Best Practices - sichere Websites und Web-Applikationen. Markus Müller

Größe: px
Ab Seite anzeigen:

Download "Best Practices - sichere Websites und Web-Applikationen. Markus Müller"

Transkript

1 Best Practices - sichere Websites und Web-Applikationen Markus Müller

2 Vorstellung Markus Müller Dr.-Ing. Elektrotechnik Kryptokom(Prof. Ruland, Prof. Pohlmann) secunet Security Networks seit 1998 in diversen Funktionen Leitung Managed Security Services seit

3 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Web-Site / Web-Applikation Betrieb / Changemanagement

4 Sichere Architektur, sicheres Netzwerk

5 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Web-Zugriff Netzwerk-Firewall Datenbank Separater Server Netzwerk-Firewall

6 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Content-Management Beschränkter Zugriff der Web- Agentur auf dedizierte Komponenten Remote-Zugriff Out-Of-Band Remote-Zugriff authentisiert und verschlüsselt

7 Sichere Architektur, sicheres Netzwerk Netzwerk-Firewall Alles verbieten außer erwünschte Protokolle und Ports (drop, reject) HTTP, WebDAV(80/tcp) HTTPS (443/tcp) Outbound und Inbound wirksam Logging für alle Accept-Regeln aktivieren für Catch-All-Regel aus dem Internet (drop any/any) deaktivieren für sonstige Catch-All-Regeln (drop any/any) aktivieren

8 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Administration Separates Management-Netz Dedizierte Netzwerk- Interfaces in Komponenten Im Management-Netz ausschließlich Administration Kein Routing über das Management-Netz Remote-Zugriff Out-Of-Band Remote-Zugriff authentisiert und verschlüsselt

9 Sichere Architektur, sicheres Netzwerk

10 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Eigenbetrieb oder externes Hosting Web-Site / Web-Applikation Betrieb / Changemanagement

11 Sichere Server, sichere Middleware

12 Sichere Server, sichere Middleware Auswahl sicherer Komponenten für Betriebssystem Web-Server-Software Datenbank-Software Programmiersprache Content-Management-System Applikationssoftware (Blog, Foren, Webshop)

13 Sichere Server, sichere Middleware Kriterien für sichere Komponenten Aktuelle Sicherheitsmechanismen Aktuell gepflegte Version, aber nicht Beta Hinreichend weit verbreitet (im Feld getestet) Kontinuierlich gepflegt (schnelles Schließen von Sicherheitslücken) Nicht besonders auffällig in Security-News-Tickern Open-Source vs. Closed Source (?)

14 Sichere Server, sichere Middleware Minimalisierung Nicht benötigte Komponenten und Module entfernen Nicht benötigte Services deaktivieren Nicht benötigte Benutzerkonten entfernen oder sperren Nicht benötigte Funktionen entfernen oder deaktivieren Nicht benötigte Dateien entfernen (alte Versionen, Test- Dateien, Default-Content, etc.) So wenige Informationen wie möglich über das System nach außen sichtbar machen (Banner minimalisieren)

15 Sichere Server, sichere Middleware Sichere Konfiguration Zugriffsberechtigungen auf das Notwendige beschränken Sicherheitszonen in Netzwerken auch in Komponenten trennen (z.b. kein Routing) Ausschließlich sichere Protokolle und Mechanismen verwenden Backup/Recovery implementieren (und testen!) Unsichere Funktionen, Optionen und Einstellungen deaktivieren Sicherheitsmechanismen nutzen (Kernel-Parameter, chroot, selinux) Automatische Meldung sicherheitsrelevanter Ereignisse einrichten

16 Sichere Server, sichere Middleware Konfiguration Apache 2 Path Traversalverhindern: per mod_security oder WAF.htaccess in allen Verzeichnissen verwenden Directory Listing verhindern Apache-Child-Prozesse als www-data:www-data starten Zugriff auf.htpasswd und.htaccess verhindern #apache2.conf <Directory /> Options -Indexes AllowOverride None </Directory> User www-data Group www-data <Files ~ "^\.ht"> Order allow,deny Deny from all Satisfy all </Files>

