Sicherheit und Skalierbarkeit im E-Business OXID Partnertag Björn Schotte

Größe: px
Ab Seite anzeigen:

Download "Sicherheit und Skalierbarkeit im E-Business OXID Partnertag 09.10.2007 Björn Schotte"

Transkript

1 Sicherheit und Skalierbarkeit im E-Business OXID Partnertag Björn Schotte

2 Wer bin ich? Been there, done that: Internet seit 1993/94 PHP seit 1997 PHP-Center.de PHP Magazin PHP Konferenz Faible für skalierbare & sichere Applikationen MAYFLOWER GmbH

3 Wer ist Mayflower? Deutschlands größter LAMP Dienstleister >40 Mitarbeiter 35 OXID eshop EE zertifizierte Entwickler Geschäftsbereiche: Premium Software Development Beratung/Training Support E-Commerce Kunden Premiere/T-Systems, neckermann.de Siemens, Vaillant Group, Telefónica, O2, e-fellows, sevenload, studivz, UnitedInternet, Deutsche Bank, HypoVereinsbank, MAYFLOWER GmbH

4 Mayflower GmbH Security Expertise tiefes KnowHow im Bereich PHP und JS Security Security Tool Chorizo! https://chorizo-scanner.com/ Security Audits sowie Zertifizierung, Security Trainings MAYFLOWER GmbH

5 Agenda Security JavaScript-Injections und Ajax (XSS) Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders wehtut Ajax / Web 2.0 Probleme Xml HTTP Request, Toolkits, JSON Ajax-Malware: XSS-Würmer und Viren Kurze Virengeschichte Web 2.0, Viren und Würmer Ajax-Malware: Web 2.0-Attacken Browser Zombies Intranet-Attacken Ajax-Applikationen absichern MAYFLOWER GmbH

6 Agenda Performance Mind your SQL Falsches SQL ist oftmals ein Bottleneck mehr SQL ist besser Achtung: Applikationsdesign! Kapselung in Objekten (Design Patterns) Saubere Auftrennung in Schichten (MVC Pattern) Komponenten-orientierte Bauweise (SOA?) Hilfe, die Session klemmt! Weitere Tools memcached lighttpd Y!Slow Bytecode Caches JMeter Nutzersimulation, Performance Messung Projektmethodiken: Continuous Integration & Continuous Inspection MAYFLOWER GmbH

7 Zitate zu XSS Symantec Internet Security Thread Report: 69% aller Vulnerabilities passieren in Webapplikationen Web 2.0 und AJAX Sicherheitsprobleme werden wichtiger Mitre Corporation CVE Datenbank: 21.5 % aller Lücken sind XSS-Lücken Von low über medium zu high risk XSS is the new hotness! Billy Hoffman, SPI MAYFLOWER GmbH

8 Wer ist alles betroffen? z.b. die Website einer Konferenz: Angela Merkels Rücktritt: Bundesregierung.de Spiegel Financial Times Deutschland Stern MAYFLOWER GmbH

9 Warum Web 2.0 und XSS besonders wehtut Mehr Logik im Client MVC: bis zu 100% von View und Controller können im Browser stattfinden Professionelle GUI-Erstellung mit JavaScript-Widgets und Komponenten Wachsendes JavaScript-Knowhow Mehr und neue Möglichkeiten für XSS Neue Vektoren Toolkits JSON RSS REST / SOAP MAYFLOWER GmbH

10 Wie Cross-Site-Scripting(XSS) funktioniert Same-Origin-Policy Wenn eine Seite JavaScript mitliefert, dann ist dieses JavaScript vertrauenswürdig Es darf die Seite ändern Daten vom gleichen Host können gelesen werden XSS verletzt diese Policy Es kann JavaScript in den aktuellen Seitenkontext eingeschmuggelt werden Es können beliebige Requests ausgeführt werden es können lokale Daten ausgelesen werden MAYFLOWER GmbH

11 Fortgeschrittene XSS-Exploits Password-Diebstahl Firefox Password-Safe gespeichert wird (Host, Feldname, Wert) -> wird nach dem onload des Dokuments befüllt Ein Login-Formular.. und wie man es ausliest Datenspionage CSS-History Hack per Stylesheet Firefox-Plugins per chrome-img-onerror MAYFLOWER GmbH

12 XSS Filter und wie man sie umgeht Es existiert eine Vielzahl von Filtern in Anwendung und Firewall Problem: HTML soll möglich sein, JavaScript aber nicht Klassische Filter-Evasions: <IMG """><SCRIPT>alert("XSS")</SCRIPT>"> <META HTTP-EQUIV="refresh" CONTENT="0;url=data:text/html;base64,PHNjcmlwdD 5hbGVydCgnWFNTJyk8L3NjcmlwdD4K"> Code-Page-basierte Filter Evasions UTF-7 (Google XSS-Hack) Variable-Width Encoding Evasions Toolkit-basierte Filter Evasions Dojo: dojoattachevent MAYFLOWER GmbH

13 Exploiting Ajax MAYFLOWER GmbH

14 XmlHTTPRequest-Sicherheit Sicherheitskonzept hinter XmlHTTPRequest: Same-Origin-Policy Ähnlich Java-Sandbox Umgehen der Host-Begrenzung DNS-Pinning Wechsel der IP zwischen den Requests Proxy-Request-Spoofing Eine Seite ohne XSS: Trotzdem kann man einen XSS einschmuggeln: Web Cache Poisoning Url MAYFLOWER GmbH

15 JavaScript / Toolkit Manipulation Vollständiger Vertrauensverlust in JavaScript Nutzer-Variablen und Funktionen Systemfunktionen und Methoden Formulare und (Hidden-)Variablen Content, Cookie, Beispiel: Überschreiben von alert() old_alert = alert; function myalert(str) { old_alert('myalert: '+str); } alert = myalert; alert('test'); Prototype.js: Ajax.Request = myrequestmitm MAYFLOWER GmbH

16 JSON JavaScript Object Notation If JSON were Food it would be Sushi Beispiel: { "type": "menu", "value": "File", "items": [ {"value": "New", "action": "CreateNewDoc"}, {"value": "Open", "action": "OpenDoc"}, {"value": "Close", "action": "CloseDoc"} ] } Vorteil: kann direkt in in JavaScript evaluiert werden Nachteil: kann direkt in JavaScript evaluiert werden Zusätzlicher Vektor zum Einschleusen von JavaScript MAYFLOWER GmbH

17 JavaScript-Malware Willkommen im Browser: Viren, Intruder, Spyware und Trojaner MAYFLOWER GmbH

18 Kleine Virengeschichte 1949: John von Neumann prophezeit sich replizierende Software 1986: der erste PC-Virus verbreitet sich 1992: Michelangelo-Virus der erste Medien-Virus 1995: Script-Viren im Mail-Client (Outlook/Express) 1998: Melissa-Wurm in Outlook 2004: Web Application Würmer 2005: MySpace-Virus: Samy is my hero 2006: Ihre Ajax-Applikation (just FUDding) MAYFLOWER GmbH

19 Was sind Web 2.0 Würmer/Viren? Ort: Innerhalb einer/mehrerer Webapplikationen Infizierung per XSS und AJAX Verbreitung per AJAX, Formular, Link, RSS Der Browser führt den Virus aus Applikation ist Speicherort des Virus Der erste wirkliche Cross-Platform-Virus! Kritische Payloads sind möglich Datenänderung Datenspionage (Kreditkarten usw) Durchführung von Transaktionen (Aktienkauf) Wer von Ihnen loggt sich immer aus? Auch bei Google Mail? Bei vorhandenen Logins kann im Hintergrund infiziert werden MAYFLOWER GmbH

20 XSS-Würmer und Viren Warum funktionieren Viren auf Web 2.0? LAW Die Nutzer stellen Inhalte für Nutzer (lokale Vermehrung) Mash-Ups Es werden Applikationsteile von anderen Websites eingebunden (verteile Vermehrung) Neue Verbreitungswege wie RSS, SOAP, REST (verteilte Vermehrung) Ajax-Möglichkeiten stehen auch Hackern offen (Infizierung und Vermehrung) Es gibt mehr Schnittstellen zwischen Client und Server(n) (mehr Möglichkeiten zur Infizierung) MAYFLOWER GmbH

21 Samy is my Hero der MySpace Wurm MySpace, zu dem Zeitpunkt 5-wichtigste Internetseite weltweit Samy hatte nur 73 Freunde. Zu wenig. Aber er hatte JavaScript-Knowhow. JavaScript im eigenen Profil, daß Samy per XmlHTTPRequest zum Freund macht MySpace war vorbereitet: Guter JavaScript-Filter - aber mit Filter-Evasions! CSRF-Schutz per ZufallsHash - per XHR umgangen! Nach 20 Stunden hatte Samy mehr als Freunde! MAYFLOWER GmbH

22 Browser Zombies JavaScript bedeutet Kontrolle über den Browser JavaScript muss nicht statisch sein Es könnte auch ein Mensch auf der anderen Seite sein, oder ein intelligentes Script Besuchen Sie uns! Wir besuchen Sie auch! Browser Exploitation Framework COMET! MAYFLOWER GmbH

23 Intranet-Attacken Hinter der Firewall ist das Paradies Ungepatchte Software Default-Passworte Ungeschützte Dienste Aber: das Intranet kann gescannt werden 1. die lokale Adresse ermitteln 2. das lokale Class-C-Netz auf Port 80 scannen Erkennung der Infrastruktur Individuelle Attacken Siehe Proxy-Exploit bekannte Lücken: Linksys-WRT-Router MAYFLOWER GmbH

24 Ajax Applikationen sichern MAYFLOWER GmbH

25 Status bei Web 2.0 Sicherheit XSS ist kein kleines Risiko mehr mehr Funktionalität im Client bedeutet mehr Potentielle Lücken Um so mehr JavaScript kann, um so mehr kann auch XSS JavaScript- und integrierte Toolkits haben regelmässig Lücken Alle 2 Monate eine neue XSS-Lücke bekannt Security is a process, not a product MAYFLOWER GmbH

26 Strategien zur Sicherung Der Weg zu 100-prozentiger Sicherheit im Web: 25% Web Application Firewalls wie mod_security 25% Web Security Scanner 25% Source Code Audits und Entwicklung mit Security in Mind da fehlt doch was Vermeidung von kritischen Funktionalitäten HTML-Eingaben Vertrauen auf externe Quellen MAYFLOWER GmbH

27 Sichern von Anwendungen Dem Client nicht vertrauen: Header, Cookies, Get, Post Auch nicht der Applikationslogik im Client Daten Filtern: Formate erzwingen: Es sind nur bestimmte Zeichen valide (0-9,) Es ist nur ein Format gültig (089/ ) Es ist nur eine bestimmte Länge möglich Bei Nutzung escapen Entities für HTML Hochkomma für SQL Slashes für JavaScript Meist in einer Zeile machbar Im Falle PHP: mit Suhosin PHP abhärten MAYFLOWER GmbH

28 Fazit Security JavaScript etabliert sich als Angriffsplattform Die Möglichkeiten und Gefahren von JavaScript-Malware werden zur Zeit deutlich unterschätzt Es wird mehr Viren und Würmer auf Web-Applikationen geben Sie werden Applikations- und Domainübergreifend sein Es wird gezielte XSS-Attacken geben Intranet-Attacken werden über JavaScript stattfinden Sicherheit wird bei der Applikationsentwicklung fürs Web in der Vordergrund rücken MAYFLOWER GmbH

29 Skalierbare Webanwendungen, SQL Tuning (I) Mind your (My)SQL! Probleme oftmals bei schlecht designten Tabellen oder SQL Abfragen EXPLAIN SELECT Replikation (Master zum Schreiben, Sklaven zum Lesen) 1 Master, n Slaves oder n Master, n Slaves (Multi- Master Setup) verteilt auf n Datacenter MySQL Proxy! MAYFLOWER GmbH

30 SQL Tuning (II) Clustering (In-Memory Cluster, disk based Cluster soon) Partitionierung Auf dem gleichen Server Lösung: Sharding! ( + MySQL Proxy) Mehr SQL Primary Keys -> SELECT der IDs, dann iteratives Auslesen der Datensätze zusätzlich MySQL Certification zur Sicherung der eigenen Ausbildung MAYFLOWER GmbH

31 MySQL Proxy MySQL, fly light! klein und schlank Query interceptor Sitzt zwischen Client (z.b. PHP) und dem MySQL Server Query Manipulation leicht gemacht per lua scriptbar Applikationen auf Master-Slave Setups hieven ohne Änderung am Programmcode Sharding ohne Änderung am Programmcode noch Alpha viele Tester gesucht! MAYFLOWER GmbH

32 Applikationsdesign Design-Patterns (Factory, Decorator, Singleton, ) Komponenten-orientierte Bauweise leichterer Überblick einfache Wartbarkeit schnell erweiterbar lässt sich später einfacher verteilen SOA Architektur (SOAP, XML-RPC, JSON, ) Integration mit anderen Sprachen Wegbereiter für mehr Performance MAYFLOWER GmbH

33 Hilfe, die Session klemmt! Clustering? Load Balancer mit Session Affinity und file-basierten Sessions Sessions in der Datenbank ablegen *hüstel* Sessions per ZendPlatform Session Clustering + Session Cache verteilen Sessions per memcached verteilen Ausflug nach memcached in der nächsten Folie MAYFLOWER GmbH

34 memcached a distributed memory object caching system Connect via Socket Ablage von Daten memcached selbst ist cluster-fähig n Server, die nur memcached machen Große Sites nutzen memcached extensiv, z.b. Ablage von Session Daten Ablage fürs Content-Caching MAYFLOWER GmbH

35 lighttpd fly light! (I) Es muss nicht immer Apache sein Stark skalierender Webserver, speziell für statische Dateien single process,top5 der Netcraft Statistik Besonders gut bei statischen Dateien (Produktbilder, CSS, JavaScript) und Flash Videostreams auch gut in Kombination mit PHP (FastCGI SAPI) kann load-balancing Beispielkonfigurationen: 1 lighttpd Server, n PHP Applikationsserver 1 lighttpd Server, n Apache Server (reverse Proxy) Cluster aus lighttpd Servern MAYFLOWER GmbH

36 lighttpd fly light (II) lua World of Warcraft? Content-Caching mit lua PHP muss dann nicht mehr ausliefern PHP kann lighttpd benachrichtigen (per MySQL UDF) leicht konfigurierbar MAYFLOWER GmbH

37 Performance Optimierungen für den Client Y!Slow Extension für Firebug (Extension für Firefox) Bewertung von zum Beispiel Ladezeiten einzelner Bilder oder Elemente (CSS, JS, ) Bewertung von sinnvoll oder sinnlos gesetzten HTTP Headern Entwickelt von Yahoo! (daher Y! ) Eingeteilt nach 13 simplen Performanceregeln Einteilung in Grade A bis F (A = Top, F = Flop) MAYFLOWER GmbH

38 Bytecode Caching APC ZendPlatform (bei OXID EE dabei) eaccelerator Sollte Standard in jeder Installation sein MAYFLOWER GmbH

39 Nutzersimulation mit JMeter Erster Gedanke: Apache Bench (ab) Hilft jedoch nicht viel, weil es nur stumpf Requests abfeuert Lösung: Tools wie JMeter Nutzersimulation Aufzeichnung von HTTP Requests Nutzer klickt sich durch den Shop legt Produkt in den Warenkorb Macht einen Checkout Virtuelles Ausschwärmen der Nutzer RampUp Phasen etc. Beispiel: Performance-Bottleneck in MySQL View durch JMeter gefunden MAYFLOWER GmbH

40 Continuous Integration - Einführung Kontinuierliche Integration besonders bei Entwicklung im Team auf Basis von CruiseControl (Java-basiert) mit eigenentwickelten AddOns & 3rd party tools Zend CodeAnalyzer Coding Guideline Check Selenium Tests inkl. Screenshots Code Browser Code Coverage Code Metriken PHP Doc Output CVS Stats Copy & Paste Detection MAYFLOWER GmbH

41 Continuous Integration was bringt es? Komfort Non-Event Analysen, Inspektion und Wächter -Funktion Konzept des Builds, das vieles machen kann (z.b. nach jedem Commit Tests, Analysen & Inspektion) Browserakzeptanztests mit Selenium (z.b. 1x täglich) Nutzersimulationen für Performance Tests (z.b. 1x wöchentlich) Absicherung und Qualitätssicherung während des Developments vor Releases in Produktion MAYFLOWER GmbH

42 CruiseControl Beispiele (I) MAYFLOWER GmbH

43 Cruise Control Beispiele (II) MAYFLOWER GmbH

44 Cruise Control Beispiele (III) MAYFLOWER GmbH

45 Vielen Dank für Ihre Aufmerksamkeit Björn Schotte Mayflower GmbH Pleichertorstr Würzburg +49 (931)

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte : Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte Zur Person GF Mayflower GmbH (35 MA, Webschmiede, Premium-/High-Performance Development) PHP Pionier (1999: phpcenter.de) Internet

Mehr

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann MySQL Webinar 30.01.2007 Johann-Peter Hartmann Agenda Ajax und XSS Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders schmerzt Ajax Security Xml HTTP Request,

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1. Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

1&1 Frontend-Architektur. Nico Steiner

1&1 Frontend-Architektur. Nico Steiner 1&1 Frontend-Architektur Nico Steiner 1&1 MEMBER OF UNITED INTERNET AG Mehr als 5.600 Mitarbeiter, davon 1.500 in Produkt-Management, Entwicklung und Rechenzentren 5 Rechenzentren mit 70.000 Server in

Mehr

Web 2.0 Architekturen und Frameworks

Web 2.0 Architekturen und Frameworks Web 2.0 Architekturen und Frameworks codecentric GmbH Mirko Novakovic codecentric GmbH Quality Technische Qualitätssicherung in Software-Projekten mit Fokus auf Performance, Verfügbarkeit und Wartbarkeit

Mehr

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG

Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG 05.07.2012 Leichtgewichtige Web 2.0-Architektur für komplexe Business-Anwendungen Nicolas Moser PRODYNA AG Agenda 01 Einführung 02 Architektur 03 Lösungen 04 Zusammenfassung 2 2 Agenda 01 Einführung 02

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13 NEWpixi* API und die Umstellung auf REST Fakten NEWpixi* API Technik REST-basierend.NET Webservice IIS Webserver Release 31. August 2013, zusammen mit dem NEWpixi* ELI Release Legacy API und erste NEWpixi*

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Frank Kleine, Nico Steiner 1&1 Internet AG. Frontend-Performance mit PHP

Frank Kleine, Nico Steiner 1&1 Internet AG. Frontend-Performance mit PHP Frank Kleine, Nico Steiner 1&1 Internet AG Frontend-Performance mit PHP Vorstellung Frank Kleine Head of Web Infrastructure Nico Steiner Experte für Frontend T&A Frontend-Performance mit PHP 2 Vorstellung

Mehr

Herzlich Willkommen! eine praxisnahe Übersicht. Mit Java ins Web - mb@bebox.franken.de. 26.11.2000 (c) Michael Behrendt -

Herzlich Willkommen! eine praxisnahe Übersicht. Mit Java ins Web - mb@bebox.franken.de. 26.11.2000 (c) Michael Behrendt - Herzlich Willkommen! Mit Java ins Web - eine praxisnahe Übersicht 1 Wer bin ich? Michael Behrendt, 21, Nürnberg kurzer Lebenslauf: 1991 Erster Rechner: Commodore C128 1995 Ausbildung zum Datenverarbeitungskaufmann

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Website Performance Optimierung

Website Performance Optimierung Website Performance Optimierung Fokus: Frontendoptimierung form4 GmbH & Co. KG Jan-Henrik Hempel Telefon: 030.278784-13 E-Mail: jan-henrik.hempel@form4.de Website Performance Optimierung Überblick 1 Relevanz

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Einführung: Lasttests mit JMeter. Sitestress.eu Jesuitenmauer 24 33098 Paderborn www.sitestress.eu - karl@sitestress.eu - 05251 / 687060

Einführung: Lasttests mit JMeter. Sitestress.eu Jesuitenmauer 24 33098 Paderborn www.sitestress.eu - karl@sitestress.eu - 05251 / 687060 Einführung: Lasttests mit JMeter Agenda Über SITESTRESS.EU Tests planen Warum Lasttests? Testen Was ist JMeter? Ergebnisse analysieren Wie arbeitet JMeter? Beispiel JMeter-GUI Skripte für JMeter über SITESTRESS.EU

Mehr

Softwareentwicklung in der industriellen Praxis

Softwareentwicklung in der industriellen Praxis Softwareentwicklung in der industriellen Praxis Cloud-Systeme: Besonderheiten bei Programmierung und Betrieb Steffen Gemkow / Paul Fritsche - ObjectFab GmbH 26.11.2012 Simple is beautiful Don t repeat

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Ruby on Rails. Florian Ferrano Ralf Heller Markus Nagel

Ruby on Rails. Florian Ferrano Ralf Heller Markus Nagel Ruby on Rails Florian Ferrano Ralf Heller Markus Nagel Überblick Ruby on Rails Ruby Rails Geschichte MVC allgemein MVC in Rails Scaffolding Webserver Installation Beispiele Wo wird Rails verwendet? Ausblick

Mehr

PHP Usergroup Berlin. 6. April 2010. Ein Leben mit und ohne Magento

PHP Usergroup Berlin. 6. April 2010. Ein Leben mit und ohne Magento PHP Usergroup Berlin 6. April 2010 Ein Leben mit und ohne Magento Wer wir sind... Volker Pilz () Daniel Nowak (Rocket Internet) xing.com/profle/volker_pilz xing.com/profle/daniel_nowak Senior Software

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Verteilte Systeme Hochschule Mannheim

Verteilte Systeme Hochschule Mannheim Verteilte Systeme Hochschule Mannheim Thorsten Reitz, Thomas Zimmermann, Jori Kern, Tobias Schröder, Christoph Reiser, Kay Estelmann Fakultät für Informatik Hochschule Mannheim 8.4.2011 Heute 1 Einleitung

Mehr

Performance Report OXID eshop 5.0 Enterprise Edition

Performance Report OXID eshop 5.0 Enterprise Edition Performance Report OXID eshop 5.0 Enterprise Edition supported by SysEleven September 2013 OXID esales AG www.oxid-esales.com info@oxid-esales.com 1/14 Copyright Kontakt OXID esales AG www.oxid-esales.com

Mehr

PHP & Windows. Jan Burkl System Engineer, Zend Technologies. All rights reserved. Zend Technologies, Inc.

PHP & Windows. Jan Burkl System Engineer, Zend Technologies. All rights reserved. Zend Technologies, Inc. PHP & Windows Jan Burkl System Engineer, Zend Technologies Wer bin ich? Jan Burkl jan.burkl@zend.com PHP Entwickler seit 2001 Projektarbeit Bei Zend seit 2006 System Engineer Zend Certified Engineer PHP

Mehr

Session Storage im Zend Server Cluster Manager

Session Storage im Zend Server Cluster Manager Session Storage im Zend Server Cluster Manager Jan Burkl System Engineer, Zend Technologies Agenda Einführung in Zend Server und ZSCM Überblick über PHP Sessions Zend Session Clustering Session Hochverfügbarkeit

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Agenda. Eine kurze Einführung ins Webseitenmonitoring

Agenda. Eine kurze Einführung ins Webseitenmonitoring Agenda - 1/30 - Agenda Agenda...1 MARE system...2 Was ist Monitoring?...3 Warum Monitoring?...4 Was kann man überwachen?...5 Webseitenmonitoring...6 Warum Nagios/Icinga?...11 Welche Daten liefert Nagios?...15

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Business ProzessMonitoring mit BPView

Business ProzessMonitoring mit BPView Business ProzessMonitoring mit BPView DI (FH) René Koch rene.koch@siedl.net 1/46 Agenda Was ist BPView? Monitoring Daten sammeln Überblick über das Web UI Dashboards und Business Prozesse definieren Roadmap

Mehr

Investitionsschutz und Innovationsdruck: Wie muss eine zukunftssichere Plattform aussehen?

<Insert Picture Here> Investitionsschutz und Innovationsdruck: Wie muss eine zukunftssichere Plattform aussehen? Investitionsschutz und Innovationsdruck: Wie muss eine zukunftssichere Plattform aussehen? Jürgen Menge TSBU Middleware Oracle Deutschland GmbH Oracle Forms Heute sehr aktive Kundenbasis

Mehr

Erfahrungen und Erkenntnisse. Klaus Richarz, HBT GmbH

Erfahrungen und Erkenntnisse. Klaus Richarz, HBT GmbH Erfahrungen und Erkenntnisse Klaus Richarz, HBT GmbH Java Enterprise Edition 5.0 JBoss Seam Konsequenzen für Realisierung Qualitätssicherung Build & Deployment Fazit & Empfehlungen JBoss Seam in Projekten,

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Netzwerk Technologien in LabVIEW

Netzwerk Technologien in LabVIEW Netzwerk Technologien in LabVIEW von Dirk Wieprecht NI Germany Hier sind wir: Agenda Agenda Bedeutung des Ethernet für die Messtechnik Ethernet-basierende Technologien in LabVIEW Low Level- TCP/IP Objekt

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1

HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1 HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1 AGENDA Einführung Apps - Einführung Apps Architektur SharePoint-Hosted Apps Cloud-Hosted Apps Ausblick 11.09.2012 IOZ AG 2 ÜBER

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Zend Server Cluster Manager

Zend Server Cluster Manager Zend Server Cluster Manager Jan Burkl Zend Technologies Wer bin ich? Jan Burkl jan.burkl@zend.com PHP Entwickler seit 2001 Projektarbeit Bei Zend seit 2006 System Engineer Zend Certified Engineer PHP 5

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

ZenQuery - Enterprise Backend as a Service Single Page Applications mit AngularJS und Spring MVC. - Björn Wilmsmann -

ZenQuery - Enterprise Backend as a Service Single Page Applications mit AngularJS und Spring MVC. - Björn Wilmsmann - ZenQuery - Enterprise Backend as a Service Single Page Applications mit AngularJS und Spring MVC - Björn Wilmsmann - ZenQuery Enterprise Backend as a Service Unternehmen horten Daten in Silos ZenQuery

Mehr

Bulk Web-Crawler mit Spring Batch

Bulk Web-Crawler mit Spring Batch Bulk Web-Crawler mit Spring Batch Anforderung - funktional Wir wollen automatisiert Überprüfung, ob bestimmte Produkte (Bücher) in einem Online-Shop gelistet sind. Site Produkt Status AMAZON_DE 0815 FOUND

Mehr

High Performance Websites1/ 18 MBit

High Performance Websites1/ 18 MBit High Performance Websites1 / 18 MBit Harte Fakten 2 Website-Wachstum: Top 1000 Websites laut Alexa Quellen: http://video.yahoo.com/watch/4156174/11192533 http://www.websiteoptimization.com/speed/tweak/average-web-page/

Mehr

Mobilkommunikation. REST-basierte Dienste für verteilte, mobile Anwendungen. A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt

Mobilkommunikation. REST-basierte Dienste für verteilte, mobile Anwendungen. A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt Mobilkommunikation REST-basierte Dienste für verteilte, mobile Anwendungen A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt Fachhochschule Köln, Institut für Nachrichtentechnik Fachhochschule Köln Anton Gillert,

Mehr

Wir suchen Dich! Wir sind ständig am wachsen und auf der Suche nach wissens- und erfahrungshungrigen jungen und innovativen Mitarbeitern.

Wir suchen Dich! Wir sind ständig am wachsen und auf der Suche nach wissens- und erfahrungshungrigen jungen und innovativen Mitarbeitern. Wir suchen Dich! Wir sind ständig am wachsen und auf der Suche nach wissens- und erfahrungshungrigen jungen und innovativen Mitarbeitern. Praktikum Wir suchen ab sofort engagierte Mitarbeiter, die uns

Mehr

PHP 6 Beliebte Webskriptsprache wird erwachsen. Linux User Group Bern 14.05.2009 René Moser

PHP 6 Beliebte Webskriptsprache wird erwachsen. Linux User Group Bern 14.05.2009 René Moser <mail@renemoser.net> PHP 6 Beliebte Webskriptsprache wird erwachsen Linux User Group Bern 14.05.2009 René Moser Inhalt 1.Wie entstand PHP? 2.Was PHP? 3.Warum PHP? 4.Wie installiere ich PHP? 5.Wie programmiere

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht

Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht 2 Apparo Fast Edit ist die das Standardprogramm für unternehmensweite Dateneingabe, mit der Sie Daten ändern, importieren

Mehr

Bernhard Kau @2ndkauboy http://kau-boys.de #wpcb13

Bernhard Kau @2ndkauboy http://kau-boys.de #wpcb13 Bernhard Kau @2ndkauboy http://kau-boys.de #wpcb13 1 Übersicht der PageSpeed Produkte Installation von Mod_Pagespeed Übersicht der verfügbaren Filter Vorstellung einiger wichtiger Filter Ersetzung von

Mehr

Web-Programmierung (WPR)

Web-Programmierung (WPR) Web-Programmierung (WPR) Vorlesung XII. Vergleich Server-Plattformen mailto:wpr@gruner.org 1 Technologien Perl/CGI Einsatzgebiete: Kleine Websites, semiprofessioneller Bereich Pro's: Plattform/Serverneutralität

Mehr

NagVis: Aktuelle Entwicklungen

NagVis: Aktuelle Entwicklungen NagVis: Aktuelle Entwicklungen Nagios Workshop 2009 - Kassel, Juni 2009 Lars Michelsen Powered by Agenda Kurzeinführung in NagVis / Erwartungen? Neuerungen in NagVis 1.4 Roadmap

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

OwnCloud. Florian Preinstorfer. http://nblock.org VALUG 14.02.2014

OwnCloud. Florian Preinstorfer. http://nblock.org VALUG 14.02.2014 OwnCloud Florian Preinstorfer http://nblock.org VALUG 14.02.2014 This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Austria license (CC-BY-SA). Inhalt Einleitung OwnCloud Editions

Mehr

HowTo: Konfigurieren von Caching in SharePoint 2007

HowTo: Konfigurieren von Caching in SharePoint 2007 Eines haben alle SharePoint Seiten gemeinsam, die meisten ihrer Daten sind in einer SQL Datenbank gespeichert. Das Wenige was nicht in der einer SQL Datenbank gespeichert ist, sind die JavaScript Files,

Mehr

Modul 2.4.1: Möglichkeiten zur Erweiterung des Internet-Auftritts der Schule zu einem umfassenden Auftritt als Bildungsnetzwerk

Modul 2.4.1: Möglichkeiten zur Erweiterung des Internet-Auftritts der Schule zu einem umfassenden Auftritt als Bildungsnetzwerk Informationsmaterial zum Modul-Nr. 2.4: Bildungsnetzwerke planen (Schwerpunkt: IT-Unterstützung in Bildungsnetzwerken) Modul 2.4.1: Möglichkeiten zur Erweiterung des Internet-Auftritts der Schule zu einem

Mehr

Web-Performance-Optimierung - Websites auf Speed SEO Barbecue - DIWISH - Kiel - 01. August 2012. Timo Heinrich t.heinrich@online-werbung.

Web-Performance-Optimierung - Websites auf Speed SEO Barbecue - DIWISH - Kiel - 01. August 2012. Timo Heinrich t.heinrich@online-werbung. SEO Barbecue Web-Performance-Optimierung - DIWISH - Kiel - 01. August 2012 - Websites auf Speed 1 2 Kinder 1 Frau 41 Jahre jung Seit 1996 autodidaktischer Onliner Schwerpunkte: Suchmaschinenoptimierung

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Einstieg Projektziel Proxy Grundlagen Demonstration Ausblick. Reverse Proxys. Robert Hilbrich. Fakultät für Informatik Humboldt Universität Berlin

Einstieg Projektziel Proxy Grundlagen Demonstration Ausblick. Reverse Proxys. Robert Hilbrich. Fakultät für Informatik Humboldt Universität Berlin Reverse Proxys Robert Hilbrich Fakultät für Informatik Humboldt Universität Berlin 28. September 2006 John von Neumann, 1949 It would appear that we have reached the limits of what it is possible to achieve

Mehr

Performance Tuning & Scale-Out mit MySQL

Performance Tuning & Scale-Out mit MySQL Performance Tuning & Scale-Out mit MySQL Erfa-Gruppe Internet Briefing 2. März 2010 Oli Sennhauser Senior MySQL Consultant, FromDual oli.sennhauser@fromdual.com www.fromdual.com 1 Inhalt Allgemeines zu

Mehr

1 Einführung... 25. 2 Die Grundlagen... 55. 3 Praxis 1 das Kassenbuch (zentraler CouchDB-Server)... 139. 4 Praxis 2 das Kassenbuch als CouchApp...

1 Einführung... 25. 2 Die Grundlagen... 55. 3 Praxis 1 das Kassenbuch (zentraler CouchDB-Server)... 139. 4 Praxis 2 das Kassenbuch als CouchApp... Auf einen Blick 1 Einführung... 25 2 Die Grundlagen... 55 3 Praxis 1 das Kassenbuch (zentraler CouchDB-Server)... 139 4 Praxis 2 das Kassenbuch als CouchApp... 161 5 CouchDB-Administration... 199 6 Bestehende

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Internet Briefing. Developer Konferenz. Clientseitige Last- & Performancetesting. Namics.

Internet Briefing. Developer Konferenz. Clientseitige Last- & Performancetesting. Namics. Internet Briefing. Developer Konferenz. Clientseitige Last- & Performancetesting. Jürg Stuker. CEO. Partner. 8. Dezember 2011 Thema 1 Verstehen was zwischen User Agent und Server geschwatzt wird... 8.

Mehr

AJAX SSL- Wizard Referenz

AJAX SSL- Wizard Referenz AJAX SSL- Wizard Referenz Version 1.0.2+ - 04.04.2011 Präambel Die vorliegende Dokumentation beschreibt den AJAX basierten SSL- Wizard der CertCenter AG. Der SSL- Wizard kann mit wenigen Handgriffen nahtlos

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Ablauf Unit2. Walkthrough

Ablauf Unit2. Walkthrough Ablauf Unit2 Vertiefendes Uebungsprojekt - SQL II Gerhard Wohlgenannt Test Vorstellung der Arbeitsumgebung (Software, Locations) Walkthrough Gruppeneinteilung + Themenvergabe Vorstellung der Arbeitsumgebung

Mehr

Schnell performante Web-Applikationen entwickeln. Markus Zapke-Gründemann LinuxTag 2012

Schnell performante Web-Applikationen entwickeln. Markus Zapke-Gründemann LinuxTag 2012 Schnell performante Web-Applikationen entwickeln Markus Zapke-Gründemann LinuxTag 2012 Übersicht Vorstellung Was ist Django? Architektur Code Django Roadmap Entwicklungsprozess Django in Zahlen Django

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

Performance Tuning mit @enterprise

Performance Tuning mit @enterprise @enterprise Kunden-Forum 2005 Performance Tuning mit @enterprise Herbert Groiss Groiss Informatics GmbH, 2005 Inhalt Datenbank RMI JAVA API HTTP Konfiguration Analyse Groiss Informatics GmbH, 2005 2 Datenbank

Mehr

Empfehlungen für erfolgreiche ADF-Projekte. Volker Linz Oracle Deutschland B.V. & Co. KG

Empfehlungen für erfolgreiche ADF-Projekte. Volker Linz Oracle Deutschland B.V. & Co. KG Empfehlungen für erfolgreiche ADF-Projekte Volker Linz Oracle Deutschland B.V. & Co. KG Empfehlungen für erfolgreiche ADF-Projekte Architektur & Design Team & Skills Organisation & Entwicklungsprozess

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

MySQL Cluster und MySQL Proxy

MySQL Cluster und MySQL Proxy MySQL Cluster und MySQL Proxy Alles Online Diese Slides gibt es auch unter: http://rt.fm/s4p Agenda (Don't) Panic Web- und MySQL-Server MySQL Master-Master Cluster MySQL Proxy und Cluster MySQL Master-Slave/Master

Mehr

Automatisches Exploratives Testen von Webanwendungen

Automatisches Exploratives Testen von Webanwendungen Automatisches Exploratives Testen von Webanwendungen Dr. Valentin Dallmeier IT-Themenabend - 2013-10-01 AG Produkte und Dienstleistungen für die Qualitätssicherung von Software. AG Dr. Valentin Dallmeier

Mehr

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business -

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:

Mehr

Joomla! und Mambo. Open Source-CMS einsetzen und erweitern. von Tobias Hauser, Christian Wenz. 2., aktualisierte Auflage. Hanser München 2006

Joomla! und Mambo. Open Source-CMS einsetzen und erweitern. von Tobias Hauser, Christian Wenz. 2., aktualisierte Auflage. Hanser München 2006 Joomla! und Mambo Open Source-CMS einsetzen und erweitern von Tobias Hauser, Christian Wenz 2., aktualisierte Auflage Hanser München 2006 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 446 40690

Mehr

Entwicklung und Integration mobiler Anwendungen. Oracle Deutschland B.V. & Co. KG

Entwicklung und Integration mobiler Anwendungen. <Speaker> Oracle Deutschland B.V. & Co. KG Entwicklung und Integration mobiler Anwendungen Oracle Deutschland B.V. & Co. KG Global Users (Millions) Der Trend ist eindeutig. Trend zu mobilen Endgeräten Wachstum des mobilen Datenverkehrs

Mehr

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Compass E-Lab Remote Security Lab 19. November 2008 Name des Dokumentes: DE_Hacking_Lab_V3.2.doc

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Persönlichkeiten bei bluehands

Persönlichkeiten bei bluehands Persönlichkeiten bei Technologien bei Skalierbare Anwendungen mit Windows Azure GmbH & co.mmunication KG am@.de; posts..de/am 1 2 3 4 5 6 7 8 9 Immer mehr Mehr Performance Mehr Menge Mehr Verfügbarkeit

Mehr

Tobias Joch inovex. Ready to start (up)? Skalierende Architekturen für Web-2.0-Start-ups

Tobias Joch inovex. Ready to start (up)? Skalierende Architekturen für Web-2.0-Start-ups Konferenz Tobias Joch inovex Ready to start (up)? Skalierende Architekturen für Web-2.0-Start-ups Pattern #2: KISS Pattern #2: KISS Keep it simple, stupid Keep it small and simple Keep it sweet and simple

Mehr

Plone im Vergleich mit Typo3

Plone im Vergleich mit Typo3 im Vergleich mit Wikipedia: Toleranz, auch Duldsamkeit, ist allgemein ein Geltenlassen und Gewährenlassen fremder Überzeugungen, Handlungsweisen und Sitten. Gemeint ist damit heute häufig auch die Anerkennung

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Die MySQL-Schulung der Heinlein Akademie: In diesem Training lernen Sie MySQL in all seinen Facetten kennen.

Die MySQL-Schulung der Heinlein Akademie: In diesem Training lernen Sie MySQL in all seinen Facetten kennen. MySQL für Profis (3 Teilnehmerbewertungen) Die MySQL-Schulung der Heinlein Akademie: In diesem Training lernen Sie MySQL in all seinen Facetten kennen. Inhalt: MySQL ist schnell und einfach installiert,

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Hochschule Darmstadt Fachbereich Informatik

Hochschule Darmstadt Fachbereich Informatik Hochschule Darmstadt Fachbereich Informatik 6.3 Systemarchitektur 430 6.3 Systemarchitektur Drei Schichten Architektur Die "Standardtechniken" des Software-Engineering sind auch auf die Architektur einer

Mehr

Ablauf. Wichtige Termine. Vertiefendes Übungsprojekt - SQL II

Ablauf. Wichtige Termine. Vertiefendes Übungsprojekt - SQL II Ablauf Wichtige Termine Ablauf der Lehrveranstaltung Vorstellung des Projektthemas Projektgruppen Vorstellung der Arbeitsumgebung (Software, Locations) Walkthrough Datenbankentwurf Formulare PHP Security

Mehr