A4C WEB APPLICATION ASSESSMENT

Größe: px
Ab Seite anzeigen:

Download "A4C WEB APPLICATION ASSESSMENT"

Transkript

1 CSC DEUTSCHLAND SOLUTIONS GMBH A4C WEB APPLICATION ASSESSMENT München,

2 Angebot an CLIENT_FULL ANSCHRIFT Über A4C Web Application Assessment von CSC Deutschland Solutions GmbH Abraham-Lincoln-Park Wiesbaden DEUTSCHLAND Rückfragen richten Sie bitte an: Peter Rehäußer Telefon: +49.(0) Information Security Architect Mobil: +49.(0) Head of Cybersecurity Consulting Germany CSC 2014 Seite II

3 Inhaltsverzeichnis 1 Grundlage des Angebotes Angebotsdefinition Angebotsbestandteile Hintergrund des Angebots Business-Ziele von Kunde Zielsetzung des Projektes Leistungsbeschreibung & Vorgehensweise Projektinitialisierung Web Application Assessment Scope Vorgehen Zeitplan Personaleinsatz Annahmen und Randbedingungen Leistungen des Kunden Organisatorische Leistungen Technische Leistungen Kommerzielle Bedingungen Festpreis Preise für Arbeiten nach Aufwand Dienstreisen Zahlungsplan und Rechnungsstellung Bindefrist Anhang Anbieterdarstellung Das Unternehmen CSC StrikeForce Vereinbarung über die Durchführung von Vulnerability Assessments Angaben zur In-Scope Webapplikation Beispielreport für A4C Web Application Assessment (kostenfrei) Beispielreport für A4C Web Application Assessment (kostenpflichtig) CSC 2014 Seite III

4 1 GRUNDLAGE DES ANGEBOTES 1.1 Angebotsdefinition Die CSC Deutschland Solutions GmbH, bietet CLIENT_FULL - nachstehend kurz CSC genannt - - nachstehend kurz _CLIENT_SHORT_ genannt - die in diesem Angebot in den folgenden Kapiteln beschriebenen Leistungen als Dienstvertrag zum Festpreis an. 1.2 Angebotsbestandteile Die Bestandteile des Angebotes sind bei Widersprüchen in der nachstehenden Reihenfolge die folgenden: dieses Angebot über ein kostenfreies Web Application Assessment die Allgemeinen Geschäftsbedingungen für Dienst-, Kauf- und Werkverträge der CSC Deutschland Solutions GmbH, Stand Juni 2006 CSC 2014 Seite 1

5 2 HINTERGRUND DES ANGEBOTS Im Rahmen der CSC A4C Initiative ist es das Ziel von CSC Deutschland als Partner der Allianz für Cybersicherheit, das IT-Sicherheitsniveau von deutschen Unternehmen anzuheben und ein Bewusstsein für die Risiken unsicherer IT-Systeme und deren Auswirkungen auf den Geschäftsbetrieb aufzubauen. Dieses Angebot über ein kostenfreies Web Application Assessment richtet sich deshalb bewusst an Unternehmen, die Teilnehmer der Allianz für Cyber-Sicherheit sind und deren Kerngeschäft außerhalb der IKT-Branche liegt. Insbesondere diese Unternehmen sind erheblichen Risiken ausgesetzt, während Unternehmen der IKT-Branche in diesem Feld erfahrungsgemäß bereits gut aufgestellt sind. Das Web Application Assessment soll somit helfen, kostenneutral einen ersten Einblick in den eigenen Sicherheitszustand am Beispiel einer Webanwendung zu erhalten. 2.1 Business-Ziele von _CLIENT_SHORT_ Die Sicherheitsüberprüfung dient der proaktiven Risikominderung folgender Szenarien: Finanzielle Ausfälle (z.b. durch Nichtverfügbarkeit von Diensten) Imageschäden (z.b. durch Defacements oder Leaks von Kundendaten) Verlust von Geschäftsgeheimnissen und geistigem Eigentum Unterbrechung des Geschäftsbetriebs oder Einschränkung der Produktivität 2.2 Zielsetzung des Projektes Ziel des Projektes ist die Sicherheitsüberprüfung einer Webanwendung, um bestehende Sicherheitslücken und deren Risiken zu identifizieren. Folgende Ebenen werden im Rahmen des Web Application Assessments geprüft: Schwachstellen in der Anwendungsimplementierung (z.b. unzureichende Eingabevalidierung) Schwachstellen des Authentifizierungssystems, des Session-Managements, der Nutzerverwaltung oder des Rechtemanagements Designschwachstellen in der Anwendungslogik Konfigurationsschwachstellen der Anwendungsumgebung CSC 2014 Seite 2

6 3 LEISTUNGSBESCHREIBUNG & VORGEHENSWEISE CSC bietet _CLIENT_SHORT_ die Sicherheitsüberprüfung einer Webanwendung an. Die Durchführung des Projekts erfolgt anhand folgender Phasen: 3.1 Projektinitialisierung Im Rahmen der Projektinitialisierungsphase werden zunächst alle organisatorischen und technischen Bedingungen geschaffen, die für das Durchführen der Tests innerhalb der Module notwendig sind. Dazu gehört neben den üblichen Abstimmungsgesprächen folgendes: Die Art und Weise der Kommunikation (z.b. verschlüsselte ) wird vereinbart; ggf. werden Schlüssel ausgetauscht. _CLIENT_SHORT_ bestätigt schriftlich 1, dass CSC von _CLIENT_SHORT_ beauftragt wurde, die technische Sicherheitsüberprüfung durchzuführen. CSC ist damit berechtigt, Angriffswerkzeuge zu benutzen, die ansonsten in Deutschland nach 202c StGB nicht erlaubt sind. _CLIENT_SHORT_ unterzeichnet ebenfalls eine Bestätigung, dass CSC darauf hingewiesen hat, dass die technischen Sicherheitsüberprüfungen zu Störungen oder Ausfällen im Betrieb oder zu Datenverlust führen können. CSC empfiehlt daher dringend, die Tests gegen nicht-produktive Systeme oder außerhalb der üblichen Nutzungszeiten und nur nach einem vollständigen Backup durchzuführen. Werden Bestandteile der zu prüfenden Systeme von Drittanbietern betrieben (z.b. Webhosting), informiert _CLIENT_SHORT_ diese und holt deren Einverständnis für die durchzuführenden Tests ein. Zusätzlich wird ein technischer Ansprechpartner des Drittanbieters von _CLIENT_SHORT_ benannt, um den Drittanbieter bei Vorhandensein von Sicherheitslücken auf Infrastrukturebene (z.b. unsichere Webserverkonfiguration) kontaktieren zu können. 2 _CLIENT_SHORT_ richtet bei Bedarf alle notwendigen Test-Accounts ein und übermittelt die Zugangsdaten an CSC. _CLIENT_SHORT_ übermittelt alle notwendigen technischen Informationen über die Angriffsziele an CSC (z.b. die IP Adressen, URLs, etc.). Es werden Zeitfenster für das Durchführen der Tests vereinbart. In diesen Zeitfenstern sollten auch Administratoren in Rufbereitschaft sein. Es kann vorkommen, dass eine Maschine während der Tests neu gestartet werden muss. Dies würde ohne Rufbereitschaft zu langen Wartezeiten führen. Um eine möglichst intensive Abdeckung der Tests zu gewährleisten, deaktiviert _CLIENT_SHORT_ ggf. vorhandene Mitigation-Systeme wie Web-Application-Firewalls oder IDS/IPS-Systeme für den IP-Netzblock des simulierten Angreifers. 1 siehe Formblatt Vereinbarung über die Durchführung von Vulnerability Assessments im Anhang. 2 siehe Formblatt Angaben zur In-Scope Webapplikation im Anhang. CSC 2014 Seite 3