17 Sichere Server, sichere Middleware Konfiguration PHP 5 Fehlermeldungen protokollieren und nach außen verbergen Register Globals und veraltete Long-Arrays deaktivieren Zugriffe außerhalb eines PHP- Verzeichnisses verhindern Remote-File-Inclusion deaktivieren Session-Handling nur mit Cookies Client-Zugriff auf Cookie deaktivieren ;php.ini display_errors = Off display_startup_errors = Off log_errors = On register_globals = Off register_long_arrays = Off open_basedir =/$PHPFILES/ allow_url_fopen = Off allow_url_include = Off session.use_only_cookies = 1 session.cookie_httponly = 1

18 Sichere Server, sichere Middleware Konfiguration TYPO3 Default install utility password ändern Install Tool deaktivieren: Datei typo3conf/enable_install_tool umbenennen Neuen Admin Account einrichten und Default Admin Account entfernen Encryption Key nach der Installation ändern

19 Sichere Server, sichere Middleware Konfiguration TYPO3 localconf.php in sicheres Verzeichnis schieben und einen Verweis anlegen Separate DB Users für FE und BE Secure your external configuration files (i.e. TypoScript) //LocalConfiguration.php <?php require("/var/www/localhost/ securedata/localconf.php");?> //LocalConfiguration.php if (TYPO3_MODE=='FE') { $typo3_user_name = 'restricted_user'; } else { $typo3_user_name = 'extended_user'; } #apache2.conf <FilesMatch "\.(ts)$"> order deny,allow deny from all </FilesMatch>

20 Sichere Server, sichere Middleware Rollenbasierte Zugriffsberechtigungen Dedizierte technische Benutzerkonten für Services Dedizierte Benutzerkonten zur Administration Dedizierte Benutzerkonten für den Zugriff auf vertrauliche Daten Persönliche Benutzerkonten für Administratoren Minimale Zugriffsberechtigungen gemäß Rollen Sichere Passworte oder stärkere Authentisierung

21 Sichere Server, sichere Middleware Überwachung implementieren Überwachung der Verfügbarkeit (Komponenten und Endezu-Ende) Überwachung der Auslastung (Komponenten und Ende-zu- Ende) Überwachung der Webinhalte Überwachung wesentlicher Dateien (z.b. Konfigurationsdateien)

22 Sichere Server, sichere Middleware Host basierte Firewall Regelwerk: Alles verbieten (drop, reject) außer erwünschte Protokolle und Ports Outbound und Inbound wirksam Trennung der Sicherheitszonen Logging für alle Accept-Regeln aktivieren für Catch-All-Regel (drop any/any) an externer Firewall deaktivieren für Catch-All-Regel (dropany/any) an internen Firewalls aktivieren

23 Sichere Server, sichere Middleware Virenschutz Renommiertes Produkt wählen Stündlich neue Viren-Pattern abfragen Logging aktivieren Monitoring aktivieren Host basiertes Intrusion Detection System (Host-IDS) Insbesondere bei höherem Sicherheitsbedarf sinnvoll Renommiertes Produkt wählen Mit spezifischen Regeln integrieren (Tuning) Regelmäßig neue Pattern des Herstellers abfragen Logging aktivieren Monitoring aktivieren Regelmäßig spezifische Regeln pflegen

24 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Eigenbetrieb oder externes Hosting Web-Site / Web-Applikation CMS / Applikationssoftware, Eigenentwicklung, externe Entwicklung Betrieb / Changemanagement

25 Sichere Web-Site, sichere Web-Applikation Verschlüsselter Datentransfer Bei Übertragung vertraulicher Daten SSL mit aktuellem Server-Zertifikat (>= 2048 Bit RSA, kein RC4, vertrauenswürdige CA) und Perfect-Forward-Secrecy Ggf. auch internen Datenverkehr verschlüsseln Kryptografisch gesicherte Datenspeicherung Passwörter als gesalzene kryptographische Hashes speichern Vertrauliche Daten verschlüsseln Schlüssel gegen unbefugten Zugriff sichern

26 Sichere Web-Site, sichere Web-Applikation Rollenbasierter Web-Zugriff Ohne Authentifizierung Anzeige von Content ohne Interaktion Human Interaction Proof(z.B. CAPTCHAs) Verhindern des Spiderns von Informationen Verhindern von automatischer Dateneingabe Verhindern von automatischer Transaktionen Zugriff auf ressourcenhungrige Funktionen

27 Sichere Web-Site, sichere Web-Applikation Rollenbasierter Web-Zugriff Einfache persönliche Authentifizierung (Username/Passwort) Zugriff auf vertrauliche Daten Eingabe und Hochladen von Daten Einfache kommerzielle Transaktionen Zugriff auf besonders ressourcenhungrige Funktionen Zusätzliche Authentisierung bei kritischen Funktionen Zurücksetzen von Authentisierungsdaten als Self-Service Höhere Sicherheit (SSL-Client-Zertifikat, TAN) Höherer Sicherheitsbedarf Begrenzter Benutzerkreis

28 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Programmkonstrukte Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Ausführung filtern (Injection-Angriffe) Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) Request-Parameter, Benutzereingaben und hochgeladene Dateien auf unerwünschte Inhalte prüfen (Defacement-Angriffe) Filterung ebenfalls vor der Verwendung potentiell kompromittierter Altdaten durchführen

29 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Ausführung filtern (Injection-Angriffe) URL/Sourcefile: <?php // URL-Parameter ungefiltert verwendet // read article description if ($db->multi_query( "SELECT name,description,price FROM articles WHERE id = $_REQUEST['article']")) { //?> <?php URL-Parameter gefiltert $articleid = (int) $_REQUEST['article']; // // read article description if ($db->multi_query( "SELECT name,description,price FROM articles WHERE id = $articleid")) { //?>

30 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) URL/Sourcefile: <?php // // read article review if ($db->multi_query("select r.title,r.rating,u.name,r.post_date,r.content FROM reviews r,users u,articles a WHERE a.id = $articleid AND r.article_id=a.id AND r.user_id=u.id")) { $result = $db->store_result(); if ($result->num_rows > 0) { while ($row = $result->fetch_row()) {?> <h3><?=$row[0]?> (<?=$row[1]?> / 5)</h3> <p> von <?=$row[2]?> am <?=$row[3]?><br/> <?=$row[4]?> </p> // DB-Einträge ungefiltert verwendet

31 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) URL/Sourcefile: <?php // // read article review if ($db->multi_query("select r.title,r.rating,u.name,r.post_date,r.content FROM reviews r,users u,articles a WHERE a.id = $articleid AND r.article_id=a.id AND r.user_id=u.id")) { $result = $db->store_result(); if ($result->num_rows > 0) { while ($row = $result->fetch_row()) { $title=filter_var($row[0],filter_sanitize_string); $rating=filter_var($row[1],filter_sanitize_string); $uname=filter_var($row[2],filter_sanitize_string); $postdate=filter_var($row[3],filter_sanitize_string); $content=filter_var($row[4],filter_sanitize_string);?> <h3><?=$title?> (<?=$rating?> / 5)</h3> <p> von <?=$uname?> am <?=$postdate?><br/> <?=$content?> </p> // DB-Einträge vor Anzeige gefiltert

32 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Programmkonstrukte Request-Parameter von internen Variablen entkoppeln Anzeige vertraulicher oder verräterischer Daten verhindern Alle Fehlerzustände abfangen Keine internen Fehler über das Web anzeigen Fehlermeldungen über das Web nicht zu spezifisch anzeigen autocomplete=off für alle Formularfelder mit vertraulichen Daten Für Formulare vorzugsweise POST statt GET verwenden Requestsdetektieren, protokollieren und ablehnen, die offensichtlich Angriffe enthalten Requests protokollieren und ablehnen, die nicht aus der Web- Applikation stammen können

