Best Practices - sichere Websites und Web-Applikationen. Markus Müller

Größe: px
Ab Seite anzeigen:

Download "Best Practices - sichere Websites und Web-Applikationen. Markus Müller"

Transkript

1 Best Practices - sichere Websites und Web-Applikationen Markus Müller

2 Vorstellung Markus Müller Dr.-Ing. Elektrotechnik Kryptokom(Prof. Ruland, Prof. Pohlmann) secunet Security Networks seit 1998 in diversen Funktionen Leitung Managed Security Services seit

3 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Web-Site / Web-Applikation Betrieb / Changemanagement

4 Sichere Architektur, sicheres Netzwerk

5 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Web-Zugriff Netzwerk-Firewall Datenbank Separater Server Netzwerk-Firewall

6 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Content-Management Beschränkter Zugriff der Web- Agentur auf dedizierte Komponenten Remote-Zugriff Out-Of-Band Remote-Zugriff authentisiert und verschlüsselt

7 Sichere Architektur, sicheres Netzwerk Netzwerk-Firewall Alles verbieten außer erwünschte Protokolle und Ports (drop, reject) HTTP, WebDAV(80/tcp) HTTPS (443/tcp) Outbound und Inbound wirksam Logging für alle Accept-Regeln aktivieren für Catch-All-Regel aus dem Internet (drop any/any) deaktivieren für sonstige Catch-All-Regeln (drop any/any) aktivieren

8 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Administration Separates Management-Netz Dedizierte Netzwerk- Interfaces in Komponenten Im Management-Netz ausschließlich Administration Kein Routing über das Management-Netz Remote-Zugriff Out-Of-Band Remote-Zugriff authentisiert und verschlüsselt

9 Sichere Architektur, sicheres Netzwerk

10 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Eigenbetrieb oder externes Hosting Web-Site / Web-Applikation Betrieb / Changemanagement

11 Sichere Server, sichere Middleware

12 Sichere Server, sichere Middleware Auswahl sicherer Komponenten für Betriebssystem Web-Server-Software Datenbank-Software Programmiersprache Content-Management-System Applikationssoftware (Blog, Foren, Webshop)

13 Sichere Server, sichere Middleware Kriterien für sichere Komponenten Aktuelle Sicherheitsmechanismen Aktuell gepflegte Version, aber nicht Beta Hinreichend weit verbreitet (im Feld getestet) Kontinuierlich gepflegt (schnelles Schließen von Sicherheitslücken) Nicht besonders auffällig in Security-News-Tickern Open-Source vs. Closed Source (?)

14 Sichere Server, sichere Middleware Minimalisierung Nicht benötigte Komponenten und Module entfernen Nicht benötigte Services deaktivieren Nicht benötigte Benutzerkonten entfernen oder sperren Nicht benötigte Funktionen entfernen oder deaktivieren Nicht benötigte Dateien entfernen (alte Versionen, Test- Dateien, Default-Content, etc.) So wenige Informationen wie möglich über das System nach außen sichtbar machen (Banner minimalisieren)

15 Sichere Server, sichere Middleware Sichere Konfiguration Zugriffsberechtigungen auf das Notwendige beschränken Sicherheitszonen in Netzwerken auch in Komponenten trennen (z.b. kein Routing) Ausschließlich sichere Protokolle und Mechanismen verwenden Backup/Recovery implementieren (und testen!) Unsichere Funktionen, Optionen und Einstellungen deaktivieren Sicherheitsmechanismen nutzen (Kernel-Parameter, chroot, selinux) Automatische Meldung sicherheitsrelevanter Ereignisse einrichten

16 Sichere Server, sichere Middleware Konfiguration Apache 2 Path Traversalverhindern: per mod_security oder WAF.htaccess in allen Verzeichnissen verwenden Directory Listing verhindern Apache-Child-Prozesse als www-data:www-data starten Zugriff auf.htpasswd und.htaccess verhindern #apache2.conf <Directory /> Options -Indexes AllowOverride None </Directory> User www-data Group www-data <Files ~ "^\.ht"> Order allow,deny Deny from all Satisfy all </Files>

17 Sichere Server, sichere Middleware Konfiguration PHP 5 Fehlermeldungen protokollieren und nach außen verbergen Register Globals und veraltete Long-Arrays deaktivieren Zugriffe außerhalb eines PHP- Verzeichnisses verhindern Remote-File-Inclusion deaktivieren Session-Handling nur mit Cookies Client-Zugriff auf Cookie deaktivieren ;php.ini display_errors = Off display_startup_errors = Off log_errors = On register_globals = Off register_long_arrays = Off open_basedir =/$PHPFILES/ allow_url_fopen = Off allow_url_include = Off session.use_only_cookies = 1 session.cookie_httponly = 1

