Thema PHP-Sicherheits-Training-System. Timo Pagel
|
|
- Chantal Pamela Michel
- vor 6 Jahren
- Abrufe
Transkript
1 Thema PHP-Sicherheits-Training-System Timo Pagel Hamburg, den
2 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 27
3 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration einer Lerneinheit 2 Erstellung 3 Evaluation 4 Fazit 2 / 27
4 Motivation 70% aller Sicherheitslücken: Anwendungsschicht [Gartner Group] PHP hat als Programmiersprache einen Anteil von 81,2% Maßnahmen: [SANS Institute] Security Tools (WAF, Penetration Testing) Dokumentation für Fehlerbehandlung System-Härtung Schulungen für Entwickler... 3 / 27
5 OWASP Top 10 Ref. Bezeichnung Arbeit System A1 Injection A2 Fehler in Authentisierung und Session- Management 4 / 27
6 OWASP Top 10 Ref. Bezeichnung Arbeit System A1 Injection A2 Fehler in Authentisierung und Session- Management A3 Cross-Site Scripting (XSS) A4 Unsichere direkte Objektreferenzen A5 A6 Sicherheitsrelevante Fehlkonfiguration Verlust der Vertraulichkeit sensibler Daten 4 / 27
7 OWASP Top 10 Ref. Bezeichnung Arbeit System A1 Injection A2 Fehler in Authentisierung und Session- Management A3 Cross-Site Scripting (XSS) A4 Unsichere direkte Objektreferenzen A5 A6 A7 A8 Sicherheitsrelevante Fehlkonfiguration Verlust der Vertraulichkeit sensibler Daten Fehlerhafte Autorisierung auf Anwendungsebene Cross-Site Request Forgery (CSRF) A9 Benutzen von Komponenten mit bekannten Schwachstellen A10 Ungeprüfte Um- und Weiterleitungen 4 / 27
8 Screenshot Aufgabe 1; Einführung 5 / 27
9 Screenshot Aufgabe 2; Angriff im Führungssystem 6 / 27
10 Screenshot Aufgabe 2; Angriff durchführen 7 / 27
11 Screenshot Aufgabe 3; Absicherungsmöglichkeiten 8 / 27
12 Screenshot Aufgabe 4; Abwehr - Aufgabe 9 / 27
13 Screenshot Aufgabe 4; Abwehr - Lösungsweg 10 / 27
14 Screenshot Aufgabe 4; Abwehr - Lösung 11 / 27
15 Agenda 1 PHP-Sicherheit 2 Erstellung Analyse Konzept Durchführung der Quellcodeüberprüfung 3 Evaluation 4 Fazit 12 / 27
16 Anwendungsfall 13 / 27
17 Anforderungen Sprache für Quellcode auf Englisch Beachtung lernunterstützender Maßnahmen diverser Mediendidaktiker Oberfläche entspricht der DIN EN ISO 9241 (Ergonomie der Mensch-System-Interaktion) Teil 110 (Grundsätze der Dialoggestaltung) 14 / 27
18 Aufbau Kategorien 15 / 27
19 Aufbau einer Lerneinheit Angriffs- und Abwehrteil 16 / 27
20 Komponenten Trainingsumgebung: Ubuntu als LiveDVD 17 / 27
21 Komponenten Trainingsumgebung: Ubuntu als LiveDVD Führungssystem: Aufgabe: Navigation ( 17 / 27
22 Komponenten Trainingsumgebung: Ubuntu als LiveDVD Führungssystem: Aufgabe: Navigation ( Einheitensystem: Aufgabe: Verwundbare Anwendung ( Beinhaltet: Lerneinheiten 17 / 27
23 Ablauf der dynamischen Quellcodeüberprüfung 18 / 27
24 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation Übersicht Ergebnisse und Diskussion 4 Fazit 19 / 27
25 Evaluation Durchführung im Rahmen der IDW der Fachhochschule Kiel Ablauf: Ausfüllen vom Pre-Umfragebogen Absolvierung der Lerneinheiten Ausfüllen vom Post-Umfragebogen Ausgefüllte Pre-Umfragebögen: 12 Ausgefüllte Post-Umfragebögen: 9 20 / 27
26 Ergebnisse und Diskussion I Kategorie Unterkategorie Richtige Antwort Pre Post Eingabebereinigung Sichere Hashfunktion Fkt. addslashes() 6 (50%) 7 (78%) Fkt. htmlspecialchars() 12 (100%) 9 (100%) Fkt. mysql real escape string() 2 (17%) 7 (78%) 1 (8%) 8 (89%) 21 / 27
27 Ergebnisse und Diskussion II Quellcode ist bei der Bearbeitung unterstützend: 1,33 im Mittel Die Lerneinheiten beinhalten praxistaugliches Wissen: 1,56 im Mittel Die Navigation ist strukturiert aufgebaut: 2,56 im Mittel 22 / 27
28 Ergebnisse und Diskussion II Quellcode ist bei der Bearbeitung unterstützend: 1,33 im Mittel Die Lerneinheiten beinhalten praxistaugliches Wissen: 1,56 im Mittel Die Navigation ist strukturiert aufgebaut: 2,56 im Mittel 22 / 27
29 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit Allgemein Ausblick Links 23 / 27
30 Allgemein Erstellung LiveDVD Absicherung im Quellcode Statische Quellcodeüberprüfung unterliegt Einschränkungen Dynamische Quellcodeüberprüfung ist nicht trivial 24 / 27
31 Ausblick Internationalisierung Truckfaktor-Reduzierung durch UnitTests Integration von Java Vagrant statt LiveDVD Dynamisierung aller Absicherungsaufgaben Zurücksetzung von Quellcode / Aufgaben Fehlermeldungen: Detalierter / Unterschiedliche Farben Neue Lerneinheiten Punktesystem Deine Idee? 25 / 27
32 Links PHP-Sicherheit: System (Code): 26 / 27
33 Vielen Dank für Ihre Aufmerksamkeit!
Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrEin Best-of-Konzept für Sicherheitsanalysen von Webanwendungen
Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen Katharine Brylski it-cube Systems AG Agenda Motivation Was ist eine Sicherheitsanalyse? Bekannte Konzepte Entwicklung eines Best-of-Konzepts
MehrBeratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG
Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software
MehrBaustein Webanwendungen. Stephan Klein, Jan Seebens
Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische
MehrIT-Sicherheit Angriffsziele und -methoden Teil 2
Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
MehrWie steht es um die Sicherheit in Software?
Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die
MehrIHK: Web-Hacking-Demo
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web
MehrV10 I, Teil 2: Web Application Security
IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command
MehrAbsicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10
The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrSecure Webcoding for Beginners
Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer
MehrDatensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Vorlesung 4: Sommersemester 2015 h_da, Lehrbeauftragter Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP
MehrAbbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich
MehrOWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrSichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen
Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für
MehrWeb Application Security Testing
Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags
MehrMoney for Nothing... and Bits4free
Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
Mehritsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com
itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der
MehrWeb Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?
Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrMagento Application Security. Anna Völkl / @rescueann
Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)
MehrSecure Programming vs. Secure Development
Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrWeb Hacking - Angriffe und Abwehr
Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken
MehrBSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.
1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum
MehrWebapplikationssicherheit (inkl. Livehack) TUGA 15
Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich
MehrOpenWAF Web Application Firewall
OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang
MehrSoftware unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de
Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Vorstellung Markus Wutzke Senior Consultant Secaron AG Certified Secure Software Lifecycle Professional (CSSLP
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrHerzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10.
Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen Udo H. Kalinna Nürnberg, den 10.10.2013 AGENDA Kein Tag ohne Hack! Sind diese Schwachstellen
MehrSAP Anwendungen im Visier von Hackern Angriffsszenarien und Schutzkonzepte
Dr. Markus Schumacher Dr. Markus Schumacher SAP Anwendungen im Visier von Hackern Angriffsszenarien und Schutzkonzepte INHALT SAP Anwendungen im Visier von Hackern 1. Schutz der Kronjuwelen SAP Systeme
MehrSichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09
AppSec Germany 2009 AppSec Germany 2009 Conference http://www.owasp.org/index.php/germany Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Nürnberg, 13.10.09 Sebastian
MehrNetzwerksicherheit Übung 9 Websicherheit
Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany
MehrMit CodeProfiler effizient und schnell Qualitätsdefizite in Ihrem ABAP Code aufdecken
Dr. Markus Schumacher Dr. Markus Schumacher Mit CodeProfiler effizient und schnell Qualitätsdefizite in Ihrem ABAP Code aufdecken INHALT SAP Anwendungen im Visier von Hackern 1. Schutz der Kronjuwelen
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrNo Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011
No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen Hamburg, 27.09.2011 Ausgangssituation Webanwendungen sind aus unserem heutigen Leben nicht mehr
MehrHISOLUTIONS - SCHWACHSTELLENREPORT
HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations- und
MehrESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise
ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2
MehrSebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen
Sebastian Kübeck Web-Sicherheit Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Einleitung................................................. 11 Teil I Grundlagen der Informationssicherheit......................
MehrFileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona
Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:
MehrHÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014
HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrSicherheit Web basierter Anwendungen
Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche
MehrPHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation
PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem
MehrOWASP Secure Software Contract Annex - auf Deutsch -
The OWASP Foundation http://www.owasp.org OWASP Secure Software Contract Annex - auf Deutsch - Lightning Talk, 01.12.2015, 14:50-15:00, sic[!]sec GmbH Gewerkschaftshaus Wilhelm-Leuschner-Straße 69, 60329
MehrEnterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.
Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de
MehrHISOLUTIONS - SCHWACHSTELLENREPORT
HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests des Jahres 2014 MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations-
MehrHISOLUTIONS SCHWACHSTELLENREPORT 2013
HISOLUTIONS SCHWACHSTELLENREPORT 2013 Eine Analyse der identifizierten Schwachstellen in Penetrationstests MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations-
MehrPaper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications
Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications Referat von Georg Räß und Kevin Virmani Paper geschrieben von Marco Balduzzi,Carmen Torrano Gimenez,Davide Balzarotti
MehrHACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH
HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert
MehrIT SICHERHEITS-AUDITOREN
PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
MehrAktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery
MehrWelche Gefahren gehen vom Firmenauftritt im Internet aus?
Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/
MehrSicherheitsprobleme bei Webapps. Sichere Software zu programmieren ist doch ganz einfach, oder?
Sicherheitsprobleme bei Webapps Sichere Software zu programmieren ist doch ganz einfach, oder? Ich bin... Patrick Cornelißen Java und früher PHP Dipl. Informatiker Agile! Selbständig Softwareentwickler
MehrWerkzeugunterstützung für sichere Software
1/ 26 Werkzeugunterstützung für sichere Software Wintersemester 2013/14 LS14 - Arbeitsgruppe Software Engineering for Critical Systems 15.10.2013 Agenda LS14 - Arbeitsgruppe Software Engineering for Critical
MehrZentrum für Informationssicherheit
SEMINARE 2016 Zentrum für Informationssicherheit Webanwendungssicherheit-Workshop 15. 17. November 2016, Frankfurt Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de Webanwendungssicherheit
MehrWeb Application Security und der Einsatz von Web Application Firewalls
Web Application Security und der Einsatz von Web Application Firewalls Philipp Etschel, BSc opennetworks.at fhstp.ac.at 2 Agenda: Warum überhaupt eine WAF einsetzen? Funktionsweise einer WAF Welche Web-
MehrCompass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T +41 55 214 41 60 F +41 55 214 41 61 team@csnc.ch www.csnc.ch
Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona T +41 55 214 41 60 F +41 55 214 41 61 team@csnc.ch www.csnc.ch Cyber Alpen Cup 2013 11. November 2013 Inhaltsverzeichnis 1 CYBER ALPEN CUP
MehrWeb 2.0-Hacking Live Vorführung. Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011
Web 2.0-Hacking Live Vorführung Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011 Übersicht Vorstellung Motivation Penetrationstests Schwachstellenklassen im Webumfeld Live
MehrCarsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier
Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp
MehrOWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente
Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische
MehrOWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller
OWASP Top 10: Scanning JSF Andreas Hartmann & Stephan Müller 07.04.2011 Andreas Hartmann (Principal Software Engineer): Leichtgewichtige Softwarearchitekturen und Frameworks auf Basis der JEE Plattform
MehrWillkommen! 03.12.2007
Über mich Willkommen! Web Application Security mit/trotz PHP Christian Wenz PHP-Praxiserfahrung seit Anfang 1999 Koautor der PHP-5-Zertifizierung Gründungsmitglied im PHP Security Consortium Maintainer
MehrAudit von Authentifizierungsverfahren
Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch
MehrIT Sicherheit: Lassen Sie sich nicht verunsichern
IT Sicherheit: Lassen Sie sich nicht verunsichern Guido Bunsen IT Manager Security IT Center AGENDA Betrieb von Firewalls Webfilter E-Mail-Filter Netzwerküberwachung / Blast-O-Mat Virenschutz-Software
MehrSecurity im E-Commerce
Tobias Zander Security im E-Commerce Absicherung von Shopsystemen wie Magento, Shopware und OXID schnell+kompakt Tobias Zander Security im E-Commerce Absicherung von Shopsystemen wie Magento, Shopware
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrOnline-Portale 2.0: Security ist auch ein Web-Design-Thema
Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers
MehrHacking Day 2011. Application Security Audit in Theorie und Praxis. Jan Alsenz & Robert Schneider. 2011 OneConsult GmbH www.oneconsult.
Hacking Day 2011 Application Security Audit in Theorie und Praxis Jan Alsenz & Robert Schneider 16. Juni 2011 Agenda Vorstellung Application Security Audit Optimaler Zeitpunkt Testansatz Schlussbericht
MehrRuby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info
Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends
MehrPraktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe
Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2
MehrTypo3 - Schutz und Sicherheit - 07.11.07
Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit
Mehrvii Inhaltsverzeichnis 1 Einleitung 1
vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................
MehrApplication Performance Management. Auch eine Frage des Netzwerkes?
Application Performance Management Auch eine Frage des Netzwerkes? Agenda Architektur von Webanwendungen Lange Applikationsantwortzeiten Application Performance Management (APM) Netzwerkbasiertes APM Serverbasiertes
MehrNeues aus dem DFN-CERT. 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT
Neues aus dem DFN-CERT 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT Veranstaltungen Tutorium DFN-PKI in der Praxis 22./23. Nov. 2007 in München (Ismaning) Telekom
MehrWeb Application Testing
Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer
MehrPHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska
Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung
MehrWeb Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall!
Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! IT-SeCX 12.11.2010 Version: 1.0 Autor: A. Kravitz / K. Bauer Verantwortlich: A. Kravitz Datum: 12.11.2010 Vertraulichkeitsstufe:
MehrWeb Application {Security, Firewall}
Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze
MehrHACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH
HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert
MehrSWAT PRODUKTBROSCHÜRE
SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen
Mehrvii Inhaltsverzeichnis 1 Einleitung 1
vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................
MehrAgenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF
Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis
MehrAktuelle Sicherheitsprobleme im Internet
Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt
MehrFileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil
Compass Security AG Glärnischstrasse 7 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch www.csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_V1.1.doc Version: v1.1
Mehrbusiness.people.technology.
business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus
MehrHäufigste Security-Lücken
Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne
MehrPHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet
PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren von Christopher Kunz, Stefan Esser, Peter Prochaska überarbeitet PHP-Sicherheit Kunz / Esser / Prochaska schnell und portofrei erhältlich bei
MehrRolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001
Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen
Mehr