33 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Sicheres Session-Handling Sichere Session-ID verwenden (hinreichende Entropie), möglichst im Cookie (nicht als URL-Parameter) Zugriff auf Cookie über Flags einschränken (Path, Secure, HttpOnly) Sonstige Sessiondaten ausschließlich auf Serverseite vorhalten Session-Timeout implementieren Zulässigkeit von Zugriffen auf Unterseiten und Funktionen explizit anhand der Sessiondaten prüfen Maßnahmen gegen automatische Attacken CAPTCHAs Transaktionen je Zeitraum begrenzen Progressive Wartezeit bei fehlgeschlagenen Transaktionen Anzahl fehlgeschlagener Transaktionen begrenzen

34 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Verhinderung diverser Attacken Challenge/Response oder dynamische Token gegen Replay-Attacken Zusätzliches Token gegen Cross-Site-Request-Forgery Clientseitige Checks und X-FRAME-OPTIONS DENY in HTTP -Response- Headern gegen Clickjacking Verwendung von X-Content-Type-Options: nosniff gegen Contentbasierte Browser-Angriffe Content Security Policy: CSP-Header + Auslagern von Ressourcen (Scripte, Bilder) in separate Dateien gegen Injection-basierte Browser-Angriffe Überwachung Sicherheitsrelevante Transaktionen protokollieren (z.b. Login/Logout) Fehlerzustände protokollieren Angriffsversuche protokollieren und melden

35 Sichere Web-Site, sichere Web-Applikation Beispiel: Content Security Policy: CSP-Header + Vermeiden von Inline-Scripten (also Auslagern von Scripten in separate Dateien) <body>... <script>function dosubmitdata() {...}</script> <button onclick='dosubmitdata();'>submit Data</button>... Javascript inline verwendet HTTP-Header: Content-Security-Policy: default-src 'none'; img-src*; script-src script.hackme.sn... <script src='submitdata.js'></script> <button id='submitdata'>submit Data</button>... Javascript ausgelagert in separate Datei // function dosubmitdata() {...} document.addeventlistener('domcontentready', function () { document.getelementbyid('submitdata').addeventlistener('click', dosubmitdata); });

36 Sichere Web-Site, sichere Web-Applikation Reverse Proxy Zusätzliche Absicherung von Web-Servern Terminiert die jeweilige Quell-HTTP-Verbindung und baut Sie in Zielrichtung neu auf Kann SSL-Verbindungen terminieren Wirkt gegen diverse Anomalien im HTTP Kann HTTP-Optionen filtern Ermöglicht Blacklist für HTTP-Clients Kann evtl. bis hin zu einer Web-Application-Firewall ausgebaut werden Web-Applikation und Reverse Proxy sollten gemeinsam getestet und ausgerollt werden

37 Sichere Web-Site, sichere Web-Applikation Web-Application-Firewall (WAF) Insbesondere bei dynamischen Web-Applikationen sinnvoll Zusätzliche Absicherung von Web-Applikationen Blacklist-Ansatz ermöglicht schnelleren Roll-Out bei guter Basissicherheit Whitelist-Ansatz bringt höhere Sicherheit Verschiedene Funktionen können von der Web-Applikation in die WAF verlagert werden (Session-Handling, Authentisierung, SSL, URL- Codierung, Brute-Force-Vermeidung) Web-Applikation darf nicht gegen die WAF arbeiten Web-Applikation und WAF sollten gemeinsam getestet und ausgerollt werden Regelmäßig spezifische Regeln pflegen

38 Sichere Web-Site, sichere Web-Applikation

39 Sichere Web-Site, sichere Web-Applikation Schutzmaßnahmen auf Client-Seite berücksichtigen Firewalls Proxies Popup-Blocker Cookie-Blocker und -Filter Javascript-Blocker Blocker für sonstige aktive Inhalte (Java, Flash, etc.) Upload-/Download-Schleusen

40 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Eigenbetrieb oder externes Hosting Web-Site / Web-Applikation CMS / Applikationssoftware, Eigenentwicklung, externe Entwicklung Betrieb / Changemanagement Eigenbetrieb oder externes Hosting

41 Sicherer Betrieb, Changemanagement

42 Sicherer Betrieb, Changemanagement Sicherer Betrieb (Basis) Regelmäßige Datensicherung (Backup) Patchmanagement Logging Komponenten Überwachung, Alarmierung Verfügbarkeit Auslastung Security-Events Regelmäßige Logauswertung Anomalien Sicherheitsrelevante Ereignisse

43 Sicherer Betrieb, Changemanagement Security Lifecycle Regelmäßige Pen-Tests/Audits Regelmäßige Security-Reviews Hoher Sicherheitsbedarf 24x7 Computer-Emergency-Response-Team (CERT) Security Information and Event Management (SIEM) Logging Administrationstätigkeiten Kontinuierliche Logauswertung Anomalien Sicherheitsrelevante Ereignisse

44 Sicherer Betrieb, Changemanagement Changemanagement Jede Änderung kann Einfluss auf die Security haben Security auch im Budget berücksichtigen Bewertung von Change-Requests auch in Bezug auf Security Test von Change-Requests auch in Bezug auf Security

45 Sichere Websites und Web-Applikationen und das Ergebnis:

46 Sichere Websites und Web-Applikationen und wer ist nun zuständig für Sicherheit? OWASP Top 10 Architektur / Netzwerk Server / Middleware CMS/ Applikationssoftware Web-Content / Web-Applikation A1 Injection X X X X A2 Broken Authentication and Session Management - - X X A3 Cross-Site Scripting (XSS) - - X X A4 Insecure Direct Object References A5 Security Misconfiguration - - X X X X X X

47 Sichere Websites und Web-Applikationen und wer ist nun zuständig für Sicherheit? OWASP Top 10 Architektur / Netzwerk Server / Middleware CMS/ Applikationssoftware Web-Content / Web-Applikation A6 Sensitive Data Exposure X X X X A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 UnvalidatedRedirects and Forwards - X X X - - X X X X X X - - X X

48 Sichere Websites und Web-Applikationen Alles berücksichtigt / umgesetzt? Prima! Aber

49 Sichere Websites und Web-Applikationen 100% Sicherheit gibt es nicht Machen Sie es den Angreifern schwer! Erhöhen Sie den Aufwand für erfolgreiche Angriffe durch weitere Sicherheitsmaßnahmen! Setzen Sie Ihre Ressourcen gezielt ein! Bleiben Sie wachsam!

50 Weitere Informationen Open Web Application Security Project, OWASP Top Ten Project, Open Web Application Security Project, Development Guide, Bundesamt für Sicherheit in der Informationstechnik (BSI), IT Grundschutzkataloge (www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/_content): Insbesondere Baustein B 5.21 Webanwendungen /baust/b05/b05021.html und Maßnahmen M 4 Hard- und Software, Maßnahmen 4.94, 4.176, 4.359, 4.360, 4.392ff /m/m04/m04.html Bundesamt für Sicherheit in der Informationstechnik (BSI), Studie CMS: https://www.bsi.bund.de/de/publikationen/studien/cms/studie_cms.html Security-Tipps zu konkreten Produkten:

51 Fragen & Antworten

52 Premium IT-Sicherheit Made in Germany Langjährige und vertrauensvolle Partnerschaften Sicherheitspartner der Bundesrepublik Deutschland seit 2004 Enge Kooperationen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesministerium des Innern (BMI) Partner der Allianz für Cyber-Sicherheit und Mitglied der TeleTrusT Initiative ITSMIG Zusammenarbeit mit Einrichtungen für Forschung und Entwicklung

53 Daten & Fakten zur secunet Security Networks AG >340 Mitarbeiter an sieben deutschen Standorten Vertriebs- und Projektaktivitäten weltweit Geschäftsbereiche Public Sector und Business Sector secunet Security Networks AG Hamburg Essen Siegen Berlin Dresden Geschäftsbereich Public Sector Geschäftsbereich Business Sector Frankfurt München Gegründet 1997 Im Prime Standard der Deutschen Börse gelistet Größter Anteilseigner: Giesecke & Devrient GmbH (79%) Umsatz 2013*: 63,9 Mio., EBIT: 3,7 Mio. *vorläufiges Ergebnis per

54 secunet Security Networks AG Dr. Markus Müller Bereichsleiter Managed Security Services

Best Practices - sichere Websites und Web-Applikationen. Markus Müller

Best Practices - sichere Websites und Web-Applikationen. Markus Müller Best Practices - sichere Websites und Web-Applikationen Markus Müller Vorstellung Markus Müller Dr.-Ing. Elektrotechnik Kryptokom (Prof. Ruland, Prof. Pohlmann) 1997-1998 secunet Security Networks seit

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG Sichere Website Gezielt ist oft besser als viel 02.12.2014 Markus Müller secunet Security Networks AG stellt sich vor führender Anbieter für anspruchsvolle IT-Sicherheit seit 2004 Sicherheitspartner der

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Ist meine WebSite noch sicher?

Ist meine WebSite noch sicher? Ist meine WebSite noch sicher? Massive Angriffe gegen Joomla, Wordpress, Typo3 02.12.2014 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security Service

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Inhaltsverzeichnis. Einleitung... 11

Inhaltsverzeichnis. Einleitung... 11 Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP

Mehr

Ist meine Website noch sicher?

Ist meine Website noch sicher? Ist meine Website noch sicher? Massive Angriffe gegen Joomla, Wordpress,Typo3 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Tobias Wassermann. Sichere Webanwendungen mit PHP

Tobias Wassermann. Sichere Webanwendungen mit PHP Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren von Christopher Kunz, Stefan Esser, Peter Prochaska überarbeitet PHP-Sicherheit Kunz / Esser / Prochaska schnell und portofrei erhältlich bei

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Herausforderungen und Chancen im industriellen Umfeld

Herausforderungen und Chancen im industriellen Umfeld Die Vorteile öffentlicher Netze nutzen 12.08.2014, Marc Lindlbauer, secunet Security Networks AG Herausforderungen und Chancen im industriellen Umfeld Daten & Fakten zur secunet Security Networks AG >340

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

PHP und MySQL. Sicherheit und Session-Handling mit PHP. Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424

PHP und MySQL. Sicherheit und Session-Handling mit PHP. Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424 Zentrum für Informationsdienste und Hochleistungsrechnen PHP und MySQL Sicherheit und Session-Handling mit PHP Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424 (michael.kluge@tu-dresden.de)

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil

FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Compass Security AG Glärnischstrasse 7 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch www.csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_V1.1.doc Version: v1.1

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I Ora Education GmbH www.oraeducation.de info@oraeducation.de Lehrgang: Oracle Application Server 10g R2: Administration I Beschreibung: Der Teilnehmer ist in der Lage den Oracle Application Server 10g zu

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends

Mehr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Stefan Schlott @_skyr DIE OWASP TOP-10 Alpha und Omega der Security-Talks :-) TOP 10 VON 2013 1. Injection 2. Broken Authentication/Session Management

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Web Application Security und der Einsatz von Web Application Firewalls

Web Application Security und der Einsatz von Web Application Firewalls Web Application Security und der Einsatz von Web Application Firewalls Philipp Etschel, BSc opennetworks.at fhstp.ac.at 2 Agenda: Warum überhaupt eine WAF einsetzen? Funktionsweise einer WAF Welche Web-

Mehr

Was eine WAF (nicht) kann. Ausgabe 2013

Was eine WAF (nicht) kann. Ausgabe 2013 Was eine WAF (nicht) kann. Ausgabe 2013 Mirko Dziadzka http://mirko.dziadzka.de/ @MirkoDziadzka OWASP Stammtisch München - 19.11.2013 1 / 27 Inhalt Worum soll es heute gehen Meine (subjektive) Meinung

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Installation/Update und Konfiguration des Renderservice (v1.7.0)

Installation/Update und Konfiguration des Renderservice (v1.7.0) Installation/Update und Konfiguration des Renderservice (v1.7.0) [edu- sharing Team] [Dieses Dokument beschreibt die Installation und Konfiguration des Renderservice.] edu- sharing / metaventis GmbH Postfach

Mehr

PHP Sicherheit für Administratoren

PHP Sicherheit für Administratoren PHP Sicherheit für Administratoren 3. Erlanger Linuxtage 15.01.2005 / meindlsoft PHP Sicherheit: Agenda Agenda Motivation Teil 1: Teil 2: en Teil 3: Aufgaben des Administrators: sichere Arbeitsumgebung

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Typo 3 installieren. Schritt 1: Download von Typo3

Typo 3 installieren. Schritt 1: Download von Typo3 Typo 3 installieren Bevor Sie Typo3 installieren, müssen Sie folgende Informationen beachten: Typo3 benötigt eine leere Datenbank. Mit Ihrem Abonnement verfügen Sie über eine einzige Datenbank. Sie können

Mehr

Handbuch: PlagScan PlugIn in Moodle 2.X und 3.X für den Administrator

Handbuch: PlagScan PlugIn in Moodle 2.X und 3.X für den Administrator Handbuch: PlagScan PlugIn in Moodle 2.X und 3.X für den Administrator Stand: November 2015 Inhaltsverzeichnis Phase 1: Registrierung Schritt 1 von 2: Nutzungsart Organisation wählen Schritt 2 von 2: Organisation

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12 OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Call Button / HTTP - Systembeschreibung

Call Button / HTTP - Systembeschreibung Call Button / HTTP - Systembeschreibung Detlef Reil, 14.03.2004, zu Call Button, Version 040127, V1.50 Beta! Software System Für die Kommunikation zwischen den Call Buttons und der Applikation war bisher

Mehr

Themen. Apache Webserver Konfiguration. Verzeichnisse für Web-Applikationen. Server Side Includes

Themen. Apache Webserver Konfiguration. Verzeichnisse für Web-Applikationen. Server Side Includes Themen Apache Webserver Konfiguration Verzeichnisse für Web-Applikationen Server Side Includes Apache Webserver Konfiguration des Apache Webservers Server-Einstellungen in der httpd.conf-datei Einteilung

Mehr

Einleitung Performance Konfiguration Quellen. NginX-Webserver. UnFUG. Christian Fischer. 28. April 2011

Einleitung Performance Konfiguration Quellen. NginX-Webserver. UnFUG. Christian Fischer. 28. April 2011 UnFUG 28. April 2011 Inhalt 1 Übersicht Statistiken Vor- und Nachteile 2.htaccess Architektur Eigene Erfahrung 3 4 Übersicht Übersicht Statistiken Vor- und Nachteile Ursprünglich von Igor Sysoev für rambler.ru

Mehr

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit.

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit. 1. ODBC 1.1 Problemstellung Die Informationen über die Microsoft SQL Server Datenbanken sind zur Zeit nicht auf der TIMD Website verfügbar. Der Grund ist, dass kein Interface zur Abfrage der benötigten

Mehr

HISOLUTIONS - SCHWACHSTELLENREPORT

HISOLUTIONS - SCHWACHSTELLENREPORT HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests des Jahres 2014 MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations-

Mehr