18 Sichere Server, sichere Middleware Konfiguration TYPO3 Default install utility password ändern Install Tool deaktivieren: Datei typo3conf/enable_install_tool umbenennen Neuen Admin Account einrichten und Default Admin Account entfernen Encryption Key nach der Installation ändern

19 Sichere Server, sichere Middleware Konfiguration TYPO3 localconf.php in sicheres Verzeichnis schieben und einen Verweis anlegen Separate DB Users für FE und BE Secure your external configuration files (i.e. TypoScript) //LocalConfiguration.php <?php require("/var/www/localhost/ securedata/localconf.php");?> //LocalConfiguration.php if (TYPO3_MODE=='FE') { $typo3_user_name = 'restricted_user'; } else { $typo3_user_name = 'extended_user'; } #apache2.conf <FilesMatch "\.(ts)$"> order deny,allow deny from all </FilesMatch>

20 Sichere Server, sichere Middleware Rollenbasierte Zugriffsberechtigungen Dedizierte technische Benutzerkonten für Services Dedizierte Benutzerkonten zur Administration Dedizierte Benutzerkonten für den Zugriff auf vertrauliche Daten Persönliche Benutzerkonten für Administratoren Minimale Zugriffsberechtigungen gemäß Rollen Sichere Passworte oder stärkere Authentisierung

21 Sichere Server, sichere Middleware Überwachung implementieren Überwachung der Verfügbarkeit (Komponenten und Endezu-Ende) Überwachung der Auslastung (Komponenten und Ende-zu- Ende) Überwachung der Webinhalte Überwachung wesentlicher Dateien (z.b. Konfigurationsdateien)

22 Sichere Server, sichere Middleware Host basierte Firewall Regelwerk: Alles verbieten (drop, reject) außer erwünschte Protokolle und Ports Outbound und Inbound wirksam Trennung der Sicherheitszonen Logging für alle Accept-Regeln aktivieren für Catch-All-Regel (drop any/any) an externer Firewall deaktivieren für Catch-All-Regel (dropany/any) an internen Firewalls aktivieren

23 Sichere Server, sichere Middleware Virenschutz Renommiertes Produkt wählen Stündlich neue Viren-Pattern abfragen Logging aktivieren Monitoring aktivieren Host basiertes Intrusion Detection System (Host-IDS) Insbesondere bei höherem Sicherheitsbedarf sinnvoll Renommiertes Produkt wählen Mit spezifischen Regeln integrieren (Tuning) Regelmäßig neue Pattern des Herstellers abfragen Logging aktivieren Monitoring aktivieren Regelmäßig spezifische Regeln pflegen

24 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Eigenbetrieb oder externes Hosting Web-Site / Web-Applikation CMS / Applikationssoftware, Eigenentwicklung, externe Entwicklung Betrieb / Changemanagement

25 Sichere Web-Site, sichere Web-Applikation Verschlüsselter Datentransfer Bei Übertragung vertraulicher Daten SSL mit aktuellem Server-Zertifikat (>= 2048 Bit RSA, kein RC4, vertrauenswürdige CA) und Perfect-Forward-Secrecy Ggf. auch internen Datenverkehr verschlüsseln Kryptografisch gesicherte Datenspeicherung Passwörter als gesalzene kryptographische Hashes speichern Vertrauliche Daten verschlüsseln Schlüssel gegen unbefugten Zugriff sichern

26 Sichere Web-Site, sichere Web-Applikation Rollenbasierter Web-Zugriff Ohne Authentifizierung Anzeige von Content ohne Interaktion Human Interaction Proof(z.B. CAPTCHAs) Verhindern des Spiderns von Informationen Verhindern von automatischer Dateneingabe Verhindern von automatischer Transaktionen Zugriff auf ressourcenhungrige Funktionen

27 Sichere Web-Site, sichere Web-Applikation Rollenbasierter Web-Zugriff Einfache persönliche Authentifizierung (Username/Passwort) Zugriff auf vertrauliche Daten Eingabe und Hochladen von Daten Einfache kommerzielle Transaktionen Zugriff auf besonders ressourcenhungrige Funktionen Zusätzliche Authentisierung bei kritischen Funktionen Zurücksetzen von Authentisierungsdaten als Self-Service Höhere Sicherheit (SSL-Client-Zertifikat, TAN) Höherer Sicherheitsbedarf Begrenzter Benutzerkreis

