Gymnasium Kirchenfeld. Webattacken. Gymnasium Kirchenfeld (fts) 28. Juni 2016
|
|
- Carsten Weiss
- vor 6 Jahren
- Abrufe
Transkript
1 Gymnasium Kirchenfeld Webattacken Gymnasium Kirchenfeld (fts) 28. Juni 2016 Dieses Werk steht unter einer Attribution-NonCommercial-ShareAlike 3.0 License (CC BY-NC-SA).
2 Inhaltsverzeichnis 1 Einleitung Web-Attacken 2 2 SQL-Injection 3 Beschreibung Beispiel Massnahmen Cross-Site-Scripting (XSS) 5 Beschreibung Beispiele Massnahmen Aufgabe DDoS Distributed Denial of Service 7 Beschreibung Beispiel Massnahmen Phishing 10 Beschreibung Beispiel Aufgabe Massnahmen Gymnasium Kirchenfeld (fts) II
3 Abbildungsverzeichnis glasbergen.com I 1.1 Web-Attacken SQL-Injection SQL-Injection SQL-Injection DDoS SQL-Injection Phishing Phishing Phishing Gymnasium Kirchenfeld (fts) 1
4 1 Einleitung Web-Attacken Abbildung 1.1: Web-Attacken Durch die Vernetzung unserer Welt und dem Einzug von Online-Währungen und Kreditkarten wird das Internet vermehrt Zielscheibe von unlauteren Machenschaften. Was sind die gängigsten Attacken, wie funktionieren diese und was kann dagegen unternommen werden? Gymnasium Kirchenfeld (fts) 2
5 2 SQL-Injection Abbildung 2.1: SQL-Injection Beschreibung Werte die vom Benutzer in einem HTML-Formular eingegeben werden, müssen für die Datenbankabfrage in einen SQL-Befehl verpackt werden. Unter Umständen kann ein Angreifer durch Manipulation dieser Eingaben eine völlig andere SQL-Abfrage erzwingen und dadurch entweder an Daten gelangen, die nicht für ihn gedacht sind, Daten löschen, Daten manipulieren oder die Datenbank soweit verändern, dass diese gar nicht mehr gebraucht werden kann. Beispiel Das folgende Suchformular dient als Sucheingabe bei einer Bibliotheks-Webseite: Clash of Kings Der Eingabetext des Suchformulars wird an den Server übermittelt und dort in ein SQL-Select-Statement eingefügt. Gibt man also im Formular den Begriff «Clash of Kings» ein, so wird auf dem Server die folgende SQL-Abfrage ausgeführt: SELECT * FROM books WHERE title LIKE "%Clash of Kings%" Ein Angreifer könnte nun aber die Eingabe wie folgt gestalten: Clash of Kings% ; DROP TABLE books Nun werden auf dem Server mehrere SQL-Anfragen ausgeführt: SELECT * FROM books WHERE title LIKE "%Clash of Kings%"; DROP TABLE books; --%" Dies wird erreicht durch das Abschliessen des ersten Befehls mit dem Strichpunkt. Das Anführungszeichen davor wird auch benötigt, damit der erste Teil weiterhin ein gültiges SELECT bleibt. Nach dem Strichpunkt kann nun ein beliebiger SQL-Befehl folgen. Dieser wird wiederum mit einem Strichpunkt abgeschlossen. Gymnasium Kirchenfeld (fts) 3
6 Webattacken SQL-Injection Auf dem Server wird nun noch das zweite Prozentzeichen und das schliessende Anführungszeichen angehängt. Damit das nicht zu einem ungültigen SQL-Befehl führt, kommentiert man den Rest mit dem doppelten Bindestrich aus. Aufgabe Untenstehendes Autonummernschild soll eine SQL-Injection-Attacke auf die Datenbank der Verkehrspolizei auslösen. In welchem Szenario und mit welchem SQL-Befehl würde diese Attacke funktionieren? Aufgabe Die Schule bietet eine Schnittstelle zur Ausgabe des Notenschnittes an: Im Formular wird der Benutzernamen des gewünschten Schülers/der gewünschten Schülerin eingetippt. Als Ergebnis wird dessen/deren Gesamtdurchschnitt ausgegeben. Beispiel: fritzli.meier Damit erstellt der Server die folgende SQL-Anfrage: SELECT AVG(note) as schnitt FROM noten WHERE sus = "fritzli.meier" Welche Möglichkeiten einer SQL-Injection gibt es? Könnte man Daten löschen? Könnte man Noten ändern? Versuche eine möglichst «sinnvolle» SQL-Injection zu schreiben. Massnahmen Die Rechte des verwendeten DB-Users einschränken (z.b. nur SELECT, oder ev. UPDATE, INSERT und DELETE zulassen, Rechte je nach Tabelle und Datenbank). Maskieren (engl. escapen) der Metazeichen des Datenbanksystems (bei SQL: Strichpunkt, Backslash und Anführungszeichen). Je nach Python-Datenbank-Modul wird bereits eine Funktion zur Verfügung gestellt. Dadurch wird z.b. ein Anführungszeichen aus dem Formular unschädlich, weil es im SQL-Statement nicht mehr als Anführungszeichen mit Bedeutung, sondern nur noch als das Zeichen «Anführungszeichen» interpretiert wird. Die beste Lösung ist die Verwendung von sogenannten prepared statements. Dabei handelt es sich um SQL-Abfragen die vorbereitet werden. Die Benutzereingaben werden dann als Parameter an die vorbereiteten Abfragen gebunden. Dabei kann das System alle nötigen Schritte vornehmen und die Daten entsprechend escapen oder weitere Massnahmen ergreifen. sql = """SELECT AVG(note) as schnitt FROM noten WHERE sus = %s;""" data = "fritzli.meier" cur.execute(sql, data) Gymnasium Kirchenfeld (fts) 4