7 CSC teil den IP-Netzblock des simulierten Angreifers rechtzeitig vor Beginn der Tests mit. CSC installiert und konfiguriert die notwendigen Tools auf eigenen Maschinen. Unmittelbar vor den Tests soll _CLIENT_SHORT_ ein komplettes Backup der Zielsysteme durchführen, um Datenverlust durch die Tests ausschließen zu können. 3.2 Web Application Assessment Das Web Application Assessment soll zeigen, ob in den web-basierten Schnittstellen oder Anwendungen unautorisierte oder unsichere Funktionen verwendet werden, die das Kompromittieren der Anwendungslogik, Anwendungsdaten, Benutzerzugriffe oder der angeschlossenen Systeme erlauben. Die Überprüfung erfolgt unter Einbeziehung aktueller Gefahrenszenarien und Risiken im Einsatz von Webapplikationen, wie sie in anerkannten und standardisierten Frameworks und Projekten wie dem Open Web Application Assessment Project (OWASP) erfasst sind. Neben Sicherheitslücken auf Applikationsebene werden auch Konfigurationsschwachstellen der Anwendungsumgebung ermittelt Scope In-Scope Services Der vereinbarte Umfang des Web Application Assessments umfasst: Untersuchen der In-Scope Applikation Feststellen der Existenz von Verwundbarkeiten oder Schwachstellen die potenziell ausgenutzt werden können Folgende Bereiche werden innerhalb jedes In-Scope-Anwendung untersucht: Erfassen von Inhalten und Funktionen (Web Spidering, Versteckte Inhalte, Dynamische Applikationsseiten und Pfade, Eingesetzte Software, Frameworks und Schnittstellen) Analyse der Anwendung (Benutzereingabenpunkte, Banner Grabbing, HTTP Fingerprinting, Session Tokens) Feststellen der Angriffsfläche (Clientseitigen Validierungsmechanismen, Datenbankinteraktion, Dateiupload- und Download, Ausgabe von Benutzereingaben, Dynamische Umleitungen, Loginmechanismen, Logikfehler, Sitzungsstatus, Zugriffsbeschränkungen, Verschlüsselte/unverschlüsselte Kommunikation, Fehlerausgaben) Ausnutzen und Verifizieren von Sicherheitslücken o Authentifizierungsmechanismen (Unsicheres Übertragen von Zugangsdaten, Erlangen von unautorisiertem Zugriff) o Sitzungsmanagement (Vorhersagbarkeit von Tokens, Beenden von Sitzungen, Erzwingen von Sitzungsidentifikatoren, Cross-site Request Forgery) o Eingabevalidierung (SQL Injection, Xpath Injection, Code/Command Injection, Cross-site Scripting, Path Traversal, File-inclusions) o Designfehler (Forceful Browsing, Wirkungslose Schutzmaßnahmen, Verarbeitung von unvollständigen Benutzereingaben) CSC 2014 Seite 4

8 Out of Scope Folgende Applikation sind vom Projektumfang ausgeschlossen: Jede Applikation, der nicht im Projektumfang (in Scope) anhand ihrer Domain oder URL genannt ist Systeme von Drittanbietern, sofern nicht explizit vereinbart Folgende Leistungen sind vom Projektumfang ausgeschlossen: Clientseitige Angriffe (Browser Exploits, Session Hijacking von externen Benutzern) Denial of Service (DoS) Angriffe In Scope Applikationen Folgende Applikation ist eingeschlossen: http(s)://fqdn/path/* (uncredentialed/credentialed) Vorgehen Die Systeme werden einem Web Application Assessment unterzogen. Die einzelnen Tests werden durch automatisierte bzw. teilautomatisierte Tools durchgeführt und ggf. durch manuelle Tests ergänzt. Der Prüfungsablauf gestaltet sich anhand folgender Phasen: Footprinting/Reconnaissance Es erfolgt zunächst die Identifizierung von potenziellen Zielentitäten wie z.b. zugreifbare Pfadstrukturen, wodurch auf technischer Ebene eine Kartierung der Zielinfrastruktur erreicht wird Enumeration Während der Enumeration-Phase werden die identifizierten Zielsysteme auf Ebene der Anwendungslogik untersucht. Da in diesem Projekt eine Webanwendung im Mittelpunkt stehen, erfolgt zunächst das Erfassen des Verhaltens der Anwendungen und der zugrundeliegenden Funktionsmechanismen. Neben der Kommunikationslogik wird auch einsehbarer Quellcode (z.b. JavaScript, HTML) auf Hinweise zu potenziellen Schwachstellen und andere hilfreiche Informationen untersucht Web Application Assessment Basierend auf der Footprinting- und Enumeration-Phase erfolgt die gezielte technische Überprüfung. Die Tests werden mit automatisierten und manuellen Scanning-Tools durchgeführt, durch manuelle Schwachstellenvalidierung verifiziert und durch manuelles Testing ergänzt, um eine möglichst hohe Abdeckungsrate zu erzielen. Ziel ist es, die Schwachstellen zu identifizieren, welche die Web- Anwendung, ihre Benutzer oder die zugrundeliegenden Systeme kompromittieren könnten. Beispiele hierfür sind Fehler im Anwendungsdesign, Code und SQL Injections, oder auch Cross-Site Scripting (XSS) und Session-Hijacking. CSC 2014 Seite 5

9 Zusätzlich werden ggf. weitere Tests im Benutzerzugriffskontext durchgeführt (Credentialed Tests), um die Benutzerseparierung, Rechtemanagement und weitere zugreifbare Anwendungskomponenten auf Schwachstellen zu prüfen Analyse und Report Die im Rahmen der Testing Phase ermittelten Schwachstellen werden hinsichtlich ihrer Gesamtrisiken klassifiziert und analysiert. Die Ergebnisse gehen anschließend in den Report ein. Der kostenfreie Report ist im Umfang reduziert und enthält lediglich einen Management Summary sowie die kritischsten vorgefundenen Schwachstellen und dadurch betroffene Systeme. Der optional erwerbbare kostenpflichtige Report enthält neben detaillierten Informationen über jede Schwachstelle auch, soweit möglich, Empfehlungen, wie diese Schwachstellen effektiv beseitigt werden können. Beispielreports sind im Anhang dieses Angebots enthalten. CSC 2014 Seite 6

10 4 ZEITPLAN Die konkreten Leistungszeitpunkte werden zwischen _CLIENT_SHORT_ und CSC individuell abgestimmt. Es besteht für dieses kostenfreie Angebot ansonsten kein Anspruch auf eine zeitnahe Durchführung. CSC 2014 Seite 7

11 5 PERSONALEINSATZ Die Leistungen werden von deutschen Mitarbeitern aus der CSC StrikeForce erbracht, die sowohl entsprechende Zertifizierungen als auch notwendige Erfahrungen im Bereich Penetrationstests und Security Assessments besitzen. CSC 2014 Seite 8

12 6 ANNAHMEN UND RANDBEDINGUNGEN Es gelten folgende Annahmen und Randbedingungen: Es wird exakt eine Webapplikation getestet, die präzise anhand ihres FQDN oder ihres URL identifiziert werden kann. Weitere Applikationen, die z.b. unterhalb des URL-Pfades verortet sind oder extern eingebundene Komponenten wie Webservices oder angebundene APIs, werden nicht betrachtet. Auch Applikationsbestandteile auf anderen Domains werden nicht einbezogen. Im kostenfreien Testumfang ist lediglich ein reduzierterer Ergebnisbericht in Form eines Management Summary enthalten. Dieser beinhaltet eine Auflistung der schwerwiegendsten Befunde in generalisierter Form sowie jeweils die Art der Sicherheitslücke, deren Risikoklassifizierung, den Root-Cause und die betroffenen Komponenten und der Ort des Auftretens anhand des URL. Die jeweilige exakte Position einer Sicherheitslücke und entsprechende Behebungsmaßnahmenvorschläge sind nur im optional erhältlichen kostenpflichtigen Report enthalten (z.b. ein konkret betroffener GET Parameter). Auf Anfrage des Kunden kann ein vollwertiger Report inkl. Details der vorgefundenen Sicherheitslücken, empfohlenen technischen und organisatorischen Behebungsmaßnahmen und technischen Anhängen für die unter Kapitel 8 beschriebenen Konditionen innerhalb von 60 Tagen nach Abschluss des Projekts erworben werden. Der reduzierte und vollwertige Report und ggf. erstellte Testartefakte werden nach Abschluss des Projekts 60 Tage von CSC vorgehalten und anschließend gelöscht. Alle technischen Tests aller Schnittstellen sollen gemeinsam in einem ausreichend großen Zeitfenster durchgeführt werden. Mehrfaches Starten von einzelnen Tests aufgrund von Timeouts oder anderen Ursachen auf Kundenseite ist nicht vorgesehen. Jeder technische Test wird nur genau einmal durchgeführt. Sollten Wiederholungen auf Grund von kundenseitig zu verantwortenden Problemen notwendig werden, werden diese Wiederholungen nur auf ausdrücklichen Kundenwunsch durchgeführt. Diese zusätzlichen Leistungen sind gesondert zu vergüten. Sämtliche technischen Tests können über das Internet erfolgen. Der Kunde trägt dafür Sorge, dass sämtliche technischen Vorbereitungen auf seiner Seite dafür rechtzeitig und unentgeltlich getroffen werden. (z.b. VPN-Tunnel, Test-Accounts, etc.). Da es sich im Rahmen der Prüfung um sowohl zeitlich als auch vom Umfang her begrenzte Tests handelt, wird nicht garantiert, dass tatsächlich alle vorhandenen Schwachstellen identifiziert werden können. Sämtliche zu erstellende Dokumentation in Form des kostenfreien oder Kostenpflichtigen Reports wird jeweils genau einmal in elektronischer Form an den Kunden übergeben. Evtl. angefallene Testartefakte wie z.b. Logfiles werden nicht geliefert. Die Ergebnisdokumentation wird in englischer Sprache übergeben. Anfragen von CSC an den Kunden werden von ihm kurzfristig und fachlich korrekt und ausführlich beantwortet. CSC 2014 Seite 9

13 Es wird vorab kein Termin für die Durchführung der Tests zugesichert. Die Terminierung der Prüfungen erfolgt kurzfristig anhand der verfügbaren freien technischen und personellen Ressourcen von CSC. Das Angebot richtet sich ausschließlich an Unternehmen, deren Kerngeschäft nicht in der IT verortet ist. CSC ist berechtigt, anonyme und rein statistische Daten über den Auftraggeber, das Projekt und dessen Ergebnisse zu erheben und ggf. zu publizieren. Aufgrund des stets hohen Aufwands zur Vor- und Nachbereitung behält sich CSC vor, die Prüfung von Internetauftritten/Webanwendungen von zu geringem Umfang abzulehnen, da hier regelmäßig Aufwand und erzielbare Resultate in keinem vernünftigen Verhältnis zu bringen sind. CSC 2014 Seite 10

14 7 LEISTUNGEN DES KUNDEN Alle in diesem Angebot beschriebenen Leistungen von _CLIENT_SHORT_ sind im vereinbarten Umfang unentgeltlich, rechtzeitig und ordnungsgemäß zu erbringen. Die Ausführungen gelten für die organisatorischen, technischen und fachlichen Leistungen. 7.1 Organisatorische Leistungen Organisatorische Leistungen sind in Kapitel 3 (Projektinitialisierung) und werden durch die Rahmenbedingungen in Kapitel 6 ergänzt. 7.2 Technische Leistungen Der Kunde trägt dafür Sorge, dass sämtliche notwendigen technischen Vorbereitungen auf seiner Seite rechtzeitig und unentgeltlich getroffen werden. (z.b. VPN-Tunnel, Test-Accounts, etc.) CSC 2014 Seite 11

15 8 KOMMERZIELLE BEDINGUNGEN 8.1 Festpreis Modul A4C Web Application Assessment Optional: vollständiger Report Preis zzgl. USt 0,-- EUR 3.000,-- EUR Das Basismodul A4C Web Application Assessment ist kostenfrei und beinhaltet einen im Umfang reduzierten Report. Der zusätzlich verfügbare vollständige Report wird ausdrücklich optional angeboten und kann auf Kundenwusch nach Abschluss der Umsetzung des Basismoduls kostenpflichtig erworben werden. 8.2 Preise für Arbeiten nach Aufwand Der kostenfreie Testumfang kann durch ausdrücklichen Kundenwunsch um weitere Leistungen in kostenpflichtiger Form erweitert werden. Sofern neben den kostenfreien Services weitere Leistungen wie Testwiederholungen oder weitere Prüfungen gewünscht werden, sind diese nach Aufwand zu erbringenden Leistungen von CSC von zu folgenden Tagessätzen von _CLIENT_SHORT_ zu vergüten: Rolle Projektleiter StrikeForce Engineer Tagessatz in / Tag 1.080,-- EUR 975,-- EUR Die angegebenen Tagessätze gelten auch als Basis für die Vergütung von Change Requests und Mehraufwendungen. Ein Tagessatz deckt dabei eine Arbeitsleistung von 8 Stunden pro Tag ab. Darüber hinausgehende oder geringere Arbeitsleistungen werden anteilig vergütet. Die Tagessätze beziehen sich auf Aktivitäten, die in der Zeit von Montag bis Freitag zwischen 6.00 und Uhr erbracht werden. Werden Mitarbeiter von CSC nach Genehmigung durch _CLIENT_SHORT_ außerhalb der vorgenannten Zeit tätig, erhöht sich der anteilige Tagessatz wie folgt: bei Nachtarbeit 30 % bei Samstagsarbeit 25 % bei Sonntagsarbeit 50 % bei Feiertagsarbeit 100 % Die Aufschläge werden nicht kumuliert erhoben. Es gilt der jeweils höhere Aufschlag. Alle Preise verstehen sich zuzüglich der zum Zeitpunkt der Leistungserbringung gültigen Umsatzsteuer. CSC 2014 Seite 12

16 8.3 Dienstreisen Dienstreisen oder Vor-Ort-Tätigkeiten erfolgen nur auf ausdrücklichen Wunsch des Kunden und sind dann gesondert zu vergüten. Im Rahmen des kostenfreien A4C Angebots fallen keine Dienstreisen an. Für Leistungen, die die Mitarbeiter von CSC nicht am Ort ihrer Geschäftsstelle erbringen, werden gesondert Fahrzeiten, -kosten, Spesen und ggf. Übernachtungskosten in Rechnung gestellt. Es gelten folgende Rahmenbedingungen: Flug Economy Class Bahn 2. Klasse Kilometerpauschale 0,60/km Hotel nach Aufwand, max. 4 Sterne Öffentliche Verkehrsmittel, nach Aufwand Taxi und Parkgebühren Tagesspesen nach den geltenden steuerlichen Richtlinien Für Reisezeiten werden je Stunde 1/12 des Tagessatzes berechnet. 8.4 Zahlungsplan und Rechnungsstellung Es erfolgt bei Bedarf die Rechnungsstellung monatlich im Nachhinein. Zahlungen sind zwei Wochen nach Rechnungsstellung ohne Abzüge fällig. 8.5 Bindefrist An dieses Angebot hält sich CSC bis zum [+ zwei Wochen] gebunden. Nach Ablauf verfällt das kostenfreie Angebot und andere Bewerber erhalten Gelegenheit zum Vertragsabschluss. Dies geschieht vor dem Hintergrund, dass die kostenfreien A4C Web Application Assessments nur in einem begrenzten Kontingent von CSC bereitgestellt werden. CSC 2014 Seite 13

17 Vielen Dank für Ihr Interesse an unseren Dienstleistungen Mit freundlichen Grüßen CSC Deutschland Solutions GmbH München, am ???????? i.v Peter Rehäußer???????????? Head of Cybersecurity Consulting Germany Zum Zeichen der Auftragserteilung: Wir beauftragen die CSC Deutschland Solutions GmbH mit den in diesem Angebot angeführten Leistungen:... Ort, Datum... rechtsgültige Unterschrift, Firmenstempel CSC 2014 Seite 14

18 9 ANHANG 9.1 Anbieterdarstellung Das Unternehmen CSC ist ein weltweit führendes Unternehmen für IT-gestützte Businesslösungen und Dienstleistungen. Das Unternehmen mit Hauptsitz in Falls Church, Virginia, hat rund Mitarbeiter und erwirtschaftete in den zwölf Monaten bis zum 30. März 2012 einen Umsatz von 15,9 Milliarden US- Dollar. Weitere Informationen über CSC in Deutschland finden Sie auf der deutschen Website von CSC unter oder unter In Zentraleuropa bieten unsere Mitarbeiterinnen und Mitarbeiter in Deutschland, Österreich, der Schweiz, der Tschechischen Republik, der Slowakei, Polen, Ungarn, Bulgarien und Türkei den Kunden von CSC umfassende Services vor Ort. Wir verfügen über eine für die IT-Industrie sehr lange Tradition: Seit über 50 Jahren ist CSC mit seinem IT-Dienstleistungsportfolio erfolgreich tätig und hat langjährige Kundenbeziehungen aufgebaut, die von gegenseitigem Vertrauen geprägt sind. Unsere vielfältige IT-Expertise, gekoppelt mit dem Wissen um die Geschäftsprozesse der wichtigen Branchen, setzen wir gemeinsam mit unseren Kunden in exzellente Resultate um. Innovative und praxisorientierte Lösungen sind heute gefragt nicht schnelle Innovationen um jeden Preis, sondern Lösungen, die dem Kunden helfen, die Komplexität seines Geschäftes zu managen, sich auf seine Kernkompetenzen zu konzentrieren und nachhaltige Geschäftserfolge zu erzielen. Unser Erfolg basiert auf Kompetenz, Professionalität sowie hoher Kunden- und Serviceorientierung. Dabei kennzeichnet eine partnerschaftliche und vertrauensvolle Zusammenarbeit in jeder Phase gemeinsamer Projekte unser Vorgehen CSC StrikeForce Die StrikeForce ist ein Team innerhalb der CSC bestehend aus hochspezialisierten Experten im Bereich der technischen IT-Security. Das Team führt seit über 15 Jahren weltweit Security Assessments unter anderem für Großkonzerne aller Wirtschaftssektoren, nationale Behörden und internationale Organisationen durch. Durch die Erfahrung und Kenntnisse der einzelnen Fachexperten wird eine umfassende Abdeckung aller relevanten Teilaspekte und Disziplinen im Umfeld von Vulnerability Assessments und Penetrationstests, Application Assessments, Physical Security und Social Engineering sowie Technology Compliance sichergestellt. CSC 2014 Seite 15

19 9.2 Vereinbarung über die Durchführung von Vulnerability Assessments zwischen im folgenden Kunde genannt und der CSC Deutschland Solutions GmbH Abraham-Lincoln-Park Wiesbaden - im folgenden CSC genannt - Der Kunde hat die CSC beauftragt ein Vulnerability Assessment, also einen kontrollierten Versuch durchzuführen, von außen ein bestimmtes Computersystem bzw. Netzwerk mit Angriffs- und Scan- Tools zu untersuchen, um Schwachstellen zu identifizieren. Das Vulnerability Assessment kann dabei insbesondere als Black-Box oder White-Box-Test, passiv scannend bis aggressiv, vollständig, begrenzt oder fokussiert, verdeckt oder offensichtlich, über Netzwerkzugang, sonstige Kommunikation, physischen Zugang, Social Engineering und von außen oder von innen vorgenommen werden. Der Kunde erklärt hiermit sein Einverständnis mit der von CSC gewählten Art des Vulnerability Assessments und den einzusetzenden Techniken. Er willigt ein, dass von CSC im Rahmen der Testdurchführung potentiell schadenverursachende Maßnahmen vorgenommen werden dürfen. Da bei einem Vulnerability Assessment auch Systeme von Dritten (z. B. Router eines Providers, Webserver eines Hosters) genutzt werden und eine Beeinträchtigung des ordnungsgemäßen Betriebs dieser Systeme nicht ausgeschlossen werden kann, verpflichtet sich der Kunde eventuell betroffene Dritte vorab über den geplanten Tests zu informieren. Da es nicht völlig ausgeschlossen werden kann, dass im Rahmen eines Vulnerability Assessments Systeme derart beeinträchtigt werden, dass ein Datenverlust auftritt, verpflichtet sich der Kunde dazu, vor und während des Zeitraums des Vulnerability Assessments mindestens einmal täglich Datensicherungen der gefährdeten und relevanten Systeme anzufertigen und diese in mehreren Generationen aufzubewahren. CSC leistet Schadenersatz oder Ersatz vergeblicher Aufwendungen gleich aus welchem Rechtsgrund (z.b. Pflichtverletzung oder unerlaubter Handlung) nur bei Vorsatz oder Personenschäden in voller Höhe oder CSC 2014 Seite 16

20 nach dem Produkthaftungsgesetz bis zu den darin angegeben Höchstbeträgen. Die Haftung für alle übrigen Schäden wird hiermit ausgeschlossen. Der Kunde erklärt sich zusätzlich damit einverstanden, dass die Ergebnisse der Tests in anonymisierter Form für statistische Zwecke analysiert und weiterverarbeitet werden. Die erfassten Daten beinhalten die Branche des Kunden, den Risikograd, die Anzahl und Typ von gefundenen Schwachstellen sowie die Anzahl an betroffenen Systemen. Änderungen und Ergänzungen dieses Vertrages, einschließlich dieser Bestimmung, bedürfen der Schriftform. Sollte eine Bestimmung dieses Vertrages ganz oder teilweise unwirksam sein, wird die Wirksamkeit aller übrigen Bestimmungen dieses Vertrages davon nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch diejenige wirksame Bestimmung zu ersetzen, die dem von den Vertragsparteien mit der unwirksamen Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt. Das Gleiche gilt für den Fall, dass dieser Vertrag unvollständig sein sollte...., den......, den... _CLIENT_SHORT_ CSC Deutschland Solutions GmbH Gesetzlicher Vertreter CSC 2014 Seite 17

21 9.3 Angaben zur In-Scope Webapplikation URL der Webapplikation: Name der Webapplikation: Produktivsystem Testsystem Entwicklungssystem Eingesetzte Programmiersprachen, Frameworks und Datenbanksysteme: Technischer Ansprechpartner des Kunden: Name: Titel: Tel: Credentialed Scans gewünscht Benutzername: Passwort: Login-URL: CSC 2014 Seite 18

22 Web-Applikation wird auf Drittanbietersystemen betrieben Name des Drittanbieters: Art der Drittanbieterinfrastruktur: Dedicated Server Cloud Server Shared Hosting Name der genutzten Lösung: Technischer Ansprechpartner des Drittanbieters: Name: Titel: Tel: CSC 2014 Seite 19

23 9.4 Beispielreport für A4C Web Application Assessment (kostenfrei) Siehe beiliegendes Dokument Web Application Assessment A4C Free Report. 9.5 Beispielreport für A4C Web Application Assessment (kostenpflichtig) Siehe beiliegendes Dokument Web Application Assessment A4C Complete Report. CSC 2014 Seite 20

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Allgemeine Geschäftsbedingungen für Dienstleistungen

Allgemeine Geschäftsbedingungen für Dienstleistungen MAD Mobile Application Development GmbH Leutragraben 1-07743 Jena Tel: +49 3641 310 75 80 Fax: +49 3641 5733301 email: info@mad-mobile.de http://www.mad-mobile.de Allgemeine Geschäftsbedingungen für Dienstleistungen

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

.it:25 1 GELTUNGSBEREICH

.it:25 1 GELTUNGSBEREICH 1 GELTUNGSBEREICH (1) Die Firma "it25 GmbH" - im Folgenden it25 Support - bietet verschiedene Support- Leistungen für Kunden und Unternehmen im Bereich der Wartung und Fehlerbeseitigung bei Linux- und

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen für den technischen Betrieb einer kostenlosen Tracking Software für Webseiten I. Gegenstand dieses Vertrages 1. André Oehler, An der Hölle 38 / 2 / 4, 1100 Wien, Österreich

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen für das Mieten und Vermieten von Verlinkungen anderer Webseiten I. Gegenstand dieses Vertrages 1. André Oehler, An der Hölle 38 / 2 / 4, 1100 Wien, Österreich (Steuernummer:

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Webspace-Einrichtungs-Service-Vertrag

Webspace-Einrichtungs-Service-Vertrag Zwischen MoHost Inh. ClaasAlexander Moderey WeimarerStraße 108 Bei Waterböhr D -21107 Hamburg im Folgenden Anbieter genannt Telefon: Fax: E-Mail: Internet: Ust.-IDNr.: +49 (0) 4018198254 +49 (0) 4018198254

Mehr

Allgemeine Geschäftsbedingungen der Firma The-BIT Büro für IT Ltd. 1. Allgemeines

Allgemeine Geschäftsbedingungen der Firma The-BIT Büro für IT Ltd. 1. Allgemeines Allgemeine Geschäftsbedingungen der Firma The-BIT Büro für IT Ltd. 1. Allgemeines 1.1. Die nachstehenden Geschäftsbedingungen gelten für alle Lieferungen, Leistungen und Angebote von The-BIT Büro für IT

Mehr

CMS Update-Service-Vertrag

CMS Update-Service-Vertrag Zwischen MoHost Inh. ClaasAlexander Moderey WeimarerStraße 108 Bei Waterböhr D -21107 Hamburg im Folgenden Anbieter genannt Telefon: Fax: E-Mail: Internet: Ust.-IDNr.: +49 (0) 4018198254 +49 (0) 4018198254

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Allgemeine Geschäftsbedingungen. Ingenieurbüro Dipl.-Ing. Helmut Mätzig - EXPLOSIONSSCHUTZ -

Allgemeine Geschäftsbedingungen. Ingenieurbüro Dipl.-Ing. Helmut Mätzig - EXPLOSIONSSCHUTZ - Seite 1 von 5 Stand: 06.2007 Allgemeine Geschäftsbedingungen Ingenieurbüro Dipl.-Ing. Helmut Mätzig - EXPLOSIONSSCHUTZ - I. Geltungsbereich 1. Die folgenden Allgemeinen Geschäftsbedingungen (AGB) gelten

Mehr

(IT - Dienstleistungsvertrag)

(IT - Dienstleistungsvertrag) (IT - Dienstleistungsvertrag) Seite 1 von 5 Auftraggeber (nachfolgend Kunde genannt) Auftragnehmer (nachfolgend Provider genannt) Transoffice GmbH Industriestrasse 27 61381 Friedrichsdorf 1. Präambel Das

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Joomla Einsteiger-Schulungs-Vertrag

Joomla Einsteiger-Schulungs-Vertrag Zwischen MoHost Inh. ClaasAlexander Moderey WeimarerStraße 108 Bei Waterböhr D -21107 Hamburg im Folgenden Anbieter genannt Telefon: Fax: E-Mail: Internet: Ust.-IDNr.: +49 (0) 4018198254 +49 (0) 4018198254

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Deutsche Gesellschaft für Palliativmedizin Aachener Str. 5 10713 Berlin

Deutsche Gesellschaft für Palliativmedizin Aachener Str. 5 10713 Berlin Bitte per Post senden an: Stempel d. anmeldenden Einrichtung: Deutsche Gesellschaft für Palliativmedizin Aachener Str. 5 10713 Berlin Vertragspartner / Rechnungsadresse: Adresse: Telefon/ Welches Programm

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

ALLGEMEINE GESCHÄFTSBEDINGUNGEN (AGB) der. Dr. Sabine Schneider Personalmanagement Dr. Sabine Schneider Coaching & psychologische Beratung

ALLGEMEINE GESCHÄFTSBEDINGUNGEN (AGB) der. Dr. Sabine Schneider Personalmanagement Dr. Sabine Schneider Coaching & psychologische Beratung ALLGEMEINE GESCHÄFTSBEDINGUNGEN (AGB) der Dr. Sabine Schneider Personalmanagement Dr. Sabine Schneider Coaching & psychologische Beratung I. Allgemeines/Geltungsbereich 1. Die Dr. Sabine Schneider Personalmanagement,

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Zwischen. dem Auftraggeber/Lieferant. Ansprechpartner. Straße. PLZ/Ort. im Folgenden Auftraggeber genannt. und dem Auftragnehmer

Zwischen. dem Auftraggeber/Lieferant. Ansprechpartner. Straße. PLZ/Ort. im Folgenden Auftraggeber genannt. und dem Auftragnehmer Institut des Deutschen Textileinzelhandels GmbH An Lyskirchen 14, 50676 Köln Tel.: 0221/ 921509-0, Fax: -10 E-Mail: clearingcenter@bte.de Vertrag über die Erbringung von Leistungen im Rahmen der Versendung

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

Maintenance-Servicevertrag

Maintenance-Servicevertrag Um immer mit der aktuellsten Softwareversion arbeiten zu können, sowie Zugriff zu unseren Supportleistungen zu erhalten, empfehlen wir Ihnen, diesen Maintenance-Servicevertrag abzuschließen. Maintenance-Servicevertrag

Mehr

Allgemeine Geschäftsbedingungen (AGB)

Allgemeine Geschäftsbedingungen (AGB) Allgemeine Geschäftsbedingungen (AGB) Unsere Leistung wird nur aufgrund der nachfolgenden Bedingungen erbracht. Dies gilt auch, wenn im Einzelfall nicht gesondert auf die AGB Bezug genommen wird. Sie gelten

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Allgemeine Geschäftsbedingungen für Deutschland. bettertogether AG

Allgemeine Geschäftsbedingungen für Deutschland. bettertogether AG Allgemeine Geschäftsbedingungen für Deutschland bettertogether AG Stand: Januar 2008 AGB bettertogether AG gültig ab 1.1.2008 1 Allgemeines bettertogether ist als Agentur für Öffentlichkeitsarbeit als

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Antrag auf Unterstützung & Spenden (Grants & Donations)

Antrag auf Unterstützung & Spenden (Grants & Donations) Antrag auf Unterstützung & Spenden (Grants & Donations) Sehr geehrte Frau/Herr Dr., Anfragen um eine finanzielle oder materielle Unterstützung (Spende) - so genannte Grants & Donations - werden bei GSK

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen für suchmaschinenkompatible Homepage - Optimierungen von Kundenwebseiten I. Gegenstand dieses Vertrages 1. André Oehler, An der Hölle 38 / 2 / 4, 1100 Wien, Österreich (Steuernummer:

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Software Miet- und Wartungsvertrag

Software Miet- und Wartungsvertrag Software Miet- und Wartungsvertrag ROSSMANITH Zwischen der Rossmanith GmbH, Göppingen, als Servicegeber und der, als Auftraggeber wird folgender Vertrag geschlossen: 1: Vertragsgegenstand Der Servicegeber

Mehr

Supportbereitschafts-Vertrag

Supportbereitschafts-Vertrag Supportbereitschafts-Vertrag zwischen (nachstehend Auftraggeber genannt) und gid Gesellschaft für innovative Datenverarbeitungssysteme mbh Kösliner Weg 15, 22850 Norderstedt (nachstehend gid genannt) Supportbereitschafts-Vertrag

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen REALIZE GmbH - Agentur für Live Marketing 1 Geltungsbereich 1.1. Den vertraglichen Leistungen der REALIZE GmbH liegen die nachfolgenden Geschäftsbedingungen zugrunde. 1.2.

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen für suchmaschinenkompatible Homepage - Optimierungen von Kundenwebseiten I. Gegenstand dieses Vertrages 1. André Oehler, Keltenstraße 52, 71640 Ludwigsburg, Deutschland

Mehr

Tine 2.0 Wartungs- und Supportleistungen

Tine 2.0 Wartungs- und Supportleistungen Tine 2.0 Wartungs- und Supportleistungen 1 Überblick Wartungs- und Supportleistungen Metaways Tine 2.0 Wartungs- und Support Editionen: LEISTUNGEN BASIC BUSINESS PROFESSIONAL SW Wartung ja ja ja Ticketsystem

Mehr

ALLGEMEINE GESCHÄFTSBEDINGUNGEN DIE COMPUTERBERATER Johannes Kaiblinger IT Consulting. 1 Allgemeines. 2 Vertragsabschluss. 3 Gegenstand des Vertrages

ALLGEMEINE GESCHÄFTSBEDINGUNGEN DIE COMPUTERBERATER Johannes Kaiblinger IT Consulting. 1 Allgemeines. 2 Vertragsabschluss. 3 Gegenstand des Vertrages ALLGEMEINE GESCHÄFTSBEDINGUNGEN DIE COMPUTERBERATER Johannes Kaiblinger IT Consulting 1 Allgemeines Der Auftraggeber im Nachfolgenden AG genannt hat die AGBG s gelesen und zur Kenntnis genommen und anerkannt.

Mehr

Allgemeine Geschäftsbedingungen der VDD - Vorsorgedienst Deutschland GmbH

Allgemeine Geschäftsbedingungen der VDD - Vorsorgedienst Deutschland GmbH Allgemeine Geschäftsbedingungen der VDD - Vorsorgedienst Deutschland GmbH Stand der Allgemeinen Geschäftsbedingungen ( AGB ) März 2012 1. Geltungs- und Anwendungsbereich 1.1 Diese AGB gelten für die von

Mehr

Installations von Erweiterungen und Plugins Service-Vertrag

Installations von Erweiterungen und Plugins Service-Vertrag Zwischen MoHost Inh. ClaasAlexander Moderey WeimarerStraße 108 Bei Waterböhr D -21107 Hamburg im Folgenden Anbieter genannt Telefon: Fax: E-Mail: Internet: Ust.-IDNr.: +49 (0) 4018198254 +49 (0) 4018198254

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Supportbedingungen icas Software

Supportbedingungen icas Software Supportbedingungen icas Software flexible archiving iternity GmbH Bötzinger Straße 60 79111 Freiburg Germany fon +49 761-590 34-810 fax +49 761-590 34-859 sales@iternity.com www.iternity.com Support-Hotline:

Mehr

DIENSTLEISTUNGS VERTRAG

DIENSTLEISTUNGS VERTRAG Allgemeines DIENSTLEISTUNGS VERTRAG zwischen Kunde (Auftraggeber) und BAT Bischoff Analysentechnik GmbH Taunusstr. 27 61267 Neu Anspach Seite 1 Leistungsübersicht Seite ALLGEMEINES 1 Leistungsübersicht

Mehr

AGBs, Widerrufsrecht, Widerrufsfolgen und Datenschutzerklärung in online-energieausweis

AGBs, Widerrufsrecht, Widerrufsfolgen und Datenschutzerklärung in online-energieausweis AGBs, Widerrufsrecht, Widerrufsfolgen und Datenschutzerklärung in online-energieausweis Allgemeine Geschäftsbedingungen AGB 1. Geltungsbereich Diese Geschäftsbedingungen sind Bestandteil aller Vereinbarungen

Mehr

Besondere Geschäftsbedingungen der uvex group für Agenturleistungen

Besondere Geschäftsbedingungen der uvex group für Agenturleistungen Besondere Geschäftsbedingungen der uvex group für Agenturleistungen Allgemeines Für Bestellungen und Aufträge von Gesellschaften der uvex group (nachfolgend uvex ) für Agenturleistungen (z.b. Anzeigen-

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

AGB der Inacu Solutions GmbH

AGB der Inacu Solutions GmbH AGB der Inacu Solutions GmbH Die folgenden Allgemeinen Geschäftsbedingungen (AGB) regeln die Nutzung des BankITX Informationssystems der Inacu Solutions GmbH. 1 Vertragsgegenstand (1) Die Inacu Solutions

Mehr

der Auftragnehmer Büro-Service Scriptomed Steven, Kaiserstr. 13, 42781 Haan.

der Auftragnehmer Büro-Service Scriptomed Steven, Kaiserstr. 13, 42781 Haan. Vertragspartner Partner dieses Vertrages sind der Auftraggeber und der Auftragnehmer Büro-Service Scriptomed Steven, Kaiserstr. 13, 42781 Haan. Bedient sich eine Partei bei der Durchführung dieses Vertrages

Mehr

Beratervertrag. «Amt» «StrasseAmt» «PLZAmt» «OrtAmt» - nachstehend Auftraggeber genannt - «Anrede» «Bezeichnung» «Firma» «Strasse» «Plz» «Ort»

Beratervertrag. «Amt» «StrasseAmt» «PLZAmt» «OrtAmt» - nachstehend Auftraggeber genannt - «Anrede» «Bezeichnung» «Firma» «Strasse» «Plz» «Ort» Beratervertrag RifT-Muster L221 Land Fassung: August 2009 «Massnahme» «AktenzBez» «Aktenz» Vertrags-Nr.: «VertragNr» «SAPBez1» «SAP1» «SAPBez2» «SAP2» «SAPBez3» «SAP3» «SAPBez4» «SAP4» «SAPBez5» «SAP5»

Mehr

Allgemeine Bedingungen der beecom AG. (Stand 30. Juni 2014)

Allgemeine Bedingungen der beecom AG. (Stand 30. Juni 2014) Allgemeine Bedingungen der beecom AG (Stand 30. Juni 2014) 1. ANWENDUNGSBEREICH... 3 1.1. Anwendungsbereich... 3 1.2. Vertragshierarchie... 3 2. LEISTUNGEN VON BEECOM... 3 3. EDV SCHULUNG / KURSE... 3

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

ALLGEMEINE GESCHÄFTSBEDINGUNGEN (AGBs) (Google Places Eintrag, Suchmaschinenoptimierung SEO )

ALLGEMEINE GESCHÄFTSBEDINGUNGEN (AGBs) (Google Places Eintrag, Suchmaschinenoptimierung SEO ) ALLGEMEINE GESCHÄFTSBEDINGUNGEN (AGBs) (Google Places Eintrag, Suchmaschinenoptimierung SEO ) Stand 1. Mai 2015 1. Geltungsbereich Die nachstehenden AGBs gelten für die Produkte Suchmaschinenoptimierung

Mehr

EVB-IT Pflegevertrag S (Kurzfassung) Seite 1 von 10

EVB-IT Pflegevertrag S (Kurzfassung) Seite 1 von 10 EVB-IT Pflegevertrag S (Kurzfassung) Seite 1 von 10 Vertrag über Pflegeleistungen für Standardsoftware* Inhaltsangabe 1 Gegenstand und Bestandteile des Vertrages... 3 1.1 Vertragsgegenstand... 3 1.2 Vertragsbestandteile...

Mehr

Informationen gemäß Dienstleistungs- Informationspflichten-Verordnung

Informationen gemäß Dienstleistungs- Informationspflichten-Verordnung Informationen gemäß Dienstleistungs- Informationspflichten-Verordnung Doreen Fleischer Beruf: Diplom-Fachübersetzerin (FH) Sprachen & Dienstleistungen Muttersprache Deutsch Sprachkombinationen: Englisch

Mehr

Vertrag über die Registrierung von Domainnamen

Vertrag über die Registrierung von Domainnamen Vertrag über die Registrierung von Domainnamen zwischen Bradler & Krantz GmbH & Co. KG Kurt-Schumacher-Platz 10 44787 Bochum - nachfolgend Provider genannt - und (Firmen-) Name: Ansprechpartner: Strasse:

Mehr

Bedingungen für die Nutzung der bruno banani Cloud

Bedingungen für die Nutzung der bruno banani Cloud Bedingungen für die Nutzung der bruno banani Cloud 1 Anwendungsbereich Die nachstehenden Bedingungen gelten ausschließlich für die Nutzung der bruno banani Cloud durch registrierte Nutzer. Für die Nutzung

Mehr

Service Level Agreement

Service Level Agreement 1 SLA Service Level Agreement Service Level Agreement zwischen Kunden Nr.: und EPC EDV Partner Consulting GmbH nachfolgend EPC genannt Auftraggeber Auftragnehmer Unterschrift: Unterschrift:

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Lizenzvereinbarung zur Nutzung von Testversionen der elead-software

Lizenzvereinbarung zur Nutzung von Testversionen der elead-software Lizenzvereinbarung zur Nutzung von Testversionen der elead-software zwischen der elead GmbH, Mierendorffstr. 4, 64625 Bensheim, vertreten durch den Geschäftsführer Benjamin Heigert (nachfolgend ELEAD genannt)

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Leistungsbeschreibung SpaceNet Hosting VM (Stand 25.01.2013, Version 1.0)

Leistungsbeschreibung SpaceNet Hosting VM (Stand 25.01.2013, Version 1.0) Leistungsbeschreibung SpaceNet Hosting VM (Stand 5.0.03, Version.0) Vertrags- und Leistungsumfang () Mit SpaceNet Hosting VM stellt SpaceNet einen virtuellen Server in der Hosting Umgebung in einem der

Mehr

united hoster GmbH Service Level Agreement (SLA)

united hoster GmbH Service Level Agreement (SLA) united hoster GmbH Service Level Agreement (SLA) Inhaltsverzeichnis Service Level Agreement (SLA)... 1 Inhaltsverzeichnis... 2 1 Einleitung... 3 1.1 Ziel... 3 1.2 Inkraftsetzung und Gültigkeitsdauer...

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen für die Softwarewartung (Maintenance) I. Allgemeines 1) Die nachfolgenden Vertragsbedingungen von Open-Xchange für die Wartung von Software (AGB Wartung) finden in der jeweils

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Vulnerability Scanning + Penetration Testing

Vulnerability Scanning + Penetration Testing Vulnerability Scanning + Penetration Testing Seminar IT-Sicherheit Felix Riemann felixriemann@student.uni-kassel.de 29. Januar 2011 Gliederung Vulnerability Scanning Was ist das? Scanner Demo: Nessus Penetration

Mehr

Anmeldemodalitäten und Voraussetzungen zur Prüfung zum ISTQB Certified Tester, Advanced Level nach Syllabus 2007

Anmeldemodalitäten und Voraussetzungen zur Prüfung zum ISTQB Certified Tester, Advanced Level nach Syllabus 2007 Anmeldemodalitäten und Voraussetzungen zur Prüfung zum ISTQB Certified Tester, Advanced Level nach Syllabus 2007 Voraussetzungen Um die Prüfung zum ISTQB Certified Tester, Advanced Level, ablegen zu dürfen,

Mehr

Systemwartungsvertrag

Systemwartungsvertrag Systemwartungsvertrag Goldstein-IT Uwe Goldstein Waldbadstr. 38 33803 Steinhagen als Systemhaus und als Anwender schließen folgenden Vertrag 1 Vertragsgegenstand I. Das Systemhaus übernimmt für den Anwender

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick

IT-Schwachstellenampel: Produktsicherheit auf einen Blick Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1 Aktuelle Lage 2 Bedrohungen für

Mehr

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken Welchen IT-Risiken ist meine Institution ausgesetzt? Praktische Anleitung zur Erstellung von IT-Risikostrategien 24. 25. März 2014,

Mehr

Support- und Wartungsvertrag

Support- und Wartungsvertrag Support- und Wartungsvertrag Bei Fragen zur Installation, Konfiguration und Bedienung steht Ihnen unser Support gern zur Verfügung. Wir helfen Ihnen per E-Mail, Telefon und Remote Desktop (Fernwartung).

Mehr

SERVER FÜR PROFIS. I Service Level Vereinbarung serverloft Dedizierte Server. Deutschland, Version 1.0-DE, Stand 01.

SERVER FÜR PROFIS. I Service Level Vereinbarung serverloft Dedizierte Server. Deutschland, Version 1.0-DE, Stand 01. SERVER FÜR PROFIS I Service Level Vereinbarung serverloft Dedizierte Server 1. Gültigkeitsbereich 1.1. Diese Service Level Vereinbarung gilt für die Bereitstellung und den Betrieb des Dienstes serverloft

Mehr

AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS)

AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS) Web Application Security Untersuchung AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS) 05.11.2012 - V1.1 Sven Schleier, SecureNet GmbH Thomas Schreiber, SecureNet GmbH Abstract Das vorliegende

Mehr

Service Level Agreement

Service Level Agreement Service Level Agreement Managed Security Services 1 Geltungsbereich Dieses Dokument beschreibt die folgenden grundlegenden Kundenservices für das Produkt Managed Security Services der CMFnet GmbH nachfolgend

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Das Seminar endet mit einer kleinen Klausur. Das Ergebnis wird mit Ihnen ausführlich besprochen.

Das Seminar endet mit einer kleinen Klausur. Das Ergebnis wird mit Ihnen ausführlich besprochen. A Seminar: Grundlagen Buchhaltung Keine Vorkenntnisse erforderlich. Grundlagen Buchführung, für viele ein Buch mit sieben Siegeln. Ist es nicht. Sie erlernen in einfachen und praktischen Schritten die

Mehr

EVB-IT Dienstvertrag Seite 1 von 5

EVB-IT Dienstvertrag Seite 1 von 5 EVB-IT Dienstvertrag Seite 1 von 5 Vertrag über die Beschaffung von IT-DienstleistungenII Zwischen im Folgenden Auftraggeber genannt und im Folgenden Auftragnehmer genannt wird folgender Vertrag geschlossen:

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Doch wie sieht es mit der Sicherheit Ihrer Webseiten aus? Gibt es wirklich immer ein aktuelles Backup Ihres Internetauftritts?

Doch wie sieht es mit der Sicherheit Ihrer Webseiten aus? Gibt es wirklich immer ein aktuelles Backup Ihres Internetauftritts? Studio 2stimmig Daniel Beckemeier & Yannick Schöps GbR Kiefernweg 1 32457 Porta Westfalica An unsere Webhosting Kunden und alle Nutzer des CMS!Joomla Datum: 22.06.2015 NIE WIEDER BACKUP-SORGEN Sehr geehrte

Mehr

Anleitung zur Aktualisierung

Anleitung zur Aktualisierung CONTREXX AKTUALISIERUNG 2010 COMVATION AG. Alle Rechte vorbehalten. Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte, auch die der Modifikation, der Übersetzung, des Nachdrucks und der Vervielfältigung,

Mehr

Vereinbarung zur Einrichtung eines gemeinsamen Kalenders und Emaildienstes auf Basis einer Exchange-Infrastruktur

Vereinbarung zur Einrichtung eines gemeinsamen Kalenders und Emaildienstes auf Basis einer Exchange-Infrastruktur RECHENZENTRUM RUHR Vereinbarung zur Einrichtung eines gemeinsamen Kalenders und Emaildienstes auf Basis einer Exchange-Infrastruktur zwischen (Auftraggeber) und dem der Ruhr-Universität Bochum (RZ). 1.

Mehr