Bedrohungen für Webanwendungen

Größe: px
Ab Seite anzeigen:

Download "Bedrohungen für Webanwendungen"

Transkript

1 Bedrohungen für Webanwendungen 2 Wir beginnen damit den Kampf zu verlieren. Robert Thornton, Gründer von Fortify Software Zusammenfassung In diesem Kapitel werden zentrale Angriffe und Schwachstellen für Webanwendungen erläutert, deren Verständnis die Grundlage für die anschließende Diskussion von Maßnahmen darstellt. Der Einsatz von Webanwendungen ist mit einer Vielzahl von technischen Gefahren verbunden, die wiederum über eine noch größere Anzahl an Begriffen beschrieben werden. Das Web Application Security Consortium (WASC) hat mit der Threat Classification (WASC) (vergl. [23]) einen Versuch unternommen, diese Begriffswelt etwas zu strukturieren und unterscheidet drei Sichten: Die auf die Schwachstelle (Ursache), auf den Angriff (Ausnutzung) und den Impact (Auswirkung). In diesem Kapitel werden wir uns damit näher beschäftigen, bevor wir uns im nächsten Kapitel den entsprechenden Gegenmaßnahmen zuwenden. Diese Trennung ist auch deshalb von großer Bedeutung, da Sicherheitsmaßnahmen keinesfalls ausschließlich zur Korrektur einzelner Schwachstellen oder der Prävention bestimmter Angriffe dienen, sondern auch, um der Anwendung ein bestimmtes Sicherheitsniveau zu verleihen. 2.1 Begriffe und Konzepte In den folgenden Abschnitten werden einige zentrale Begriffe und Konzepte erläutert, die für die Diskussion in diesem Kapitel grundlegend sind. Springer Fachmedien Wiesbaden 2015 M. Rohr, Sicherheit von Webanwendungen in der Praxis, Edition <kes>, DOI / _2 43

2 44 2 Bedrohungen für Webanwendungen Bedrohung, Bedrohungsquelle und Gefährdung Im Rahmen der IT-Sicherheit ist häufig von Angriffen die Rede, denen etwa eine Webanwendung ausgesetzt sein kann. Angriffe stellen jedoch keinesfalls die einzige Gefahr für eine Webanwendung dar. Besser eignet sich daher der Begriff Bedrohungen. Bedrohung (engl. Threat) Eine Eigenschaft, ein Umstand oder ein Ereignis, durch die ein Schaden für ein Asset (z. B. Systeme, Anwendungen, Informationen) entstehen kann. Bedrohungen können dabei sowohl vorsätzlich als auch unbeabsichtigt sein. Gehen Bedrohungen wie Hackerangriffe noch eindeutig von Angreifern aus, ist ein solcher in vielen anderen Fällen keineswegs involviert. Es wird in diesem Zusammenhang daher häufig allgemein von Bedrohungsquellen gesprochen, um alle vorhandenen Ursachen für eine Bedrohung mit einzuschließen. Bedrohungsquelle (engl. Threat Source bzw. Threat Agent) Eine Person oder ein Prozess von der/dem eine Bedrohung vorsätzlich (z. B. im Fall eines Angreifers) oder unabsichtlich (z. B. im Fall eines Entwicklers, der einen Fehler macht) ausgeht. An dieser Stelle darf auch ein weiterer Begriff nicht unerwähnt bleiben, nämlich der einer Gefährdung. Eine Gefährdung ist eine Bedrohung, die aufgrund einer existierenden oder angenommenen Schwachstelle in einer Anwendung vorhanden ist. Sofern sich zwar (noch) keine Schwachstelle identifizieren lässt, jedoch relevante Systemeigenschaften hierfür vorhanden sind (z. B. eine Datenbankanbindung in Bezug auf eine SQL-Injection- Schwachstelle), so lässt sich von einer potentiellen Gefährdung sprechen. Gefährdung (engl. Applied Threat) Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt (BSI Glossar). Eine potentielle Gefährdung ist eine Bedrohung, zu der zwar bislang keine relevante Schwachstelle, jedoch die entsprechenden Systemeigenschaften identifiziert werden konnten. Eine Gefährdung ist als eine tatsächlich auftretende Bedrohung zu verstehen und in dem Zusammenhang gibt es auch einer Gefährdungsquelle sprechen, von der sie ausgeht. Entsprechend wird daher nicht von einem Bedrohungs- sondern einem Gefährdungspotential gesprochen. In Abschn wird ausführlich auf Bedrohungsanalysen eingegangen, mit welchen sich für eine Anwendung relevante Bedrohungen (= potentielle Gefährdungen) ermitteln lassen.