7 3 Cross-Site-Scripting (XSS) Abbildung 3.1: SQL-Injection Beschreibung Von XSS spricht man immer dann, wenn eine Web-Anwendung Daten von Benutzern entgegennimmt und diese ohne Überprüfung an den Web-Browser des Benutzers weitersendet. So können Angreifer Skripte im Browser der Opfer ausführen lassen und damit Sessions «hijacken», Webseiten verunstalten oder gar eine Sicherheitslücke des Browsers ausnützen um das System mit Malware (Viren, Würmer,... ) zu infizieren. Beispiele Ein einfaches und eher harmloses Beispiel ist das prominente Platzieren eines Bildes auf einer Webseite. Dies kann z.b. durch Manipulation der Kommentarfunktion (die normalerweise zuunterst an der Seite angezeigt wird) mit etwas CSS erreicht werden: Mehr Schaden anrichten lässt sich mit sogenanntem «Session Hijacking». Gelingt es nämlich per XSS JavaScript-Code auf der Seite einzubinden, dann lässt sich damit das Session-Cookie des Opfers auslesen. Dieses wird bei vielen Webseiten nach einer Anmeldung erstellt und hat eine bestimmte Gültigkeitsdauer. Während dieser Dauer bleibt der entsprechende Browser angemeldet. Das bedeutet, dass sich der Angreifer in dieser Zeit beliebig auf dem entsprechenden Konto (z.b. einem Facebook-Profil) bewegen kann. (Deshalb muss man häufig bei wichtigen Funktionen, wie z.b. Passwort-Ändern, nochmals das eigene Kennwort angeben. So kann erreicht werden, dass bei einem Session-Hijacking wenigstens nicht noch das Passwort geändert werden kann!) Gymnasium Kirchenfeld (fts) 5
8 Webattacken Cross-Site-Scripting (XSS) Abbildung 3.2: SQL-Injection Massnahmen Client-Seitig Von dieser Attacke ist auch der Benutzer betroffen. So könnte er sich auf einer für ihn vertrauenswürdigen Seite durch fremden Code infizieren. Hier hilft nur JavaScript und weitere Plugins wie Flash und Java deaktivieren. Falls diese nämliche eine Sicherheitslücke beinhalten, kann diese durch XSS ausgenützt werden. Bekannte Sicherheitslücken werden in der Regel rasch behoben. Deshalb lohnt es sich, Browser, Plugins und Betriebssystem auf dem neusten Stand zu halten. Server Auf dem Server müssen die Benutzereingaben überprüft werden, bevor diese in der Datenbank abgespeichert und dann an andere Benutzer weitergegeben werden. So könnte man z.b. alle HTML-Metazeichen escapen, oder aber gewisse Tags zulassen und andere nicht (wie das z.b. DokuWiki macht). Alle gängigen Blogs und Wikis besitzen heute solche Filter, die sich nach Bedürfnis einstellen lassen. Aufgabe Unter findest du ein Gästebuch. Verfasse einen Eintrag mit XSS. Wähle eine Art der XSS-Attacke aus der folgenden Liste. Teste deinen Eintrag mit der Vorschau-Funktion und speichere deinen Hacker-Code in einem Text-Editor, damit er nicht verloren geht (Das Gästebuch speichert keine Einträge in der Datenbank sonst könnte man die Einträge kaum mehr angucken). CSS Verunstalten der Seite durch eingebettetes style-element HTML Anzeigen eines Login-Formulars mit externer Ziel-URL HTML+CSS Anzeigen und Positionieren eines Bildes IFrame Anzeigen einer fremden Seite in einem IFrame JavaScript Popup-Werbefenster mit JavaScript Gymnasium Kirchenfeld (fts) 6
9 4 DDoS Distributed Denial of Service Abbildung 4.1: DDoS Beschreibung Bei der DDoS-Attacke werden gleichzeitig Anfragen von vielen Geräten auf einen Server gemacht. Dieser kann dann diese nicht mehr beantworten, stürzt ab oder kann jedenfalls auch keine «echten» Clients mehr bedienen. Diese Attacke ist auf diversen Ebenen möglich: Man könnte mit komplizierten Datenbank-Abfragen (z.b. beim SBB-Fahrplan Fahrten quer durch die Schweiz mit Zwischenhalten) den Datenbank-Server überlasten. Oder aber man bringt den Webserver an sein Limit, indem viele Clients Anfragen platzieren. Weitere Attacken sind mit DNS und anderen Technologien auf den unteren Schichten möglich. Damit diese Attacken zeitgleich von vielen Geräten gestartet werden können, behelfen sich die Angreifer sogenannter Bot-Nets. Dabei handelt es sich um infizierte Computer irgendwo bei jemandem zu Hause oder im Büro. Deren Benutzer merken nicht, dass sich ihre PCs auf Knopfdruck eines Hackers an einem DDoS-Angriff beteiligen. Beispiel 2007 gab es eine Serie von Angriffen auf Webseiten von estnischen Organisationen. Dazu der folgende Wikipedia-Artikel: Massnahmen Der Server müsste einen Schutz-Mechanismus haben und nur eine gewisse Anzahl Anfragen von derselben IP-Adresse zulassen. Das funktioniert gut bei DOS, aber bei DDoS wird es etwas komplizierter der Server Gymnasium Kirchenfeld (fts) 7
10 Webattacken DDoS Distributed Denial of Service Abbildung 4.2: SQL-Injection Gymnasium Kirchenfeld (fts) 8