28 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Programmkonstrukte Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Ausführung filtern (Injection-Angriffe) Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) Request-Parameter, Benutzereingaben und hochgeladene Dateien auf unerwünschte Inhalte prüfen (Defacement-Angriffe) Filterung ebenfalls vor der Verwendung potentiell kompromittierter Altdaten durchführen

29 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Ausführung filtern (Injection-Angriffe) URL/Sourcefile: <?php // URL-Parameter ungefiltert verwendet // read article description if ($db->multi_query( "SELECT name,description,price FROM articles WHERE id = $_REQUEST['article']")) { //?> <?php URL-Parameter gefiltert $articleid = (int) $_REQUEST['article']; // // read article description if ($db->multi_query( "SELECT name,description,price FROM articles WHERE id = $articleid")) { //?>

30 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) URL/Sourcefile: <?php // // read article review if ($db->multi_query("select r.title,r.rating,u.name,r.post_date,r.content FROM reviews r,users u,articles a WHERE a.id = $articleid AND r.article_id=a.id AND r.user_id=u.id")) { $result = $db->store_result(); if ($result->num_rows > 0) { while ($row = $result->fetch_row()) {?> <h3><?=$row[0]?> (<?=$row[1]?> / 5)</h3> <p> von <?=$row[2]?> am <?=$row[3]?><br/> <?=$row[4]?> </p> // DB-Einträge ungefiltert verwendet

31 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) URL/Sourcefile: <?php // // read article review if ($db->multi_query("select r.title,r.rating,u.name,r.post_date,r.content FROM reviews r,users u,articles a WHERE a.id = $articleid AND r.article_id=a.id AND r.user_id=u.id")) { $result = $db->store_result(); if ($result->num_rows > 0) { while ($row = $result->fetch_row()) { $title=filter_var($row[0],filter_sanitize_string); $rating=filter_var($row[1],filter_sanitize_string); $uname=filter_var($row[2],filter_sanitize_string); $postdate=filter_var($row[3],filter_sanitize_string); $content=filter_var($row[4],filter_sanitize_string);?> <h3><?=$title?> (<?=$rating?> / 5)</h3> <p> von <?=$uname?> am <?=$postdate?><br/> <?=$content?> </p> // DB-Einträge vor Anzeige gefiltert

32 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Programmkonstrukte Request-Parameter von internen Variablen entkoppeln Anzeige vertraulicher oder verräterischer Daten verhindern Alle Fehlerzustände abfangen Keine internen Fehler über das Web anzeigen Fehlermeldungen über das Web nicht zu spezifisch anzeigen autocomplete=off für alle Formularfelder mit vertraulichen Daten Für Formulare vorzugsweise POST statt GET verwenden Requestsdetektieren, protokollieren und ablehnen, die offensichtlich Angriffe enthalten Requests protokollieren und ablehnen, die nicht aus der Web- Applikation stammen können

33 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Sicheres Session-Handling Sichere Session-ID verwenden (hinreichende Entropie), möglichst im Cookie (nicht als URL-Parameter) Zugriff auf Cookie über Flags einschränken (Path, Secure, HttpOnly) Sonstige Sessiondaten ausschließlich auf Serverseite vorhalten Session-Timeout implementieren Zulässigkeit von Zugriffen auf Unterseiten und Funktionen explizit anhand der Sessiondaten prüfen Maßnahmen gegen automatische Attacken CAPTCHAs Transaktionen je Zeitraum begrenzen Progressive Wartezeit bei fehlgeschlagenen Transaktionen Anzahl fehlgeschlagener Transaktionen begrenzen

34 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Verhinderung diverser Attacken Challenge/Response oder dynamische Token gegen Replay-Attacken Zusätzliches Token gegen Cross-Site-Request-Forgery Clientseitige Checks und X-FRAME-OPTIONS DENY in HTTP -Response- Headern gegen Clickjacking Verwendung von X-Content-Type-Options: nosniff gegen Contentbasierte Browser-Angriffe Content Security Policy: CSP-Header + Auslagern von Ressourcen (Scripte, Bilder) in separate Dateien gegen Injection-basierte Browser-Angriffe Überwachung Sicherheitsrelevante Transaktionen protokollieren (z.b. Login/Logout) Fehlerzustände protokollieren Angriffsversuche protokollieren und melden

35 Sichere Web-Site, sichere Web-Applikation Beispiel: Content Security Policy: CSP-Header + Vermeiden von Inline-Scripten (also Auslagern von Scripten in separate Dateien) <body>... <script>function dosubmitdata() {...}</script> <button onclick='dosubmitdata();'>submit Data</button>... Javascript inline verwendet HTTP-Header: Content-Security-Policy: default-src 'none'; img-src*; script-src script.hackme.sn... <script src='submitdata.js'></script> <button id='submitdata'>submit Data</button>... Javascript ausgelagert in separate Datei // function dosubmitdata() {...} document.addeventlistener('domcontentready', function () { document.getelementbyid('submitdata').addeventlistener('click', dosubmitdata); });

36 Sichere Web-Site, sichere Web-Applikation Reverse Proxy Zusätzliche Absicherung von Web-Servern Terminiert die jeweilige Quell-HTTP-Verbindung und baut Sie in Zielrichtung neu auf Kann SSL-Verbindungen terminieren Wirkt gegen diverse Anomalien im HTTP Kann HTTP-Optionen filtern Ermöglicht Blacklist für HTTP-Clients Kann evtl. bis hin zu einer Web-Application-Firewall ausgebaut werden Web-Applikation und Reverse Proxy sollten gemeinsam getestet und ausgerollt werden

37 Sichere Web-Site, sichere Web-Applikation Web-Application-Firewall (WAF) Insbesondere bei dynamischen Web-Applikationen sinnvoll Zusätzliche Absicherung von Web-Applikationen Blacklist-Ansatz ermöglicht schnelleren Roll-Out bei guter Basissicherheit Whitelist-Ansatz bringt höhere Sicherheit Verschiedene Funktionen können von der Web-Applikation in die WAF verlagert werden (Session-Handling, Authentisierung, SSL, URL- Codierung, Brute-Force-Vermeidung) Web-Applikation darf nicht gegen die WAF arbeiten Web-Applikation und WAF sollten gemeinsam getestet und ausgerollt werden Regelmäßig spezifische Regeln pflegen

38 Sichere Web-Site, sichere Web-Applikation

39 Sichere Web-Site, sichere Web-Applikation Schutzmaßnahmen auf Client-Seite berücksichtigen Firewalls Proxies Popup-Blocker Cookie-Blocker und -Filter Javascript-Blocker Blocker für sonstige aktive Inhalte (Java, Flash, etc.) Upload-/Download-Schleusen

40 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Eigenbetrieb oder externes Hosting Web-Site / Web-Applikation CMS / Applikationssoftware, Eigenentwicklung, externe Entwicklung Betrieb / Changemanagement Eigenbetrieb oder externes Hosting

41 Sicherer Betrieb, Changemanagement

42 Sicherer Betrieb, Changemanagement Sicherer Betrieb (Basis) Regelmäßige Datensicherung (Backup) Patchmanagement Logging Komponenten Überwachung, Alarmierung Verfügbarkeit Auslastung Security-Events Regelmäßige Logauswertung Anomalien Sicherheitsrelevante Ereignisse

43 Sicherer Betrieb, Changemanagement Security Lifecycle Regelmäßige Pen-Tests/Audits Regelmäßige Security-Reviews Hoher Sicherheitsbedarf 24x7 Computer-Emergency-Response-Team (CERT) Security Information and Event Management (SIEM) Logging Administrationstätigkeiten Kontinuierliche Logauswertung Anomalien Sicherheitsrelevante Ereignisse

44 Sicherer Betrieb, Changemanagement Changemanagement Jede Änderung kann Einfluss auf die Security haben Security auch im Budget berücksichtigen Bewertung von Change-Requests auch in Bezug auf Security Test von Change-Requests auch in Bezug auf Security

45 Sichere Websites und Web-Applikationen und das Ergebnis:

46 Sichere Websites und Web-Applikationen und wer ist nun zuständig für Sicherheit? OWASP Top 10 Architektur / Netzwerk Server / Middleware CMS/ Applikationssoftware Web-Content / Web-Applikation A1 Injection X X X X A2 Broken Authentication and Session Management - - X X A3 Cross-Site Scripting (XSS) - - X X A4 Insecure Direct Object References A5 Security Misconfiguration - - X X X X X X

47 Sichere Websites und Web-Applikationen und wer ist nun zuständig für Sicherheit? OWASP Top 10 Architektur / Netzwerk Server / Middleware CMS/ Applikationssoftware Web-Content / Web-Applikation A6 Sensitive Data Exposure X X X X A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 UnvalidatedRedirects and Forwards - X X X - - X X X X X X - - X X

48 Sichere Websites und Web-Applikationen Alles berücksichtigt / umgesetzt? Prima! Aber

49 Sichere Websites und Web-Applikationen 100% Sicherheit gibt es nicht Machen Sie es den Angreifern schwer! Erhöhen Sie den Aufwand für erfolgreiche Angriffe durch weitere Sicherheitsmaßnahmen! Setzen Sie Ihre Ressourcen gezielt ein! Bleiben Sie wachsam!

50 Weitere Informationen Open Web Application Security Project, OWASP Top Ten Project, Open Web Application Security Project, Development Guide, Bundesamt für Sicherheit in der Informationstechnik (BSI), IT Grundschutzkataloge (www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/_content): Insbesondere Baustein B 5.21 Webanwendungen /baust/b05/b05021.html und Maßnahmen M 4 Hard- und Software, Maßnahmen 4.94, 4.176, 4.359, 4.360, 4.392ff /m/m04/m04.html Bundesamt für Sicherheit in der Informationstechnik (BSI), Studie CMS: https://www.bsi.bund.de/de/publikationen/studien/cms/studie_cms.html Security-Tipps zu konkreten Produkten:

51 Fragen & Antworten

52 Premium IT-Sicherheit Made in Germany Langjährige und vertrauensvolle Partnerschaften Sicherheitspartner der Bundesrepublik Deutschland seit 2004 Enge Kooperationen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesministerium des Innern (BMI) Partner der Allianz für Cyber-Sicherheit und Mitglied der TeleTrusT Initiative ITSMIG Zusammenarbeit mit Einrichtungen für Forschung und Entwicklung

53 Daten & Fakten zur secunet Security Networks AG >340 Mitarbeiter an sieben deutschen Standorten Vertriebs- und Projektaktivitäten weltweit Geschäftsbereiche Public Sector und Business Sector secunet Security Networks AG Hamburg Essen Siegen Berlin Dresden Geschäftsbereich Public Sector Geschäftsbereich Business Sector Frankfurt München Gegründet 1997 Im Prime Standard der Deutschen Börse gelistet Größter Anteilseigner: Giesecke & Devrient GmbH (79%) Umsatz 2013*: 63,9 Mio., EBIT: 3,7 Mio. *vorläufiges Ergebnis per

54 secunet Security Networks AG Dr. Markus Müller Bereichsleiter Managed Security Services

Best Practices - sichere Websites und Web-Applikationen. Markus Müller

Best Practices - sichere Websites und Web-Applikationen. Markus Müller Best Practices - sichere Websites und Web-Applikationen Markus Müller Vorstellung Markus Müller Dr.-Ing. Elektrotechnik Kryptokom (Prof. Ruland, Prof. Pohlmann) 1997-1998 secunet Security Networks seit

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG Sichere Website Gezielt ist oft besser als viel 02.12.2014 Markus Müller secunet Security Networks AG stellt sich vor führender Anbieter für anspruchsvolle IT-Sicherheit seit 2004 Sicherheitspartner der

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung

Mehr

Ist meine Website noch sicher?

Ist meine Website noch sicher? Ist meine Website noch sicher? Massive Angriffe gegen Joomla, Wordpress,Typo3 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Ist meine WebSite noch sicher?

Ist meine WebSite noch sicher? Ist meine WebSite noch sicher? Massive Angriffe gegen Joomla, Wordpress, Typo3 02.12.2014 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security Service

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Stefan Schlott @_skyr DIE OWASP TOP-10 Alpha und Omega der Security-Talks :-) TOP 10 VON 2013 1. Injection 2. Broken Authentication/Session Management

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Herausforderungen und Chancen im industriellen Umfeld

Herausforderungen und Chancen im industriellen Umfeld Die Vorteile öffentlicher Netze nutzen 12.08.2014, Marc Lindlbauer, secunet Security Networks AG Herausforderungen und Chancen im industriellen Umfeld Daten & Fakten zur secunet Security Networks AG >340

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3 Alexander Weidinger FH STP, IT Security Gliederung PHP potentielle Sicherheitslücken & Schutz Typo3 Werkzeuge für Extension-Entwicklung Zielgruppe

Mehr

Einleitung Performance Konfiguration Quellen. NginX-Webserver. UnFUG. Christian Fischer. 28. April 2011

Einleitung Performance Konfiguration Quellen. NginX-Webserver. UnFUG. Christian Fischer. 28. April 2011 UnFUG 28. April 2011 Inhalt 1 Übersicht Statistiken Vor- und Nachteile 2.htaccess Architektur Eigene Erfahrung 3 4 Übersicht Übersicht Statistiken Vor- und Nachteile Ursprünglich von Igor Sysoev für rambler.ru

Mehr

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Typo 3 installieren. Schritt 1: Download von Typo3

Typo 3 installieren. Schritt 1: Download von Typo3 Typo 3 installieren Bevor Sie Typo3 installieren, müssen Sie folgende Informationen beachten: Typo3 benötigt eine leere Datenbank. Mit Ihrem Abonnement verfügen Sie über eine einzige Datenbank. Sie können

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver

Mehr

Installation von Typo3 CMS

Installation von Typo3 CMS Installation von Typo3 CMS TYPO3 Version 6.2.x unter Windows Eigenen lokalen Webserver mit XAMPP installieren Für die Installation von Typo3 wird eine passende Systemumgebung benötig. Diese besteht aus

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany Corporate Information Security Sicherheit und Webs Dr. Bruno Quint GmbH. Uhlandstr. 9. D-64297 Darmstadt. Germany. www.corisecio.com Company BESEQURE gegründet 2002 in Darmstadt Germany umbenannt 2007

Mehr

Shibboleth Infrastruktur an der RWTH Aachen

Shibboleth Infrastruktur an der RWTH Aachen Shibboleth Infrastruktur an der RWTH Aachen Aspekte eines redundanten und sicheren Betriebs Kohler IT Center der RWTH Aachen University Übersicht Ausgangspunkt Ziele Infrastruktur Redundante IdP/DS Server

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ /XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz

Mehr

Installation/Update und Konfiguration des Renderservice (v1.7.0)

Installation/Update und Konfiguration des Renderservice (v1.7.0) Installation/Update und Konfiguration des Renderservice (v1.7.0) [edu- sharing Team] [Dieses Dokument beschreibt die Installation und Konfiguration des Renderservice.] edu- sharing / metaventis GmbH Postfach

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Nagiosinstallation auf virt. Maschine mit Ubuntu 5.04

Nagiosinstallation auf virt. Maschine mit Ubuntu 5.04 Nagiosinstallation auf virt. Maschine mit Ubuntu 5.04 Boot-CD starten Grundinstallation von CD wird ausgeführt System mit apt auf den neuesten Stand bringen apt-get update apt-get upgrade sources.list

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...

php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe... php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...7 3.Zugriff auf mysql Daten...11 Verteilte Systeme: php.sxw Prof.

Mehr

Wordpress am eigenen Server installieren

Wordpress am eigenen Server installieren Wordpress am eigenen Server installieren Voraussetzung: Zugang zum Server und einen Datenbanknamen und Datenbankuser 1. Download der aktuellen Wordpress-Version unter http://wpde.org/download/ Die Installation

Mehr

Quelle: www.roewplan.de. Stand März 2004

Quelle: www.roewplan.de. Stand März 2004 Quelle: www.roewplan.de Stand März 2004 1 RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg 4 Tel.: 07366 9626 0 Fax: 07366 9626 26 Email: info@roewaplan.de

Mehr

Ablauf Unit2. Walkthrough

Ablauf Unit2. Walkthrough Ablauf Unit2 Vertiefendes Uebungsprojekt - SQL II Gerhard Wohlgenannt Test Vorstellung der Arbeitsumgebung (Software, Locations) Walkthrough Gruppeneinteilung + Themenvergabe Vorstellung der Arbeitsumgebung

Mehr

Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue

Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue 1 3 Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue Sicherheitslücken Jeder, der für ein Unternehmen

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09 AppSec Germany 2009 AppSec Germany 2009 Conference http://www.owasp.org/index.php/germany Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Nürnberg, 13.10.09 Sebastian

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit.

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit. 1. ODBC 1.1 Problemstellung Die Informationen über die Microsoft SQL Server Datenbanken sind zur Zeit nicht auf der TIMD Website verfügbar. Der Grund ist, dass kein Interface zur Abfrage der benötigten

Mehr

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann ASec IT Solutions AG "Secure SSL" Tagung 9. September 2005, Hotel Mövenpick Glattbrugg Keynote SSL verstehen Prof. Dr. Peter Heinzmann Institut für Internet-Technologien und Anwendungen, HSR Hochschule

Mehr