3 2.1 Begriffe und Konzepte Schwachstellen und Sicherheitslücken Derzeit werden im Deutschen die Begriffe Schwachstelle und Sicherheitslücke manchmal differenzierend, oftmals jedoch synonym verwendet. Ganz anders sieht es im Englischen aus, wo eine klare Unterscheidung zwischen beiden Begriffen existiert. Diese Unterscheidung ist nicht nur hilfreich, sondern auch ganz besonders wichtig, da wir über diese wesentlich deutlicher ein Sicherheitsproblem beschreiben können. Hierfür benötigen wir allerdings eine genaue Definition beider Begriffe. Beginnen wir mit dem einer Schwachstelle : Schwachstelle (engl. Weakness) 1 Eine Schwachstelle (auch: Schwäche ) stellt eine Eigenschaft in der Implementierung, Architektur, Konfiguration oder eines Prozesses dar, die unter bestimmten Bedingungen zu einer Sicherheitslücke führen kann. Eine Schwachstelle ist somit nicht auf den Quelltext einer Anwendung beschränkt, sondern lässt sich auch in der Architektur, der Konfiguration und sogar in organisatorischen Prozessen wiederfinden. Wichtig für diese Einordnung (also ob wir es mit einer architekturellen oder konfigurativen Schwachstelle zu tun haben) ist dabei immer die Bewertung der Natur einer Schwachstelle, nicht deren Behebung. Denn häufig lässt sich das Auftreten einer Implementierungs-Schwachstelle (z. B. eine fehlerhafte Enkodierung) auf architektureller Ebene verhindern oder deren Ausnutzung auf betrieblicher Ebene unterbinden, doch bleibt sie immer von ihrer Natur her ein Implementierungsfehler. Im nachfolgenden Kapitel werden einige konkrete Beispiele gezeigt. Neben Schwachstellen haben wir es in der Anwendungssicherheit häufig auch mit Sicherheitslücken zu tun. Dieser Begriff lässt sich wie folgt definieren: Sicherheitslücke (engl. Vulnerability) Eine Sicherheitslücke (auch Verwundbarkeit oder Angreifbarkeit ) bezeichnet das konkrete Auftreten einer oder mehrerer Schwachstellen, über welche die Sicherheit einer Anwendung nachweislich beeinträchtigt werden kann. Einer Sicherheitslücke liegt somit immer mindestens eine Schwachstelle zugrunde. Auch wenn beide Begriffe gerade im Deutschen leider oft vermengt werden, ist deren Abgrenzung sehr wichtig. Schauen wir uns zum besseren Verständnis das folgende Beispiel an: Beispiel Eine Gefängnismauer besitzt einen Riss, der zunächst einmal eine Schwachstelle darstellt. Nicht zwangsläufig ist durch diesen Riss jedoch gleich auch die Sicherheit des gesamten Gefängnisses akut gefährdet. Ist dies aber der Fall und können etwa Gefäng- 1 Der Begriff Schwachstelle wird häufig auch fälschlich mit Vulnerability übersetzt.