11 Webattacken DDoS Distributed Denial of Service muss ein Muster des Angriffs erkennen, um die beteiligten Bots von den korrekten Clients zu trennen. Zudem sollten ungültige Anfragen gefiltert werden. Durch Verteilung der Serverlast auf mehrere Geräte, kann ein Angriff auch abgeschwächt werden. Wenn nur ein Server angegriffen wird, können die anderen ihre Arbeit weiterführen. Präventiv müsste man versuchen die Bot-Netze zu zerstören. Je weniger Geräte sich an einem Angriff beteiligen, umso einfacher ist es dem Angriff entgegenzuwirken. Zudem wird natürlich auch der Angriff selbst abgeschwächt. Dies geschieht einerseits mit Antivirus-Software auf dem eigenen Gerät und andererseits durch die entsprechenden Behörden, wenn irgendwo ein Drahtzieher eines solchen Netzes verhaftet wird. Gymnasium Kirchenfeld (fts) 9
12 5 Phishing Abbildung 5.1: Phishing Beschreibung Bei «Phishing» 1 wird der Benutzer mit einer aufgefordert, einen Link zu öffnen und sich dort mit seinem Benutzer-Account anzumelden. Da es sich aber bei der Webseite um eine präparierte, teilweise äusserst exakt nachgebaute Kopie der Originalwebseite handelt, landen Benutzername und Passwort beim Betrüger und können nun beliebig verwendet werden. Beispiel Das folgende Beispiel zeigt eine Phishing-Attacke auf die PayPal-Kunden: Zuerst wird das untenstehende an möglichst viele Leute versandt. Aufgabe Notier dir drei Punkte, die dir beim Durchlesen des oben stehenden s auffallen und die dagegen sprechen, dass es sich um ein offizielles von PayPal handelt. 1 Das Wort kommt aus dem Englischen und setzt sich aus «Phreak» und «Fishing» zusammen, wobei «Phreak» wiederum eine Konstruktion aus «Phone» und «Freak» und in der Vor-Internet-Ära verwendet wurde für Hacker, die mit gestohlenen Kreditkarten-Nummern Stundenlange Übersee-Datenverbindungen per Telefon ergaunerten. Gymnasium Kirchenfeld (fts) 10
13 Webattacken Phishing Abbildung 5.2: Phishing Gymnasium Kirchenfeld (fts) 11
14 Webattacken Phishing Viele s werden im Spam landen oder gar nicht ankommen. Einige aber erreichen ihr Ziel. Bei den Empfängern wird es wohl einige PayPal-Benutzer haben und vielleicht fällt ja jemand auf den Betrugsversuch hinein. Klickt diese Person nun auf den Link im (der aussieht wie ein offizieller PayPal-Link), öffnet sich im Browser die folgende Webseite: Abbildung 5.3: Phishing Die Seite ist der offiziellen PayPal-Webseite nachempfunden und hat ein Formular, wo man sich in sein vermeintliches PayPal-Konto einloggen kann. Tippt man dort seine Login-Daten ein, so gehen diese in den Besitz des Betrügers über. Wahrscheinlich wird man anschliessend auf eine Seite mit einem Wartungshinweis oder einer Fehlermeldung weitergeleitet. Oder man kommt auf die offizielle PayPal-Seite (wo man dann zwar nicht eingeloggt ist). Auch wenn man nun merkt, dass etwas nicht stimmt und sofort das Passwort ändert und PayPal kontaktiert, ist es wohl schon zu spät. Der Betrüger hat die Login-Informationen und diese wurden ev. bereits automatisch verwendet um Zahlungen zu betätigen. Massnahmen Fast alle gängigen Browser warnen vor bekannten «Phising»-Seiten. Allerdings kann eine solche Liste von bekannten Betrüger-Webseiten nie komplett sein, zudem kann im schlimmsten Fall schon durch Besuchen der Webseite Schaden angerichtet werden. Deshalb sollte man solche s wenn möglich schon vorher erkennen und den Link gar nicht anklicken. Punkte die auf Phishing hindeuten sind: Schlechte Sprache (Fehler im Text) Falsche Sprache (wieso sollte mir die Post auf Englisch schreiben?) Gymnasium Kirchenfeld (fts) 12
15 Webattacken Phishing Unpersönliche Anrede Dringlichkeit und Drohung Schlussendlich kann man im Quelltext der das genaue Ziel des Links herausfinden. Dieses wird nicht auf die korrekte Domäne (z.b. paypal.de) sondern auf eine ähnliche Domäne (z.b. pay-pal.sx) eine Unterdomäne (z.b. paypal.xy.tu) oder eine feste IP-Adresse verweisen. Gymnasium Kirchenfeld (fts) 13
Fehlende Input-Filterung. Klaus Kusche
Fehlende Input-Filterung Klaus Kusche Grund-Problem Benutzer-Eingaben (= meist Eingaben in Web-Formularen, aber auch Commandline- oder Dialog-Inputs, Dateien und Netz-Requests,...) werden nicht gefiltert
MehrSoftwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit
Softwaresicherheit Eine Präsentation von Benedikt Streitwieser und Max Göttl Einführung Kryptographie und IT-Sicherheit Gliederung Einleitung: Was ist Softwaresicherheit Populäre Beispiele Anforderungen
MehrDatenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke
Datenschutztag Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke 1. Website Security Gliederung 2. Viren, Trojaner & Antivirensoftware 3. Phishing & Gefahren des World Wide
MehrSicherheitslücken in Webanwendungen -
Manuel Ziegler Web Hacking Sicherheitslücken in Webanwendungen - Lösungswege für Entwickler Mit Playground im Internet HANSER Vorwort IX 1 Sicherheitsprobleme im Internet und deren Folgen 1 1.1 Sicherheitsprobleme
MehrPHP-5-Zertifizierung. Block 12 Security.
PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies
MehrOperator Guide. Operator-Guide 1 / 5 V0.92 / 16.jan.08
Operator Guide Einleitung Diese Guide vermittelt ihnen das Operator Know How für die Gästbox. Was müssen Sie wissen bevor Sie sich an die Arbeit machen. Von welchem PC aus kann ich die Gästbox bedienen.
MehrAktuelle Sicherheitsprobleme im Internet
Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
Mehr1)Login Funktion ohne Datenbank
1)Login Funktion ohne Datenbank Die Seite privat.php soll erst aufrufbar sein, wenn der Login, mit der Datei login.html erfolgreich war. Die ist verknüpft mit der login.php. Die logout.php dient zur ordentlichen
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrWeb Application Security: SQL-injection, Cross Site Scripting -- w3af
Web Application Security: SQL-injection, Cross Site Scripting -- w3af 1 Web 2.0 Application und Angriffspunkte Grundlagen: SQL SQL-injection Cross Site Scripting Web Application Scans mit w3af 2 Eine Web
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
Mehr[14-04] Huseby, Sverry: Sicherheitsrisiko Web-Anwendung. dpunkt, 2004
Literatur I [14-01] Power, Richard: Attacken im Web. Markt+Technik, 2001 [14-02] Kunz, Christopher; Esser, Stefan: PHP-Sicherheit. dpunkt, 3. Auflage, 2008 [14-03] Ziegler, Paul Sebastian: Cross-Site Scripting.
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrEIBPORT INBETRIEBNAHME MIT DEM BROWSER / JAVA EINSTELLUNGEN / VORBEREITUNGEN AM CLIENT PC
EIBPORT INBETRIEBNAHME MIT DEM BROWSER / JAVA EINSTELLUNGEN / VORBEREITUNGEN AM CLIENT PC Falls Sie zur Konfiguration des EIBPORT nicht BAB STARTER sondern den Browser benutzen wollen, und dieser die Ausführung
MehrSichere Nutzung von Web-Angeboten (ISi-Web-Client)
Sichere Nutzung von Web-Angeboten (ISi-Web-Client) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Version 1.2 vom 7. Oktober 2015 ISi-Reihe ISi-L Sichere Nutzung von Web-Angeboten Vervielfältigung und Verbreitung
MehrWie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?
APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.
MehrKASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS
KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS PRODUKTNAME KORREKT Kaspersky Internet Security 2011 Jedes Wort beginnt mit einem Großbuchstaben, die Versionsnummer wird angehängt
Mehr{tip4u://094} Passwort ändern
{tip4u://094} Version 7 Zentraleinrichtung für Datenverarbeitung (ZEDAT) www.zedat.fu-berlin.de Diese Anleitung erklärt die grundsätzlichen Anforderungen an das Passwort für Ihren ZEDAT-Account und die
MehrInfoblatt als Hilfestellung für den sicheren Umgang mit s
Infoblatt als Hilfestellung für den sicheren Umgang mit E-Mails Auch wenn Virenscanner und Spamfilter eingesetzt werden, kann es sein, dass Phishing-Mails durchrutschen und neueste Schadsoftware noch nicht
Mehrepostselect Online Hilfe File: epost_select_online-hilfe_v1.1_de.docx Geltungsbereich: epost Select Klassifizierung: Public available 1/35
epostselect Online Hilfe Klassifizierung: Public available 1/35 Inhaltsverzeichnis 1. Einführung... 4 2. epostselect, normale Web-Oberfläche... 6 2.1 Schnellaktivierung... 6 2.2 Registrieren / Login...
MehrCitrix Zugang Inhaltsverzeichnis
Citrix Zugang Inhaltsverzeichnis Inhaltsverzeichnis... 1 1. Deinstallieren des Citrix Online Plug-in :... 2 2. Installieren des Citrix Receivers :... 5 3. Anmelden an das Citrix Portal... 8 4. Drucken
MehrDatenbank und Tabelle mit SQL erstellen
Datenbank und Tabelle mit SQL erstellen 1) Übung stat Mit dem folgenden Befehlen legt man die Datenbank stat an und in dieser die Tabelle data1 : CREATE DATABASE stat; USE stat; CREATE TABLE data1 ( `id`
Mehr1) Anmelden am System Als erstes musst du dich am System als Mitglied anmelden. Das geschieht im Menü unter:
Wie schreibe ich einen eigenen Beitrag (Blog)? 1) Anmelden am System Als erstes musst du dich am System als Mitglied anmelden. Das geschieht im Menü unter: Mitglieder Anmelden und abmelden Gib dort deinen
MehrCitrix Zugang Inhaltsverzeichnis
Citrix Zugang Inhaltsverzeichnis Inhaltsverzeichnis... 1 1. Deinstallieren des Citrix Online Plug-in :... 2 2. Installieren des Citrix Receivers :... 5 3. Anmelden an das Citrix Portal... 8 4. Drucken
MehrWie funktioniert das WWW? Sicher im WWW
Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/
MehrAPEX Datenverwaltung Wo sind die Daten gerade?
APEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst Trivadis GmbH München Schlüsselworte: APEX, Sessionverwaltung, Dynamic Actions Einleitung Eine APEX-Anwendung wird erst durch zusätzliche
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Dortmund
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrNeues aus dem DFN-CERT. 48. DFN-Betriebstagung - Forum Sicherheit 26. Februar 2008 Andreas Bunten, DFN-CERT
Neues aus dem DFN-CERT 48. DFN-Betriebstagung - Forum Sicherheit 26. Februar 2008 Andreas Bunten, DFN-CERT Agenda Neuigkeiten zum Thema Automatische Warnmeldungen Aktuelle Angriffe und Schwachstellen Das
MehrWeb-Sicherheit. Wo lauern Gefahren und wie schütze ich meine Website vor unberechtigtem Zugriff? Ihre Referenten:
Web-Sicherheit Wo lauern Gefahren und wie schütze ich meine Website vor unberechtigtem Zugriff? Ihre Referenten: Steffen Lehmann Online-Marketing Trainer lehmann@stenle.de Wesley Szymlet SEO Analyst szymlet@stenle.de
MehrINPRO Auswertungen (Von M. Möllers)
61 10 (3065) 20.02.2009 M. Möllers INPRO Auswertungen (Von M. Möllers) Kurzanleitung Abfrage von INPRO Daten - Browserbasierte Anwendung Seite 2 von 8 1. Hintergrund / Erläuterungen Die Vorgangsdaten der
MehrBedienungshandbuch Obligatorische Prüfung LHR/GBB. (Version 1.1)
Bedienungshandbuch Obligatorische Prüfung LHR/GBB (Version 1.1) Dokumentenkontrolle Version Name Datum Bemerkungen 1.0 1.1 Glenz-Mounir Chantal Mangisch Christian Glenz-Mounir Chantal Mangisch Christian
MehrEntwicklungsumgebung für die Laborübung
Entwicklungsumgebung für die Laborübung VL Datenbanksysteme Ingo Feinerer Arbeitsbereich Datenbanken und Artificial Intelligence Institut für Informationssysteme Technische Universität Wien Gliederung
MehrAdministrationshandbuch Chart-me WEB Version 2. Inhaltsverzeichnis
Administrationshandbuch Chart-me WEB Version 2 Inhaltsverzeichnis 1. Chart-me WEB Admin öffnen... 2 2. Arbeitsbereiche... 2 2.1. Hauptmenü oben links... 2 2.2. Hauptmenu oben rechts... 2 3. Login... 3
MehrWie komme ich in die IPA-Mitgliederverwaltung- Online (MVO)?
Wie komme ich in die IPA-Mitgliederverwaltung- Online (MVO)? Inhalt 1) Allgemeines... 2 2) Einstieg in die Mitgliederverwaltung (MVO)... 3 Einleitung... 3 Die Referenzadresse... 3 Freischalten der MVO
MehrDokumentenportale. Bedienungsanleitung
Dokumentenportale Bedienungsanleitung Inhalt 1. Einleitung 3 2. Anmeldung (Login) 3 3. Datenschutzbestimmungen 5 4. Benutzerprofil 6 4.1. E-Mail Adresse erfassen 6 4.2. Abmelden 7 5. Dokumente 8 5.1. Übersicht
MehrSichere Datenbankanfragen
Vorstand Sichere Datenbankanfragen OpenText WebSiteManagement (Delivery Server) Axel Reinhardt Agenda Was ist SQL-Injection? Beispiel eines Bestellprozesses Vorgehen eines Angreifers Härten der Web-Seite
MehrBSCW-Benutzung Kurze Einführung
BSCW-Benutzung Kurze Einführung 1. Technische Voraussetzungen 2 2. Log-In 2 3. Passwort ändern 4 4. Ordnersystem 4 5. Dokumente 5 6. Mehrere Dokumente gleichzeitig einstellen 6 7. Dokumente Öffnen 7 8.
MehrGefahren im Internet -
Gefahren im Internet - Betrügern nicht zum Opfer fallen Jan Ottensmeyer Agenda Arten von Gefahren Phishing Viren Fake Online Shops Abofallen Schutzmaßnahmen und Tipps 2 Phishing von fishing, englisch für
MehrZugriff vom Privatcomputer auf «Mein Intranet VSZ» (Verwaltungsnetz)
Zugriff vom Privatcomputer auf «Mein Intranet VSZ» (Verwaltungsnetz) Download Citrix-Receiver unter Microsoft Windows Anleitung für Teammitglieder Eveline Bearth Vers. 3.0 / Zürich, 22. April 2018 1 Citrix
MehrErstellen einer Webseite zur Verwaltung von Informationen
Staatliche Technikerschule für Mechatronik- und Elektrotechnik Erstellen einer Webseite zur Verwaltung von Informationen Munker Thomas, Süß Michael, Schmid Georg Betreuer: Herr Friedl Thema: Betreff: Name:
MehrEntwicklung einer Webseite zur Verwaltung von Prüfungsterminen
Staatliche Fachschule für Mechatronik- und Elektrotechnik Entwicklung einer Webseite zur Verwaltung von Prüfungsterminen von Voit Alexander 3. Januar 2018 Entwicklungsarbeit Staatliche Fachschule für Mechatronik-
Mehr21 Ein eigenes. Diskussionsforum. Bauen Sie auf Ihrer Website eine Community auf. Warum ein Diskussionsforum anbieten?
