Absicherung von Webanwendungen

Größe: px
Ab Seite anzeigen:

Download "Absicherung von Webanwendungen"

Transkript

1 Absicherung von Webanwendungen JAX Security Day Mai 2014 Matthias Rohr

2 Matthias Rohr Dipl-Medieninf. (FH), CISSP, CSSLP, CISM, CCSK > 10 Jahre Applikationssicherheit & Webentwicklung Autor sowie Geschäftsführer der Secodis GmbH, einem Beratungshaus für Anwendungssicherheit aus Hamburg Schwerpunkte: 1. Security Test Automatisierung 2. Secure Development Lifecycle (SDL) Prozesse-Design, Vorgaben/Guidelines, Integrationen, Schulungen/Coaching, Ab Sommer 2014 im Handel 2

3 93 % Prozentsatz größerer Unternehmen in UK, die in einer Studie angaben in 2011 von einem Cyber-Angriff betroffen gewesen zu sein. Information security breaches survey Technical report, April 2012, PwC Prozentsatz aller (Cyber-)Angriffe die über den Anwendungslayer erfolgen. UK Security Breach Investigations Report %

4 Cyber-Angriffe = Angriffe auf Webanwendungen!

5 Databases Legacy Systems Web Services Directories Human Resrcs Billing 5 Firewall Netzwerk vs. Application Layer Angriffe erfolgen heute über den Application Layer (Ports 80/443) Custom Developed Application Code APPLICATION ATTACK App Server Web Server Hardened OS Firewall Network Layer Application Layer Quelle: OWASP

6 Drei Sichten I. Angriffszentrisch 1. SQL Injection 2. Cross-Site Scripting (XSS) 3. Brute Forcing 4. Denial of Service (DoS) II. Schwachstellenzentrisch 1. Fehlerhafte Datenvalidierung 2. Fehler in Zugriffskontrollen 3. Ungenügende Anti-Automatisierung 4. Fehlerhafte Konfiguration 5. Fehlerhafte Authentifizierung 6. Unsichere Passwörter III. Auswirkungszentrisch 1. Downtime 2. Information Leakage 3. Defacement 4. Monetäre Schäden 5. Malware 6. Phishing 6 Quelle: Web Hacking Incident Database

7 Drei Sichten I. Angriffszentrisch 1. SQL Injection 2. Cross-Site Scripting (XSS) 3. Brute Forcing 4. Denial of Service (DoS) II. Schwachstellenzentrisch 1. Fehlerhafte Datenvalidierung 2. Fehler in Zugriffskontrollen 3. Ungenügende Anti-Automatisierung 4. Fehlerhafte Konfiguration 5. Fehlerhafte Authentifizierung 6. Unsichere Passwörter III. Auswirkungszentrisch 1. Downtime 2. Information Leakage 3. Defacement 4. Monetäre Schäden 5. Malware 6. Phishing 7 Quelle: Web Hacking Incident Database

8 Drei Sichten I. Angriffszentrisch 1. SQL Injection 2. Cross-Site Scripting (XSS) 3. Brute Forcing 4. Denial of Service (DoS) II. Schwachstellenzentrisch 1. Fehlerhafte Datenvalidierung 2. Fehler in Zugriffskontrollen 3. Ungenügende Anti-Automatisierung 4. Fehlerhafte Konfiguration 5. Fehlerhafte Authentifizierung 6. Unsichere Passwörter III. Auswirkungszentrisch 1. Downtime 2. Information Leakage 3. Defacement 4. Monetäre Schäden 5. Malware 6. Phishing 8 Quelle: Web Hacking Incident Database

9 Handlungsgebiete Sicherheitsarchitektur / Secure Design Principles Sichere Implementierung Eingabevalidierung Ausgabevalidierung (Enkodierung) Authentifizierung Absicherung des Session Managements Access Controls Anti-Automatisierung Clientseitige Sicherheit Kryptographie und Datenbehandlung Logging und Fehlerbehandlung Security Testing (manuell und automatisch) Sicherer Betrieb Härtung des Web- und TLS/SSL-Servers Einsatz von Web Application Firewalls Laufende Scans / Change Management 9

10 Handlungsgebiete Sicherheitsarchitektur / Secure Design Principles Sichere Implementierung Eingabevalidierung Ausgabevalidierung (Enkodierung) Authentifizierung Absicherung des Session Managements Access Controls Anti-Automatisierung Clientseitige Sicherheit Kryptographie und Datenbehandlung Logging und Fehlerbehandlung Security Testing (manuell und automatisch) Sicherer Betrieb Härtung des Web- und TLS-Servers Einsatz von Web Application Firewalls Laufende Scans / Change Management 10

11 9 Best Practices zur Absicherung von Webanwendungen

12 1. Validiere restriktiv, mehrschichtig und korrekt

13 13 Eingabevalidierung Architektonisch

14 Datenvalidierung = Ein- & Ausgabevalidierung Eingabevalidierung dient primär dazu sicherzustellen, dass Eingaben der Spezifikation entsprechen und keine unnötigen Zeichen und Werte enthalten (Korrektheit von Syntax und Semantik). Ausgabevalidierung dient in erster Linie dazu, den Daten- vom Steuerkanal zu separieren und damit das Auftreten von Injection-Schwachstellen (XSS, SQL-, XML-Injection, etc.) zu vermeiden. 14

15 Verwende ein positives Sicherheitsmodell Positives Sicherheitsmodell ( Whitelisting, Known Good ): nur das explizit Erlaubte wird zugelassen. Beispiel: Nichts ist erlaubt bis auf Wert X. Negatives Sicherheitsmodell ( Blacklisting, Known Bad ): Bekannte Zustände oder Werte werden explizit ausgeschlossen. Beispiel: Alles ist erlaubt bis auf Wert Y. Nicht daran denken Was muss ich verbieten? (negatives Sicherheitsmodell) sondern Was muss ich erlauben? (positives Sicherheitsmodell)! 15

16 Am Anfang steht der Datentyp (Default-)Strings, die Mutter aller Angriffe : SQL-Injection: or 1=1 -- Cross-Site Scripting (XSS): ><script> </script> Path Traversal:../../../etc/passwd%00 Cross-Site Request Forgery (CSRF): ><img src=http://...> Die meisten dieser Angriffe sind nicht möglich, bei: RegExp: A-Za-z0-9 int, char, DateTime,.. 16

17 Mapping von Eingaben auf (restriktive) Datentypen (Benutzer-)Parameter über Data/Request Binding implizit validieren. Auch Anwendungsparameter (z.b. Hidden Fields) validieren!! Whitelisting Integritätsprüfungen Indirektionen (später) oder ganz weglassen 17

18 Mehrschichtige Eingabevalidierung Eingabevalidierung sollte immer mehrschichtig (Defense-in-Depth-Prinzip) durchgeführt und auf alle Parameter und Schnittstellen (Single Access Points) angewendet werden! JSR-303 Bean Validation public class RegisterBean = "[a-za-z0-9]+ private String username; 18

19 Eingabevalidierung - Sonderfälle URLs Whitelists oder Indirektionen (später) Fester Präfix (z.b. + URL) Dateiuploads Immer im angemeldeten Bereich Validierung von Dateityp (Inhalt), Dateigröße, AV-Prüfung SANS 8 Basis Rules to Implement Secure File Uploads * XML Restriktive (!) XML Schemas (einschränken von String-Datentypen, etc.) HTML Rich Content APIs (später) * Johannes Ullrich, 8 Basic Rules to Implement Secure File Uploads, SANS Institut, 28. Dezember 2009, 19

20 Ausgabevalidierung am Backend Alle Parameter, die die Anwendung ausgibt, müssen enkodiert werden Immer Parametrisierungs-API (oder ORM) einer Enkodierungs-API bevorzugen! Alle Parameter parametrisieren! String sql = "SELECT * FROM tbl WHERE user =?"; PreparedStatement prepstmt = con.preparestatement(sql); prepstmt.setstring(1, userid); 20

21 Ausgabevalidierung Vermeiden von XSS Werden benutzerkontrollierte Parameter nicht korrekt in den Benutzerkontext (HTML, JS, etc.) geschrieben, kann ein Angreifer dies Ausnutzen und dort beliebigen Skriptcode zur Ausführung bringen (Cross- Site Scripting) Zeichen " & & < < > > HTML Entity Encoding 21

22 Enkodierung am Frontend - Beispiel Programmatischer Ansatz mittels OWASP Java Encoder Project: <input type="text" value="<%= Encode.forHtmlAttribute(dataValue) %>" /> <textarea name="text"><%= Encode.forHtmlContent(textValue) %>" /> <button onclick="alert('<%= Encode.forJavaScriptAttribute(alertMsg) %>');"> click me </button> <script type="text/javascript"> var msg = "<%= Encode.forJavaScriptBlock(message) %>"; alert(msg); </script> Besser jedoch implizit über Webframework, welches noch dazu den korrekten Ausgabekontext berücksichtigt (z.b. GWT)! 22

23 Vermeiden von XSS Wo Parameter nicht hingeschrieben werden dürfen (Auszug) An verschiedene Stellen dürfen (benutzerkontrollierte) Parameter niemals ausgegeben werden, da sich diese dort nicht sicher behandeln lassen: 23 => Mehr im OWASP XSS Prevention Cheat Sheet

24 XSS Maßnahmen Kombination aus verschiedenen Verfahren: Restriktive Eingabevalidierung (Länge, Datentyp, Whitelisting, etc.) Implizite Enkodierung durch Template-Technologien / Webframeworks; Alternativ: HTML-Enkodierung von Eingaben und Behandlung von Sonderfällen (später) Do s und Dont s beachten, insbesondere wenn Parameter im JavaScript- Kontext ausgegeben werden: 24

25 XSS Weitere Maßnahmen HTML-Markup-Eingaben immer mit sicheren APIs parsen JSoup OWASP AntiSammy OWASP HTML Sanitizing Project Einschränken der Ausnutzbarkeit: httponly-flag für Session Cookies verwenden Content Security Policy (CSP) für neue Entwicklungen 25

26 Content Security Policy (CSP) Ermöglicht die Unterbindung von Inline-Skriptcode (und damit von den meisten XSS-Varianten) Beispiel HTTP Response Header Content-Security-Policy: default-src 'self'; script-src 'self' s.site.com Aber: Erfordert entsprechende Gestaltung der Webseite (bzw. Unterstützung vom Webframework): 26 IE >=10 FF >= 23 Chrome >= 25 Safari >=7

27 2. Minimiere die Angriffsfläche (oder: Weniger ist manchmal mehr! )

28 Angriffsfläche Jede Anwendung besitzt eine Angriffsfläche. Je größer diese ist, desto mehr Möglichkeiten besitzen Angreifer! 28

29 Angriffsfläche Beispiel: Anwendungsparameter https://[site]/bookin?cid=18002&steps=4&wds_wr_channel=com&comman d=latelogin&excontroller=addelements.action&ibecoc=de&productid=2 3434&pageTicket=232&debug=0&ticketID=ClWPRpdhf5Wv6SD&channel=23&m ode=select&ibemode=ll&allowaccess=false Beispiel: Schnittstellen 29

30 Minimiere die Angriffsfläche! 30 Nur die Funktionen / Parameter / Daten über das Internet verfügbar machen, die unbedingt erforderlich sind Minimierung von Anwendungsparametern und privilegiertem Code Zentral genutzte Access Controls Alle Zugriffe über einen (wenige) Single Access Points abwickeln und dort validieren Nicht benötigte Funktionen sollten immer deaktiviert werden. Least Privilege: Berechtigungen von Code / Benutzern minimieren / Einsatz von Sandboxes

31 Minimiere Angriffsfläche: Separiere Externe Systeme von internen auch netzwerkseitig separieren! Wenn möglich: Priviligierten (z.b. administrativen) Code von Nicht- Priviligierten separieren 31

32 Infrastruktureller Schutz einer Webapp Härtung des TLS-Stacks Nur minimale Services, Funktionen, Berechtigungen Häufig in einem System kombiniert (z.b. Apache + ModSecurity + mod_ssl) 32

33 3. Behandle Daten sicher

34 Verschlüsselung 34 Sichere Protokolle und Schlüsselstärken einsetzen: Weitere Empfehlungen: Sym. Verfahren: AES >= 128 Bit BSI TR Asym. Verfahren: RSA, min: 2048 Bit Kryptographische Verfahren (Teil 1+2) Übertragung. TLS >=1.0, 1.2 mit Forward Secrecy unterstützten (kein RC4!) Sichere Block Chiffre Modes einsetzen (kein ECB!) Passwörter (später) Sichere und getestete Implementierungen einsetzen Aber: Verschlüsselung ist nicht nur der Einsatz sicherer Verfahren!

35 Datenbehandlungsvorgaben 35 Übertrage sensible Daten nur per HTTPS und HTTP POST (nicht in der URL)! Maskiere personenbezogene Daten wenn nur für persönlichen und Hashes wenn nur für technischen Abgleich erforderlich.

36 4. Sichere die Benutzeranmeldung ab

37 Benutzerpasswörter Restriktive Policy (Passwortstärke!= Passwortlänge) Benutzerpasswörter sollten immer ablaufen! Min. 8 Zeichen, aber inkl. Groß- und Kleinschreibung + Sonderzeichen Passwort-Stärke-Funktionen verwenden: Testen der Policy, und Common Passwords Sichere Verarbeitung Passwörter niemals anzeigen oder ausgeben! Immer über HTTPS übertragen und eingeben! Passwortspeicherung: PBKDF2, scrypt oder bcrypt (Key Stretching + Salting) Für hohen Schutzbedarf ist Mehrfaktorauthentifizierung (z.b. +++RSA Token, +SMS, +SSL Zertifikate) besser geeignet! Auch als zusätzlicher Schutz (z.b. Geräteauthentifizierung ) 37

38 Anti-Automatisierungs-Schutz (Brute-Forcing-Schutz) Anti-Automatisierungsschutz ist abhängig vom Schutzbedarf und von der Stärke existierender Schutzmechanismen (z.b. Passwortstärke) Vorsicht vor dem Aussperren von Benutzern! Besser: Verzögerungen (Thresholds), Client-Logik, etc. 38

39 Abschottung von Admin-Zugängen Wenn möglich: nicht über das Internet verfügbar machen! Nur HTTPS zulassen! IP-Whitelisting Order Deny, Allow Deny from all Allow from Allow from Auszug aus.htaccess (Apache- Webserver) Zusätzliche Basic Auth (mit anderem Benutzer) AuthUserFile /secure/htpasswd AuthName "secured" Auszug aus AuthType Basic.htaccess (Apache- Require user mrohr Webserver) SSL-Client-Zerts / MFA, etc. 39

40 5. Gestalte Zugriffsschutz mehrschichtig und über Indirektionen

41 Mehrschichtige Access Controls => Defense-in-Depth-Prinzip 41

42 Verwende Indirektionen In URLs keine echten Objekt-IDs verwenden! Schließt Manipulationen und unautorisierte Zugriffe per Design aus 42

43 Indirektionen - Beispiel Ohne Indirektion (direkte Objekt-IDs) https://[site]/admin?cardid=18002&productid=52252 Mit Indirektion https://[site]/admin?cardid=1&productid=3 Umsetzung z.b. mittels AccessReferenceMap von OWASP ESAPI oder HDIV-Framework 43

44 Schutz vor Cross-Site Request Forgery (CSRF) State-ändernde Request müssen benutzer- oder request-spezifisch sein! CSRF https://[site]/admin?newpassword=123&repeat=123 Kein CSRF: https://[site]/admin?newpassword=123&repeat=123&token=akijc Anti-CSRF-Tokens in vielen Filtern/Frameworks verfügbar, oft auch als Replay Protection 44

45 6. Verwende sichere Standards & gestalte Sicherheit anpaßbar

46 Verwende ausgereifte Komponenten und Verfahren Keine sicherheitsrelevanten Algorithmen oder Implementierungen (insb. zur Kryptographie) selbst bauen sondern auf getestete und bewehrte Standardimplementierungen setzen! Beispiele: Session Management des Application Servers Apache Commons Java Cryptographical Extensions (JCE) OWASP Java Encoding Project OWASP ESAPI Definition einer eigenen Enterprise Security APIs, die über welche Sicherheitsfunktionen zentral gepflegt und bereitgestellt werden. 46

47 Default Secure Mittels Default Secure werden nur die Ausnahmen behandelt Default Secure bei Kryptographie: Aufruf: String crypt = ESAPI.encryptor().encrypt(plaintext); In Config: KeyLength=256 EncryptionAlgorithm=AES Default Secure bei Ausgabevalidierung: Bei 99% aller XSS-Angriffe werden Eingaben unvalidiert in den HTML- Kontext geschrieben ( /><script => " />< script) Automatisches Enkodieren aller Parameter über Template-Technologie ( Auto Encoding ); Standard bei JSTL, etc. Problem: Daten, die am Framework vorbeigeschrieben werden Ansatz: Enkodierung aller Eingaben mittels HTML Encoding und Behandlung der Ausnahmen (z.b. wenn Eingaben in JS-Kontext ausgegeben werden.) 47

48 7. Nutze clientseitige Sicherheits-Features

49 Angriffstypen 1. Direkte Angriffe SQL Injection Priv. Escalation Brute Forcing DoS 2. Indirekt Angriffe XSS CSRF Clickjacking 49

50 Clientseitige Sicherheitsfeatures: Übersicht Um Client-Seitige Angriffe wirkungsvoll zu unterbinden müssen Client-Seitige Security Features über Response-Header verwendet werden. Beispiele: X-Frame-Options: Clickjacking-Schutz HSTS: Erzwingen, dass Seite immer über HTTPS aufgerufen wird secure- und httponly-flag bei Session Cookies: XSS-Schutz Content Security Policy (CSP): XSS-Schutz (u.a.) CORS für Cross-Domain-Zugriffe einsetzen 50

51 Zum Nachlesen: Empfehlungen für Response Header Response Header Allgemeine Empfehlung Wann Beschreibung Content Type...; charset=utf 8 Immer Durchgehende Verwendung von Unicode (UTF 8). ;httponly; secure Übertragung sensibler Restriktives Setzen der Session ID. Mittels "Secure" Set Cookie Daten (z.b. Session IDs). Flag wird der Browser angehalten diese nur über HTTPS zu übermitteln; httponly verhindert das Auslesen mittels JavaScript. Cache Control no cache Bei Übertragung sensibler Verhinderung des Cachings von Daten (Header für Pragma no cache Daten. HTTP 1.0 und 1.1). Expires 1 max age= ; Auf allen produktiven Erzwingt die Verwendung von HTTPS einer Seite für Strict TransportincludeSubDomains Seiten, die nur über den spezifizierten Zeitraum (HTTP Strict Transport Security HTTPS aufgerufen werden Security, HSTS). DENY oder SAMEORIGIN Immer Die Webseite kann nicht (bzw. nur von derselben X Frame Options Origin) als Frame eingebunden werden (Frame Busting); Schutz etwa vor Clickjacking oder anderen Phishing Angriffen. X Content Type Options X XSS Protection nosniff Immer Deaktivierung von MIME Sniffing. Dadurch wird sichergestellt, dass der Browser nicht selbstständig aufgrund des Inhalts versucht den MIME Typ zu bestimmen. 1; mode=block Auf Produktivsystemen Verwenden des XSS Filters im Blocking Mode, wodurch reflektierter JavaScript Code nicht ausgeführt wird. Content Security Policy X Download Options Content Disposition default src 'self'; script src 'self' [URL1] [URL2]; frame src 'self' [URL1] [URL2]; noopen attachment; filename=<dateiname> Auf Produktivsystemen Dort wo Benutzer nicht vertrauenswürdige Dateien herunterladen können. Definition einer Content Security Policy (CSP), in erster Linie zur Abwehr von XSS Angriffen. Anwendung erfordert entsprechende Anpassungen in der Anwendung. Einsatz erfordert ggf. Umgestaltung der Struktur der Webseite. Weist den Browser an ein Datei zu speichern statt diese anzuzeigen. 51

52 8. Erkenne und behandle Angriffe

53 Klare Angriffe ermöglichen robuste Aktionen Indikator Beispiele Honeypots Nicht existierende Objekt IDs Nicht existierende Pfade (z.b. /admin ) Nicht existierende Parameter (z.b. action=delete ) Nicht verwendete Erweiterungen (z.b..php in einer Java EE Umgebung) Manipulation von nicht veränderbaren Werten Manipulation von Anwendungsparametern (Hidden Fields, etc.) Manipulation von Header Werten (Cookies, User Agent) Änderung der IP Adresse oder Browsersignatur einer Session (Session Binding) Tresholds Zugriffe pro Sekunde (z.b. bei Anmeldersuche, Objekt Zugriffe) Aufrufe pro Zeitraum (z.b. Transaktionen) Fehlerhafte Loginversuche Patternerkennung Erkennung von eindeutigen Angriffspatterns Identifikation gefährlicher Dateianhänge (z.b. exe) bei Dateiupload In einem solchen Fall: Detailliertes Logging/Alerting und invalidieren der Session / Aussperren des Accounts, (temporäres) Sperren der IP, etc. 53

54 User Alerting Benutzer in Angriffserkennung aktiv einbinden: Ereignis User Alert Fehlerhafte Anmeldeversuche seit letztem Login Meldung nach erfolgreichem Login Zeit und Ort (z.b. IP) des letzten Logins Meldung nach erfolgreichem Login Etwaiger erkannter Missbrauchsversuch mit Login Meldung nach erfolgreichem Login Setzen von Berechtigungen Durchführung hochsensibler Aktionen, wie der Änderung des Passworts Bestätigung durch Benutzer, Meldung über Seitenkanal (E Mail, SMS) Bestätigung durch Benutzer, Meldung über Seitenkanal (E Mail, SMS) Zugriff auf hochsensible Dateien Meldung über Seitenkanal (E Mail, SMS) 54

55 Security Response Vorbereitung treffen, um so schnell wie möglich auf identifizierte Sicherheitslücken zu reagieren Virtual Patching: Verhindern der Ausnutzung einer Schwachstelle über regulärem Ausdruck (z.b. innerhalb einer WAF). Implementierung von Security Schaltern, um im Betrieb Funktionen abzuschalten CAPTCHAs für bestimmte Funktionen zu aktivieren IPs zu blockieren (selektiv oder GeoIP) Blockierung von IPs, etc.. 55

56 9. Automatisiere Sicherheitstests!

57 Manuelle und automatisierte Tests Architekturelle und konzeptionelle Analysen (z.b. Threat Modelling) Pentests und Codereviews Laufende Scans der Webanwendung (Webscanner, DAST) Laufende Scans des Codes (Security Code Analysen, SAST) Scan auf unsicheren Abhängigkeiten / APIs (=> OWASP Dependency Check) Kostenfreie Tools: OWASP ZAP w3af skipfish Nikto, Wikto Minon (Burp) SSL Labs, SSLScan und ssl_test Security-Plugins für Wordpress & Co. 57

58 Security Unit & Integration Tests Mittels Unit Tests lassen sollten auch Sicherheitschecks durchgeführt werden (Security Unit Tests). Beispiele: Verifikation von codebasierten Access Controls, Validierung Einsatz von JUnit-Tests zur Durchführung von Security Integration Tests Beispiel: Checks von Korrekte Enkodierung von XSS-Payloads (<> ), Zugriff auf privilegierte URLs mit nicht privilegieren Benutzern, etc. Gesetzte Security public void testxframeoptionsvalid() throws Exception { HttpResponse res = httphelper.gethttpheadresponse( new URL("http://www.example.com")); } // Check for valid header value asserttrue("sameorigin".equals( res.getlastheader("x-frame-options").getvalue())); Beispiel um einen gesetzten X-Frame-Options-Header zu testen 58

59 Zusammenfassung

60 9 Best Practices zur Absicherung von Webapps 1. Validiere restriktiv, mehrschichtig und korrekt 2. Minimiere die Angriffsfläche 3. Behandle Daten sicher 4. Sichere die Benutzeranmeldung ab 5. Gestalte Zugriffsschutz mehrschichtig und über Indirektionen 6. Verwende sichere Standards & gestalte Sicherheit anpaßbar 7. Nutze clientseitige Sicherheits-Features 8. Erkenne und behandle Angriffe 9. Automatisiere Sicherheitstests! Aber: Ohne entsprechenden Management Support, Budget, Prozesse (Security Sign-Offs), Awareness im Projekt Management und verpflichtende Vorgaben & Pentests, ist eine nachhaltige Verbesserung der Sicherheit von Webanwendungen nicht möglich! 60

61 Danke! Fragen? Folien unter:

Absicherung von Webanwendungen. DFN-Cert - 60. Betriebstagung

Absicherung von Webanwendungen. DFN-Cert - 60. Betriebstagung Absicherung von Webanwendungen DFN-Cert - 60. Betriebstagung Matthias Rohr 11. März 2014 Wer bin ich? Matthias Rohr CISSP, CSSLP, CISM, CSSLP Autor sowie Berater und Geschäftsführer bei der Secodis GmbH

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12 OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt

Mehr

Dirk Wetter. Dirk Wetter. Kleine, feine Helferlein: HTTP Header und Security. Kleine, feine Helferlein: HTTP Header und Security

Dirk Wetter. Dirk Wetter. Kleine, feine Helferlein: HTTP Header und Security. Kleine, feine Helferlein: HTTP Header und Security Dirk Wetter Dirk Wetter Kleine, feine Helferlein: Kleine, feine Helferlein: HTTP Header und Security HTTP Header und Security Folien Lizenz: About Me Einzelunternehmer Beratung Web /Sicherheit (http://drwetter.eu/neu/)

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info

Ruby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

Matthias Rohr 20. März 2014. Tool basierte Web Security

Matthias Rohr 20. März 2014. Tool basierte Web Security Matthias Rohr 20. März 2014 Tool basierte Web Security About Me Matthias Rohr CISSP, CSSLP, CISM, CCSK Application Security seit knapp 10 Jahren Autor sowie Berater und Geschäftsführer bei der Secodis

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

Inhaltsverzeichnis 1 Einleitung

Inhaltsverzeichnis 1 Einleitung Inhaltsverzeichnis 1 Einleitung....................................................... 1 1.1 Zum Begriff Webanwendung.................................. 1 1.2 Warum sind Webanwendungen unsicher?..........................

Mehr

HTTPS Checkliste. Version 1.0 (26.08.2015) Copyright Hahn und Herden Netzdenke GbR

HTTPS Checkliste. Version 1.0 (26.08.2015) Copyright Hahn und Herden Netzdenke GbR HTTPS Checkliste Version 1.0 (26.08.2015) Copyright Hahn und Herden GbR Inhaltsverzeichnis Best Practices...2 1 Private Key und Zertifikat...2 1.1 2048-Bit Private Keys...2 1.2 Geheimhalten der Private

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015

Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015 Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015 Über mich Matthias Rohr Geschäftsführer der Secodis GmbH in Hamburg In der Applikationssicherheit seit

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Was eine WAF (nicht) kann. Ausgabe 2013

Was eine WAF (nicht) kann. Ausgabe 2013 Was eine WAF (nicht) kann. Ausgabe 2013 Mirko Dziadzka http://mirko.dziadzka.de/ @MirkoDziadzka OWASP Stammtisch München - 19.11.2013 1 / 27 Inhalt Worum soll es heute gehen Meine (subjektive) Meinung

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Apache HTTP-Server Teil 1

Apache HTTP-Server Teil 1 Apache HTTP-Server Teil 1 Zinching Dang 24. November 2014 1 Apache HTTP-Server Apache HTTP-Server allgemein offizielle Namensherkunft: Apachen-Stamm in Nordamerika wurde 1994 auf Basis des NCSA HTTPd-Webservers

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Web Application Security und der Einsatz von Web Application Firewalls

Web Application Security und der Einsatz von Web Application Firewalls Web Application Security und der Einsatz von Web Application Firewalls Philipp Etschel, BSc opennetworks.at fhstp.ac.at 2 Agenda: Warum überhaupt eine WAF einsetzen? Funktionsweise einer WAF Welche Web-

Mehr

Sicherheitsprobleme bei Webapps. Sichere Software zu programmieren ist doch ganz einfach, oder?

Sicherheitsprobleme bei Webapps. Sichere Software zu programmieren ist doch ganz einfach, oder? Sicherheitsprobleme bei Webapps Sichere Software zu programmieren ist doch ganz einfach, oder? Ich bin... Patrick Cornelißen Java und früher PHP Dipl. Informatiker Agile! Selbständig Softwareentwickler

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem:

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem: !! "!!##$ %& es gibt keine 100 %ige Sicherheit Fehler zu machen ist menschlich man muss es so gut wie möglich machen es ist GROB FAHRLÄSSIG es nicht einmal zu versuchen Ziel: Methoden entwickeln, die Sicherheit

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Sicherheit in Software

Sicherheit in Software Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

Security in.net 2.0. Thomas Stanek

Security in.net 2.0. Thomas Stanek Security in.net 2.0 2 Content 1. Verwendung 2. Überblick 3. Features im Detail a. Windows Accounts und SIDs b. Sichere Datenübertragung (SSL) c. X509 -Zertifikate d. Data Protection API (DPAPI) e. SecureStrings

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 4 1.3 Wichtige Begriffe................................ 5 1.4 Sicherheitskonzepte..............................

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Vorlage eines technisch-organisatorischen Sicherheitsstandards für Webanwendungen (TSS-WEB)

Vorlage eines technisch-organisatorischen Sicherheitsstandards für Webanwendungen (TSS-WEB) Vorlage eines technisch-organisatorischen Sicherheitsstandards für Webanwendungen (TSS-WEB) Version v1.01 (21. März 2015) Matthias Rohr (Secodis GmbH, Hamburg) https://www.secodis.com/tss-web Dieses Dokument

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Compass Security. Bedrohungen Web-Applikationen. 17. März 2006

Compass Security. Bedrohungen Web-Applikationen. 17. März 2006 Compass Security Bedrohungen Web-Applikationen 17. März 2006 Dokumentname: compass_security_bedrohungen_web_applikationen_v2.5.doc Version: V 2.5 Autor(en): Walter Sprenger, Compass Security AG Lieferungsdatum:

Mehr

Inhaltsverzeichnis. Einleitung... 11

Inhaltsverzeichnis. Einleitung... 11 Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 ÖSTERREICH RECHNET MIT UNS Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 www.brz.gv.at BRZ GmbH 2015 AGENDA Ausgangsbasis Webservice bei E-RECHNUNG.GV.AT SERWS Ziele

Mehr

RIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI - 12. Deutscher IT-Sicherheitskongress

RIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI - 12. Deutscher IT-Sicherheitskongress BSI - 12. Deutscher IT-Sicherheitskongress 10.-12. Mai.2011, Bonn Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse, Ruhr-Universität Bochum 1 1.1 Motivation Schwachstellen

Mehr

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet

PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren von Christopher Kunz, Stefan Esser, Peter Prochaska überarbeitet PHP-Sicherheit Kunz / Esser / Prochaska schnell und portofrei erhältlich bei

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Tobias Wassermann. Sichere Webanwendungen mit PHP

Tobias Wassermann. Sichere Webanwendungen mit PHP Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP

Mehr

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim Tim Weber 9. November 2006 Übersicht 1. Die Sprache PHP 2. Sicherheitslücken und Angriffsszenarien

Mehr

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15 Vorwort.................................................. 13 Einleitung................................................ 15 1 Aufwand versus Sicherheit was ist angemessen?.............. 17 1.1 Warum ist

Mehr

Java - Webapplikationen

Java - Webapplikationen Java - Webapplikationen Bestandteile (HTTP,, JSP) Aufbau (Model View Controller) Datenverwaltung (Java Beans, Sessions) Entwicklung (Projektstruktur, Sysdeoplugin für Eclipse) 17. Januar 2006 Jan Hatje

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2016 Zentrum für Informationssicherheit Webanwendungssicherheit-Workshop 15. 17. November 2016, Frankfurt Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de Webanwendungssicherheit

Mehr