Sicherheit in Rich Internet Applications

Größe: px
Ab Seite anzeigen:

Download "Sicherheit in Rich Internet Applications"

Transkript

1 Sicherheit in Rich Internet Applications Florian Kelbert

2 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player Adobe Integrated Runtime OpenLaszlo Microsoft Silverlight Mozilla Prism Sun JavaFX Zusammenfassung & Ausblick

3 Seite 3 Sicherheit in Rich Internet Applications Florian Kelbert Grundlagen JavaScript Skriptsprache, vom Browser interpretiert Sandbox-Modell Skripte werden durch Browser eingeschränkt Same Origin -Richtlinie kein Zugriff auf Dokumente aus anderer Domain Überprüfung von Domain, Server, Protokoll und Port Signed Script -Richtlinie Entwickler unterschreibt mit digitalem Zertifikat Verifizierung des Unterzeichners und der Integrität möglich

4 Seite 4 Sicherheit in Rich Internet Applications Florian Kelbert Grundlagen DHTML, DOM, SSL, HTTPS Dynamisches HTML Webseiten ändern sich dynamisch im Browser kein erneuter HTTP-Request nötig DOM - Document Object Model (W3C) API für Zugriff auf HTML-Elemente SSL - Secure Sockets Layer verschlüsselte Datenübertragung Authentizität des Servers und Integrität der Daten HTTPS - HTTP mit SSL

5 Seite 5 Sicherheit in Rich Internet Applications Florian Kelbert Ajax und Mashups Grundlagen Ajax - Asynchronous JavaScript and XML Kombination aus HTML, DOM, CSS, JavaScript JavaScript-Object XMLHttpRequest für Datenaustausch beliebige Formate: XML, HTML, JSON, Plaintext asynchrone Anfragebearbeitung Mashup Kombination mehrerer Ajax-Anwendungen

6 Seite 6 Sicherheit in Rich Internet Applications Florian Kelbert Ajax und Mashups Sicherheit & Bedrohungen JavaScript-Sicherheitsmodell Code kann vor Ausführung modifiziert werden Bedrohungen Umgehen der Same Origin -Richtlinie Cross-Site Scripting (XSS) Versenden von XMLHttpRequests Denial of Service -Angriffe (DoS) Cross-Site Request Forgeries (CSRF) Gegenmaßnahmen Validieren von Benutzereingaben kein Ausführen von generiertem und fremdem Code

7 Seite 7 Sicherheit in Rich Internet Applications Florian Kelbert Flash-Player ActionScript & Zugriffskontrolle Flash-Player als Laufzeitumgebung für SWF-Dateien ActionScript basiert auf ECMAScript-Standard als Bytecode innerhalb der SWF-Datei Zugriffskontrolle durch vier Personengruppen Administrator des Client-Computers Benutzer des Client-Computers Besitzer der Webseite Flash-Autor

8 Seite 8 Sicherheit in Rich Internet Applications Florian Kelbert Flash-Player Sandbox-Modell eine Sandbox pro Domain Zuordnung zur Sandbox durch Informationen des Transportprotokolls ungehinderter Datenaustausch und Cross-Scripting innerhalb der Sandbox Zugriff auf andere Sandbox erfordert Rechte: ActionScript-Methode Security.allowDomain() Senden von Daten an andere Sandboxen erlaubt lokale Dateien separate Sandboxen: local-with-filesystem local-with-networking, local-trusted

9 Seite 9 Sicherheit in Rich Internet Applications Florian Kelbert Flash-Player Sandbox-Modell

10 Seite 10 Sicherheit in Rich Internet Applications Florian Kelbert AIR Laufzeitumgebung & Sandbox-Modell AIR als Laufzeitumgebung AIR-Anwendungen im Flash oder DHTML-Format Installationsdateien müssen digital signiert sein Ausführung mit Rechten des Benutzers Sandbox-Modell des Flash-Players als Grundlage zusätzliche application -Sandbox Zugriff auf AIR APIs kein Cross-Scripting kein dynamisch erzeugter Programmcode Kommunikation über Brücke

11 Seite 11 Sicherheit in Rich Internet Applications Florian Kelbert OpenLaszlo Kompilierung der LZX-Quelldateien zwei Zielformate möglich SWF: Ausführung durch Flash-Player DHTML: Ausführung durch Internet-Browser Sicherheitsrichtlinien entsprechend keine weiteren Sicherheitsmechanismen

12 Seite 12 Sicherheit in Rich Internet Applications Florian Kelbert Silverlight Laufzeitumgebung & Transparenzmodell CoreCLR als Laufzeitumgebung Transparenzmodell transparenter und kritischer Code Anwendungen transparent Systemaufrufe kritisch kein Zugriff von transparentem auf kritischen Code

13 Seite 13 Sicherheit in Rich Internet Applications Florian Kelbert Silverlight Transparenzmodell Transparenzmodell (Forts.) safe-critical Code als Zwischenschicht darf von transparentem Code gerufen werden validiert Aufrufe und leitet sie an kritischen Code weiter kritischer Code von Microsoft signiert Vererbung eingeschränkt möglich

14 Seite 14 Sicherheit in Rich Internet Applications Florian Kelbert Prism Firefox-Browser ohne Bedienelemente jede Webanwendung in eigenem Desktopfenster Sicherheitsrichtlinien entsprechend dem Inhalt SWF: Ausführung durch Flash-Player DHTML: Ausführung durch Internet-Browser Silverlight: Ausführung durch CoreCLR

15 Seite 15 Sicherheit in Rich Internet Applications Florian Kelbert JavaFX JavaFX Mobile JavaFX Script ermöglicht Verknüpfung von Java mit Skriptsprache Ausführung mit Java SE 6 möglich Java Virtual Machine (JVM) Verifier: schließt nicht-java-konformen Code aus Class Loader: kontrolliert Laden von Klassen zur Laufzeit SecurityManager: überprüft Rechtmäßigkeit der Zugriffe feingranulare Rechtevergabe möglich: Codebase, SignedBy, Principal

16 Seite 16 Sicherheit in Rich Internet Applications Florian Kelbert Zusammenfassung & Ausblick Aufbau auf bewährten Sicherheitsmodellen Flash: AIR, OpenLaszlo.NET: Silverlight Java: JavaFX Rich Internet Applications erst am Anfang der Entwicklung Änderungen in Sicherheitsmechanismen noch möglich

17 Seite 17 Sicherheit in Rich Internet Applications Florian Kelbert Ende Danke für die Aufmerksamkeit! Fragen?

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Adobe Flex & Grails RIA, REST und XML

Adobe Flex & Grails RIA, REST und XML Adobe Flex & Grails RIA, REST und XML Pascal Schudel Consultant pascal.schudel@trivadis.com Mischa Kölliker Principal Consultant mischa.koelliker@trivadis.com JUGS Zürich, 8. Juli 2010 Basel Bern Lausanne

Mehr

WWW. Web 2.0 WWW WWW. WWW: World Wide Web

WWW. Web 2.0 WWW WWW. WWW: World Wide Web Iváncsy Tamás 2012 : World Wide Web Sender Kodierung Kanal Dekodierung Empfänger Das basiert auf drei Kernstandards: HTTP als Protokoll, mit dem der Browser Informationen vom Webserver anfordern kann.

Mehr

Web 2.0 à la Microsoft Neuigkeiten aus der.net-welt - ein Überblick

Web 2.0 à la Microsoft Neuigkeiten aus der.net-welt - ein Überblick 1 Web 2.0 à la Microsoft Neuigkeiten aus der.net-welt - ein Überblick W3L AG info@w3l.de 2007 2 Inhaltsverzeichnis Was ist Web 2.0? Zusammenhänge Microsoft ASP.NET AJAX Silverlight zurück 3 Was ist Web

Mehr

Apollo Überblick. Klaus Kurz. Manager Business Development. 2007 Adobe Systems Incorporated. All Rights Reserved.

Apollo Überblick. Klaus Kurz. Manager Business Development. 2007 Adobe Systems Incorporated. All Rights Reserved. Apollo Überblick Klaus Kurz Manager Business Development 1 Was ist Apollo? Apollo ist der Codename für eine plattformunabhängige Laufzeitumgebung, entwickelt von Adobe, die es Entwicklern ermöglicht ihre

Mehr

Glossar. SVG-Grafiken in Bitmap-Grafikformate. Anweisung Eine Anweisung ist eine Folge aus Schlüsselwörtern, Variablen, Objekten,

Glossar. SVG-Grafiken in Bitmap-Grafikformate. Anweisung Eine Anweisung ist eine Folge aus Schlüsselwörtern, Variablen, Objekten, Glossar Anweisung Eine Anweisung ist eine Folge aus Schlüsselwörtern, Variablen, Objekten, Methoden und/oder Eigenschaften, die eine bestimmte Berechnung ausführt, eine Eigenschaft ändert oder eine Methode

Mehr

Rich Internet Applications, Flex & Mate. (Ja, das ist Grafische Benutzeroberflächen!) 18.03.2010 Jakob Külzer jakob.kuelzer@gmail.

Rich Internet Applications, Flex & Mate. (Ja, das ist Grafische Benutzeroberflächen!) 18.03.2010 Jakob Külzer jakob.kuelzer@gmail. Rich Internet Applications, Flex & Mate (Ja, das ist Grafische Benutzeroberflächen!) 18.03.2010 Jakob Külzer jakob.kuelzer@gmail.com Überblick Mein Thema im Überblick 1. Definitionen 2. Rich Internet Applications

Mehr

Alte Technik neu verpackt

Alte Technik neu verpackt Alte Technik neu verpackt AJAX hilft Anwendungen im Web interaktiver zu werden Christian Aurich Ronny Engelmann Alte Technik neu verpackt Entwicklung von AJAX Was ist Web 2.0 / Social Web? Anwendungen

Mehr

Hochschule Heilbronn Technik Wirtschaft Informatik

Hochschule Heilbronn Technik Wirtschaft Informatik Hochschule Heilbronn Technik Wirtschaft Informatik Studiengang Electronic Business Diplomarbeit "Java-Frameworks für Rich Internet Applications" vorgelegt bei Professor Dr. Michael Gröschel von Tushig

Mehr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

Inhalt. 1 Sicherheit in einer Welt der Webanwendungen 1. Teil I: Anatomie des Web. 2 Am Anfang war die URL 29

Inhalt. 1 Sicherheit in einer Welt der Webanwendungen 1. Teil I: Anatomie des Web. 2 Am Anfang war die URL 29 ix 1 Sicherheit in einer Welt der Webanwendungen 1 1.1 Informationssicherheit kurz und bündig....................... 1 1.1.1 Liebäugeln mit formalen Lösungen... 2 1.1.2 Risikomanagement und IT-Sicherheit..................

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Verwaltung von Java-2-Zugriffspolitiken. Rainer Falk Lehrstuhl für Datenverarbeitung TU München falk@ei.tum.de

Verwaltung von Java-2-Zugriffspolitiken. Rainer Falk Lehrstuhl für Datenverarbeitung TU München falk@ei.tum.de Verwaltung von Java-2-Zugriffspolitiken Rainer Falk Lehrstuhl für Datenverarbeitung TU München falk@ei.tum.de Inhalt Zugriffskontrolle bei Java 2 Motivation Konzept für eine effiziente Administration Prototyp

Mehr

Microsoft.NET und SunONE

Microsoft.NET und SunONE Microsoft.NET und SunONE, Plattformen und Application Service Providing Agenda Einordnung.NET und SunONE Kurzvorstellung Gegenüberstellung Zusammenfassung ASP (Application( Service Providing) ) und Ausblick

Mehr

Security in.net 2.0. Thomas Stanek

Security in.net 2.0. Thomas Stanek Security in.net 2.0 2 Content 1. Verwendung 2. Überblick 3. Features im Detail a. Windows Accounts und SIDs b. Sichere Datenübertragung (SSL) c. X509 -Zertifikate d. Data Protection API (DPAPI) e. SecureStrings

Mehr

Multimedia im Netz. Übung zur Vorlesung. Ludwig-Maximilians-Universität Wintersemester 2010/2011

Multimedia im Netz. Übung zur Vorlesung. Ludwig-Maximilians-Universität Wintersemester 2010/2011 Übung zur Vorlesung Multimedia im Netz Ludwig-Maximilians-Universität Wintersemester 2010/2011 Ludwig-Maximilians-Universität München Multimedia im Netz - Übung - 3-1 Übungsblatt - 3 Thema: JavaScript

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Einführung Internettechnologien. - Clientseitige Programmierung -

Einführung Internettechnologien. - Clientseitige Programmierung - Einführung Internettechnologien - Clientseitige Programmierung - Client Client: Programm, das Daten von einem Server anfordert In einem Netzwerk können unterschiedliche Clients zum Einsatz kommen Im Folgenden:

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

JINI Security & Scalability. JINI Security

JINI Security & Scalability. JINI Security JINI Security & Scalability JINI Security Hans-Peter Rötheli & Christian Gloor Inhalt JINI-Beispielumgebung Kommunikation Was darf fremder Code? Exploits Folgerungen 1 Seminarraum mit Printer Lookup Service

Mehr

Neues in ArcGIS Server 9.3 Matthias Schenker ESRI Geoinformatik AG

Neues in ArcGIS Server 9.3 Matthias Schenker ESRI Geoinformatik AG Matthias Schenker ESRI Geoinformatik AG 2007 ESRI Geoinformatik GmbH Schwerpunkte bei ArcGIS Server 9.3 Qualitätsverbesserungen über alle Schichten des Server Stacks Front Ends ArcGIS Desktop ArcGIS Explorer

Mehr

Datenhaltung für Android. Model First

Datenhaltung für Android. Model First Datenhaltung für Android Model First Frederik Götz, Johannes Tysiak 26.05.2011 Unser Ziel! 26.05.2011 Datenhaltung in Android - Model First» Frederik Götz, Johannes Tysiak 2 Agenda Android Quickstart Datenhaltung

Mehr

Coded Culture. Adobe Flex & AIR. Rich Internet Applications mit einem PHP-Backend

Coded Culture. Adobe Flex & AIR. Rich Internet Applications mit einem PHP-Backend Culture Adobe Flex & AIR Rich Internet Applications mit einem PHP-Backend Über Coded Culture Spezialisierung auf Rich Internet Applications auf Flex Reto M. Kiefer & Daniel Kopp sind Inhaber der Software

Mehr

Web 2.0 Architekturen und Frameworks

Web 2.0 Architekturen und Frameworks Web 2.0 Architekturen und Frameworks codecentric GmbH Mirko Novakovic codecentric GmbH Quality Technische Qualitätssicherung in Software-Projekten mit Fokus auf Performance, Verfügbarkeit und Wartbarkeit

Mehr

Webdesign mit HTML und CSS Einführungsabend

Webdesign mit HTML und CSS Einführungsabend Einführungsabend Die eigene Internetseite Hypertext und html Das HTML Grundgerüst HTML-Editoren Skriptsprachen im WWW Rechtliche Absicherung Suchmaschinenoptimierung Das HTML Grundgerüst HTML ist ein Kompromiss

Mehr

Seminar SS 2000 Enterprise Application Intergration

Seminar SS 2000 Enterprise Application Intergration Seminar SS 2000 Enterprise Application Intergration Web Programming Lifang Chen Betreuer: Marcello Mariucci Juli 2000, Universität Stuttgart Seminar "Web Programming" von Lifang Chen, Juli 2000 Folie 1

Mehr

JavaScript & Ajax Debugging. Marcel Bsufka 16.05.2011

JavaScript & Ajax Debugging. Marcel Bsufka 16.05.2011 JavaScript & Ajax Debugging Marcel Bsufka 16.05.2011 2 http://www.phdcomics.com/comics/archive.php?comicid=673 Agenda 3 1. Was ist JavaScript? a. Merkmale b. Probleme beim Debuggen 2. Debugging Werkzeuge

Mehr

Daten in EPUB visualisieren und dynamisch aktualisieren

Daten in EPUB visualisieren und dynamisch aktualisieren Daten in EPUB visualisieren und dynamisch aktualisieren alex@mnmz.de ebook vs. Mehrwert Informationstransport über mehrere Kanäle sinnvoll für mehr Verständnis (Wort, Bild, Ton, Interaktion) Problem: Gewährleistung

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Technische Hintergründe des Web 2.0. Praxisprojekt Du bist das Netz! Web 2.0 Morten Strüwe, Florian Brachten

Technische Hintergründe des Web 2.0. Praxisprojekt Du bist das Netz! Web 2.0 Morten Strüwe, Florian Brachten Technische Hintergründe des Web 2.0 Praxisprojekt Du bist das Netz! Web 2.0 Morten Strüwe, Florian Brachten Überblick 1. die Ursprünge des Internet 2. die Techniken des Internet 2.1 Hardware 2.2 Software

Mehr

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Inhalt. Vorwort 11. Steyer, Ralph JavaFX 2008. digitalisiert durch: IDS Basel Bern

Inhalt. Vorwort 11. Steyer, Ralph JavaFX 2008. digitalisiert durch: IDS Basel Bern Vorwort 11 1 Einleitung und Vorbereitung 15 1.1 Worum es in diesem Buch geht 17 1.2 Schreibkonventionen 18 1.3 Werichbin 19 1.4 Wer sind Sie, beziehungsweise an wen wendet sich das Buch? 20 1.5 WasbenôtigenSie?

Mehr

Dirk Eismann Herrlich & Ramuschkat GmbH. Spring- und Flex- Integration

Dirk Eismann Herrlich & Ramuschkat GmbH. Spring- und Flex- Integration Dirk Eismann Herrlich & Ramuschkat GmbH Spring- und Flex- Integration Über mich Dirk Eismann Softwareentwickler und Consultant bei der Herrlich & Ramuschkat GmbH in Hannover Schwerpunkt: Projekte und Consulting

Mehr

ASP.NET: ATLAS -Framework. Nico Orschel Microsoft Student Partner, TU Ilmenau nico.orschel@studentprogram.de

ASP.NET: ATLAS -Framework. Nico Orschel Microsoft Student Partner, TU Ilmenau nico.orschel@studentprogram.de ASP.NET: ATLAS -Framework Nico Orschel Microsoft Student Partner, TU Ilmenau nico.orschel@studentprogram.de Agenda Einführung AJAX ATLAS Framework Architektur Microsoft AJAX Libary Microsoft ASP.NET 2.0

Mehr

Automatisches Exploratives Testen von Webanwendungen

Automatisches Exploratives Testen von Webanwendungen Automatisches Exploratives Testen von Webanwendungen Dr. Valentin Dallmeier IT-Themenabend - 2013-10-01 AG Produkte und Dienstleistungen für die Qualitätssicherung von Software. AG Dr. Valentin Dallmeier

Mehr

Einführung... 1 Anwendungsszenarien multimedialer Client-Server Systeme... 1 Aufbau des Buches... 2 Die Entwicklung des multimedialen Internets...

Einführung... 1 Anwendungsszenarien multimedialer Client-Server Systeme... 1 Aufbau des Buches... 2 Die Entwicklung des multimedialen Internets... Inhaltsverzeichnis Einführung... 1 Anwendungsszenarien multimedialer Client-Server Systeme...... 1 Aufbau des Buches..... 2 Die Entwicklung des multimedialen Internets..... 4 1 Multimediale Client-Server-Systeme...

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Online-Publishing mit HTML und CSS für Einsteigerinnen

Online-Publishing mit HTML und CSS für Einsteigerinnen mit HTML und CSS für Einsteigerinnen Dipl.-Math. Eva Dyllong Universität Duisburg Dipl.-Math. Maria Oelinger spirito GmbH IF MYT 07-2002 Web-Technologien Überblick HTML und CSS, XML und DTD, JavaScript

Mehr

Rich Internet Applications Technologien. Leif Hartmann INF-M3 Anwendungen 2 - Wintersemester 2007/2008 08. Januar 2008

Rich Internet Applications Technologien. Leif Hartmann INF-M3 Anwendungen 2 - Wintersemester 2007/2008 08. Januar 2008 Rich Internet Applications Technologien Leif Hartmann INF-M3 Anwendungen 2 - Wintersemester 2007/2008 08. Januar 2008 Einleitung Inhalt Kategorisierung Technologien E c h o G o o g le W e b T o o lk it

Mehr

Applets Belebung von Webseiten. Dipl.-Ing. Wolfgang Beer

Applets Belebung von Webseiten. Dipl.-Ing. Wolfgang Beer Applets Belebung von Webseiten Dipl.-Ing. Wolfgang Beer Was sind Applets? Java Klassen, die spezielle Richtlinien befolgen, um: "in Internet-Browsern lauffähig zu sein" Somit ist, komplexere Funktionalität,

Mehr

Vorlesung Objektorientierte Softwareentwicklung. Kapitel 0. Java-Überblick

Vorlesung Objektorientierte Softwareentwicklung. Kapitel 0. Java-Überblick Vorlesung Objektorientierte Softwareentwicklung Sommersemester este 2008 Kapitel 0. Java-Überblick Was sind die Ziele? Warum Java? Komplexe Anwendungen e-business verteilt zuverlässig sicher mobil persistent

Mehr

Applets I. Grundlagen der g Applet-Programmierung

Applets I. Grundlagen der g Applet-Programmierung Applets I Grundlagen der g Applet-Programmierung 2 Inhalt Applets Was sind Applets Entwicklung Grundlagen Zustandssteuerung eines Applets Methoden zum Nachrichtentransfer Soundausgabe Animation Einbindung

Mehr

Java zur Realisierung von Internetanwendungen

Java zur Realisierung von Internetanwendungen Java zur Realisierung von Internetanwendungen Elementare Web-Programmierung Prof. Dr. Bernhard Schiefer HTTP Web-Browser Web-Browser GET http://www.zw.fh-kl.de/beispiel.htm beispiel

Mehr

Inhaltsverzeichnis. Vorwort... Einleitung... Einführung... 1

Inhaltsverzeichnis. Vorwort... Einleitung... Einführung... 1 Vorwort... Einleitung... V VII Einführung... 1 1 Grundlagen... 7 1.1 Dokumentmodelle... 7 1.1.1 Multimedia... 8 1.1.2 Hypermedia... 9 1.1.3 Verteilung... 11 1.2 Geschichte des WWW... 13 1.2.1 Struktur...

Mehr

Sicheres HTTP. 8. Juni 2004. Proseminar Electronic Commerce und digitale Unterschriften

Sicheres HTTP. 8. Juni 2004. Proseminar Electronic Commerce und digitale Unterschriften Sicheres HTTP 8. Juni 2004 Proseminar Electronic Commerce und digitale Unterschriften Sicheres HTTP HTTP über SSL = sicheres HTTP Überblick HTTP: Protokoll zur Datenübertragung im Internet Klartextprotokoll

Mehr

Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen:

Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen: Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen: 1. Internet Explorer Einstellungen Internetoptionen Sicherheit: Mittelhoch

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

AJAX und Ruby on Rails

AJAX und Ruby on Rails AJAX und Ruby on Rails Web-2.0-Kongreß 2006-10-10 Frankfurt (slightly updated for AWE12) Prof. Dr.-Ing. Carsten Bormann 1 Was ist Web 2.0? (nach Paul Graham) (1) AJAX (2) Demokratie (Participation

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Seminar: Web Engineering. Grundlagen von Webanwedungen. Von: Johannes Kettern Benjamin Süß

Seminar: Web Engineering. Grundlagen von Webanwedungen. Von: Johannes Kettern Benjamin Süß Seminar: Web Engineering Grundlagen von Webanwedungen Von: Johannes Kettern Benjamin Süß Inhalt Kapitel 1: Grundlagen Aufgaben von Webanwendungen Abgrenzung: Statische HTML vs. Dynamische Websites Architekturen

Mehr

Web 2.0 Software-Architekturen

Web 2.0 Software-Architekturen Web 2.0 Software-Architekturen Servlets als Controller einer MVC Web Architektur Prof. Dr. Nikolaus Wulff HTTP und HTML Das HyperText TransferProtokoll (HTTP) beschreibt eine einfache verbindungslose Kommunikation,

Mehr

Java 2, Enterprise Edition Einführung und Überblick

Java 2, Enterprise Edition Einführung und Überblick Universität aiserslautern AG Datenbanken und Informationssysteme Seminar Datenbank-Aspekte des E-Commerce Java 2, Enterprise Edition Einführung und Überblick m_husema@informatik.uni-kl.de Vortragsinhalte

Mehr

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12 OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt

Mehr

Webseiten sind keine Gemälde. Webstandards für ein besseres Web. Webstandards für ein besseres Web

Webseiten sind keine Gemälde. Webstandards für ein besseres Web. Webstandards für ein besseres Web Webseiten sind keine Gemälde Webkrauts Die Initiative für die Webkrauts ging von einem Blogeintrag im August 2005 aus. Nach dem Aufruf fanden sich innerhalb von etwa drei Tagen über 60 Interessierte zusammen.

Mehr

Agenda. Einführung AJAX Was ist eigentlich AJAX?

Agenda. Einführung AJAX Was ist eigentlich AJAX? Anwendung in.net Agenda Einführung AJAX Was ist eigentlich AJAX? Was macht AJAX? Klassisch vs. AJAX Bekannte Beispiele Wer hat es erfunden? Wer spricht AJAX? ASP.NET AJAX Microsoft und AJAX Microsofts

Mehr

Sicherheit in Internet Explorer 9. Steffen Krause Senior Technical Evangelist Microsoft Deutschland GmbH Http://blogs.technet.

Sicherheit in Internet Explorer 9. Steffen Krause Senior Technical Evangelist Microsoft Deutschland GmbH Http://blogs.technet. Sicherheit in Internet Explorer 9 Steffen Krause Senior Technical Evangelist Microsoft Deutschland GmbH Http://blogs.technet.com/steffenk Internet Sicherheits-Bedrohungen Sicherheitsrisiken bei Browser

Mehr

Internetanbindung von Datenbanken

Internetanbindung von Datenbanken Internetanbindung von Datenbanken Oracle Application Server Oracle Application Server - 1 Gliederung Einführung Oracle Application Server (OAS) Praxis- und Diplomarbeitenverwaltung LiveHTML Kritik Becker,

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

XPages Good to know. Benjamin Stein & Pierre Hein Stuttgart 7. Mai 2015

XPages Good to know. Benjamin Stein & Pierre Hein Stuttgart 7. Mai 2015 XPages Good to know Benjamin Stein & Pierre Hein Stuttgart 7. Mai 2015 Agenda 1. Einführung Was sind XPages? 2. Allgemeine Tipps Allgemeine Tipps für die Verwendung von XPages 3. Designer Tipps Tipps für

Mehr

Agenda. Einleitung. Einbinden von JSF AJAX Beispiele Komponenten Entwicklung PrimeFaces Praktikum. Was ist JSF Aufbau und Techniken HTML vs.

Agenda. Einleitung. Einbinden von JSF AJAX Beispiele Komponenten Entwicklung PrimeFaces Praktikum. Was ist JSF Aufbau und Techniken HTML vs. JavaServer Faces E-Commerce (WS 2011/12) Fachhochschule Münster FB02 Elektrotechnik und Informatik Referenten: Matthias Wellmeyer, Sven Wermers, Malte Wesker Agenda Einleitung Was ist JSF Aufbau und Techniken

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

ActiveX Scripting IE und DHTML (DOM): Architektur, Beispiele (Object Rexx)

ActiveX Scripting IE und DHTML (DOM): Architektur, Beispiele (Object Rexx) ActiveX Scripting IE und DHTML (DOM): Architektur, Beispiele (Object Rexx) Oliver Spritzendorfer Thomas Fekete ActiveX Technologie für ausführbaren Programmcode auf Web-Seiten wiederverwendbare Softwarekompononente

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Vorlesung Usability and Interaction. Sommersemester 2009

Vorlesung Usability and Interaction. Sommersemester 2009 Vorlesung Usability and Interaction Sommersemester 2009 Dipl.-Inf. Philipp Heim Forschungsgebiet Interaktive Systeme Institut für Visualisierung und interaktive Systeme Universitätsstraße 38 70569 Stuttgart

Mehr

Johannes Siep. AJAX Webtests mit Selenium

Johannes Siep. AJAX Webtests mit Selenium Johannes Siep AJAX Webtests mit Selenium Agenda 1.) AJAX Eine Einführung 2.) Was ist Selenium? 3.) AJAX testen mit Selenium 4.) Zusammenfassung 2 AJAX Eine Einführung 3 AJAX Web 1.0 - klassische Webanwendungen

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten Aktuelle Themen der Wirtschaftsinformatik Zusammenfassung 09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten 1 Serverseitige Webprogrammierung

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Peter Sobe Internettechnologien. HTTP Protokoll (1) Hypertext Transport Protocol, größtenteils zum Austausch von Hypertext (HTML, xhtml) benutzt

Peter Sobe Internettechnologien. HTTP Protokoll (1) Hypertext Transport Protocol, größtenteils zum Austausch von Hypertext (HTML, xhtml) benutzt WWW Web basierend auf dem Internet Das Internet war bereits eher als das Web vorhanden, mit verteilten Anwendungen, Dateitransfer, Netzwerk- Dateisystemen (NFS) Web: entstanden durch Vorhandensein des

Mehr

Dynamische Webseiten

Dynamische Webseiten Dynamische Webseiten Seminar Medientechnik 30.06.2003 Dynamische Webseiten 1 Inhalt Allgemeine Funktionsweise eines Webservers Grundgedanke von dynamischen Webseiten Einschub: Dynamische Seitenerzeugung

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Laufzeitumgebungen Das Beispiel der Java Virtual Machine

Laufzeitumgebungen Das Beispiel der Java Virtual Machine Westfälische Wilhelms-Universität Münster Laufzeitumgebungen Das Beispiel der Java Virtual Machine Benjamin Leenen Im Rahmen des Seminars zur Übersetzung von künstlichen Sprachen 2 Agenda Virtuelle Maschinen

Mehr

Adobe AIR. Daniel Thaidigsmann 13.02.2008. Zusammenfassung

Adobe AIR. Daniel Thaidigsmann 13.02.2008. Zusammenfassung Adobe AIR Daniel Thaidigsmann 13.02.2008 Zusammenfassung Diese Arbeit beschäftig sich mit der von Adobe Systems entwickelten Laufzeitumgebung AIR. Es wird zum einen die Philosophie und die Zielgruppe von

Mehr

CARL HANSER VERLAG. Dirk Ammelburger XML. Grundlagen der Sprache und Anwendungen in der Praxis 3-446-22562-5. www.hanser.de

CARL HANSER VERLAG. Dirk Ammelburger XML. Grundlagen der Sprache und Anwendungen in der Praxis 3-446-22562-5. www.hanser.de CARL HANSER VERLAG Dirk Ammelburger XML Grundlagen der Sprache und Anwendungen in der Praxis 3-446-22562-5 www.hanser.de 1 1.1 Einleitung... 2 Über dieses Buch... 3 1.2 Für wen ist das Buch gedacht?...

Mehr

Einführung in das Google Web Toolkit am Beispiel eines Projektes aus der Verkehrstelematik

Einführung in das Google Web Toolkit am Beispiel eines Projektes aus der Verkehrstelematik Einführung in das Google Web Toolkit am Beispiel eines Projektes aus der Verkehrstelematik Fachhochschule Aachen - WS 11/12 Seminararbeit im Bachelorstudiengang Scientific Programming Sebastian Schilling

Mehr

Multimediale Werkzeuge. Textformate, Medienobjekte

Multimediale Werkzeuge. Textformate, Medienobjekte Multimediale Werkzeuge Textformate, Medienobjekte Geschichte/ Eigenschaften von Textformaten Gebräuchliche Textformate, z.b. für HTML Files, Programme: ASCII (American Standard Code for Inform. Interchange)

Mehr

Sicherheitsmechanismen in Java. Informatik B - Objektorientierte Programmierung in Java. Vorlesung 19: Sicherheit. Sicherheitsmechanismen in Java

Sicherheitsmechanismen in Java. Informatik B - Objektorientierte Programmierung in Java. Vorlesung 19: Sicherheit. Sicherheitsmechanismen in Java Universität Osnabrück 1 Sicherheitsmechanismen in Java 3 - Objektorientierte Programmierung in Java Vorlesung 19: Sicherheit Sprachsicherheit Java wurde mit hohen Sicherheitsansprüchen entworfen, da Applets

Mehr

inews: XML in der Praxis Konvertierung von Objekten nach XML und zurück Dr. St. Seefeld / INGTES AG

inews: XML in der Praxis Konvertierung von Objekten nach XML und zurück Dr. St. Seefeld / INGTES AG inews: XML in der Praxis Konvertierung von Objekten nach XML und zurück Dr. St. Seefeld / INGTES AG Objekte und XML Bei der Arbeit mit objektorientierten Programmiersprachen und XML kommt schnell der Wunsch

Mehr

Modellierung und Programmierung 1

Modellierung und Programmierung 1 Modellierung und Programmierung 1 Prof. Dr. Sonja Prohaska Computational EvoDevo Group Institut für Informatik Universität Leipzig 21. Oktober 2015 Entstehung von Java 1991 entwickeln Mike Sheridan, James

Mehr

Dokumentation zu IBM Lotus Mashups

Dokumentation zu IBM Lotus Mashups Dokumentation zu IBM Lotus Mashups Diese Veröffentlichung ist eine Übersetzung von IBM Lotus Mashups documentation, herausgegeben von International Business Machines Corporation, USA Copyright International

Mehr

Cross-Platform Apps mit HTML5/JS/CSS/PhoneGap

Cross-Platform Apps mit HTML5/JS/CSS/PhoneGap Cross-Platform Apps mit HTML5/JS/CSS/PhoneGap Proseminar Objektorientiertes Programmieren mit.net und C# Florian Schulz Institut für Informatik Software & Systems Engineering Einführung Was hat Cross-Plattform

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

Ganz sicher sicher surfen. it-sa 2013 Nürnberg

Ganz sicher sicher surfen. it-sa 2013 Nürnberg Ganz sicher sicher surfen it-sa 2013 Nürnberg + Soforthilfe gegen kritische Reader-Lücken heise.de, 14.02.2013 Wer mit den aktuellen Versionen des Adobe Reader ein PDF-Dokument öffnet, läuft Gefahr, sich

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

SAP NetWeaver Gateway. Connectivity@SNAP 2013

SAP NetWeaver Gateway. Connectivity@SNAP 2013 SAP NetWeaver Gateway Connectivity@SNAP 2013 Neue Wege im Unternehmen Neue Geräte und Usererfahrungen Technische Innovationen in Unternehmen Wachsende Gemeinschaft an Entwicklern Ausdehnung der Geschäftsdaten

Mehr

Java und XML 2. Java und XML

Java und XML 2. Java und XML Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik Java und XML Hauptseminar Telematik WS 2002/2003

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Applications Applets (eingeschränkte Rechte)

Applications Applets (eingeschränkte Rechte) 1 Arten von Java-Programmen Man unterscheidet 2 verschiedene Arten von Java-Programmen: Applications Applets (eingeschränkte Rechte) Erstere sind eigenständige Programme. Letztere sind "kleine" Programme,

Mehr