21 Ein eigenes Diskussionsforum Bauen Sie auf Ihrer Website eine Community auf Warum ein Diskussionsforum anbieten? Ein komplettes Forum aus dem Internet laden Die Software phpbb2 installieren und konfigurieren
MehrKeyPass Passwortverwaltung
24. November 2016 Martin Dürig KeyPass Passwortverwaltung Passwörter und Passwortverwaltung Ich kann mir mein Passwort gut merken! Ich habe nur eines und das heisst "1234". Wenn das so einfach wäre! Passwörter
MehrXSS for fun and profit
5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,
MehrMelderportal: Anleitung für die Paketmeldung mittels Upload-Client
Melderportal: Anleitung für die Paketmeldung mittels Upload-Client Version 1.0 vom 20.11.2018 Bei Fragen zu diesem Dokument wenden Sie sich bitte per E-Mail an die Zentralstelle der Krebsregistrierung:
MehrSichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus?
Sichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus? Ziel dieses Vortrags Thema Sicherheit von Webanwendungen greifbar machen Praxisorientierte Einführung in aktuelle/zukünftige
MehrRechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung Art. 143bis StGB Unbefugtes Eindringen in ein Datenverarbeitungssystem
Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte
MehrAbbildung 6-8: Abfolge beim doppelten Abschicken von Formularen
HACK #55 Hack Doppeltes Abschicken von Formularen verhindern Durch die Verwendung einer Transaktionstabelle in Ihrer Datenbank können Sie das klassische Problem der doppelt abgeschickten Formulare verhindern.
MehrPortal zur Verwaltung von Wohngemeinschaftsfinanzen mit dem Web-Framework Django
Portal zur Verwaltung von Wohngemeinschaftsfinanzen mit dem Web-Framework Django 29. Januar 2018 Yannick Linke 2018 Yannick Linke/FH Aachen Portal zur Verwaltung von Wohngemeinschaftsfinanzen mit Django
MehrSie möchten als Hochschulangehöriger das Internet sowie spezielle Angebote der Fachhochschule Köln nutzen?
Sie möchten als Hochschulangehöriger das Internet sowie spezielle Angebote der Fachhochschule Köln nutzen? Dann zeigen wir Ihnen hier in wenigen kurzen Schritten die notwendige Vorgehensweise. Um eine
Mehr01 Einführung in PHP. Einführung in PHP 1/13 PHP in Aktion
01 Einführung in PHP Einführung in PHP 1/13 PHP in Aktion PHP ist eine Programmiersprache, die ganz verschiedene Dinge tun kann: von einem Browser gesendete Formularinhalte auswerten, angepasste Webinhalte
MehrILIAS-Hauptordner als Laufwerk anbinden
11.04.2013 Informatikdienste ILIAS-Hauptordner als Laufwerk anbinden 1 Zugriff auf ILIAS-Daten Auf die in ILIAS gespeicherten Dateien und Verzeichnisse hat man auch ohne Umweg über den Webbrowser Zugriff.
MehrINHALTSVERZEICHNIS. Vorbereitung des Moduls... Seite 3. Was brauchen Sie?... Seite 3. Informationsbeschaffung... Seite 3
ISHING PH LEITFADEN S S E N E AWAR E T R E P EX 1 INHALTSVERZEICHNIS Vorbereitung des Moduls... Seite 3 Was brauchen Sie?... Seite 3 Informationsbeschaffung... Seite 3 Angriff vorbereiten... Seite 4 Durchführung
MehrInternet-Technologien
Internet-Technologien PHP Workshop Bau eines Gästebuches Bisher: Heute: Clientseitiges Skripting (Bsp.: JavaScript) Ausführung von Programm-Code auf dem Client-Rechner Entlastung des Server-Rechners ++
MehrAnleitung für die KobolDsite. Das Internetportal für Kundenberater
Anleitung für die KobolDsite Das Internetportal für Kundenberater Vertriebsservice Ihre Anmeldung auf der KoboldSite In dieser Anleitung wird Ihnen Schritt für Schritt erklärt, wie Sie auf Ihre persönlche
MehrSchönes neues Internet
Schönes neues Internet Markus de Brün Bundesamt für Sicherheit in der Informationstechnik AK Sicherheit, 7. Oktober 2009 Markus de Brün 7. Oktober 2009 Folie 1 Agenda Gefahr aus dem Web aktuelle Lage &
MehrRuby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info
Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends
MehrEntwicklung einer Webseite zur Verwaltung von Prüfungsterminen
Staatliche Fachschule für Mechatronik- und Elektrotechnik Entwicklung einer Webseite zur Verwaltung von Prüfungsterminen von Wagemann Andreas 3. Januar 2018 Entwicklungsarbeit Staatliche Fachschule für
MehrHandbuch Franklin Templeton Webshop. Inhaltsverzeichnis. 1. Wo finde ich was? Das Wichtigste im Überblick Registrieren als neuer Webshop-Kunde 3
Handbuch Franklin Templeton Webshop Inhaltsverzeichnis 1. Wo finde ich was? Das Wichtigste im Überblick 2 2. Registrieren als neuer Webshop-Kunde 3 3. Anmeldung als registrierter Kunde 5 4. Passwort vergessen
MehrPHP MySQL - myphpadmin Formulardaten in eine Datenbank speichern
PHP MySQL - myphpadmin Formulardaten in eine Datenbank speichern Datenbanken werden durch ein spezielles Programm verwaltet, einen sogenannten Datenbankserver, in unserem Fall den MySQL-Datenbankserver.
MehrBenutzerhandbuch GI CLOUD box
B e n u t z e r h a n d b u c h G I C L O U D b o x S e i t e 1 Benutzerhandbuch GI CLOUD box Inhaltsverzeichnis 1 Einleitung... 2 2 Version... 2 3 Installation Client-Software... 3 4 Handling & Tipps...