4 46 2 Bedrohungen für Webanwendungen nisinsassen durch den Riss die Mauer einreißen, so stellt dieser nicht nur eine Schwachstelle, sondern gleichzeitig auch eine Sicherheitslücke dar. In erster Linie arbeiten wir innerhalb der Webanwendungssicherheit mit Schwachstellen. Denn während wir Schwachstellen grundsätzlich in allen Entwicklungsphasen einer Anwendung identifizieren können (da es sich schließlich nur um sicherheitsrelevante Eigenschaften handelt), ist dies bei einer Sicherheitslücke erst dann möglich, wenn eine Anwendung bereits weitgehend fertiggestellt ist. Dann erst können wir die notwendige Bewertung anstellen, ob es sich tatsächlich um ein akutes Sicherheitsproblem handelt. Aus Gründen der Vereinfachung wird in diesem Buch hauptsächlich von Schwachstellen gesprochen, auch wenn diese in bestimmten Situationen eine Sicherheitslücke darstellen können. Weiterhin existieren noch einige weitere Begriffe mit denen wir es in diesem Zusammenhang häufiger zu tun haben. Exploits und Payloads Unter einem Exploit wird eine technische Beschreibung des Vorgehens zur Ausnutzung einer Schwachstelle verstanden. Häufig wird dieser in Form von Code oder eines URL- Aufrufes dargestellt. Mit einem Payload beschreiben wir die Schadfunktion, die in Verbindung mit einem Exploit zum Einsatz kommt. Im Rahmen von Tests werden in der Regel harmlose Payloads verwendet, die keinen Schaden anrichten, sondern nur für die Identifikation bzw. Demonstration einer Schwachstelle dienen. In letzterem Fall sprechen wir auch von sogenannten Proof-of-Concepts (PoCs). Bekannte Sicherheitslücken (Known Vulnerabilitys) Unter einer bekannten Sicherheitslücke wird eine ausnutzbare Schwachstelle außerhalb von Individualsoftware verstanden, also etwa in Standardsoftware oder Opensource (FOSS). Known Vulnerabilitys werden über das CVE-Verzeichnis (www.mitre.org/cve, Abschn. 1.4) über einen CVE-Identifier (z. B. CVE ) eindeutig referenziert. Über die letzten zehn Jahre betrachtet hat die Zahl bekannter Sicherheitslücken, auch in Webkomponenten, stetig zugenommen (vergl. [22]). Allerdings ist diese Zunahme nicht nur dadurch bedingt, dass Software laufend unsicherer wird, sondern es schlicht immer mehr Software gibt und das Wissen um Verfahren zur Identifikation von Schwachstellen laufend voranschreitet. In Bezug auf Webanwendungen können Known Vulnerabilitys in unterschiedlichen Bereichen auftreten: in Web-GUIs von Standardprodukten, in Browsern oder Browser-Plugins (z. B. Flash, Adobe PDF), in Web- und Anwendungs-Servern (z. B. IIS, Apache, WebSphere), in eingesetzten Anwendungskomponenten (z. B. Wordpress, Joomla!), in eingesetzten Bibliotheken und Frameworks (z. B. ASP.NET, jquery), in Laufzeitumgebungen (z. B. JRE,.NET oder PHP),

5 2.1 Begriffe und Konzepte 47 in Sicherheitskomponenten (z. B. Application Firewalls) sowie in Entwicklungstools. Grundsätzlich handelt es sich bei solchen bekannten Sicherheitslücken um dieselben Schwachstellen, mit denen wir es auch bei individuell entwickelten Webanwendungen zu tun haben, also Cross-Site Scripting, SQL Injection, Information Disclosure etc. Anders als Webanwendungen sind viele Standardkomponenten mit C und C++ programmiert, bei denen wir es auch mit Schwachstellen wie Pufferüberläufen (Abschn. 2.4) zu tun bekommen. Bekannte Sicherheitslücken müssen über das Einspielen entsprechender Patche behoben werden erfordern also ein Patch Management. Auch wenn ein Unternehmen ein Patch Management betreibt, so schließt dieses gewöhnlich Anwendungskomponten und APIs nicht mit ein. Für solche 3rd-Party-Komponenten muss daher ein seperates Patchmangement eingerichtet werden (Abschn ). Zero Days Viele Exploits werden dadurch erstellt, dass ein Patch von Angreifern reverse engineered und dadurch die Sicherheitslücke identifiziert wird, die der Patch behebt. Bei einem Zero Day Exploit ist dies anders. Ein solcher Exploit liegt bereits vor, noch bevor die zugehörige Sicherheitslücke dem Hersteller bekannt ist. Ein Zero Day ist dadurch besonders gefährlich, schließlich kann er selbst ein aktuell gepatchtes System kompromittieren. In manchen Fällen lässt sich die Ausnutzbarkeit einer Sicherheitslücke bereits dadurch unterbinden, dass der entsprechende Exploit einfach geblockt wird. Da diese Art von Maßnahme nicht die eigentliche Ursache behebt, wird sie auch als Virtual Patching bezeichnet. In anderen Fällen kann es unausweichlich sein, die betroffene Komponente zu deaktivieren, wenn das Risiko einer Kompromittierung als zu groß bewertet wird. Es ist kaum überraschend, dass für diese Art von Exploits ein florierender Schwarzmarkt existiert. Je nach betroffenem Produkt und Art des Exploits werden dort teilweise immense Summen für einen Zero Day bezahlt. Flaws, Bugs und Defects Im Verlauf dieses Buches werden häufiger verschiedene allgemeine Begriffe für Softwarefehler verwendet. Hierzu zählen vor allem Flaws, Bugs sowie Defects. Mit einem Bug ist ein Implementierungs- oder Coding-Fehler, mit einem Flaw dagegen ein Fehler in der Architektur bzw. dem Entwurf einer Anwendung gemeint. Ein Defect stellt einen Oberbegriff dar, der sowohl Bugs als auch Flaws einschließt. Auch eine Schwachstelle kann ein Defect sein. Allerdings nur dann, wenn sie unabsichtlich erzeugt wurde. Ansonsten ist gewöhnlich von Schadcode (Malware) die Rede. Abbildung 2.1 bringt mehr Klarheit hinter die einzelnen Begrifflichkeiten. Indikatoren ( Smells ) In der Anwendungssicherheit haben wir es keinesfalls nur mit konkreten Schwachstellen bzw. Sicherheitsmängeln zu tun. Häufig sind es sehr viel schwächere Symptome, die nicht gleich ein Sicherheitsproblem darstellen, jedoch auf ein solches hindeuten können.

