Bedrohungen für Webanwendungen

Größe: px
Ab Seite anzeigen:

Download "Bedrohungen für Webanwendungen"

Transkript

1 Bedrohungen für Webanwendungen 2 Wir beginnen damit den Kampf zu verlieren. Robert Thornton, Gründer von Fortify Software Zusammenfassung In diesem Kapitel werden zentrale Angriffe und Schwachstellen für Webanwendungen erläutert, deren Verständnis die Grundlage für die anschließende Diskussion von Maßnahmen darstellt. Der Einsatz von Webanwendungen ist mit einer Vielzahl von technischen Gefahren verbunden, die wiederum über eine noch größere Anzahl an Begriffen beschrieben werden. Das Web Application Security Consortium (WASC) hat mit der Threat Classification (WASC) (vergl. [23]) einen Versuch unternommen, diese Begriffswelt etwas zu strukturieren und unterscheidet drei Sichten: Die auf die Schwachstelle (Ursache), auf den Angriff (Ausnutzung) und den Impact (Auswirkung). In diesem Kapitel werden wir uns damit näher beschäftigen, bevor wir uns im nächsten Kapitel den entsprechenden Gegenmaßnahmen zuwenden. Diese Trennung ist auch deshalb von großer Bedeutung, da Sicherheitsmaßnahmen keinesfalls ausschließlich zur Korrektur einzelner Schwachstellen oder der Prävention bestimmter Angriffe dienen, sondern auch, um der Anwendung ein bestimmtes Sicherheitsniveau zu verleihen. 2.1 Begriffe und Konzepte In den folgenden Abschnitten werden einige zentrale Begriffe und Konzepte erläutert, die für die Diskussion in diesem Kapitel grundlegend sind. Springer Fachmedien Wiesbaden 2015 M. Rohr, Sicherheit von Webanwendungen in der Praxis, Edition <kes>, DOI / _2 43

2 44 2 Bedrohungen für Webanwendungen Bedrohung, Bedrohungsquelle und Gefährdung Im Rahmen der IT-Sicherheit ist häufig von Angriffen die Rede, denen etwa eine Webanwendung ausgesetzt sein kann. Angriffe stellen jedoch keinesfalls die einzige Gefahr für eine Webanwendung dar. Besser eignet sich daher der Begriff Bedrohungen. Bedrohung (engl. Threat) Eine Eigenschaft, ein Umstand oder ein Ereignis, durch die ein Schaden für ein Asset (z. B. Systeme, Anwendungen, Informationen) entstehen kann. Bedrohungen können dabei sowohl vorsätzlich als auch unbeabsichtigt sein. Gehen Bedrohungen wie Hackerangriffe noch eindeutig von Angreifern aus, ist ein solcher in vielen anderen Fällen keineswegs involviert. Es wird in diesem Zusammenhang daher häufig allgemein von Bedrohungsquellen gesprochen, um alle vorhandenen Ursachen für eine Bedrohung mit einzuschließen. Bedrohungsquelle (engl. Threat Source bzw. Threat Agent) Eine Person oder ein Prozess von der/dem eine Bedrohung vorsätzlich (z. B. im Fall eines Angreifers) oder unabsichtlich (z. B. im Fall eines Entwicklers, der einen Fehler macht) ausgeht. An dieser Stelle darf auch ein weiterer Begriff nicht unerwähnt bleiben, nämlich der einer Gefährdung. Eine Gefährdung ist eine Bedrohung, die aufgrund einer existierenden oder angenommenen Schwachstelle in einer Anwendung vorhanden ist. Sofern sich zwar (noch) keine Schwachstelle identifizieren lässt, jedoch relevante Systemeigenschaften hierfür vorhanden sind (z. B. eine Datenbankanbindung in Bezug auf eine SQL-Injection- Schwachstelle), so lässt sich von einer potentiellen Gefährdung sprechen. Gefährdung (engl. Applied Threat) Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt (BSI Glossar). Eine potentielle Gefährdung ist eine Bedrohung, zu der zwar bislang keine relevante Schwachstelle, jedoch die entsprechenden Systemeigenschaften identifiziert werden konnten. Eine Gefährdung ist als eine tatsächlich auftretende Bedrohung zu verstehen und in dem Zusammenhang gibt es auch einer Gefährdungsquelle sprechen, von der sie ausgeht. Entsprechend wird daher nicht von einem Bedrohungs- sondern einem Gefährdungspotential gesprochen. In Abschn wird ausführlich auf Bedrohungsanalysen eingegangen, mit welchen sich für eine Anwendung relevante Bedrohungen (= potentielle Gefährdungen) ermitteln lassen.

3 2.1 Begriffe und Konzepte Schwachstellen und Sicherheitslücken Derzeit werden im Deutschen die Begriffe Schwachstelle und Sicherheitslücke manchmal differenzierend, oftmals jedoch synonym verwendet. Ganz anders sieht es im Englischen aus, wo eine klare Unterscheidung zwischen beiden Begriffen existiert. Diese Unterscheidung ist nicht nur hilfreich, sondern auch ganz besonders wichtig, da wir über diese wesentlich deutlicher ein Sicherheitsproblem beschreiben können. Hierfür benötigen wir allerdings eine genaue Definition beider Begriffe. Beginnen wir mit dem einer Schwachstelle : Schwachstelle (engl. Weakness) 1 Eine Schwachstelle (auch: Schwäche ) stellt eine Eigenschaft in der Implementierung, Architektur, Konfiguration oder eines Prozesses dar, die unter bestimmten Bedingungen zu einer Sicherheitslücke führen kann. Eine Schwachstelle ist somit nicht auf den Quelltext einer Anwendung beschränkt, sondern lässt sich auch in der Architektur, der Konfiguration und sogar in organisatorischen Prozessen wiederfinden. Wichtig für diese Einordnung (also ob wir es mit einer architekturellen oder konfigurativen Schwachstelle zu tun haben) ist dabei immer die Bewertung der Natur einer Schwachstelle, nicht deren Behebung. Denn häufig lässt sich das Auftreten einer Implementierungs-Schwachstelle (z. B. eine fehlerhafte Enkodierung) auf architektureller Ebene verhindern oder deren Ausnutzung auf betrieblicher Ebene unterbinden, doch bleibt sie immer von ihrer Natur her ein Implementierungsfehler. Im nachfolgenden Kapitel werden einige konkrete Beispiele gezeigt. Neben Schwachstellen haben wir es in der Anwendungssicherheit häufig auch mit Sicherheitslücken zu tun. Dieser Begriff lässt sich wie folgt definieren: Sicherheitslücke (engl. Vulnerability) Eine Sicherheitslücke (auch Verwundbarkeit oder Angreifbarkeit ) bezeichnet das konkrete Auftreten einer oder mehrerer Schwachstellen, über welche die Sicherheit einer Anwendung nachweislich beeinträchtigt werden kann. Einer Sicherheitslücke liegt somit immer mindestens eine Schwachstelle zugrunde. Auch wenn beide Begriffe gerade im Deutschen leider oft vermengt werden, ist deren Abgrenzung sehr wichtig. Schauen wir uns zum besseren Verständnis das folgende Beispiel an: Beispiel Eine Gefängnismauer besitzt einen Riss, der zunächst einmal eine Schwachstelle darstellt. Nicht zwangsläufig ist durch diesen Riss jedoch gleich auch die Sicherheit des gesamten Gefängnisses akut gefährdet. Ist dies aber der Fall und können etwa Gefäng- 1 Der Begriff Schwachstelle wird häufig auch fälschlich mit Vulnerability übersetzt.

4 46 2 Bedrohungen für Webanwendungen nisinsassen durch den Riss die Mauer einreißen, so stellt dieser nicht nur eine Schwachstelle, sondern gleichzeitig auch eine Sicherheitslücke dar. In erster Linie arbeiten wir innerhalb der Webanwendungssicherheit mit Schwachstellen. Denn während wir Schwachstellen grundsätzlich in allen Entwicklungsphasen einer Anwendung identifizieren können (da es sich schließlich nur um sicherheitsrelevante Eigenschaften handelt), ist dies bei einer Sicherheitslücke erst dann möglich, wenn eine Anwendung bereits weitgehend fertiggestellt ist. Dann erst können wir die notwendige Bewertung anstellen, ob es sich tatsächlich um ein akutes Sicherheitsproblem handelt. Aus Gründen der Vereinfachung wird in diesem Buch hauptsächlich von Schwachstellen gesprochen, auch wenn diese in bestimmten Situationen eine Sicherheitslücke darstellen können. Weiterhin existieren noch einige weitere Begriffe mit denen wir es in diesem Zusammenhang häufiger zu tun haben. Exploits und Payloads Unter einem Exploit wird eine technische Beschreibung des Vorgehens zur Ausnutzung einer Schwachstelle verstanden. Häufig wird dieser in Form von Code oder eines URL- Aufrufes dargestellt. Mit einem Payload beschreiben wir die Schadfunktion, die in Verbindung mit einem Exploit zum Einsatz kommt. Im Rahmen von Tests werden in der Regel harmlose Payloads verwendet, die keinen Schaden anrichten, sondern nur für die Identifikation bzw. Demonstration einer Schwachstelle dienen. In letzterem Fall sprechen wir auch von sogenannten Proof-of-Concepts (PoCs). Bekannte Sicherheitslücken (Known Vulnerabilitys) Unter einer bekannten Sicherheitslücke wird eine ausnutzbare Schwachstelle außerhalb von Individualsoftware verstanden, also etwa in Standardsoftware oder Opensource (FOSS). Known Vulnerabilitys werden über das CVE-Verzeichnis (www.mitre.org/cve, Abschn. 1.4) über einen CVE-Identifier (z. B. CVE ) eindeutig referenziert. Über die letzten zehn Jahre betrachtet hat die Zahl bekannter Sicherheitslücken, auch in Webkomponenten, stetig zugenommen (vergl. [22]). Allerdings ist diese Zunahme nicht nur dadurch bedingt, dass Software laufend unsicherer wird, sondern es schlicht immer mehr Software gibt und das Wissen um Verfahren zur Identifikation von Schwachstellen laufend voranschreitet. In Bezug auf Webanwendungen können Known Vulnerabilitys in unterschiedlichen Bereichen auftreten: in Web-GUIs von Standardprodukten, in Browsern oder Browser-Plugins (z. B. Flash, Adobe PDF), in Web- und Anwendungs-Servern (z. B. IIS, Apache, WebSphere), in eingesetzten Anwendungskomponenten (z. B. Wordpress, Joomla!), in eingesetzten Bibliotheken und Frameworks (z. B. ASP.NET, jquery), in Laufzeitumgebungen (z. B. JRE,.NET oder PHP),

5 2.1 Begriffe und Konzepte 47 in Sicherheitskomponenten (z. B. Application Firewalls) sowie in Entwicklungstools. Grundsätzlich handelt es sich bei solchen bekannten Sicherheitslücken um dieselben Schwachstellen, mit denen wir es auch bei individuell entwickelten Webanwendungen zu tun haben, also Cross-Site Scripting, SQL Injection, Information Disclosure etc. Anders als Webanwendungen sind viele Standardkomponenten mit C und C++ programmiert, bei denen wir es auch mit Schwachstellen wie Pufferüberläufen (Abschn. 2.4) zu tun bekommen. Bekannte Sicherheitslücken müssen über das Einspielen entsprechender Patche behoben werden erfordern also ein Patch Management. Auch wenn ein Unternehmen ein Patch Management betreibt, so schließt dieses gewöhnlich Anwendungskomponten und APIs nicht mit ein. Für solche 3rd-Party-Komponenten muss daher ein seperates Patchmangement eingerichtet werden (Abschn ). Zero Days Viele Exploits werden dadurch erstellt, dass ein Patch von Angreifern reverse engineered und dadurch die Sicherheitslücke identifiziert wird, die der Patch behebt. Bei einem Zero Day Exploit ist dies anders. Ein solcher Exploit liegt bereits vor, noch bevor die zugehörige Sicherheitslücke dem Hersteller bekannt ist. Ein Zero Day ist dadurch besonders gefährlich, schließlich kann er selbst ein aktuell gepatchtes System kompromittieren. In manchen Fällen lässt sich die Ausnutzbarkeit einer Sicherheitslücke bereits dadurch unterbinden, dass der entsprechende Exploit einfach geblockt wird. Da diese Art von Maßnahme nicht die eigentliche Ursache behebt, wird sie auch als Virtual Patching bezeichnet. In anderen Fällen kann es unausweichlich sein, die betroffene Komponente zu deaktivieren, wenn das Risiko einer Kompromittierung als zu groß bewertet wird. Es ist kaum überraschend, dass für diese Art von Exploits ein florierender Schwarzmarkt existiert. Je nach betroffenem Produkt und Art des Exploits werden dort teilweise immense Summen für einen Zero Day bezahlt. Flaws, Bugs und Defects Im Verlauf dieses Buches werden häufiger verschiedene allgemeine Begriffe für Softwarefehler verwendet. Hierzu zählen vor allem Flaws, Bugs sowie Defects. Mit einem Bug ist ein Implementierungs- oder Coding-Fehler, mit einem Flaw dagegen ein Fehler in der Architektur bzw. dem Entwurf einer Anwendung gemeint. Ein Defect stellt einen Oberbegriff dar, der sowohl Bugs als auch Flaws einschließt. Auch eine Schwachstelle kann ein Defect sein. Allerdings nur dann, wenn sie unabsichtlich erzeugt wurde. Ansonsten ist gewöhnlich von Schadcode (Malware) die Rede. Abbildung 2.1 bringt mehr Klarheit hinter die einzelnen Begrifflichkeiten. Indikatoren ( Smells ) In der Anwendungssicherheit haben wir es keinesfalls nur mit konkreten Schwachstellen bzw. Sicherheitsmängeln zu tun. Häufig sind es sehr viel schwächere Symptome, die nicht gleich ein Sicherheitsproblem darstellen, jedoch auf ein solches hindeuten können.

6 48 2 Bedrohungen für Webanwendungen Abb. 2.1 Defects vs. Schadcode Wir kennen hierfür aus der Softwarequalität den Begriff des Code-Smells. Laut Wikipedia handelt es sich dabei um ein Symptom im Code, welches auf ein tiefergehendes Problem hindeutet (vergl. [24]). Geläufige Beispiele dafür sind der sogenannte Spaghetticode 2 oder auch toter Code und prinzipiell alles was darauf hindeutet, dass ein Entwickler entweder nicht wirklich wusste, was er gemacht hat, unter Zeitdruck stand oder aus anderen Gründen unsauber gearbeitet hat. Häufig wurde Code zudem auch von so vielen Personen überarbeitet, dass er am Ende von keinem mehr so richtig durchdrungen werden kann. Natürlich lassen sich Code Smells auch in Bezug auf Sicherheitsprobleme recht häufig identifizieren. Hierzu einige Beispiele: Verwenden eigener Verschlüsselungsalgorithmen oder Validierungsroutinen Lösung von architekturellen Problemen auf programmtechnische Weise Blacklisting einzelner Angriffsmuster oder Exploits (meist mittels regulärer Ausdrücke) Ignorieren der Ausgabebehandlung, insbesondere bei sicherheitsrelevanten Funktionen Fehlende Trennung zwischen Code und Darstellung Hartkodierte Zugangsdaten (Credentials) Ebenso können wir sicherheitsrelevante Smells vorfinden: Anwendung versendet Passwörter in s Anwendung ist ausschließlich über HTTP aufrufbar Anwendung setzt verschiedene X-Header die auf den zugrundeliegenden Technologiestack offenlegen Anwendung verwendet Hidden Fields oder Cookies zum Transport von interner Parametrisierung (z. B. einer User-Id) Anwendungslayout reagiert bei der Eingabe bestimmter Sonderzeichen ungewöhnlich (zerstörtes Layout, andere Fehlermeldung als üblich) 2 siehe

7 2.1 Begriffe und Konzepte 49 Schließlich können Symptome auf Sicherheitsprobleme hindeuten und bereits in der Architektur einer Anwendung identifiziert werden. Beispiele für solche architekturellen Smells die wir auch als Anti-Patterns bezeichnen können sind: Unnötiges Exponieren von Schnittstellen (zahlreiche Eingangspunkte, Admin-Schnittstellen) Keine zentrale Behandlung von Eingabewerten Fehlende Separierung von Model, View und Controller (MVC-Pattern) Hinweise auf fehlende Authentifizierung und Autorisierung (insb. im Backend) Security Smell Indikator für Sicherheitsproblem in Code (Code-Smell) oder Architektur (Architektur Smell) Angriffe Ein Angriff, der im Deutschen auch gelegentlich als Attacke bezeichnet wird, stellt oft nur eine andere Sicht auf eine Schwachstelle dar, nämlich aus der eines Angreifers. Dabei setzt die Durchführung eines solchen natürlich nicht zwangsläufig die Existenz einer Schwachstelle voraus. Vielfach führen Angreifer diese auf gut Glück durch, insbesondere wenn sie Tools einsetzen, die eine Webanwendung mit zahlreichen Exploits beschießt. Auch muss ein Angriff überhaupt nicht gegen eine Schwachstelle gerichtet sein. So wie im Fall von DDoS-Attacken, die schlicht die Ressourcen eines Systems verbrauchen. Angriff Ein Angriff stellt ein böswilliges Vorgehen (= Sequenz von Aktionen) dar, mit dem die Absicht verfolgt wird, eine Sicherheitslücke auszunutzen oder die Sicherheit einer Anwendung in anderer Weise zu beeinträchtigen. Nun ist es an dieser Stelle wichtig, den Begriff Angreifer genauer zu differenzieren. Allgemein lässt sich ein Angriff über die folgenden drei Eigenschaften kategorisieren: Extern oder intern (z. B. Internet oder Intranet) Anonym oder authentisiert Nicht-privilegiert oder privilegiert Einmalig oder dauerhaft Gezielt oder ungerichtet Ist eine Sicherheitslücke durch einen externen, anonymen Angreifer ausnutzbar, so kommt ihr zweifelsohne eine deutlich höhere Kritikalität zu, als dem Angriff durch einen internen und angemeldeten privilegierten Benutzer (also etwa einen Administrator). Der gerade von Medien häufig genannte Hacker ist dagegen mehr umgangssprachlicher Natur und

8 50 2 Bedrohungen für Webanwendungen Abb. 2.2 Bestandteile eines Angriffs (Quelle: OWASP) zur technischen Kategorisierung schlecht geeignet. Daher wird in diesem Buch in der Regel von Angreifern gesprochen. Bestandteile eines Angriffs Jeder Angriff besitzt verschiedeneeigenschaften, durch die wir ihn letztlich genau beschreiben und bewerten können. Ausgangspunkt ist dabei immer der Angreifer, der gewöhnlich eine konkrete Motivation, bestimmte Fertigkeiten und Ressourcen, sowie ein konkretes Ziel besitzt. Dieses Ziel lässt sich dabei gewöhnlich als technische Auswirkung (engl. Technical Impact) und/oder geschäftliche Auswirkung (engl. BusinessImpact) beschreiben. Die tatsächliche Vorgehensweise eines Angreifers wird als Angriffs-Vektor 3 bezeichnet. Die Ausnutzung einer Schwachstelle wird ggf. durch existierende Sicherheitsmechanismen (Security Controls) unterbunden oder zumindest erschwert. Etwa durch einen vorgeschalteten Filter oder eine sonstige Eingabevalidierungs-Funktion. Neben der eigentlichen Ausnutzung einer Schwachstelle sind Angreifer daher auch häufig mit der Aushebelung solcher (Gegen-)Mechanismen beschäftigt. Abbildung 2.2 veranschaulicht die einzelnen Bestandteile eines Angriffs. Die Darstellung in Abb. 2.2 ist deshalb so wertvoll, weil sie den technischen Aspekt eines Angriffs mit der Auswirkung auf die Geschäftstätigkeit in Verbindung setzt. Häufig wird dieser letzte Schritt nicht gegangen und Angriffe ausschließlich von der rein technischen Seite betrachtet. Nur durch Berücksichtigung des entsprechenden fachlichen Kontextes bekommt Sicherheit letztlich Relevanz! 3 Ein Angriffsvektor (oder einfach Vektor ) beschreibt einen konkreten technischen Weg, über den ein Angriff durchgeführt wird. Im Fall der Ermittlung einer Session-ID besteht ein Angriffsvektor etwa in der Ausnutzung einer Cross-Site-Scripting-Schwachstelle, ein anderer im Auslesen der ID aus einer Logdatei.

9 2.1 Begriffe und Konzepte 51 Abb. 2.3 Direkter Angriff Abb. 2.4 Indirekter Angriff ( Cross-Site-Angriff ) Bezogen auf eine Webanwendung lässt sich ein Angriff prinzipiell auf drei verschiedene Weisen durchführen: direkt, indirekt sowie unabhängig. Letzteres findet z. B. in Form eines -basierten Phishing-Angriffs statt, bei dem ein Angreifer sein Opfer auf eine gefälschte Webseite lockt. Da das Verständnis dieser drei Formen elementar wichtig ist, sollen sie genauer dargestellt werden: Direkte Angriffe Ein direkter Angriff (Abb. 2.3) ist dadurch gekennzeichnet, dass er nur einen Akteur besitzt, nämlich den Angreifer. Dieser versucht eine Schwachstelle innerhalb einer Anwendung auszunutzen, um darüber vertrauliche Daten zu stehlen (Schutzziel Vertraulichkeit), Inhalte zu manipulieren (Schutzziel Integrität) oder andere Schäden zu verursachen. Zu dieser Gruppe von Angriffen gehört etwa SQL Injection, Code Injection, Password Enumeration, Privilegienerweiterung (bzw. das Erlangen von Privilegien) und Information Disclosure. Die kritischsten Schwachstellen sind fast ausnahmslos durch direkte Angriffe ausnutzbar. Allerdings lassen sie sich dafür in der Regel sehr einfach beheben bzw. ihr Auftreten verhindern. Direkter Angriff Ein direkter Angriff hat die Kompromittierung der Anwendung selbst, der Plattform oder der verarbeiteten Daten zum Ziel. Indirekte Angriffe Für die Durchführung eines indirekten Angriffs (Abb. 2.4) kommt zusätzlich zum Angreifer nun auch noch ein weiterer Benutzer dieser Anwendung ins Spiel. In den meisten Fällen muss dieser Benutzer dort aktuell angemeldet sein. Über die Webanwendung (z. B. durch Ausnutzen einer vorhandenen Sicherheitslücke) greift der Angreifer den Benutzer an. Zu dieser Gruppe zählen grundsätzlich alle Angriffe, die ein Cross-Site im Namen tragen, wie zum Beispiel Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) oder Cross-Site Redirection. Die konkrete Durchführung eines indirekten Angriffs erfolgt

10 52 2 Bedrohungen für Webanwendungen Abb. 2.5 Seitenkanalangriff etwa über einen manipulierten Link, den der Angreifer vom Benutzer aufrufen lassen muss. Mögliche Vektoren sind z. B. das Zusenden einer gefälschten oder das Posten eines Links in einem Forum. Die praktische Ausnutzungswahrscheinlichkeit ist deutlich eingeschränkter als im Fall eines direkten Angriffs. Darüber hinaus lassen sich direkte Angriffe vielfach auf Serverseite vollständig unterbinden. Da wir in der Regel nicht die Ausführungsumgebung des Benutzers (also den Browser) kontrollieren können, ist dies mit indirekten Angriffen meist eben nicht möglich. Bei indirekten Angriffen muss zusätzlich zum serverseitig ausgeführten Programmcode auch die Umgebung des Benutzers, also etwa dessen Webbrowser, mit in die Sicherheitsbetrachtung und die Definition von Maßnahmen einbezogen werden muss. Da dieser jedoch anwendungsextern und damit grundsätzlich nicht durch die Anwendung selbst kontrollierbar ist, lassen sich zahlreiche indirekte Angriffe oftmals nur sehr schwer ausschließen. Dieser Aspekt wurde bereits in Abschn ( Fehlende Kontrolle der Ausführungsumgebung ) als einer der zentralen Gründe für unsichere Webanwendungen angeführt. Wie wir später noch genauer sehen werden, können wir jedoch durch verschiedene Maßnahmen (insbesondere durch Setzen von bestimmten Security Headern) die Sicherheit der Clientseite sehr positiv beeinflussen. Indirekter Angriff Ein indirekter Angriff nutzt Schwachstellen (bzw. Eigenschaften) in einer Anwendung dazu aus, andere, meist dort angemeldete Benutzer, anzugreifen. Seitenkanalangriffe Eine dritte, wenn auch meist weniger im Fokus stehende Kategorie bilden die unabhängigen oder auch Seitenkanalangriffe (Abb. 2.5). Diese zeichnen sich durch die Eigenschaft aus, dass sie völlig unabhängig von einer bestimmten Anwendung durchgeführt werden. Involviert in einen solchen Angriff sind lediglich der Angreifer auf der einen und der Benutzer einer angegriffenen Anwendung auf der anderen Seite nicht jedoch die eigentliche Anwendung. Ein häufig vorkommendes Beispiel für diese Art von Angriffen bildet das klassische -basierte Phishing. Dabei sendet ein Angreifer seinem Opfer eine , die ihm vortäuscht, von dem Betreiber der Webseite zu stammen und den Empfänger z. B. dazu auffordert, einen bestimmtem Link aufzurufen, um dort sein Passwort einzugeben. Der

11

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

HISOLUTIONS - SCHWACHSTELLENREPORT

HISOLUTIONS - SCHWACHSTELLENREPORT HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations- und

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Thomas Macht Ausarbeitung Security-Test WS 09

Thomas Macht Ausarbeitung Security-Test WS 09 Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

8 Cross-Site Request Forgery (CSRF)

8 Cross-Site Request Forgery (CSRF) 175 8 Cross-Site Request Forgery (CSRF) Cross-Site Request Forgery (CSRF) schafft durch seinen ersten Namensbestandteil»Cross-Site«häufig eine unmittelbare Verbindung mit Cross-Site Scripting (XSS; Kapitel

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Sebastian Kübeck Web-Sicherheit Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Einleitung................................................. 11 Teil I Grundlagen der Informationssicherheit......................

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Intrusion Detection und Prevention Systeme IT-Sicherheitssysteme wie ein Intrusion Detection System bzw. Intrusion Prevention System

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

Integrales Enterprise Threat Schwachstellen-Management mit SCAP

Integrales Enterprise Threat Schwachstellen-Management mit SCAP Integrales Enterprise Threat Schwachstellen-Management mit SCAP Lukas Grunwald, Greenbone Networks CTO Oktober 2012 IT-SA, Nürnberg Version 20100714 Die Greenbone Networks GmbH Fokus: Schwachstellen Management

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

We are not cynical. Our assessment is that security is very difficult, both to understand and to implement. Carl Ellison und Bruce Schneier

We are not cynical. Our assessment is that security is very difficult, both to understand and to implement. Carl Ellison und Bruce Schneier We are not cynical. Our assessment is that security is very difficult, both to understand and to implement. Carl Ellison und Bruce Schneier I Inhaltsverzeichnis Abbildungsverzeichnis...IV Tabellenverzeichnis...V

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

[IT-RESULTING IM FOKUS]

[IT-RESULTING IM FOKUS] [IT-RESULTING IM FOKUS] Hans-Peter Fries Business Security Manager Datenschutzauditor Industrie 4.0 und IT-Sicherheit Ein Widerspruch in sich? GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010 Webapplikations-Sicherheit: Erfahrungen aus der Praxis Stefan Hölzner, Jan Kästle 26.01.2010 Agenda Schwachstellen: die Ursachen Angriffstechniken aus der Praxis root-access in 20 Schritten 2 Schwachstellen:

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker?

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? Dipl.-Inform. Dominik Vallendor 14. November 2013 Tralios IT GmbH www.tralios.de Über mich Dipl.-Inform. Dominik

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

UCS 2.4 Sicherheits-Update 3

UCS 2.4 Sicherheits-Update 3 UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

7363 - Web-basierte Anwendungen 4750 Web-Engineering

7363 - Web-basierte Anwendungen 4750 Web-Engineering Fachhochschule Wiesbaden - FB Design, Informatik, Medien 7363 - Web-basierte Anwendungen 4750 Web-Engineering Eine Vertiefungsveranstaltung 28.01.2009 2005, 2008 H. Werntges, Studienbereich Informatik,

Mehr

Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing

Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing von Ulrike Wendel (ulrike.wendel@crn.de) 18.08.2010 Cyberkriminelle werden immer raffinierter wenn es darum geht, Daten von Unternehmen

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Absicherung von Webanwendungen. DFN-Cert - 60. Betriebstagung

Absicherung von Webanwendungen. DFN-Cert - 60. Betriebstagung Absicherung von Webanwendungen DFN-Cert - 60. Betriebstagung Matthias Rohr 11. März 2014 Wer bin ich? Matthias Rohr CISSP, CSSLP, CISM, CSSLP Autor sowie Berater und Geschäftsführer bei der Secodis GmbH

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

Sicherheit von Open Source Software

Sicherheit von Open Source Software Sicherheit von Open Source Software Wie sicher ist Open Source Software? Lukas Kairies Gliederung 1. Begriffseinführung 1. Freie Software 2. Open Source Software 2. Sicherheitsphilosophien 1. Open Source

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013 Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential. Öffentliche

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall!

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! IT-SeCX 12.11.2010 Version: 1.0 Autor: A. Kravitz / K. Bauer Verantwortlich: A. Kravitz Datum: 12.11.2010 Vertraulichkeitsstufe:

Mehr

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter Top 10 Was t/nun? Nürnberg, 20.10.2010 Dirk Wetter Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The Foundation Permission

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Surfen im Büro? Aber sicher!

Surfen im Büro? Aber sicher! Surfen im Büro? Aber sicher! 03.04.2014 Dr. Norbert Schirmer Sirrix AG Web-Browser heute unverzichtbar Arbeitsplatzrechner INTRANET Produktbezogene Daten Produktentwicklungsunterlagen Strategische Konzepte

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

OWASP Top 10 Wat nu? The OWASP Foundation http://www.owasp.org. OWASP Stammtisch. GUUG-Treffen. Dirk Wetter

OWASP Top 10 Wat nu? The OWASP Foundation http://www.owasp.org. OWASP Stammtisch. GUUG-Treffen. Dirk Wetter OWASP Top 10 Wat nu? Dirk Wetter OWASP Stammtisch GUUG-Treffen Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The OWASP

Mehr