Sicherheit und Skalierbarkeit im E-Business OXID Partnertag Björn Schotte

Größe: px
Ab Seite anzeigen:

Download "Sicherheit und Skalierbarkeit im E-Business OXID Partnertag 09.10.2007 Björn Schotte"

Transkript

1 Sicherheit und Skalierbarkeit im E-Business OXID Partnertag Björn Schotte

2 Wer bin ich? Been there, done that: Internet seit 1993/94 PHP seit 1997 PHP-Center.de PHP Magazin PHP Konferenz Faible für skalierbare & sichere Applikationen MAYFLOWER GmbH

3 Wer ist Mayflower? Deutschlands größter LAMP Dienstleister >40 Mitarbeiter 35 OXID eshop EE zertifizierte Entwickler Geschäftsbereiche: Premium Software Development Beratung/Training Support E-Commerce Kunden Premiere/T-Systems, neckermann.de Siemens, Vaillant Group, Telefónica, O2, e-fellows, sevenload, studivz, UnitedInternet, Deutsche Bank, HypoVereinsbank, MAYFLOWER GmbH

4 Mayflower GmbH Security Expertise tiefes KnowHow im Bereich PHP und JS Security Security Tool Chorizo! https://chorizo-scanner.com/ Security Audits sowie Zertifizierung, Security Trainings MAYFLOWER GmbH

5 Agenda Security JavaScript-Injections und Ajax (XSS) Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders wehtut Ajax / Web 2.0 Probleme Xml HTTP Request, Toolkits, JSON Ajax-Malware: XSS-Würmer und Viren Kurze Virengeschichte Web 2.0, Viren und Würmer Ajax-Malware: Web 2.0-Attacken Browser Zombies Intranet-Attacken Ajax-Applikationen absichern MAYFLOWER GmbH

6 Agenda Performance Mind your SQL Falsches SQL ist oftmals ein Bottleneck mehr SQL ist besser Achtung: Applikationsdesign! Kapselung in Objekten (Design Patterns) Saubere Auftrennung in Schichten (MVC Pattern) Komponenten-orientierte Bauweise (SOA?) Hilfe, die Session klemmt! Weitere Tools memcached lighttpd Y!Slow Bytecode Caches JMeter Nutzersimulation, Performance Messung Projektmethodiken: Continuous Integration & Continuous Inspection MAYFLOWER GmbH

7 Zitate zu XSS Symantec Internet Security Thread Report: 69% aller Vulnerabilities passieren in Webapplikationen Web 2.0 und AJAX Sicherheitsprobleme werden wichtiger Mitre Corporation CVE Datenbank: 21.5 % aller Lücken sind XSS-Lücken Von low über medium zu high risk XSS is the new hotness! Billy Hoffman, SPI MAYFLOWER GmbH

8 Wer ist alles betroffen? z.b. die Website einer Konferenz: Angela Merkels Rücktritt: Bundesregierung.de Spiegel Financial Times Deutschland Stern MAYFLOWER GmbH

9 Warum Web 2.0 und XSS besonders wehtut Mehr Logik im Client MVC: bis zu 100% von View und Controller können im Browser stattfinden Professionelle GUI-Erstellung mit JavaScript-Widgets und Komponenten Wachsendes JavaScript-Knowhow Mehr und neue Möglichkeiten für XSS Neue Vektoren Toolkits JSON RSS REST / SOAP MAYFLOWER GmbH

10 Wie Cross-Site-Scripting(XSS) funktioniert Same-Origin-Policy Wenn eine Seite JavaScript mitliefert, dann ist dieses JavaScript vertrauenswürdig Es darf die Seite ändern Daten vom gleichen Host können gelesen werden XSS verletzt diese Policy Es kann JavaScript in den aktuellen Seitenkontext eingeschmuggelt werden Es können beliebige Requests ausgeführt werden es können lokale Daten ausgelesen werden MAYFLOWER GmbH

11 Fortgeschrittene XSS-Exploits Password-Diebstahl Firefox Password-Safe gespeichert wird (Host, Feldname, Wert) -> wird nach dem onload des Dokuments befüllt Ein Login-Formular.. und wie man es ausliest Datenspionage CSS-History Hack per Stylesheet Firefox-Plugins per chrome-img-onerror MAYFLOWER GmbH

12 XSS Filter und wie man sie umgeht Es existiert eine Vielzahl von Filtern in Anwendung und Firewall Problem: HTML soll möglich sein, JavaScript aber nicht Klassische Filter-Evasions: <IMG """><SCRIPT>alert("XSS")</SCRIPT>"> <META HTTP-EQUIV="refresh" CONTENT="0;url=data:text/html;base64,PHNjcmlwdD 5hbGVydCgnWFNTJyk8L3NjcmlwdD4K"> Code-Page-basierte Filter Evasions UTF-7 (Google XSS-Hack) Variable-Width Encoding Evasions Toolkit-basierte Filter Evasions Dojo: dojoattachevent MAYFLOWER GmbH

13 Exploiting Ajax MAYFLOWER GmbH

14 XmlHTTPRequest-Sicherheit Sicherheitskonzept hinter XmlHTTPRequest: Same-Origin-Policy Ähnlich Java-Sandbox Umgehen der Host-Begrenzung DNS-Pinning Wechsel der IP zwischen den Requests Proxy-Request-Spoofing Eine Seite ohne XSS: Trotzdem kann man einen XSS einschmuggeln: Web Cache Poisoning Url MAYFLOWER GmbH

15 JavaScript / Toolkit Manipulation Vollständiger Vertrauensverlust in JavaScript Nutzer-Variablen und Funktionen Systemfunktionen und Methoden Formulare und (Hidden-)Variablen Content, Cookie, Beispiel: Überschreiben von alert() old_alert = alert; function myalert(str) { old_alert('myalert: '+str); } alert = myalert; alert('test'); Prototype.js: Ajax.Request = myrequestmitm MAYFLOWER GmbH

16 JSON JavaScript Object Notation If JSON were Food it would be Sushi Beispiel: { "type": "menu", "value": "File", "items": [ {"value": "New", "action": "CreateNewDoc"}, {"value": "Open", "action": "OpenDoc"}, {"value": "Close", "action": "CloseDoc"} ] } Vorteil: kann direkt in in JavaScript evaluiert werden Nachteil: kann direkt in JavaScript evaluiert werden Zusätzlicher Vektor zum Einschleusen von JavaScript MAYFLOWER GmbH

17 JavaScript-Malware Willkommen im Browser: Viren, Intruder, Spyware und Trojaner MAYFLOWER GmbH

18 Kleine Virengeschichte 1949: John von Neumann prophezeit sich replizierende Software 1986: der erste PC-Virus verbreitet sich 1992: Michelangelo-Virus der erste Medien-Virus 1995: Script-Viren im Mail-Client (Outlook/Express) 1998: Melissa-Wurm in Outlook 2004: Web Application Würmer 2005: MySpace-Virus: Samy is my hero 2006: Ihre Ajax-Applikation (just FUDding) MAYFLOWER GmbH

19 Was sind Web 2.0 Würmer/Viren? Ort: Innerhalb einer/mehrerer Webapplikationen Infizierung per XSS und AJAX Verbreitung per AJAX, Formular, Link, RSS Der Browser führt den Virus aus Applikation ist Speicherort des Virus Der erste wirkliche Cross-Platform-Virus! Kritische Payloads sind möglich Datenänderung Datenspionage (Kreditkarten usw) Durchführung von Transaktionen (Aktienkauf) Wer von Ihnen loggt sich immer aus? Auch bei Google Mail? Bei vorhandenen Logins kann im Hintergrund infiziert werden MAYFLOWER GmbH

20 XSS-Würmer und Viren Warum funktionieren Viren auf Web 2.0? LAW Die Nutzer stellen Inhalte für Nutzer (lokale Vermehrung) Mash-Ups Es werden Applikationsteile von anderen Websites eingebunden (verteile Vermehrung) Neue Verbreitungswege wie RSS, SOAP, REST (verteilte Vermehrung) Ajax-Möglichkeiten stehen auch Hackern offen (Infizierung und Vermehrung) Es gibt mehr Schnittstellen zwischen Client und Server(n) (mehr Möglichkeiten zur Infizierung) MAYFLOWER GmbH

21 Samy is my Hero der MySpace Wurm MySpace, zu dem Zeitpunkt 5-wichtigste Internetseite weltweit Samy hatte nur 73 Freunde. Zu wenig. Aber er hatte JavaScript-Knowhow. JavaScript im eigenen Profil, daß Samy per XmlHTTPRequest zum Freund macht MySpace war vorbereitet: Guter JavaScript-Filter - aber mit Filter-Evasions! CSRF-Schutz per ZufallsHash - per XHR umgangen! Nach 20 Stunden hatte Samy mehr als Freunde! MAYFLOWER GmbH

22 Browser Zombies JavaScript bedeutet Kontrolle über den Browser JavaScript muss nicht statisch sein Es könnte auch ein Mensch auf der anderen Seite sein, oder ein intelligentes Script Besuchen Sie uns! Wir besuchen Sie auch! Browser Exploitation Framework COMET! MAYFLOWER GmbH

23 Intranet-Attacken Hinter der Firewall ist das Paradies Ungepatchte Software Default-Passworte Ungeschützte Dienste Aber: das Intranet kann gescannt werden 1. die lokale Adresse ermitteln 2. das lokale Class-C-Netz auf Port 80 scannen Erkennung der Infrastruktur Individuelle Attacken Siehe Proxy-Exploit bekannte Lücken: Linksys-WRT-Router MAYFLOWER GmbH

24 Ajax Applikationen sichern MAYFLOWER GmbH

25 Status bei Web 2.0 Sicherheit XSS ist kein kleines Risiko mehr mehr Funktionalität im Client bedeutet mehr Potentielle Lücken Um so mehr JavaScript kann, um so mehr kann auch XSS JavaScript- und integrierte Toolkits haben regelmässig Lücken Alle 2 Monate eine neue XSS-Lücke bekannt Security is a process, not a product MAYFLOWER GmbH

26 Strategien zur Sicherung Der Weg zu 100-prozentiger Sicherheit im Web: 25% Web Application Firewalls wie mod_security 25% Web Security Scanner 25% Source Code Audits und Entwicklung mit Security in Mind da fehlt doch was Vermeidung von kritischen Funktionalitäten HTML-Eingaben Vertrauen auf externe Quellen MAYFLOWER GmbH

27 Sichern von Anwendungen Dem Client nicht vertrauen: Header, Cookies, Get, Post Auch nicht der Applikationslogik im Client Daten Filtern: Formate erzwingen: Es sind nur bestimmte Zeichen valide (0-9,) Es ist nur ein Format gültig (089/ ) Es ist nur eine bestimmte Länge möglich Bei Nutzung escapen Entities für HTML Hochkomma für SQL Slashes für JavaScript Meist in einer Zeile machbar Im Falle PHP: mit Suhosin PHP abhärten MAYFLOWER GmbH

28 Fazit Security JavaScript etabliert sich als Angriffsplattform Die Möglichkeiten und Gefahren von JavaScript-Malware werden zur Zeit deutlich unterschätzt Es wird mehr Viren und Würmer auf Web-Applikationen geben Sie werden Applikations- und Domainübergreifend sein Es wird gezielte XSS-Attacken geben Intranet-Attacken werden über JavaScript stattfinden Sicherheit wird bei der Applikationsentwicklung fürs Web in der Vordergrund rücken MAYFLOWER GmbH

29 Skalierbare Webanwendungen, SQL Tuning (I) Mind your (My)SQL! Probleme oftmals bei schlecht designten Tabellen oder SQL Abfragen EXPLAIN SELECT Replikation (Master zum Schreiben, Sklaven zum Lesen) 1 Master, n Slaves oder n Master, n Slaves (Multi- Master Setup) verteilt auf n Datacenter MySQL Proxy! MAYFLOWER GmbH

30 SQL Tuning (II) Clustering (In-Memory Cluster, disk based Cluster soon) Partitionierung Auf dem gleichen Server Lösung: Sharding! ( + MySQL Proxy) Mehr SQL Primary Keys -> SELECT der IDs, dann iteratives Auslesen der Datensätze zusätzlich MySQL Certification zur Sicherung der eigenen Ausbildung MAYFLOWER GmbH

31 MySQL Proxy MySQL, fly light! klein und schlank Query interceptor Sitzt zwischen Client (z.b. PHP) und dem MySQL Server Query Manipulation leicht gemacht per lua scriptbar Applikationen auf Master-Slave Setups hieven ohne Änderung am Programmcode Sharding ohne Änderung am Programmcode noch Alpha viele Tester gesucht! MAYFLOWER GmbH

32 Applikationsdesign Design-Patterns (Factory, Decorator, Singleton, ) Komponenten-orientierte Bauweise leichterer Überblick einfache Wartbarkeit schnell erweiterbar lässt sich später einfacher verteilen SOA Architektur (SOAP, XML-RPC, JSON, ) Integration mit anderen Sprachen Wegbereiter für mehr Performance MAYFLOWER GmbH

33 Hilfe, die Session klemmt! Clustering? Load Balancer mit Session Affinity und file-basierten Sessions Sessions in der Datenbank ablegen *hüstel* Sessions per ZendPlatform Session Clustering + Session Cache verteilen Sessions per memcached verteilen Ausflug nach memcached in der nächsten Folie MAYFLOWER GmbH

34 memcached a distributed memory object caching system Connect via Socket Ablage von Daten memcached selbst ist cluster-fähig n Server, die nur memcached machen Große Sites nutzen memcached extensiv, z.b. Ablage von Session Daten Ablage fürs Content-Caching MAYFLOWER GmbH

35 lighttpd fly light! (I) Es muss nicht immer Apache sein Stark skalierender Webserver, speziell für statische Dateien single process,top5 der Netcraft Statistik Besonders gut bei statischen Dateien (Produktbilder, CSS, JavaScript) und Flash Videostreams auch gut in Kombination mit PHP (FastCGI SAPI) kann load-balancing Beispielkonfigurationen: 1 lighttpd Server, n PHP Applikationsserver 1 lighttpd Server, n Apache Server (reverse Proxy) Cluster aus lighttpd Servern MAYFLOWER GmbH

36 lighttpd fly light (II) lua World of Warcraft? Content-Caching mit lua PHP muss dann nicht mehr ausliefern PHP kann lighttpd benachrichtigen (per MySQL UDF) leicht konfigurierbar MAYFLOWER GmbH

37 Performance Optimierungen für den Client Y!Slow Extension für Firebug (Extension für Firefox) Bewertung von zum Beispiel Ladezeiten einzelner Bilder oder Elemente (CSS, JS, ) Bewertung von sinnvoll oder sinnlos gesetzten HTTP Headern Entwickelt von Yahoo! (daher Y! ) Eingeteilt nach 13 simplen Performanceregeln Einteilung in Grade A bis F (A = Top, F = Flop) MAYFLOWER GmbH

38 Bytecode Caching APC ZendPlatform (bei OXID EE dabei) eaccelerator Sollte Standard in jeder Installation sein MAYFLOWER GmbH

39 Nutzersimulation mit JMeter Erster Gedanke: Apache Bench (ab) Hilft jedoch nicht viel, weil es nur stumpf Requests abfeuert Lösung: Tools wie JMeter Nutzersimulation Aufzeichnung von HTTP Requests Nutzer klickt sich durch den Shop legt Produkt in den Warenkorb Macht einen Checkout Virtuelles Ausschwärmen der Nutzer RampUp Phasen etc. Beispiel: Performance-Bottleneck in MySQL View durch JMeter gefunden MAYFLOWER GmbH

40 Continuous Integration - Einführung Kontinuierliche Integration besonders bei Entwicklung im Team auf Basis von CruiseControl (Java-basiert) mit eigenentwickelten AddOns & 3rd party tools Zend CodeAnalyzer Coding Guideline Check Selenium Tests inkl. Screenshots Code Browser Code Coverage Code Metriken PHP Doc Output CVS Stats Copy & Paste Detection MAYFLOWER GmbH

41 Continuous Integration was bringt es? Komfort Non-Event Analysen, Inspektion und Wächter -Funktion Konzept des Builds, das vieles machen kann (z.b. nach jedem Commit Tests, Analysen & Inspektion) Browserakzeptanztests mit Selenium (z.b. 1x täglich) Nutzersimulationen für Performance Tests (z.b. 1x wöchentlich) Absicherung und Qualitätssicherung während des Developments vor Releases in Produktion MAYFLOWER GmbH

42 CruiseControl Beispiele (I) MAYFLOWER GmbH

43 Cruise Control Beispiele (II) MAYFLOWER GmbH

44 Cruise Control Beispiele (III) MAYFLOWER GmbH

45 Vielen Dank für Ihre Aufmerksamkeit Björn Schotte Mayflower GmbH Pleichertorstr Würzburg +49 (931)

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte : Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte Zur Person GF Mayflower GmbH (35 MA, Webschmiede, Premium-/High-Performance Development) PHP Pionier (1999: phpcenter.de) Internet

Mehr

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann MySQL Webinar 30.01.2007 Johann-Peter Hartmann Agenda Ajax und XSS Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders schmerzt Ajax Security Xml HTTP Request,

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1. Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

Wir bringen Ihre Notes/Domino Anwendungen sicher ins Web 19.11.2015, Bilster Berg Drive Resort Michael Steinhoff, agentbase AG. www.agentbase.

Wir bringen Ihre Notes/Domino Anwendungen sicher ins Web 19.11.2015, Bilster Berg Drive Resort Michael Steinhoff, agentbase AG. www.agentbase. Wir bringen Ihre Notes/Domino Anwendungen sicher ins Web 19.11.2015, Bilster Berg Drive Resort Michael Steinhoff, agentbase AG www.agentbase.de 1 Agenda Grundlagen Modernisierung Möglichkeiten mit Domino

Mehr

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG 05.07.2012 Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG Agenda 01 Einführung 02 Architektur 03 Lösungen 04 Zusammenfassung 2 2 Agenda 01 Einführung 02

Mehr

Herzlich Willkommen! eine praxisnahe Übersicht. Mit Java ins Web - mb@bebox.franken.de. 26.11.2000 (c) Michael Behrendt -

Herzlich Willkommen! eine praxisnahe Übersicht. Mit Java ins Web - mb@bebox.franken.de. 26.11.2000 (c) Michael Behrendt - Herzlich Willkommen! Mit Java ins Web - eine praxisnahe Übersicht 1 Wer bin ich? Michael Behrendt, 21, Nürnberg kurzer Lebenslauf: 1991 Erster Rechner: Commodore C128 1995 Ausbildung zum Datenverarbeitungskaufmann

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

WEBAPPLIKATIONEN MIT PHP. Wo gibt es Hilfe? Wie fang ich an?

WEBAPPLIKATIONEN MIT PHP. Wo gibt es Hilfe? Wie fang ich an? WEBAPPLIKATIONEN MIT PHP Wo gibt es Hilfe? Wie fang ich an? Tools Webapplikationen bestehen aus Textdateien Lassen sich in Texteditoren schreiben Alternativen: Eclipse (PDT) Netbeans (Dynamic Languages)

Mehr

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13 NEWpixi* API und die Umstellung auf REST Fakten NEWpixi* API Technik REST-basierend.NET Webservice IIS Webserver Release 31. August 2013, zusammen mit dem NEWpixi* ELI Release Legacy API und erste NEWpixi*

Mehr

Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen. KNF Kongre 2001 Henning P. Schmiedehausen

Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen. KNF Kongre 2001 Henning P. Schmiedehausen <henning@apache.org> Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen Henning P. Schmiedehausen Turbine - ein berblick Open Source unter Apache License 100% pure Java, Java 2 (JDK 1.2+) Servlet-basiertes

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Softwareentwicklung in der industriellen Praxis

Softwareentwicklung in der industriellen Praxis Softwareentwicklung in der industriellen Praxis Cloud-Systeme: Besonderheiten bei Programmierung und Betrieb Steffen Gemkow / Paul Fritsche - ObjectFab GmbH 26.11.2012 Simple is beautiful Don t repeat

Mehr

1&1 Frontend-Architektur. Nico Steiner

1&1 Frontend-Architektur. Nico Steiner 1&1 Frontend-Architektur Nico Steiner 1&1 MEMBER OF UNITED INTERNET AG Mehr als 5.600 Mitarbeiter, davon 1.500 in Produkt-Management, Entwicklung und Rechenzentren 5 Rechenzentren mit 70.000 Server in

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Web 2.0 Architekturen und Frameworks

Web 2.0 Architekturen und Frameworks Web 2.0 Architekturen und Frameworks codecentric GmbH Mirko Novakovic codecentric GmbH Quality Technische Qualitätssicherung in Software-Projekten mit Fokus auf Performance, Verfügbarkeit und Wartbarkeit

Mehr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

PHP & Windows. Jan Burkl System Engineer, Zend Technologies. All rights reserved. Zend Technologies, Inc.

PHP & Windows. Jan Burkl System Engineer, Zend Technologies. All rights reserved. Zend Technologies, Inc. PHP & Windows Jan Burkl System Engineer, Zend Technologies Wer bin ich? Jan Burkl jan.burkl@zend.com PHP Entwickler seit 2001 Projektarbeit Bei Zend seit 2006 System Engineer Zend Certified Engineer PHP

Mehr

Verteilte Systeme Hochschule Mannheim

Verteilte Systeme Hochschule Mannheim Verteilte Systeme Hochschule Mannheim Thorsten Reitz, Thomas Zimmermann, Jori Kern, Tobias Schröder, Christoph Reiser, Kay Estelmann Fakultät für Informatik Hochschule Mannheim 8.4.2011 Heute 1 Einleitung

Mehr

Performance Report OXID eshop 5.0 Enterprise Edition

Performance Report OXID eshop 5.0 Enterprise Edition Performance Report OXID eshop 5.0 Enterprise Edition supported by SysEleven September 2013 OXID esales AG www.oxid-esales.com info@oxid-esales.com 1/14 Copyright Kontakt OXID esales AG www.oxid-esales.com

Mehr

Einführung: Lasttests mit JMeter. Sitestress.eu Jesuitenmauer 24 33098 Paderborn www.sitestress.eu - karl@sitestress.eu - 05251 / 687060

Einführung: Lasttests mit JMeter. Sitestress.eu Jesuitenmauer 24 33098 Paderborn www.sitestress.eu - karl@sitestress.eu - 05251 / 687060 Einführung: Lasttests mit JMeter Agenda Über SITESTRESS.EU Tests planen Warum Lasttests? Testen Was ist JMeter? Ergebnisse analysieren Wie arbeitet JMeter? Beispiel JMeter-GUI Skripte für JMeter über SITESTRESS.EU

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Automatisches Exploratives Testen von Webanwendungen

Automatisches Exploratives Testen von Webanwendungen Automatisches Exploratives Testen von Webanwendungen Dr. Valentin Dallmeier IT-Themenabend - 2013-10-01 AG Produkte und Dienstleistungen für die Qualitätssicherung von Software. AG Dr. Valentin Dallmeier

Mehr

Frank Kleine, Nico Steiner 1&1 Internet AG. Frontend-Performance mit PHP

Frank Kleine, Nico Steiner 1&1 Internet AG. Frontend-Performance mit PHP Frank Kleine, Nico Steiner 1&1 Internet AG Frontend-Performance mit PHP Vorstellung Frank Kleine Head of Web Infrastructure Nico Steiner Experte für Frontend T&A Frontend-Performance mit PHP 2 Vorstellung

Mehr

XE IDE Cloud Web. secure Data Agile. RAD Studio XE was gibt es Neues in Delphi? Daniel Magin Delphi Experts. Daniel Wolf Delphi-Praxis

XE IDE Cloud Web. secure Data Agile. RAD Studio XE was gibt es Neues in Delphi? Daniel Magin Delphi Experts. Daniel Wolf Delphi-Praxis RAD Studio XE was gibt es Neues in Delphi? Daniel Magin Delphi Experts Daniel Wolf Delphi-Praxis Matthias Eißing Embarcadero Germany GmbH XE IDE Cloud Web 1 secure Data Agile Agenda Neues in der IDE, RTL

Mehr

Was eine WAF (nicht) kann. Ausgabe 2013

Was eine WAF (nicht) kann. Ausgabe 2013 Was eine WAF (nicht) kann. Ausgabe 2013 Mirko Dziadzka http://mirko.dziadzka.de/ @MirkoDziadzka OWASP Stammtisch München - 19.11.2013 1 / 27 Inhalt Worum soll es heute gehen Meine (subjektive) Meinung

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Website Performance Optimierung

Website Performance Optimierung Website Performance Optimierung Fokus: Frontendoptimierung form4 GmbH & Co. KG Jan-Henrik Hempel Telefon: 030.278784-13 E-Mail: jan-henrik.hempel@form4.de Website Performance Optimierung Überblick 1 Relevanz

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

EPO Consulting GmbH. Ihr Partner für HTML5 und SAP UI5 Apps. www.epoconsulting.com. Stand 2015/04. EPO Consulting GmbH - 1 -

EPO Consulting GmbH. Ihr Partner für HTML5 und SAP UI5 Apps. www.epoconsulting.com. Stand 2015/04. EPO Consulting GmbH - 1 - EPO Consulting GmbH Ihr Partner für HTML5 und SAP UI5 Apps www.epoconsulting.com Stand 2015/04 EPO Consulting GmbH - 1 - EPO Mobile Apps für HTML5 und SAP UI5 Apps SAP bietet künftig für alle SAP Produkte

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Session Storage im Zend Server Cluster Manager

Session Storage im Zend Server Cluster Manager Session Storage im Zend Server Cluster Manager Jan Burkl System Engineer, Zend Technologies Agenda Einführung in Zend Server und ZSCM Überblick über PHP Sessions Zend Session Clustering Session Hochverfügbarkeit

Mehr

3. Stud.IP-Entwickler-Workshop 2. Juni 2006 Workshop 3c: Stud.IP-Enterprise-Edition André Noack, Frank Elsner

3. Stud.IP-Entwickler-Workshop 2. Juni 2006 Workshop 3c: Stud.IP-Enterprise-Edition André Noack, Frank Elsner 3. Stud.IP-Entwickler-Workshop 2. Juni 2006 Workshop 3c: Stud.IP-Enterprise-Edition André Noack, Frank Elsner Gliederung Das Problem: Skalierbarkeit LAMP Tuning Mehr als ein Server Stud.IP und shared nothing

Mehr

Wolkig bis heiter. Andreas Wismann WHEN OTHERS. APEX als Drehkreuz für Web Service-Anwendungen

Wolkig bis heiter. Andreas Wismann WHEN OTHERS. APEX als Drehkreuz für Web Service-Anwendungen Wolkig bis heiter APEX als Drehkreuz für Web Service-Anwendungen Andreas Wismann WHEN OTHERS Beratung Projektmanagement Coaching rund um Oracle Application Express In APEX Informationen von "woanders"

Mehr

OwnCloud. Florian Preinstorfer. http://nblock.org VALUG 14.02.2014

OwnCloud. Florian Preinstorfer. http://nblock.org VALUG 14.02.2014 OwnCloud Florian Preinstorfer http://nblock.org VALUG 14.02.2014 This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Austria license (CC-BY-SA). Inhalt Einleitung OwnCloud Editions

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Erfahren Sie mehr zu LoadMaster für Azure

Erfahren Sie mehr zu LoadMaster für Azure Immer mehr Unternehmen wechseln von einer lokalen Rechenzentrumsarchitektur zu einer öffentlichen Cloud-Plattform wie Microsoft Azure. Ziel ist es, die Betriebskosten zu senken. Da cloud-basierte Dienste

Mehr

Netzwerk Technologien in LabVIEW

Netzwerk Technologien in LabVIEW Netzwerk Technologien in LabVIEW von Dirk Wieprecht NI Germany Hier sind wir: Agenda Agenda Bedeutung des Ethernet für die Messtechnik Ethernet-basierende Technologien in LabVIEW Low Level- TCP/IP Objekt

Mehr

Ruby on Rails. Florian Ferrano Ralf Heller Markus Nagel

Ruby on Rails. Florian Ferrano Ralf Heller Markus Nagel Ruby on Rails Florian Ferrano Ralf Heller Markus Nagel Überblick Ruby on Rails Ruby Rails Geschichte MVC allgemein MVC in Rails Scaffolding Webserver Installation Beispiele Wo wird Rails verwendet? Ausblick

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

Erfahrungen und Erkenntnisse. Klaus Richarz, HBT GmbH

Erfahrungen und Erkenntnisse. Klaus Richarz, HBT GmbH Erfahrungen und Erkenntnisse Klaus Richarz, HBT GmbH Java Enterprise Edition 5.0 JBoss Seam Konsequenzen für Realisierung Qualitätssicherung Build & Deployment Fazit & Empfehlungen JBoss Seam in Projekten,

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Testgetriebene Web-Entwicklung mit Ruby on Rails

Testgetriebene Web-Entwicklung mit Ruby on Rails Testgetriebene Web-Entwicklung mit Ruby on Rails Thomas Baustert www.b-simple.de www.b-simple.de 1 Agenda Rails Einführung Test-Unterstützung in Rails Testgetriebene Web-Entwicklung mit Rails Live Demo

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

PHP 6 Beliebte Webskriptsprache wird erwachsen. Linux User Group Bern 14.05.2009 René Moser

PHP 6 Beliebte Webskriptsprache wird erwachsen. Linux User Group Bern 14.05.2009 René Moser <mail@renemoser.net> PHP 6 Beliebte Webskriptsprache wird erwachsen Linux User Group Bern 14.05.2009 René Moser Inhalt 1.Wie entstand PHP? 2.Was PHP? 3.Warum PHP? 4.Wie installiere ich PHP? 5.Wie programmiere

Mehr

New Features Oracle Forms 11g Nichts Neu für Forms?

New Features Oracle Forms 11g Nichts Neu für Forms? New Features Oracle Forms 11g Nichts Neu für Forms? Perry Pakull Technology Manager perry.pakull@trivadis.com Zürich, 20.04.2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br.

Mehr

Cross Platform Development mit SharePoint

Cross Platform Development mit SharePoint Cross Platform Development mit SharePoint Agenda Wir entwickeln eine App um Businesstrips in SharePoint zu erfassen Businesstraveller 0.1 http://ppedv.de/msts Folien Demo Projekt Link Sammlung Und meine

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Agenda. Eine kurze Einführung ins Webseitenmonitoring

Agenda. Eine kurze Einführung ins Webseitenmonitoring Agenda - 1/30 - Agenda Agenda...1 MARE system...2 Was ist Monitoring?...3 Warum Monitoring?...4 Was kann man überwachen?...5 Webseitenmonitoring...6 Warum Nagios/Icinga?...11 Welche Daten liefert Nagios?...15

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Business ProzessMonitoring mit BPView

Business ProzessMonitoring mit BPView Business ProzessMonitoring mit BPView DI (FH) René Koch rene.koch@siedl.net 1/46 Agenda Was ist BPView? Monitoring Daten sammeln Überblick über das Web UI Dashboards und Business Prozesse definieren Roadmap

Mehr

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Compass E-Lab Remote Security Lab 19. November 2008 Name des Dokumentes: DE_Hacking_Lab_V3.2.doc

Mehr

Pylons & ExtJS. PyCologne Vortrag Köln, 11.6.2008. smart:elligence Unternehmensberatung, Düsseldorf

Pylons & ExtJS. PyCologne Vortrag Köln, 11.6.2008. smart:elligence Unternehmensberatung, Düsseldorf Pylons & ExtJS PyCologne Vortrag Köln, 11.6.2008 smart:elligence Unternehmensberatung, Düsseldorf Agenda WSGI Basics & Framework Pylons die wichtigsten Komponenten Pylons Laufzeitumgebung, Applikations-Struktur

Mehr

PHP Usergroup Berlin. 6. April 2010. Ein Leben mit und ohne Magento

PHP Usergroup Berlin. 6. April 2010. Ein Leben mit und ohne Magento PHP Usergroup Berlin 6. April 2010 Ein Leben mit und ohne Magento Wer wir sind... Volker Pilz () Daniel Nowak (Rocket Internet) xing.com/profle/volker_pilz xing.com/profle/daniel_nowak Senior Software

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

Skalierbare Webanwendungen mit Python und Google App Engine

Skalierbare Webanwendungen mit Python und Google App Engine Skalierbare Webanwendungen mit Python und Google App Engine Oliver Albers 03. Juli 2008 1/32 Einführung Worum geht es? Pro und Contra Technik Genereller Aufbau Anwendungskonfiguration Verarbeitung von

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Einfluss der Treatment Sets auf Ladezeiten und Datenvolumen am Beispiel von SharePoint Server 2010

Einfluss der Treatment Sets auf Ladezeiten und Datenvolumen am Beispiel von SharePoint Server 2010 : Einfluss der Treatment Sets auf Ladezeiten und Datenvolumen am Beispiel von SharePoint Server 2010 von Thomas Stensitzki, Senior Consultant icomcept GmbH Management Summary Der Aufbau von Webseiten kann

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Mobilkommunikation. REST-basierte Dienste für verteilte, mobile Anwendungen. A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt

Mobilkommunikation. REST-basierte Dienste für verteilte, mobile Anwendungen. A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt Mobilkommunikation REST-basierte Dienste für verteilte, mobile Anwendungen A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt Fachhochschule Köln, Institut für Nachrichtentechnik Fachhochschule Köln Anton Gillert,

Mehr

Zend Server Cluster Manager

Zend Server Cluster Manager Zend Server Cluster Manager Jan Burkl Zend Technologies Wer bin ich? Jan Burkl jan.burkl@zend.com PHP Entwickler seit 2001 Projektarbeit Bei Zend seit 2006 System Engineer Zend Certified Engineer PHP 5

Mehr

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends

Mehr

Web-Programmierung (WPR)

Web-Programmierung (WPR) Web-Programmierung (WPR) Vorlesung XII. Vergleich Server-Plattformen mailto:wpr@gruner.org 1 Technologien Perl/CGI Einsatzgebiete: Kleine Websites, semiprofessioneller Bereich Pro's: Plattform/Serverneutralität

Mehr

Performance Tuning mit @enterprise

Performance Tuning mit @enterprise @enterprise Kunden-Forum 2005 Performance Tuning mit @enterprise Herbert Groiss Groiss Informatics GmbH, 2005 Inhalt Datenbank RMI JAVA API HTTP Konfiguration Analyse Groiss Informatics GmbH, 2005 2 Datenbank

Mehr

Web 2.0 und AJAX bei Austrian Airlines. Ceylan Özmen IT-Koordinatorin

Web 2.0 und AJAX bei Austrian Airlines. Ceylan Özmen IT-Koordinatorin Web 2.0 und AJAX bei Austrian Airlines Ceylan Özmen IT-Koordinatorin Agenda Web 2.0 Implementierungen bei Austrian Airlines AJAX AJAX Patterns Leistungsvergleich von serverseitigen AJAX Frameworks mit

Mehr

Internet Briefing. Developer Konferenz. Clientseitige Last- & Performancetesting. Namics.

Internet Briefing. Developer Konferenz. Clientseitige Last- & Performancetesting. Namics. Internet Briefing. Developer Konferenz. Clientseitige Last- & Performancetesting. Jürg Stuker. CEO. Partner. 8. Dezember 2011 Thema 1 Verstehen was zwischen User Agent und Server geschwatzt wird... 8.

Mehr

EPOKO.net. Frank Schwichtenberg. SourceTalk 2009 Göttingen, 1.10.2009

EPOKO.net. Frank Schwichtenberg. SourceTalk 2009 Göttingen, 1.10.2009 EPOKO.net Frank Schwichtenberg SourceTalk 2009 Göttingen, 1.10.2009 2 Real SOA Wenn Services (zusammen )wachsen. Historisches Der Wunsch nach Integration von Terminen in eine Webseite Ohne ein Content

Mehr

Schnelle Webapplikationen. Status Quo heute...

Schnelle Webapplikationen. Status Quo heute... Schnelle Webapplikationen Status Quo heute... Schnelle Webapplikationen Status Quo heute...... wohin geht die Reise? Über mich CTO und Gesellschafter der Marketing Factory Consulting GmbH TYPO3 Commerce

Mehr

Dirk Reinemann Working Student Sales Consulting

Dirk Reinemann Working Student Sales Consulting JDeveloper 12c in 30 Minutes Dirk Reinemann Working Student Sales Consulting Program Agenda 1. Integrated Development Environment 2. Java Development 3. Web Development 4. Team Development 5. Application

Mehr

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de suhosin PHP-Patch und PHP-Security Extension Peter Prochaska Freiberuflicher Security-Consultant, PHP- Entwickler, Trainer und Autor. PHP-Entwickler seit 1998 Buchautor: PHP-Sicherheit, dpunkt.verlag Mitentwickler

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Web Application Engineering & Content Management Übungsteil zu 184.209 VU 2.0

Web Application Engineering & Content Management Übungsteil zu 184.209 VU 2.0 Web Application Engineering & Content Management Übungsteil zu 184.209 VU 2.0 Übungsergänzungen zur Vorlesung an der Technischen Universität Wien Wintersemester 2015/2016 Univ.-Lektor Dipl.-Ing. Dr. Markus

Mehr

Investitionsschutz und Innovationsdruck: Wie muss eine zukunftssichere Plattform aussehen?

<Insert Picture Here> Investitionsschutz und Innovationsdruck: Wie muss eine zukunftssichere Plattform aussehen? Investitionsschutz und Innovationsdruck: Wie muss eine zukunftssichere Plattform aussehen? Jürgen Menge TSBU Middleware Oracle Deutschland GmbH Oracle Forms Heute sehr aktive Kundenbasis

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

Auswahl eines Continuous Integrationsservers

Auswahl eines Continuous Integrationsservers Auswahl eines Continuous Integrationsservers Orientation in Objects GmbH Weinheimer Str. 68 68309 Mannheim Version: 1.0 www.oio.de info@oio.de Gliederung Einführung Auswahlkriterien Fazit 2 Gliederung

Mehr

DCCS Lotusphere Nachlese 2012 Was sind XPages? Mobile Features für XPages

DCCS Lotusphere Nachlese 2012 Was sind XPages? Mobile Features für XPages Wir automatisieren und optimieren Ihre Geschäftsprozesse DCCS Lotusphere Nachlese 2012 Was sind XPages? Mobile Features für XPages Thomas Brandstätter 06.03.2012 www.dccs.at Agenda Theorie Was sind XPages

Mehr

SharePoint 2016 was kommt auf uns zu? SharePoint & Office 365 Community Zentralschweiz

SharePoint 2016 was kommt auf uns zu? SharePoint & Office 365 Community Zentralschweiz SharePoint 2016 was kommt auf uns zu? SharePoint & Office 365 Community Zentralschweiz Inhalt Wo liegt der Fokus von SharePoint 2016? Experiences Infrastruktur SharePoint Migration auf 2016 Wie sehen die

Mehr

HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1

HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1 HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1 AGENDA Einführung Apps - Einführung Apps Architektur SharePoint-Hosted Apps Cloud-Hosted Apps Ausblick 11.09.2012 IOZ AG 2 ÜBER

Mehr

Multisite Setup. mit Nutzung von Subversion. Drupal Voice Chat 21.10.2008 mcgo@drupalist.de

Multisite Setup. mit Nutzung von Subversion. Drupal Voice Chat 21.10.2008 mcgo@drupalist.de Multisite Setup mit Nutzung von Subversion Drupal Voice Chat 21.10.2008 mcgo@drupalist.de 1 Voraussetzungen Server (dediziert oder virtuell) Zugriff auf Terminal (z.b. per ssh) Webserver / Datenbankserver

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

HERZLICH WILLKOMMEN SHAREPOINT 2013 - DEEP DIVE FOR ADMINS 11.09.2012 IOZ AG 2

HERZLICH WILLKOMMEN SHAREPOINT 2013 - DEEP DIVE FOR ADMINS 11.09.2012 IOZ AG 2 11.09.2012 IOZ AG 1 HERZLICH WILLKOMMEN SHAREPOINT 2013 - DEEP DIVE FOR ADMINS 11.09.2012 IOZ AG 2 AGENDA Über mich Architekturänderungen Systemvoraussetzungen Migration Fragen 11.09.2012 IOZ AG 3 ÜBER

Mehr

ZenQuery - Enterprise Backend as a Service Single Page Applications mit AngularJS und Spring MVC. - Björn Wilmsmann -

ZenQuery - Enterprise Backend as a Service Single Page Applications mit AngularJS und Spring MVC. - Björn Wilmsmann - ZenQuery - Enterprise Backend as a Service Single Page Applications mit AngularJS und Spring MVC - Björn Wilmsmann - ZenQuery Enterprise Backend as a Service Unternehmen horten Daten in Silos ZenQuery

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr