange ist eine TAN gültig? 4. Was passiert wenn ich dreimal eine falsche TAN eingebe?

Mehr

DYNAMISCHE SEITEN. Warum Scriptsprachen? Stand: 11.04.2005. CF Carola Fichtner Web-Consulting http://www.carola-fichtner.de

DYNAMISCHE SEITEN. Warum Scriptsprachen? Stand: 11.04.2005. CF Carola Fichtner Web-Consulting http://www.carola-fichtner.de DYNAMISCHE SEITEN Warum Scriptsprachen? Stand: 11.04.2005 CF Carola Fichtner Web-Consulting http://www.carola-fichtner.de I N H A L T 1 Warum dynamische Seiten?... 3 1.1 Einführung... 3 1.2 HTML Seiten...

Mehr

PhPepperShop ProfitApp Modul

PhPepperShop ProfitApp Modul PhPepperShop ProfitApp Modul Datum: 13. Januar 2015 Version: 1.2 PhPepperShop ProfitApp Modul Anleitung Glarotech GmbH Inhaltsverzeichnis 1. Einleitung...3 2. Installation...3 2.1 Systemanforderungen /

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

Quickguide für die manuelle Installation des Routers am Beispiel des UR5i

Quickguide für die manuelle Installation des Routers am Beispiel des UR5i Quickguide VPN ROUTER Quickguide für die manuelle Installation des Routers am Beispiel des UR5i 1. Schließen Sie den Router per Ethernet-Kabel an Ihren Computer, um ihn manuell zu konfigurieren. 2. Rufen

Mehr