6 48 2 Bedrohungen für Webanwendungen Abb. 2.1 Defects vs. Schadcode Wir kennen hierfür aus der Softwarequalität den Begriff des Code-Smells. Laut Wikipedia handelt es sich dabei um ein Symptom im Code, welches auf ein tiefergehendes Problem hindeutet (vergl. [24]). Geläufige Beispiele dafür sind der sogenannte Spaghetticode 2 oder auch toter Code und prinzipiell alles was darauf hindeutet, dass ein Entwickler entweder nicht wirklich wusste, was er gemacht hat, unter Zeitdruck stand oder aus anderen Gründen unsauber gearbeitet hat. Häufig wurde Code zudem auch von so vielen Personen überarbeitet, dass er am Ende von keinem mehr so richtig durchdrungen werden kann. Natürlich lassen sich Code Smells auch in Bezug auf Sicherheitsprobleme recht häufig identifizieren. Hierzu einige Beispiele: Verwenden eigener Verschlüsselungsalgorithmen oder Validierungsroutinen Lösung von architekturellen Problemen auf programmtechnische Weise Blacklisting einzelner Angriffsmuster oder Exploits (meist mittels regulärer Ausdrücke) Ignorieren der Ausgabebehandlung, insbesondere bei sicherheitsrelevanten Funktionen Fehlende Trennung zwischen Code und Darstellung Hartkodierte Zugangsdaten (Credentials) Ebenso können wir sicherheitsrelevante Smells vorfinden: Anwendung versendet Passwörter in s Anwendung ist ausschließlich über HTTP aufrufbar Anwendung setzt verschiedene X-Header die auf den zugrundeliegenden Technologiestack offenlegen Anwendung verwendet Hidden Fields oder Cookies zum Transport von interner Parametrisierung (z. B. einer User-Id) Anwendungslayout reagiert bei der Eingabe bestimmter Sonderzeichen ungewöhnlich (zerstörtes Layout, andere Fehlermeldung als üblich) 2 siehe

7 2.1 Begriffe und Konzepte 49 Schließlich können Symptome auf Sicherheitsprobleme hindeuten und bereits in der Architektur einer Anwendung identifiziert werden. Beispiele für solche architekturellen Smells die wir auch als Anti-Patterns bezeichnen können sind: Unnötiges Exponieren von Schnittstellen (zahlreiche Eingangspunkte, Admin-Schnittstellen) Keine zentrale Behandlung von Eingabewerten Fehlende Separierung von Model, View und Controller (MVC-Pattern) Hinweise auf fehlende Authentifizierung und Autorisierung (insb. im Backend) Security Smell Indikator für Sicherheitsproblem in Code (Code-Smell) oder Architektur (Architektur Smell) Angriffe Ein Angriff, der im Deutschen auch gelegentlich als Attacke bezeichnet wird, stellt oft nur eine andere Sicht auf eine Schwachstelle dar, nämlich aus der eines Angreifers. Dabei setzt die Durchführung eines solchen natürlich nicht zwangsläufig die Existenz einer Schwachstelle voraus. Vielfach führen Angreifer diese auf gut Glück durch, insbesondere wenn sie Tools einsetzen, die eine Webanwendung mit zahlreichen Exploits beschießt. Auch muss ein Angriff überhaupt nicht gegen eine Schwachstelle gerichtet sein. So wie im Fall von DDoS-Attacken, die schlicht die Ressourcen eines Systems verbrauchen. Angriff Ein Angriff stellt ein böswilliges Vorgehen (= Sequenz von Aktionen) dar, mit dem die Absicht verfolgt wird, eine Sicherheitslücke auszunutzen oder die Sicherheit einer Anwendung in anderer Weise zu beeinträchtigen. Nun ist es an dieser Stelle wichtig, den Begriff Angreifer genauer zu differenzieren. Allgemein lässt sich ein Angriff über die folgenden drei Eigenschaften kategorisieren: Extern oder intern (z. B. Internet oder Intranet) Anonym oder authentisiert Nicht-privilegiert oder privilegiert Einmalig oder dauerhaft Gezielt oder ungerichtet Ist eine Sicherheitslücke durch einen externen, anonymen Angreifer ausnutzbar, so kommt ihr zweifelsohne eine deutlich höhere Kritikalität zu, als dem Angriff durch einen internen und angemeldeten privilegierten Benutzer (also etwa einen Administrator). Der gerade von Medien häufig genannte Hacker ist dagegen mehr umgangssprachlicher Natur und

8 50 2 Bedrohungen für Webanwendungen Abb. 2.2 Bestandteile eines Angriffs (Quelle: OWASP) zur technischen Kategorisierung schlecht geeignet. Daher wird in diesem Buch in der Regel von Angreifern gesprochen. Bestandteile eines Angriffs Jeder Angriff besitzt verschiedeneeigenschaften, durch die wir ihn letztlich genau beschreiben und bewerten können. Ausgangspunkt ist dabei immer der Angreifer, der gewöhnlich eine konkrete Motivation, bestimmte Fertigkeiten und Ressourcen, sowie ein konkretes Ziel besitzt. Dieses Ziel lässt sich dabei gewöhnlich als technische Auswirkung (engl. Technical Impact) und/oder geschäftliche Auswirkung (engl. BusinessImpact) beschreiben. Die tatsächliche Vorgehensweise eines Angreifers wird als Angriffs-Vektor 3 bezeichnet. Die Ausnutzung einer Schwachstelle wird ggf. durch existierende Sicherheitsmechanismen (Security Controls) unterbunden oder zumindest erschwert. Etwa durch einen vorgeschalteten Filter oder eine sonstige Eingabevalidierungs-Funktion. Neben der eigentlichen Ausnutzung einer Schwachstelle sind Angreifer daher auch häufig mit der Aushebelung solcher (Gegen-)Mechanismen beschäftigt. Abbildung 2.2 veranschaulicht die einzelnen Bestandteile eines Angriffs. Die Darstellung in Abb. 2.2 ist deshalb so wertvoll, weil sie den technischen Aspekt eines Angriffs mit der Auswirkung auf die Geschäftstätigkeit in Verbindung setzt. Häufig wird dieser letzte Schritt nicht gegangen und Angriffe ausschließlich von der rein technischen Seite betrachtet. Nur durch Berücksichtigung des entsprechenden fachlichen Kontextes bekommt Sicherheit letztlich Relevanz! 3 Ein Angriffsvektor (oder einfach Vektor ) beschreibt einen konkreten technischen Weg, über den ein Angriff durchgeführt wird. Im Fall der Ermittlung einer Session-ID besteht ein Angriffsvektor etwa in der Ausnutzung einer Cross-Site-Scripting-Schwachstelle, ein anderer im Auslesen der ID aus einer Logdatei.

9 2.1 Begriffe und Konzepte 51 Abb. 2.3 Direkter Angriff Abb. 2.4 Indirekter Angriff ( Cross-Site-Angriff ) Bezogen auf eine Webanwendung lässt sich ein Angriff prinzipiell auf drei verschiedene Weisen durchführen: direkt, indirekt sowie unabhängig. Letzteres findet z. B. in Form eines -basierten Phishing-Angriffs statt, bei dem ein Angreifer sein Opfer auf eine gefälschte Webseite lockt. Da das Verständnis dieser drei Formen elementar wichtig ist, sollen sie genauer dargestellt werden: Direkte Angriffe Ein direkter Angriff (Abb. 2.3) ist dadurch gekennzeichnet, dass er nur einen Akteur besitzt, nämlich den Angreifer. Dieser versucht eine Schwachstelle innerhalb einer Anwendung auszunutzen, um darüber vertrauliche Daten zu stehlen (Schutzziel Vertraulichkeit), Inhalte zu manipulieren (Schutzziel Integrität) oder andere Schäden zu verursachen. Zu dieser Gruppe von Angriffen gehört etwa SQL Injection, Code Injection, Password Enumeration, Privilegienerweiterung (bzw. das Erlangen von Privilegien) und Information Disclosure. Die kritischsten Schwachstellen sind fast ausnahmslos durch direkte Angriffe ausnutzbar. Allerdings lassen sie sich dafür in der Regel sehr einfach beheben bzw. ihr Auftreten verhindern. Direkter Angriff Ein direkter Angriff hat die Kompromittierung der Anwendung selbst, der Plattform oder der verarbeiteten Daten zum Ziel. Indirekte Angriffe Für die Durchführung eines indirekten Angriffs (Abb. 2.4) kommt zusätzlich zum Angreifer nun auch noch ein weiterer Benutzer dieser Anwendung ins Spiel. In den meisten Fällen muss dieser Benutzer dort aktuell angemeldet sein. Über die Webanwendung (z. B. durch Ausnutzen einer vorhandenen Sicherheitslücke) greift der Angreifer den Benutzer an. Zu dieser Gruppe zählen grundsätzlich alle Angriffe, die ein Cross-Site im Namen tragen, wie zum Beispiel Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) oder Cross-Site Redirection. Die konkrete Durchführung eines indirekten Angriffs erfolgt

10 52 2 Bedrohungen für Webanwendungen Abb. 2.5 Seitenkanalangriff etwa über einen manipulierten Link, den der Angreifer vom Benutzer aufrufen lassen muss. Mögliche Vektoren sind z. B. das Zusenden einer gefälschten oder das Posten eines Links in einem Forum. Die praktische Ausnutzungswahrscheinlichkeit ist deutlich eingeschränkter als im Fall eines direkten Angriffs. Darüber hinaus lassen sich direkte Angriffe vielfach auf Serverseite vollständig unterbinden. Da wir in der Regel nicht die Ausführungsumgebung des Benutzers (also den Browser) kontrollieren können, ist dies mit indirekten Angriffen meist eben nicht möglich. Bei indirekten Angriffen muss zusätzlich zum serverseitig ausgeführten Programmcode auch die Umgebung des Benutzers, also etwa dessen Webbrowser, mit in die Sicherheitsbetrachtung und die Definition von Maßnahmen einbezogen werden muss. Da dieser jedoch anwendungsextern und damit grundsätzlich nicht durch die Anwendung selbst kontrollierbar ist, lassen sich zahlreiche indirekte Angriffe oftmals nur sehr schwer ausschließen. Dieser Aspekt wurde bereits in Abschn ( Fehlende Kontrolle der Ausführungsumgebung ) als einer der zentralen Gründe für unsichere Webanwendungen angeführt. Wie wir später noch genauer sehen werden, können wir jedoch durch verschiedene Maßnahmen (insbesondere durch Setzen von bestimmten Security Headern) die Sicherheit der Clientseite sehr positiv beeinflussen. Indirekter Angriff Ein indirekter Angriff nutzt Schwachstellen (bzw. Eigenschaften) in einer Anwendung dazu aus, andere, meist dort angemeldete Benutzer, anzugreifen. Seitenkanalangriffe Eine dritte, wenn auch meist weniger im Fokus stehende Kategorie bilden die unabhängigen oder auch Seitenkanalangriffe (Abb. 2.5). Diese zeichnen sich durch die Eigenschaft aus, dass sie völlig unabhängig von einer bestimmten Anwendung durchgeführt werden. Involviert in einen solchen Angriff sind lediglich der Angreifer auf der einen und der Benutzer einer angegriffenen Anwendung auf der anderen Seite nicht jedoch die eigentliche Anwendung. Ein häufig vorkommendes Beispiel für diese Art von Angriffen bildet das klassische -basierte Phishing. Dabei sendet ein Angreifer seinem Opfer eine , die ihm vortäuscht, von dem Betreiber der Webseite zu stammen und den Empfänger z. B. dazu auffordert, einen bestimmtem Link aufzurufen, um dort sein Passwort einzugeben. Der

11

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2009: Vergleich Fehlerbaum und Angriffsbaum 7.1 Fehlerbaum Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit

Mehr

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Schwachstellen Gefahr erkennen Gefahr bewerten Gefahr beseitigen Thomas Ranke (Vertrieb Nord) baramundi

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

HISOLUTIONS - SCHWACHSTELLENREPORT

HISOLUTIONS - SCHWACHSTELLENREPORT HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations- und

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004 Ausarbeitung über SS 2004 Dennis Völker [dv04@hdm-stuttgart.de] Steffen Schurian [ss59@hdm-stuttgart.de] Überblick Sicherheit sollte eine Eigenschaft moderner, verteilter Anwendungen sein, jedoch ist ein

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Patch-Management Thomas Beer Abgabedatum: 28.03.2011 Anmerkung: Diese Wissenschaftliche Arbeit ist

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

IT-Sicherheit im Bankenumfeld: Ein konzeptioneller Ansatz

IT-Sicherheit im Bankenumfeld: Ein konzeptioneller Ansatz Universität Hildesheim Institut für Betriebswirtschaftslehre und Wirtschaftsinformatik Hannover OE 2152 Endgeräte 02.07.2008 Christian Kröher 1 02.07.2008 Christian Kröher 2 1 Ausgangssituation Unsichere

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

OAuth Ein offener Standard für die sichere Autentifizierung in APIs

OAuth Ein offener Standard für die sichere Autentifizierung in APIs OAuth Ein offener Standard für die sichere Autentifizierung in APIs Max Horváth, Andre Zayarni, Bastian Hofmann 1 Vorstellung der Speaker 2 Was ist OAuth?? 3 Was ist OAuth? OAuth ermöglicht dem Endnutzer

Mehr

HISOLUTIONS - SCHWACHSTELLENREPORT

HISOLUTIONS - SCHWACHSTELLENREPORT HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests des Jahres 2014 MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations-

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Thomas Macht Ausarbeitung Security-Test WS 09

Thomas Macht Ausarbeitung Security-Test WS 09 Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser?

Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser? Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

UCS 2.4 Sicherheits-Update 3

UCS 2.4 Sicherheits-Update 3 UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße

Mehr

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Vorlesung 4: Sommersemester 2015 h_da, Lehrbeauftragter Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP

Mehr

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker?

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? Dipl.-Inform. Dominik Vallendor 14. November 2013 Tralios IT GmbH www.tralios.de Über mich Dipl.-Inform. Dominik

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Surfen im Büro? Aber sicher!

Surfen im Büro? Aber sicher! Surfen im Büro? Aber sicher! 03.04.2014 Dr. Norbert Schirmer Sirrix AG Web-Browser heute unverzichtbar Arbeitsplatzrechner INTRANET Produktbezogene Daten Produktentwicklungsunterlagen Strategische Konzepte

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 08. Dezember 2006 Laptop: Tragbarer, zeitweilig netzunabhängiger Computer mit einem klappbaren,

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

PKI im Cyberwar. Nutzen, Angriffe, Absicherung. Dr. Gunnar Jacobson. 2015 PKI im Cyberwar

PKI im Cyberwar. Nutzen, Angriffe, Absicherung. Dr. Gunnar Jacobson. 2015 PKI im Cyberwar PKI im Cyberwar Nutzen, Angriffe, Absicherung Dr. Gunnar Jacobson 1 Cyberwar Anti virus 2 Der SONY-Hack Hackerangriff könnte Sony hunderte Millionen Dollar kosten. unverschlüsselte E-Mails Passwörter im

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

HISOLUTIONS SCHWACHSTELLENREPORT 2013

HISOLUTIONS SCHWACHSTELLENREPORT 2013 HISOLUTIONS SCHWACHSTELLENREPORT 2013 Eine Analyse der identifizierten Schwachstellen in Penetrationstests MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations-

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr