Absicherung von Webanwendungen

Größe: px
Ab Seite anzeigen:

Download "Absicherung von Webanwendungen"

Transkript

1 Absicherung von Webanwendungen JAX Security Day Mai 2014 Matthias Rohr

2 Matthias Rohr Dipl-Medieninf. (FH), CISSP, CSSLP, CISM, CCSK > 10 Jahre Applikationssicherheit & Webentwicklung Autor sowie Geschäftsführer der Secodis GmbH, einem Beratungshaus für Anwendungssicherheit aus Hamburg Schwerpunkte: 1. Security Test Automatisierung 2. Secure Development Lifecycle (SDL) Prozesse-Design, Vorgaben/Guidelines, Integrationen, Schulungen/Coaching, Ab Sommer 2014 im Handel 2

3 93 % Prozentsatz größerer Unternehmen in UK, die in einer Studie angaben in 2011 von einem Cyber-Angriff betroffen gewesen zu sein. Information security breaches survey Technical report, April 2012, PwC Prozentsatz aller (Cyber-)Angriffe die über den Anwendungslayer erfolgen. UK Security Breach Investigations Report %

4 Cyber-Angriffe = Angriffe auf Webanwendungen!

5 Databases Legacy Systems Web Services Directories Human Resrcs Billing 5 Firewall Netzwerk vs. Application Layer Angriffe erfolgen heute über den Application Layer (Ports 80/443) Custom Developed Application Code APPLICATION ATTACK App Server Web Server Hardened OS Firewall Network Layer Application Layer Quelle: OWASP

6 Drei Sichten I. Angriffszentrisch 1. SQL Injection 2. Cross-Site Scripting (XSS) 3. Brute Forcing 4. Denial of Service (DoS) II. Schwachstellenzentrisch 1. Fehlerhafte Datenvalidierung 2. Fehler in Zugriffskontrollen 3. Ungenügende Anti-Automatisierung 4. Fehlerhafte Konfiguration 5. Fehlerhafte Authentifizierung 6. Unsichere Passwörter III. Auswirkungszentrisch 1. Downtime 2. Information Leakage 3. Defacement 4. Monetäre Schäden 5. Malware 6. Phishing 6 Quelle: Web Hacking Incident Database

7 Drei Sichten I. Angriffszentrisch 1. SQL Injection 2. Cross-Site Scripting (XSS) 3. Brute Forcing 4. Denial of Service (DoS) II. Schwachstellenzentrisch 1. Fehlerhafte Datenvalidierung 2. Fehler in Zugriffskontrollen 3. Ungenügende Anti-Automatisierung 4. Fehlerhafte Konfiguration 5. Fehlerhafte Authentifizierung 6. Unsichere Passwörter III. Auswirkungszentrisch 1. Downtime 2. Information Leakage 3. Defacement 4. Monetäre Schäden 5. Malware 6. Phishing 7 Quelle: Web Hacking Incident Database

8 Drei Sichten I. Angriffszentrisch 1. SQL Injection 2. Cross-Site Scripting (XSS) 3. Brute Forcing 4. Denial of Service (DoS) II. Schwachstellenzentrisch 1. Fehlerhafte Datenvalidierung 2. Fehler in Zugriffskontrollen 3. Ungenügende Anti-Automatisierung 4. Fehlerhafte Konfiguration 5. Fehlerhafte Authentifizierung 6. Unsichere Passwörter III. Auswirkungszentrisch 1. Downtime 2. Information Leakage 3. Defacement 4. Monetäre Schäden 5. Malware 6. Phishing 8 Quelle: Web Hacking Incident Database

9 Handlungsgebiete Sicherheitsarchitektur / Secure Design Principles Sichere Implementierung Eingabevalidierung Ausgabevalidierung (Enkodierung) Authentifizierung Absicherung des Session Managements Access Controls Anti-Automatisierung Clientseitige Sicherheit Kryptographie und Datenbehandlung Logging und Fehlerbehandlung Security Testing (manuell und automatisch) Sicherer Betrieb Härtung des Web- und TLS/SSL-Servers Einsatz von Web Application Firewalls Laufende Scans / Change Management 9

10 Handlungsgebiete Sicherheitsarchitektur / Secure Design Principles Sichere Implementierung Eingabevalidierung Ausgabevalidierung (Enkodierung) Authentifizierung Absicherung des Session Managements Access Controls Anti-Automatisierung Clientseitige Sicherheit Kryptographie und Datenbehandlung Logging und Fehlerbehandlung Security Testing (manuell und automatisch) Sicherer Betrieb Härtung des Web- und TLS-Servers Einsatz von Web Application Firewalls Laufende Scans / Change Management 10

11 9 Best Practices zur Absicherung von Webanwendungen

12 1. Validiere restriktiv, mehrschichtig und korrekt

13 13 Eingabevalidierung Architektonisch

14 Datenvalidierung = Ein- & Ausgabevalidierung Eingabevalidierung dient primär dazu sicherzustellen, dass Eingaben der Spezifikation entsprechen und keine unnötigen Zeichen und Werte enthalten (Korrektheit von Syntax und Semantik). Ausgabevalidierung dient in erster Linie dazu, den Daten- vom Steuerkanal zu separieren und damit das Auftreten von Injection-Schwachstellen (XSS, SQL-, XML-Injection, etc.) zu vermeiden. 14

15 Verwende ein positives Sicherheitsmodell Positives Sicherheitsmodell ( Whitelisting, Known Good ): nur das explizit Erlaubte wird zugelassen. Beispiel: Nichts ist erlaubt bis auf Wert X. Negatives Sicherheitsmodell ( Blacklisting, Known Bad ): Bekannte Zustände oder Werte werden explizit ausgeschlossen. Beispiel: Alles ist erlaubt bis auf Wert Y. Nicht daran denken Was muss ich verbieten? (negatives Sicherheitsmodell) sondern Was muss ich erlauben? (positives Sicherheitsmodell)! 15

16 Am Anfang steht der Datentyp (Default-)Strings, die Mutter aller Angriffe : SQL-Injection: or 1=1 -- Cross-Site Scripting (XSS): ><script> </script> Path Traversal:../../../etc/passwd%00 Cross-Site Request Forgery (CSRF): ><img src=http://...> Die meisten dieser Angriffe sind nicht möglich, bei: RegExp: A-Za-z0-9 int, char, DateTime,.. 16

17 Mapping von Eingaben auf (restriktive) Datentypen (Benutzer-)Parameter über Data/Request Binding implizit validieren. Auch Anwendungsparameter (z.b. Hidden Fields) validieren!! Whitelisting Integritätsprüfungen Indirektionen (später) oder ganz weglassen 17

18 Mehrschichtige Eingabevalidierung Eingabevalidierung sollte immer mehrschichtig (Defense-in-Depth-Prinzip) durchgeführt und auf alle Parameter und Schnittstellen (Single Access Points) angewendet werden! JSR-303 Bean Validation public class RegisterBean = "[a-za-z0-9]+ private String username; 18

19 Eingabevalidierung - Sonderfälle URLs Whitelists oder Indirektionen (später) Fester Präfix (z.b. + URL) Dateiuploads Immer im angemeldeten Bereich Validierung von Dateityp (Inhalt), Dateigröße, AV-Prüfung SANS 8 Basis Rules to Implement Secure File Uploads * XML Restriktive (!) XML Schemas (einschränken von String-Datentypen, etc.) HTML Rich Content APIs (später) * Johannes Ullrich, 8 Basic Rules to Implement Secure File Uploads, SANS Institut, 28. Dezember 2009, 19

20 Ausgabevalidierung am Backend Alle Parameter, die die Anwendung ausgibt, müssen enkodiert werden Immer Parametrisierungs-API (oder ORM) einer Enkodierungs-API bevorzugen! Alle Parameter parametrisieren! String sql = "SELECT * FROM tbl WHERE user =?"; PreparedStatement prepstmt = con.preparestatement(sql); prepstmt.setstring(1, userid); 20

21 Ausgabevalidierung Vermeiden von XSS Werden benutzerkontrollierte Parameter nicht korrekt in den Benutzerkontext (HTML, JS, etc.) geschrieben, kann ein Angreifer dies Ausnutzen und dort beliebigen Skriptcode zur Ausführung bringen (Cross- Site Scripting) Zeichen " & & < < > > HTML Entity Encoding 21

22 Enkodierung am Frontend - Beispiel Programmatischer Ansatz mittels OWASP Java Encoder Project: <input type="text" value="<%= Encode.forHtmlAttribute(dataValue) %>" /> <textarea name="text"><%= Encode.forHtmlContent(textValue) %>" /> <button onclick="alert('<%= Encode.forJavaScriptAttribute(alertMsg) %>');"> click me </button> <script type="text/javascript"> var msg = "<%= Encode.forJavaScriptBlock(message) %>"; alert(msg); </script> Besser jedoch implizit über Webframework, welches noch dazu den korrekten Ausgabekontext berücksichtigt (z.b. GWT)! 22

23 Vermeiden von XSS Wo Parameter nicht hingeschrieben werden dürfen (Auszug) An verschiedene Stellen dürfen (benutzerkontrollierte) Parameter niemals ausgegeben werden, da sich diese dort nicht sicher behandeln lassen: 23 => Mehr im OWASP XSS Prevention Cheat Sheet

24 XSS Maßnahmen Kombination aus verschiedenen Verfahren: Restriktive Eingabevalidierung (Länge, Datentyp, Whitelisting, etc.) Implizite Enkodierung durch Template-Technologien / Webframeworks; Alternativ: HTML-Enkodierung von Eingaben und Behandlung von Sonderfällen (später) Do s und Dont s beachten, insbesondere wenn Parameter im JavaScript- Kontext ausgegeben werden: 24

25 XSS Weitere Maßnahmen HTML-Markup-Eingaben immer mit sicheren APIs parsen JSoup OWASP AntiSammy OWASP HTML Sanitizing Project Einschränken der Ausnutzbarkeit: httponly-flag für Session Cookies verwenden Content Security Policy (CSP) für neue Entwicklungen 25

26 Content Security Policy (CSP) Ermöglicht die Unterbindung von Inline-Skriptcode (und damit von den meisten XSS-Varianten) Beispiel HTTP Response Header Content-Security-Policy: default-src 'self'; script-src 'self' s.site.com Aber: Erfordert entsprechende Gestaltung der Webseite (bzw. Unterstützung vom Webframework): 26 IE >=10 FF >= 23 Chrome >= 25 Safari >=7

27 2. Minimiere die Angriffsfläche (oder: Weniger ist manchmal mehr! )

28 Angriffsfläche Jede Anwendung besitzt eine Angriffsfläche. Je größer diese ist, desto mehr Möglichkeiten besitzen Angreifer! 28

29 Angriffsfläche Beispiel: Anwendungsparameter https://[site]/bookin?cid=18002&steps=4&wds_wr_channel=com&comman d=latelogin&excontroller=addelements.action&ibecoc=de&productid=2 3434&pageTicket=232&debug=0&ticketID=ClWPRpdhf5Wv6SD&channel=23&m ode=select&ibemode=ll&allowaccess=false Beispiel: Schnittstellen 29

30 Minimiere die Angriffsfläche! 30 Nur die Funktionen / Parameter / Daten über das Internet verfügbar machen, die unbedingt erforderlich sind Minimierung von Anwendungsparametern und privilegiertem Code Zentral genutzte Access Controls Alle Zugriffe über einen (wenige) Single Access Points abwickeln und dort validieren Nicht benötigte Funktionen sollten immer deaktiviert werden. Least Privilege: Berechtigungen von Code / Benutzern minimieren / Einsatz von Sandboxes

31 Minimiere Angriffsfläche: Separiere Externe Systeme von internen auch netzwerkseitig separieren! Wenn möglich: Priviligierten (z.b. administrativen) Code von Nicht- Priviligierten separieren 31

32 Infrastruktureller Schutz einer Webapp Härtung des TLS-Stacks Nur minimale Services, Funktionen, Berechtigungen Häufig in einem System kombiniert (z.b. Apache + ModSecurity + mod_ssl) 32

33 3. Behandle Daten sicher

34 Verschlüsselung 34 Sichere Protokolle und Schlüsselstärken einsetzen: Weitere Empfehlungen: Sym. Verfahren: AES >= 128 Bit BSI TR Asym. Verfahren: RSA, min: 2048 Bit Kryptographische Verfahren (Teil 1+2) Übertragung. TLS >=1.0, 1.2 mit Forward Secrecy unterstützten (kein RC4!) Sichere Block Chiffre Modes einsetzen (kein ECB!) Passwörter (später) Sichere und getestete Implementierungen einsetzen Aber: Verschlüsselung ist nicht nur der Einsatz sicherer Verfahren!

35 Datenbehandlungsvorgaben 35 Übertrage sensible Daten nur per HTTPS und HTTP POST (nicht in der URL)! Maskiere personenbezogene Daten wenn nur für persönlichen und Hashes wenn nur für technischen Abgleich erforderlich.

36 4. Sichere die Benutzeranmeldung ab

37 Benutzerpasswörter Restriktive Policy (Passwortstärke!= Passwortlänge) Benutzerpasswörter sollten immer ablaufen! Min. 8 Zeichen, aber inkl. Groß- und Kleinschreibung + Sonderzeichen Passwort-Stärke-Funktionen verwenden: Testen der Policy, und Common Passwords Sichere Verarbeitung Passwörter niemals anzeigen oder ausgeben! Immer über HTTPS übertragen und eingeben! Passwortspeicherung: PBKDF2, scrypt oder bcrypt (Key Stretching + Salting) Für hohen Schutzbedarf ist Mehrfaktorauthentifizierung (z.b. +++RSA Token, +SMS, +SSL Zertifikate) besser geeignet! Auch als zusätzlicher Schutz (z.b. Geräteauthentifizierung ) 37

38 Anti-Automatisierungs-Schutz (Brute-Forcing-Schutz) Anti-Automatisierungsschutz ist abhängig vom Schutzbedarf und von der Stärke existierender Schutzmechanismen (z.b. Passwortstärke) Vorsicht vor dem Aussperren von Benutzern! Besser: Verzögerungen (Thresholds), Client-Logik, etc. 38

39 Abschottung von Admin-Zugängen Wenn möglich: nicht über das Internet verfügbar machen! Nur HTTPS zulassen! IP-Whitelisting Order Deny, Allow Deny from all Allow from Allow from Auszug aus.htaccess (Apache- Webserver) Zusätzliche Basic Auth (mit anderem Benutzer) AuthUserFile /secure/htpasswd AuthName "secured" Auszug aus AuthType Basic.htaccess (Apache- Require user mrohr Webserver) SSL-Client-Zerts / MFA, etc. 39

40 5. Gestalte Zugriffsschutz mehrschichtig und über Indirektionen

41 Mehrschichtige Access Controls => Defense-in-Depth-Prinzip 41

42 Verwende Indirektionen In URLs keine echten Objekt-IDs verwenden! Schließt Manipulationen und unautorisierte Zugriffe per Design aus 42

43 Indirektionen - Beispiel Ohne Indirektion (direkte Objekt-IDs) https://[site]/admin?cardid=18002&productid=52252 Mit Indirektion https://[site]/admin?cardid=1&productid=3 Umsetzung z.b. mittels AccessReferenceMap von OWASP ESAPI oder HDIV-Framework 43

44 Schutz vor Cross-Site Request Forgery (CSRF) State-ändernde Request müssen benutzer- oder request-spezifisch sein! CSRF https://[site]/admin?newpassword=123&repeat=123 Kein CSRF: https://[site]/admin?newpassword=123&repeat=123&token=akijc Anti-CSRF-Tokens in vielen Filtern/Frameworks verfügbar, oft auch als Replay Protection 44

45 6. Verwende sichere Standards & gestalte Sicherheit anpaßbar

46 Verwende ausgereifte Komponenten und Verfahren Keine sicherheitsrelevanten Algorithmen oder Implementierungen (insb. zur Kryptographie) selbst bauen sondern auf getestete und bewehrte Standardimplementierungen setzen! Beispiele: Session Management des Application Servers Apache Commons Java Cryptographical Extensions (JCE) OWASP Java Encoding Project OWASP ESAPI Definition einer eigenen Enterprise Security APIs, die über welche Sicherheitsfunktionen zentral gepflegt und bereitgestellt werden. 46

47 Default Secure Mittels Default Secure werden nur die Ausnahmen behandelt Default Secure bei Kryptographie: Aufruf: String crypt = ESAPI.encryptor().encrypt(plaintext); In Config: KeyLength=256 EncryptionAlgorithm=AES Default Secure bei Ausgabevalidierung: Bei 99% aller XSS-Angriffe werden Eingaben unvalidiert in den HTML- Kontext geschrieben ( /><script => " />< script) Automatisches Enkodieren aller Parameter über Template-Technologie ( Auto Encoding ); Standard bei JSTL, etc. Problem: Daten, die am Framework vorbeigeschrieben werden Ansatz: Enkodierung aller Eingaben mittels HTML Encoding und Behandlung der Ausnahmen (z.b. wenn Eingaben in JS-Kontext ausgegeben werden.) 47

48 7. Nutze clientseitige Sicherheits-Features

49 Angriffstypen 1. Direkte Angriffe SQL Injection Priv. Escalation Brute Forcing DoS 2. Indirekt Angriffe XSS CSRF Clickjacking 49

50 Clientseitige Sicherheitsfeatures: Übersicht Um Client-Seitige Angriffe wirkungsvoll zu unterbinden müssen Client-Seitige Security Features über Response-Header verwendet werden. Beispiele: X-Frame-Options: Clickjacking-Schutz HSTS: Erzwingen, dass Seite immer über HTTPS aufgerufen wird secure- und httponly-flag bei Session Cookies: XSS-Schutz Content Security Policy (CSP): XSS-Schutz (u.a.) CORS für Cross-Domain-Zugriffe einsetzen 50

51 Zum Nachlesen: Empfehlungen für Response Header Response Header Allgemeine Empfehlung Wann Beschreibung Content Type...; charset=utf 8 Immer Durchgehende Verwendung von Unicode (UTF 8). ;httponly; secure Übertragung sensibler Restriktives Setzen der Session ID. Mittels "Secure" Set Cookie Daten (z.b. Session IDs). Flag wird der Browser angehalten diese nur über HTTPS zu übermitteln; httponly verhindert das Auslesen mittels JavaScript. Cache Control no cache Bei Übertragung sensibler Verhinderung des Cachings von Daten (Header für Pragma no cache Daten. HTTP 1.0 und 1.1). Expires 1 max age= ; Auf allen produktiven Erzwingt die Verwendung von HTTPS einer Seite für Strict TransportincludeSubDomains Seiten, die nur über den spezifizierten Zeitraum (HTTP Strict Transport Security HTTPS aufgerufen werden Security, HSTS). DENY oder SAMEORIGIN Immer Die Webseite kann nicht (bzw. nur von derselben X Frame Options Origin) als Frame eingebunden werden (Frame Busting); Schutz etwa vor Clickjacking oder anderen Phishing Angriffen. X Content Type Options X XSS Protection nosniff Immer Deaktivierung von MIME Sniffing. Dadurch wird sichergestellt, dass der Browser nicht selbstständig aufgrund des Inhalts versucht den MIME Typ zu bestimmen. 1; mode=block Auf Produktivsystemen Verwenden des XSS Filters im Blocking Mode, wodurch reflektierter JavaScript Code nicht ausgeführt wird. Content Security Policy X Download Options Content Disposition default src 'self'; script src 'self' [URL1] [URL2]; frame src 'self' [URL1] [URL2]; noopen attachment; filename=<dateiname> Auf Produktivsystemen Dort wo Benutzer nicht vertrauenswürdige Dateien herunterladen können. Definition einer Content Security Policy (CSP), in erster Linie zur Abwehr von XSS Angriffen. Anwendung erfordert entsprechende Anpassungen in der Anwendung. Einsatz erfordert ggf. Umgestaltung der Struktur der Webseite. Weist den Browser an ein Datei zu speichern statt diese anzuzeigen. 51

52 8. Erkenne und behandle Angriffe

53 Klare Angriffe ermöglichen robuste Aktionen Indikator Beispiele Honeypots Nicht existierende Objekt IDs Nicht existierende Pfade (z.b. /admin ) Nicht existierende Parameter (z.b. action=delete ) Nicht verwendete Erweiterungen (z.b..php in einer Java EE Umgebung) Manipulation von nicht veränderbaren Werten Manipulation von Anwendungsparametern (Hidden Fields, etc.) Manipulation von Header Werten (Cookies, User Agent) Änderung der IP Adresse oder Browsersignatur einer Session (Session Binding) Tresholds Zugriffe pro Sekunde (z.b. bei Anmeldersuche, Objekt Zugriffe) Aufrufe pro Zeitraum (z.b. Transaktionen) Fehlerhafte Loginversuche Patternerkennung Erkennung von eindeutigen Angriffspatterns Identifikation gefährlicher Dateianhänge (z.b. exe) bei Dateiupload In einem solchen Fall: Detailliertes Logging/Alerting und invalidieren der Session / Aussperren des Accounts, (temporäres) Sperren der IP, etc. 53

54 User Alerting Benutzer in Angriffserkennung aktiv einbinden: Ereignis User Alert Fehlerhafte Anmeldeversuche seit letztem Login Meldung nach erfolgreichem Login Zeit und Ort (z.b. IP) des letzten Logins Meldung nach erfolgreichem Login Etwaiger erkannter Missbrauchsversuch mit Login Meldung nach erfolgreichem Login Setzen von Berechtigungen Durchführung hochsensibler Aktionen, wie der Änderung des Passworts Bestätigung durch Benutzer, Meldung über Seitenkanal (E Mail, SMS) Bestätigung durch Benutzer, Meldung über Seitenkanal (E Mail, SMS) Zugriff auf hochsensible Dateien Meldung über Seitenkanal (E Mail, SMS) 54

55 Security Response Vorbereitung treffen, um so schnell wie möglich auf identifizierte Sicherheitslücken zu reagieren Virtual Patching: Verhindern der Ausnutzung einer Schwachstelle über regulärem Ausdruck (z.b. innerhalb einer WAF). Implementierung von Security Schaltern, um im Betrieb Funktionen abzuschalten CAPTCHAs für bestimmte Funktionen zu aktivieren IPs zu blockieren (selektiv oder GeoIP) Blockierung von IPs, etc.. 55

56 9. Automatisiere Sicherheitstests!

57 Manuelle und automatisierte Tests Architekturelle und konzeptionelle Analysen (z.b. Threat Modelling) Pentests und Codereviews Laufende Scans der Webanwendung (Webscanner, DAST) Laufende Scans des Codes (Security Code Analysen, SAST) Scan auf unsicheren Abhängigkeiten / APIs (=> OWASP Dependency Check) Kostenfreie Tools: OWASP ZAP w3af skipfish Nikto, Wikto Minon (Burp) SSL Labs, SSLScan und ssl_test Security-Plugins für Wordpress & Co. 57

58 Security Unit & Integration Tests Mittels Unit Tests lassen sollten auch Sicherheitschecks durchgeführt werden (Security Unit Tests). Beispiele: Verifikation von codebasierten Access Controls, Validierung Einsatz von JUnit-Tests zur Durchführung von Security Integration Tests Beispiel: Checks von Korrekte Enkodierung von XSS-Payloads (<> ), Zugriff auf privilegierte URLs mit nicht privilegieren Benutzern, etc. Gesetzte Security public void testxframeoptionsvalid() throws Exception { HttpResponse res = httphelper.gethttpheadresponse( new URL("http://www.example.com")); } // Check for valid header value asserttrue("sameorigin".equals( res.getlastheader("x-frame-options").getvalue())); Beispiel um einen gesetzten X-Frame-Options-Header zu testen 58

59 Zusammenfassung

60 9 Best Practices zur Absicherung von Webapps 1. Validiere restriktiv, mehrschichtig und korrekt 2. Minimiere die Angriffsfläche 3. Behandle Daten sicher 4. Sichere die Benutzeranmeldung ab 5. Gestalte Zugriffsschutz mehrschichtig und über Indirektionen 6. Verwende sichere Standards & gestalte Sicherheit anpaßbar 7. Nutze clientseitige Sicherheits-Features 8. Erkenne und behandle Angriffe 9. Automatisiere Sicherheitstests! Aber: Ohne entsprechenden Management Support, Budget, Prozesse (Security Sign-Offs), Awareness im Projekt Management und verpflichtende Vorgaben & Pentests, ist eine nachhaltige Verbesserung der Sicherheit von Webanwendungen nicht möglich! 60

61 Danke! Fragen? Folien unter:

Absicherung von Webanwendungen. DFN-Cert - 60. Betriebstagung

Absicherung von Webanwendungen. DFN-Cert - 60. Betriebstagung Absicherung von Webanwendungen DFN-Cert - 60. Betriebstagung Matthias Rohr 11. März 2014 Wer bin ich? Matthias Rohr CISSP, CSSLP, CISM, CSSLP Autor sowie Berater und Geschäftsführer bei der Secodis GmbH

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Matthias Rohr 20. März 2014. Tool basierte Web Security

Matthias Rohr 20. März 2014. Tool basierte Web Security Matthias Rohr 20. März 2014 Tool basierte Web Security About Me Matthias Rohr CISSP, CSSLP, CISM, CCSK Application Security seit knapp 10 Jahren Autor sowie Berater und Geschäftsführer bei der Secodis

Mehr

Inhaltsverzeichnis 1 Einleitung

Inhaltsverzeichnis 1 Einleitung Inhaltsverzeichnis 1 Einleitung....................................................... 1 1.1 Zum Begriff Webanwendung.................................. 1 1.2 Warum sind Webanwendungen unsicher?..........................

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015

Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015 Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015 Über mich Matthias Rohr Geschäftsführer der Secodis GmbH in Hamburg In der Applikationssicherheit seit

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Vorlage eines technisch-organisatorischen Sicherheitsstandards für Webanwendungen (TSS-WEB)

Vorlage eines technisch-organisatorischen Sicherheitsstandards für Webanwendungen (TSS-WEB) Vorlage eines technisch-organisatorischen Sicherheitsstandards für Webanwendungen (TSS-WEB) Version v1.01 (21. März 2015) Matthias Rohr (Secodis GmbH, Hamburg) https://www.secodis.com/tss-web Dieses Dokument

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Compass Security. Bedrohungen Web-Applikationen. 17. März 2006

Compass Security. Bedrohungen Web-Applikationen. 17. März 2006 Compass Security Bedrohungen Web-Applikationen 17. März 2006 Dokumentname: compass_security_bedrohungen_web_applikationen_v2.5.doc Version: V 2.5 Autor(en): Walter Sprenger, Compass Security AG Lieferungsdatum:

Mehr

Sicherheit in Software

Sicherheit in Software Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

SP Web Applica on Intranet - Docusnap.intern

SP Web Applica on Intranet - Docusnap.intern Date Author 11.10.2012 Docusnap Number of Pages 5 Applica on Pool Applica on Pool Security Account Accept Username and Password Enable Addi onal Ac ons and Online Status Alerts Enabled Allow Access to

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

sslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff

sslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff sslstrip und sslstrip und sslstrip und -Header - Syntax -Header - Details Preloaded Sites OWASP Stammtisch München, 18. Februar 2014 - sslstrip und Inhaltsverzeichnis sslstrip und -Header - Syntax -Header

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Typo3 - Schutz und Sicherheit - 07.11.07

Typo3 - Schutz und Sicherheit - 07.11.07 Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit

Mehr

Apache HTTP-Server Teil 1

Apache HTTP-Server Teil 1 Apache HTTP-Server Teil 1 Zinching Dang 24. November 2014 1 Apache HTTP-Server Apache HTTP-Server allgemein offizielle Namensherkunft: Apachen-Stamm in Nordamerika wurde 1994 auf Basis des NCSA HTTPd-Webservers

Mehr

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 ÖSTERREICH RECHNET MIT UNS Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 www.brz.gv.at BRZ GmbH 2015 AGENDA Ausgangsbasis Webservice bei E-RECHNUNG.GV.AT SERWS Ziele

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

MOCCA. Installation und Konfiguration der Online-BKU

MOCCA. Installation und Konfiguration der Online-BKU www.egiz.gv.at E-Mail: post@egiz.gv.at Telefon: ++43 (316) 873 5514 Fax: ++43 (316) 873 5520 Inffeldgasse 16a / 8010 Graz / Austria MOCCA Installation und Konfiguration der Online-BKU Change History V1.0

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

Härten des Oracle Application Server 9i Rel1, 9i Rel.2 und 10g. Alexander Kornbrust 10-Nov-2004. Red-Database-Security

Härten des Oracle Application Server 9i Rel1, 9i Rel.2 und 10g. Alexander Kornbrust 10-Nov-2004. Red-Database-Security Härten des Oracle Application Server 9i Rel1, 9i Rel.2 und 10g Alexander Kornbrust 10-Nov-2004 Red-database-security, Alexander Kornbrust, 10-11-2004 1 Überblick: 1. Einführung 2. Härten des Betriebssystems

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische

Mehr

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem:

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem: !! "!!##$ %& es gibt keine 100 %ige Sicherheit Fehler zu machen ist menschlich man muss es so gut wie möglich machen es ist GROB FAHRLÄSSIG es nicht einmal zu versuchen Ziel: Methoden entwickeln, die Sicherheit

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Security in.net 2.0. Thomas Stanek

Security in.net 2.0. Thomas Stanek Security in.net 2.0 2 Content 1. Verwendung 2. Überblick 3. Features im Detail a. Windows Accounts und SIDs b. Sichere Datenübertragung (SSL) c. X509 -Zertifikate d. Data Protection API (DPAPI) e. SecureStrings

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

Einbruchssichere Webanwendungen

Einbruchssichere Webanwendungen HDIV und Stinger Web Einbruchssichere Webanwendungen Anwendungssicherheit wird häufig vor allem mit den Themen Authentisierung, Autorisierung und Verschlüsselung in Verbindung gebracht. Dabei lassen sich

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Sicherheit mobiler Apps. Andreas Kurtz

Sicherheit mobiler Apps. Andreas Kurtz Sicherheit mobiler Apps Andreas Kurtz Agenda OWASP Mobile Security Project OWASP TOP 10 Mobile Risks Beispiele und Erfahrungen aus der Praxis Fokus auf Defizite bei Authentisierung/Autorisierung Zusammenfassung

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP SIEM Wenn Sie wüssten, was Ihre Systeme wissen Marcus Hock, Consultant, CISSP SIEM was ist das? Security Information Event Monitoring System zur Echtzeitanalyse von Ereignissen, die durch Hardware- oder

Mehr

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Sebastian Kübeck Web-Sicherheit Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Einleitung................................................. 11 Teil I Grundlagen der Informationssicherheit......................

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services 5 Schritte zur IT-Sicherheit Johannes Nöbauer Leiter Enterprise Services 5 (einfache) Schritte zur IT-Sicherheit Sicherheitsupdates für Betriebssysteme installieren Sicherheitsupdates für alle Anwendungen

Mehr