MehrCASE STUDY SICHERES ONLINEBANKING
CASE STUDY SICHERES ONLINEBANKING Spätestens seit den Enthüllungen von Edward Snowden ist IT-Sicherheit ein nicht nur in den Medien intensiv diskutiertes Thema. Auch die Bundesregierung will mit dem in
MehrRückgabewerte von Methoden
OOP Rückgabewerte von Methoden Henrik Horstmann 14. September 2014 Inhaltsverzeichnis Inhaltsverzeichnis 1 Bedeutung der Symbole...1 2 Rückgabewerte von Methoden...2 3 Der freundliche Computer...2 3.1
MehrHTML Scripting. Informatik 1 für Nebenfachstudierende Grundmodul. Kai-Steffen Hielscher Folienversion: 06. Dezember 2017
Informatik 1 für Nebenfachstudierende Grundmodul HTML Scripting Kai-Steffen Hielscher Folienversion: 06. Dezember 2017 Informatik 7 Rechnernetze und Kommunikationssysteme Inhaltsübersicht Kapitel 2 - HTML
MehrANLEITUNG FÜR DIE HVP VON THERMOMIX. Die Pla form r RepräsentantInnen
ANLEITUNG FÜR DIE HVP VON THERMOMIX Die Pla form r RepräsentantInnen IHRE ANMELDUNG AUF DER HVP In dieser Anleitung wird Ihnen Schritt für Schritt erklärt, wie Sie auf Ihre Handelsvertreterplattform von
MehrChess League Manager Update der Spieler-Datenbank Schachverband Schleswig-Holstein - Stand vom
Chess League Manager 1.5 - Update der Spieler-Datenbank Einleitung... 2 01 Anmeldung... 3 02 Benutzername und Passwort eingeben... 4 03 Anmeldung nicht erfolgreich... 5 04 Anmeldung erfolgreich... 6 05
MehrGS-Office Mobile. Einrichtung & Konfiguration
GS-Office Mobile Einrichtung & Konfiguration Inhaltsverzeichnis 1. Willkommen bei Sage GS-Office Mobile... 3 1.1 Anmelden in der Service Welt... 5 2. Einrichten des Hauptbenutzers für Sage GS-Office Mobile...
Mehr[wird Ihnen von Administrator/in oder Moderator/in zugewiesen]
Allgemeines Adresse Benutzername Passwort Bildformat Bildgrösse IHREDOMAIN/galerie [wird Ihnen von Administrator/in oder Moderator/in zugewiesen] [wird Ihnen von Administrator/in oder Moderator/in zugewiesen]
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 16.07.2018 1 / 32 Überblick Kurzüberblick häufige Sicherheitslücken Erinnerung Denial of Service Code Execution Cross-Site Scripting SQL Injection Bonus: kryptographische
Mehrprosms und EinsatzleiterApp Anleitung
prosms und EinsatzleiterApp Anleitung von Jens Reindl 1 Inhaltsverzeichnis 1 prosms...3 1.1 Startseite aufrufen...3 1.2 Anmelden...4 1.3 SMS an eine Gruppe versenden...5 1.3.1 Anmerkungen zum Versenden
MehrStep by Step Anleitung. Einrichtung Shirt-Shop 3.0.1 auf einem Netclusiv Webspace
Step by Step Anleitung Einrichtung Shirt-Shop 3.0.1 auf einem Netclusiv Webspace Step 1) Als erstes müssen Sie sich auf netclusiv.de einen Webspace mieten. Dieser sollte über min. PHP 4.4.2, MySQL 4.1.11
MehrUnico Cloud AdminPortal V.2
Unico Cloud AdminPortal V.2 Diese Anleitung hilft Ihnen im Umgang mit dem AdminPortal der Unico Cloud Unico Data AG Dorfmattweg 8a 3110 Münsingen 031 720 20 30 www.unicodata.ch Inhalt Login AdminPortal...
MehrPowermail Formularbaukasten
Powermail Formularbaukasten Ein Powermail-Formular erstellen Modul "Seite" > gewünschte Seite 1. Klicken Sie auf der Seite das 'Inhalt +'-Symbol an, um ein neues Inhaltselement zu erstellen. 2. Wählen
MehrWeb Hacking - Angriffe und Abwehr
Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken
MehrSichere Programmierung. Klaus Kusche
Sichere Programmierung Klaus Kusche Typische Ursachen für Lücken Große Mehrheit aller Lücken: Speicherüberschreiber Fehlende Input-Filterung ==> Jeweils eigener Foliensatz Restliche Lücken: Mehrere verschiedene
MehrMicro Focus Client Anleitung zur Verfügung gestellt durch: ZID Dezentrale Systeme Mai 2018
Micro Focus Client Anleitung zur Verfügung gestellt durch: ZID Dezentrale Systeme Mai 2018 Seite 2 von 9 Inhaltsverzeichnis 1. Haben Sie Ihr Passwort vergessen?... 4 2. Nur bei Computer anmelden... 4 3.
MehrBedienungsanleitung Ethernet/Internet
Bedienungsanleitung Ethernet/Internet 17.10.2009 Inhaltsverzeichnis 1 Einleitung... 3 2 Direkte Verbindung mit dem PC... 3 3 Einbinden des Energiesparreglers in das Internet... 9 3.1 Die IP- Adresse...
MehrAdministration von Teilnehmern über Login MeinVodafone
Administration von Teilnehmern über Login MeinVodafone CorporateDataAccess (CDA) Version 2.1 Gültig ab: 19.07.2016 Vodafone GmbH Vodafone CorporateDataAccess Die komfortable Administrierung per Internet
Mehrden SMS77.io-Dienst für das EiMSIG smarthome
Einrichtung der SMS-Benachrichtigung über den SMS77.io-Dienst für das EiMSIG smarthome Inhaltsverzeichnis 1. Voraussetzung... 2 1.1 SMS77.io-Account einrichten... 2 1.2 Guthaben zum Test aufladen... 4
Mehrmysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank
mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank In den ersten beiden Abschnitten haben wir uns mit am Ende mysql beschäftigt und kennengelernt, wie man Datenbanken auf dem eigenen Rechner
MehrWEBVPN UND SSL CONNECTOR Anleitung für Lehrende und Beschäftigte der Fachbereiche
IT- und Medienzentrum Stand: 04.06.2018 WEBVPN UND SSL CONNECTOR Anleitung für Lehrende und Beschäftigte der Fachbereiche INHALT Allgemeines... 3 Voraussetzungen... 3 Anmeldung Mobiler Webzugang... 4 Mobiler
MehrFTP-Server einrichten mit automatischem Datenupload fu r SolarView
FTP-Server einrichten mit automatischem Datenupload fu r SolarView Bitte beachten: Der im folgenden beschriebene Provider "www.bplaced.net" dient lediglich als Beispiel. Wir können keinerlei Garantie über
MehrONLINE SHOP HANDBUCH GEMÜ Online-Shop Handbuch
GEMÜ Online-Shop Handbuch Gerne können Sie sich auch persönlich an uns wenden, zum Beispiel im Live-Chat oder per Telefon (+49 7940 123-0). Inhaltsübersicht 1. Anmeldung... 3 1.1 Konto anlegen 3 1.2 Schnellregistrierung
MehrMySQL, Java und einiges mehr
MySQL, Java und einiges mehr Client Der Browser Firefox Chrome Safari Internet Explorer URL http://localhost:8080/html/index.html Internet Die darzustellende Webseite HTML Server Apache Tomcat Jetty
MehrInstallation des Citrix Receiver v1.2 Manuelles Upgrade auf die neuste Version
Installation des Citrix Receiver v1.2 Manuelles Upgrade auf die neuste Version Inhaltsverzeichnis 1 Informationen... 3 2 Herunterladen der neusten Version... 3 2.1 Im Internet Explorer:... 3 2.2 Im Firefox:...
MehrAnleitung. Registrierung im Forum der Varianta Klassenvereinigung e.v.
Anleitung Registrierung im Forum der Varianta Klassenvereinigung e.v. Um im Forum der Varianta Klassenvereinigung e.v. Beiträge verfassen bzw. antworten schreiben zu können, muss man sich registrieren.
MehrSo funktioniert die Anmeldung bei IhrHeimplatz.de
So funktioniert die Anmeldung bei IhrHeimplatz.de Um ein Profil bei IhrHeimplatz.de zu erstellen klicken Sie bitte im Bereich auf kostenlos anmelden. Wichtig: a) Selbst wenn Ihre Einrichtung bereits bei
Mehr1. Setzen des Passworts in der ADP World
Inhaltsverzeichnis 1. Setzen des Passworts in der ADP World... 2 1.1 Aufruf der Funktion... 3 1.2 Freischaltcode generieren... 4 1.3 Generierte Mail... 6 1.4 Passwort setzen... 7 1.5 Fehler beim Setzen
Mehr1. onesto2go User aktivieren
onesto2go 1. onesto2go User aktivieren 1. 2. 3. 4. 5. 6. 7. Bitte melden Sie sich in Ihrem Browser am Arbeitsplatz an das onesto Portal an und öffnen Sie Ihr Benutzerprofil. Scrollen Sie bis zur Rubrik
MehrANLEITUNG FÜR DIE CITYSITE. Das Internetportal für Beraterinnen
ANLEITUNG FÜR DIE CITYSITE Das Internetportal für Beraterinnen IHRE ANMELDUNG AUF DER CITYSITE In dieser Anleitung wird Ihnen Schritt für Schritt erklärt, wie Sie auf Ihre persönlche CitySite zugreifen
MehrMail auf dem eigenen Gerät
Mail auf dem eigenen Gerät Inhaltsverzeichnis 1. Hinweise 1.1. Wichtig 1.2. Remote-Sicherheitsaktivierung 1.3. Posteingangs mit Relevanz / Focused Inbox 2. Windows 2.1. Windows PC 2.2. Windows Phone 3.
MehrRegistrierung als Redakteur/-in für das Mitteilungsblatt der Verbandsgemeinde Dierdorf
Registrierung als Redakteur/-in für das Mitteilungsblatt der Verbandsgemeinde Dierdorf Sie benötigen grundsätzlich nur einen aktuellen Browser vorzugsweise Mozilla Firefox ab Version 52. Andere Browser
MehrAnleitung zur Registrierung auf der Construbadge Anwendung
Anleitung zur Registrierung auf der Construbadge Anwendung Im folgenden finden Sie die notwendigen Schritte zur Registrierung ihres Unternehmens auf der ConstruBadge Anwendung. 1. Überprüfen Sie, ob die
MehrPatientConcept ID - Mappingtool zur Verwaltung des ID-Codes. Bedienungsleitfaden PatientConceptID
PatientConcept ID - Mappingtool zur Verwaltung des ID-Codes Bedienungsleitfaden PatientConceptID PatientConceptID Version 1.0, Juni 2017 NeuroSys GmbH, 2017 Bessererstraße 7 89073 Ulm Tel.: +49 (0)731
Mehr