extra Sichere Anwendungen Security Das folgende Beispiel illustriert Application-Scanner, Web-Firewalls & Co. Sicherheit im Web 2.

Größe: px
Ab Seite anzeigen:

Download "extra Sichere Anwendungen Security Das folgende Beispiel illustriert Application-Scanner, Web-Firewalls & Co. Sicherheit im Web 2."

Transkript

1 sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG extra Security Application-Scanner, Web-Firewalls & Co. Sicherheit im Web 2.0 Web Application Security Gefahren und Schutzmaßnahmen Sichere Anwendungen Scanner für Webanwendungen Auf Mängelsuche Datenströme inspizieren Webvorkoster Vorschau Storage SaaS Public und Private Cloud Storage Veranstaltungen 20.ˇ ˇ21. September 2011, Oldenburg D.A.C.H. Security ˇ ˇ13. Oktober 2011, Nürnberg Security-Messe it-sa 22.ˇ ˇ23. November 2011, Prag ISSE Seite I Seite V Seite X Seite XII ix extra Security zum Nachschlagen: Security Sichere Anwendungen Web Application Security Gefahren und Schutzmaßnahmen Hacker haben in den letzten Jahren Webanwendungen aller Art als Einfallstor in Backend-Systeme entdeckt und nutzen dafür die Schwachstellen in den Anwen - dungen selbst aus. Sicherheitsüberlegungen müssen sich daher durch den gesamten Lebenszyklus einer Applikation einschließlich Planung ziehen. Das folgende Beispiel illustriert eine Situation, die beim Sicherheitsfachmann die Alarmglocken schrillen lassen sollte: Immer wenn ein Anwender einer Webapplikation in ein bestimmtes Feld eines Formulars ein Hochkomma eingibt, reagiert die Anwendung mit einem internen Fehler, gibt beispielsweise die Fehlermeldung Server Error aus. Bei beliebigen anderen Eingaben solange nur das Hochkomma nicht enthalten ist reagiert die Anwendung mit einer vernünftigen Antwortseite und liefert keinerlei weitere Informationen. Daraus lässt sich schließen, dass die ins Formular eingegebenen Benutzerdaten in den SQL-Interpreter der nachgelagerten Datenbank gelangen. Denn bestimmte Metazeichen wie dieses Hochkomma besitzen für den Interpreter Son - derfunktionen. Das bedeutet wiederum, dass ein Angreifer, allerdings mit einigem Aufwand, den Interpreter ansprechen und eigene SQL-Befehle in die Datenbank einschleusen kann mit der Folge, dass er Daten auslesen oder manipulieren kann. Sind dort vertrauliche Daten wie Benutzerdaten, Passwort-Hashes oder gar Kennwörter, Bankverbindungen et cetera gespeichert, kann man sich die Konsequenzen leicht ausmalen. Es ist ein Trugschluss, davon auszugehen, dass solche SQL-Schwachstellen nicht genutzt werden, weil das Verfahren viel zu aufwendig und kompliziert ist. Es bedarf zum Finden und Ausnutzen von SQL-Injection-Lücken lediglich eines Tools wie sqlmap, das zudem in der Lage ist, neben der Datenbank auch das zugrunde liegende Betriebssystem zu infiltrieren. Mit ein wenig Hintergrundwissen und der URL, unter der das fehlerhaft programmierte Formular läuft, kann das Ganze komplett automatisch ablaufen. Bereits nach ein paar Stunden des Bearbeitens der Webanwendung, oder mit ein wenig Glück auch deutlich frü- I

2 Ziel ÜBERSICHT ÜBER FEINGRANULARE ZIELE UND MASSNAHMEN ZUR UMSETZUNG Bewusstsein und Wissen schaffen für die erfolgreiche Umsetzung von sicheren Webanwendungen konkrete Anlaufstellen und Zuständig - keiten definieren Sicherheitsanforderungen für Entwicklungsphasen und -übergänge definieren und berücksichtigen Abnahme sicherer Webanwendungen Entwicklung und Implementierung sicherer Webanwendungen Festlegung verbindlicher Regeln für die Entwicklung und Bereitstellung von Sicherheitskomponenten Überprüfung von Sicherheitsmängeln im Code rechtzeitiges Erkennen von Fehlern und Finden von Lösungen Prozessverbesserung her, hat sqlmap große Datenmengen kopiert und an einen Speicherort geschrieben, an dem der Angreifer Zugriff auf sie hat. Angriffe wie das eben dargestellte SQL-Injection, Cross-Site Scripting oder Ses sion Hijacking zielen dabei auf Schwachstellen in den Webanwendungen selbst, und die Erfahrung zeigt, dass diese Art von Schwachstellen weit verbreitet ist. In den mittlerweile zur Messlatte gewordenen Top Ten des OWASP (Open Web Application Security Project) stehen sie ganz weit oben. Die Verantwortlichen kennen die Gefahr noch zu wenig oder unterschätzen sie, und Firewalls sowie Intru sion- Prevention-Systeme sind auf die Entdeckung solcher Zugriffe nur selten eingestellt. Mit anderen Worten, das Tor steht sperrangelweit offen. Maßnahme Schulungen von Verantwortungsträgern und Umsetzern für mehr Bewusstsein und Knowhow in Web Application Security Etablieren von Strukturen Erarbeiten von Sicherheitsanforderungen Erarbeiten von Vorgaben für Ausschreibungen und Verträge Etablieren von Umsetzungskontrollen Erstellen einer Roadmap für Web Application Security Schaffung von Secure Coding Guidelines Auswahl und Anpassung geeigneter Libraries und Frameworks Etablieren von Umsetzungskontrollen Einsatz von Tools zur automatisierten Code - analyse auf Sicherheitsmängel Durchführung von Sicherheitsanalysen und Penetrationstests Definition von Metriken und Indikatoren Auswertungen und Rückgabe in die Fach - abteilungen Sicherheitsüberlegungen müssen bereits bei der Planung einer Software anfangen: Hier sollte das Security-Team Risiken und Missbrauchsszenarien systematisch ermitteln. Die etablierten Verfahren der Schutzbedarfs- und Risiko - analyse sowie die sogenannte Abuse-Case-Modellierung (Modellierung von Abläufen möglicher Angriffe) beziehungsweise das sogenannte Threat-Modelling stehen dafür zur Verfügung. Ziel ist es, Sicherheit schon im Entwurf zu verankern. Während der Entwicklung tragen moderne Sourcecode- Analysetools zum Erkennen von unsicherer Programmierung und echten Schwachstellen bei. Auch der selektive manuelle Code-Review von kritischen Codeteilen und Schlüsselkonzepten ist ein wirksames Mittel, drohende Gefahren an der Wurzel zu beseitigen. Der Penetra - tionstest schließlich stellt das klassische Mittel dar, sich Sicherheitsproblemen aus der Perspektive des Angreifers zu nähern. Ist die Anwendung schließlich in Betrieb, sollte der Umgang der Benutzer und auch potenzieller Angreifer mit der Anwendung überwacht und regelmäßig an die Entwickler zurückgespielt werden. Um im Unternehmen die gewünschte Webanwendungs- Security zu erreichen, müssen Sicherheitsteams nicht unbedingt alle Maßnahmen mit gleicher Anstrengung vorantreiben. Im Folgenden sind einige häufig anzutreffende Mängel sowie daraus abgeleitete Maßnahmen aufgeführt, die sich in der Praxis bewährt haben. Dazu gehören neben den im Systementwicklungs-Lebenszyklus ansetzenden Vorkehrungen auch solche, die Organisation und IT-Prozesse betreffen. Maßnahmen gegen die häufigsten Mängel Awareness für eigene Web Application Security schaffen:ˇwebapplikationssicherheit wird häufig immer noch nicht als eigenständige Disziplin betrachtet. Ein Indikator dafür ist das Fehlen von Awareness- Programmen sowie spezielle Schulungen für die Entscheidungsträger und Gestalter der IT-Infrastrukturen. Eigene Ansprechpartner für Web Application Security stellen:ˇidealerweise sollte es auf Web Application Security spezialisierte Ansprechpartner als zentrale Anlaufstelle geben, die an der Gestaltung und Umsetzung von Prozessen maßgeblich beteiligt sind. Sicherheit von vornherein mitentwickeln:ˇhäufig versuchen die Sicherheitsverantwortlichen, das Security-Niveau der Anwendungen mit den etablierten Mitteln der Netzwerksicherheit anzuheben. Sicherheits - lösungen für die besonderen Anforderungen von Webanwendungen setzen, wenn überhaupt, häufig sehr spät im Entwicklungszyklus einer Applikation an. Somit bleiben meist auch die Übergangsbereiche in den Sicherheitskonzepten unberücksichtigt, zwischen denen ein wichtiger Know-how-Transfer auch zum Thema Sicherheit oder Unsicherheit von Anwendungen stattfinden sollte. Hier gilt es, von Anfang an ein durchgängiges Konzept zu definieren. Secure Coding Guidelines schaffen Klarheit:ˇVor allem wenn Unternehmen die Entwicklung von Anwendungen an externe Unternehmen vergeben, sollten sie die Auftragsarbeit durch entsprechende Secure Coding Guidelines und mit einer entsprechenden Vertragsgestaltung verbindlich für den Auftragnehmer regeln. Auch muss die Einhaltung der Guide- II ix extra 7/2011

3 Sicherheit und Firmen-WLAN bis nach Hause Alcatel-Lucent Remote AccessPoint Lösung bildet eine einfache Verlängerung des Unternehmensnetzwerkes in kleine Außenstellen und Home Offices. In den dezentralen Büros können die Remote AccessPoints vom Nutzer an beliebigen Internet-Anschlüssen in Betrieb genommen werden. Die Remote AccessPoints bauen eine IPSec gesicherte Verbindung zum zentralen Alcatel-Lucent WLAN-Controller auf. Danach steht sowohl das Firmen-WLAN als auch das Firmen- LAN am Remote AccessPoint zur Verfügung. Auch ein IP-Phone kann als Nebenstelle an der Firmen-Telekommunikationsanlage betrieben werden. Alcatel-Lucent WLAN Remote AccessPoint RAP-5WN Home Office WLAN- Endgeräte Zentrale LAN Alcatel-Lucent WLAN Remote AccessPoint IP-System-Endgerät WLAN-AccessPoint xdsl-modem Breitband IP-System-Endgerät Firewall Alcatel-Lucent WLAN-Switch WLAN-Desktop PC Kommunikationssystem Gesamte Infrastruktur ist von Alcatel-Lucent erhältlich. Ihr Ansprechpartner: KOMSA Systems GmbH Tel

4 lines regelmäßig überprüft werden. Risikoanalyse in der Planungsphase beeinflusst die weiteren Entscheidungen:ˇDie Erfahrung zeigt, dass in der Planungsphase eine dedizierte Risikoanalyse, die sich an konkreten, nachvollziehbaren Kriterien orientiert, maßgeblich zum Erfolg beiträgt. Eine Risikoanalyse beeinflusst sowohl die Auswahl von Werkzeugen als auch wichtige Richtungsentscheidungen hin zu mehr Sicherheit. Wichtig ist an dieser Stelle ebenfalls, die Wechselwirkung zwischen Sicherheitsanforderungen für Webanwendungen und den dahinterliegenden Geschäftsprozessen in die Planung mit einzubeziehen. Security Libraries verwenden:ˇ Mittlerweile existieren für die verbreiteten Webprogrammiersprachen Funktionsbibliotheken, die erprobte Sicherheitskonzepte zum Einbinden zur Verfügung stellen. Auch hier sei wieder auf die OWASP verwiesen, die mit der Enterprise Security API (ESAPI) die umfassendste Sammlung anbietet. Ein unverzichtbarer weiterer Bestandteil einer auf Sicherheit ausgelegten Programmierumgebung sind die schon genannten Secure Coding Guidelines. Nicht nur Penetrationstests: Häufig sehen Entwickler in der Testphase den Penetrationstest als das einzige Mittel der Wahl an. Doch der hat meist keine dauerhafte Wirkung auf die Sicherheit, denn die Ergebnisse des Tests legen nicht die Wurzel des Problems offen, sondern nur die Symptome. Deshalb empfiehlt sich hier eher eine Sourcecode- Analyse. Diese trägt kontinuierlich und messbar zur Ergebnisverbesserung bei. Zudem zeigt eine Sourcecode-Analyse Mängel und die Ansätze zur Behebung nachvollziehbar auf, und das sowohl in der Entwicklungsphase als auch in den Freigabeprozessen der Testphase. Eine Web Application Firewall bringt zusätzliche Sicherheit: Ist die Anwendung erst in der Produktion, stehen die Verantwortlichen in der Regel unter Zeitdruck und müssen schnell Fortschritte vorweisen. Dies sind die Hauptgründe, die eine nachhaltige Korrektur nicht mehr durchsetzbar machen. Umso wichtiger ist es, dass hier gewonnene Erkenntnisse kontinuierlich an die Entwicklung sowie an die Fachabteilung zurückfließen. Die Firewall ist ein geeignetes ergänzendes Mittel, um eine zweite Sicherungslinie um die Anwendungen herum aufzubauen. Sicherheit will ständig verbessert sein:ˇunternehmen müssen Sicherheit von Software ähnlich wie deren Qualität als stetigen Verbesserungsprozess begreifen und bei den beteiligten Stellen verankern. Die Entwicklung von geeigneten, auf die Unternehmensorganisation abgestimmten Metriken, die in ein entsprechend etabliertes Reporting einfließen, sind in Verbindung mit einem wirksamen Anreizsystem hierbei die Kernelemente. Bei der Umsetzung helfen speziell auf die Belange der Software - sicherheit abgestimmte Vorgehens- und Reifegradmodelle. Je früher umgesetzt, desto besser ist die Sicherheit:ˇDas A und O für mehr Sicherheit bei Webapplikationen ist ein frühes Umsetzen von Aktivitäten. Frühzeitig erkannte Sicherheitsmängel lassen sich deutlich schneller und billiger bereinigen. Ist eine Sicherheitslücken aufweisende Anwendung erst im Betrieb, besteht zudem gleich ein Risiko für das gesamte System. Auf Basis der etablierten Prozesse, der verbindlichen Vorgaben und der Vertragsrichtlinien kann das Unternehmen auch Entscheidungen zur Gewährleistung der Anwendungssicherheit treffen. Schließlich sollten die Aktivitäten rund um die Sicherheit von Webanwendungen durch hierfür gut ausgebildete Mitarbeiter gesteuert werden. (sf/ur) Thomas Schreiber ist Geschäftsführer des Beratungsunternehmens Securenet. IV ix extra 7/2011

5 Auf Mängelsuche Scanner für Webanwendungen Ohne die Unterstützung durch Web Application Scanner sind komplexe Webanwendungen kaum noch umfassend, genau und wirtschaftlich zu testen. Ihre Hauptaufgabe besteht darin, Konfigurationsund Implementierungsfehler im Zusammenspiel der Applikationskomponenten aufzuspüren. Unter einer Webapplikation versteht man im Allgemeinen Software, die auf einem Webserver ausgeführt wird und auf über HTTP übertragene Benutzereingaben dynamisch reagiert. Diese Anwendungen und Portale wie soziale Netze, Online-Banking und -Trading, Shopping und Foren gewähren unter Umständen Zugriff auf sensible Informationen. Beinahe täglich erscheinen Berichte über kri - tische Sicherheitslücken und neue Angriffstechniken auf die in den letzten Jahren immer komplexer gewordenen Applikationen. Klar ist auch, dass solche Angriffe nur noch selten auf die Infrastruktur oder das zugrunde liegende Server-Betriebssystem abzielen (Abb.ˇ1), sondern überwiegend auf die Anwendung direkt. Zu den bekanntesten Techniken gehören Cross-Site Scripting, SQL Injection, Session Riding oder Cookie Poisoning. Das Portal xssed.org etwa sammelt bekannt gewordene XSS- Schwachstellen und listet aktuell über 39ˇ000, zu denen auch kritische Lücken in großen Webapplikationen gehören. Für die IT-Security sind neben den erwähnten dynamischen, auf Benutzereingaben ausgerichteten Komponenten zudem statische Elemente interessant wie ein Webserver, der lediglich Bilddateien zum Download anbietet. Denn auch dabei können verschiedene Sicherheitsprobleme auftauchen. Bei der schwierigen Aufgabe, Webapplikationen auf Sicherheitslücken zu untersuchen und diese abzusichern, können sogenannte Web Application Scanner (auch allgemein Vulnerability Scanner) helfen. Diese Tools lassen sich bei einem Audit oder Penetrationstest verwenden, denn im Vergleich zu einem Vorgehen per Hand können sie vorhandene und potenzielle Probleme mit höherer Wahrscheinlichkeit finden und Ergebnisse schneller und damit günstiger ermitteln. Einsatz in allen Lebensphasen IT-Fachleute verwenden Web - applikations-scanner, um die Anwendungen im Web auf alle Probleme zu untersuchen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten und Diensten beeinträchtigen könnten. Die Scanner kommen unmittelbar in den Lebenszyklus-Phasen Deployment, Betrieb/Wartung und Außerdienststellung zum Einsatz, aber auch, um Fehler zu finden, die bereits in vorgelagerten Phasen angelegt wurden (Abb.ˇ2). Dies könnte beispielsweise eine SQL-Injection- oder XSS- Schwachstelle sein, die durch Der Aufbau der Weban - wendung zeigt, dass der Zugriff auf die nachge - lagerten Systeme über den erfolgreichen Angriff auf die Anwendung führt. Mit den genannten Auditierungs - werkzeugen kann man auf verschiedenen Ebenen nach Schwachstellen suchen (Abb.ˇ1). Geben Sie Hackern keine Chance! Wenn es um den Schutz von Webapplikationen geht, ist Airlock Ihre beste Verteidigung. Unsere Web Application Firewall schützt Ihre Daten vor unbefugtem Zugriff.

6 Programmierfehler in der Entwicklungsphase entstanden ist. Im Gegensatz zum Beispiel zu Quellcode-Analyzern arbeiten Web-Application-Scanner im Blackbox-Verfahren. Das heißt, das Tool untersucht die verfügbaren Input/Output-Schnitt stellen der Webapplikation unmittelbar aus der Perspektive eines normalen Benutzers. Ohne Kenntnis des Quellcodes und des genauen Datenbank-Layouts lässt sich aber nicht gewährleisten, dass das Tool alle Elemente und den gesamten Funktionsumfang vollständig erkennt und testet. Eine versteckte Backdoor etwa lässt sich leicht übersehen. Hingegen ist es von Vorteil, dass solche Werkzeuge auch ohne Kenntnis der zugrunde liegenden Programmiersprache und sonstiger Infrastrukturdetails schnell auf Sicherheitslücken testen können. Das grundsätzliche Vor - gehen eines Audits läuft in mehreren aufeinanderfolgenden Phasen ab (Abb.ˇ3). Zunächst müssen die IT-Verantwortlichen in einer Vor - KOMMERZIELLE WEB-APPLICATION-SCANNER Hersteller Scanner URL Acunetix AcuSensor art of defence hyperscan Cenzic Hailstorm Enterprise Application Risk Controller DBAPP Security MatriXay 3.0 eeye Digital Security Retina GamaSec GamaScan Google Skipfish code.google.com/p/skipfish Hewlett Packard Webinspect IBM Rational Appscan Mavituna Security Netsparker MAYFLOWER Chorizo https://chorizo-scanner.com ncircle WebApp360 N-Stalker N-Stalker NT OBJECTives NTOSpider Outpost24 Web Application Scanning Qualys QualysGuard Rapid7 nexpose Syhunt Sandcat WhiteHat Security Sentinel PL Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. FREIE WEB-APPLICATION-SCANNER Projekt Werkzeug URL Casaba Watcher websecuritytool.codeplex.com CIRT Nikto GitHub arachnid arachni.segfault.gr GNUCITIZEN Websecurify Nessus Nessus Nmap Nmap Security Scanner nmap.org OWASP OWASP ZAP Paros Paros Proxy PortSwigger Burp Suite portswigger.net Rfp.labs libwhisker sourceforge.net/projects/whisker SensePost Wikto Sourceforge Wapiti wapiti.sourceforge.net/ Sourceforge W3AF w3af.sourceforge.net Sourceforge WATOBO watobo.sourceforge.net Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. bereitungsphase das Audit planen und seine Zielsetzung festlegen. Es gilt etwa zu klären, welche Teile einer Web - applikation untersucht werden sollen und ob dazu Live-Systeme oder Test-Systeme herangezogen werden. Des Weiteren muss das IT-Team planen, wie invasiv und intensiv es den Test durchführen will, ob das Ver halten unter Last getestet oder sogar Denial-of-Service- Schwachstellen gesucht und ausgenutzt werden sollen. Zudem muss die Frage geklärt sein, ob das IT-Team beispielsweise aufgespürte SQL- Injection-Schwachstellen auch dazu verwendet, eigene Inhalte in die Datenbank zu schreiben und wenn ja, welche. Anschließend wählt das Team die für die eigenen Anforderungen geeigneten Web-Application- Scanner aus und konfiguriert sie für das Audit. Je nach Programm kann das lediglich die Angabe der zu testenden URL sein oder eine umfangreiche Auswahl von Testmodulen und -parametern. Hinderliche Komplexität Die Hauptphase unterteilt sich in Discovery, Audit und Angriff. Hier liegt gleichzeitig eine der aktuellen Hauptschwierigkeiten bei der Durchführung Toolgestützter Web-Audits. Der Scanner muss zunächst die Webseite möglichst vollständig erfassen, also wie ein Crawler jeder Verknüpfung und Inter - aktion folgen. Das Web besteht aber heute nicht mehr nur aus Hyperlinks. Dynamische Elemente wie Ajax und Flash führen dazu, dass Webseiten eine unüberschaubare Anzahl von Zuständen einnehmen können. Besonders deutlich wird dies zum Beispiel bei webbasierter Tabellenkalkulation- oder Textverarbeitungssoftware. Out of the box kann ein Scanner solche Applikationen nur unvollständig erfassen. VI ix extra 7/2011

7 100% AV protection Antivirus, Firewall und Antispam JETZT WECHSELN! ESET Smart Security 4 Maximaler Schutz Minimale Systembelastung

8 Vertrauen Sie auf über Jahre Erfahrung SSL-Zertifikate bereits ab 15 E pro Jahr Ob bei Inbetriebnahme, Wartung oder Abschalten einer Anwendung ein Web - applikations-scanner kann in jeder Phase gute Dienste leisten und Schwachstellen aufdecken (Abb.ˇ2). Ein Audit gliedert sich in mehrere Teile, für die die Verantwortlichen Eingriffstiefe, Rahmenbedingungen sowie Werkzeuge festlegen (Abb.ˇ3). Die Discovery-Phase ist jedoch äußerst wichtig, um alle Input-/Output-Schnittstellen zu finden, die dann im Audit und via Angriff auf Schwachstellen untersucht werden. Diese Herausforderung gilt auch für die Geschäftslogik, also das automatisierte Erfassen, Verstehen und Durch - laufen ganzer Prozessketten, beispielsweise in einem Onlineshop. Hier kann der Experte sein Werkzeug unterstützen, indem er seinen Browser mit dem Proxy des Webapplikations-Scanners verbindet, die Webseite per Hand durchläuft und die Software damit anlernt. Zusammenarbeit Mensch/ Tool Diese Vorgehensweise hilft auch bei der Untersuchung von Kennwörtern geschützter Bereiche, denn im Browser kann der Fachmann die jeweils nötigen Zugangsdaten eingeben, verschiedene Rollen wie Benutzer oder Administrator erfassen und zur automatisierten Prüfung vorbereiten. Web-Application-Scanner können hier eine ihrer Stärken ausspielen: das massenhafte Ausprobieren von URL- Variationen zum Auffinden versteckter Webseiten oder Bereiche (etwa /backup/ sqldump_ tgz oder /geheim4711.html), außerdem das Variieren von Login-, Cookie- sowie Header-Daten für die Suche nach zugäng - lichen Bereichen der Web - seite. Dazu gehört auch das Analysieren aller Inhalte (Header, Kommentare im Code, typische Merkmale in Dateinamen, verwendete Skriptsprache et cetera) auf Versionsangaben und weitere Informationen, die auf spezifische Software schließen lassen. Im nächsten Schritt werden die gefundenen Schnittstellen durch den Scanner auf potenzielle Schwachstellen und Möglichkeiten der Ausnutzung untersucht. Spätestens hier können die Programme zeigen, was sie können. Zum einen sind sie in der Lage, aus ihrer Datenbank konkrete Exploits für bereits bekannte Schwachstellen auszuwählen und damit zu prüfen, ob beispielsweise der untersuchte Blog als Standardsoftware eine unsichere Version verwendet. Dokumentieren aller Schwachstellen Zum anderen, und das ist vielleicht die interessantere Fähigkeit, können sie mit generischen Mechanismen bisher unbekannte Schwachstellen finden. Dazu versieht der Scanner zum Beispiel jedes Eingabefeld eines HTML-Formulars und alle HTTP-Header mit Varianten von XSS-Test-Strings oder verschiedenen SQL-Fragmenten und untersucht die Resultate auf Anomalien. Eine XSS-Schwachstelle lässt sich leicht finden, wenn der XSS- Test-String unmittelbar nach Abschicken des Formulars im HTML-Code erscheint. Schwieriger wird es, wenn etwa eine geimpfte HTML- Nachricht generiert wird und ein Administrator-Account sie erst im Backend sieht. Durch geschicktes Fuzzing lassen sich weitere Probleme finden. Der Scanner generiert bei dieser Methode zufällige Daten oder variiert vorgegebene und testet mit diesen, ob serverseitig Probleme wie unkontrollierte Verarbeitungsabbrüche oder Anomalien in der Ausgabe auftauchen. Die Scanner können auch bei allen Tests mitwirken, die auf stochastische, also nicht deterministische Eigenschaften wie Race-Conditions oder den zufälligen Zugriff auf fremde Session- Daten prüfen. Hierzu führt das Werkzeug Abfragen in kurzer Abfolge oder parallel aus und wertet sie aus. Abschließend fassen die Experten die gefundenen Schwachstellen zusammen und erstellen eine Dokumentation mit Ergebnissen. Auch hier bestimmen die AnfordeiX extra 7/2011

9 rungen und Ergebnisse der Planung das ideale Vorgehen. Beim Test einer kleinen Web - applikation, bei der es sich möglicherweise sogar um ein Standardprodukt wie ein weitverbreitetes Blog-System handelt, will der Auditor etwa aus Effizienz- und damit Kostensicht oft bereits im Web applikations-scanner einen fertigen Bericht möglichst automatisch erstellen. Einige Tools betten in solche Berichte Lösungsvorschläge ein. In einem solchen Fall klassifiziert der Scanner auch selbstständig die gefundenen Probleme (unkritisch, während eines Audits der Live- Webserver zusammenbricht, wird der Auditor dringend seine korrekte Arbeitsweise belegen wollen. Zum anderen gehört die Erfassung relevanter Aktionen, Konfigurationen und Ergebnisse in einer Datenbank dazu. Künftige Tests können dann möglicherweise schneller durchgeführt werden. Durch eine Historie kann der Auditor aber auch besser den Überblick über eine Webapplikation behalten. Es gibt eine Vielzahl von geeigneten kommerziellen und Open-Source-Webapplikationsdann aber nicht immer über Stärken in anderen Bereichen, etwa dem Erstellen übersichtlicher Reports. Kein Werkzeug ist perfekt Ein vollautomatisch arbeitendes Expertensystem, das auf Knopfdruck selbstständig umfassende und korrekte Ergebnisse liefert, ist für komplexe Webapplikationen bisher kaum oder überhaupt nicht realisierbar und daher nicht am Markt. Das liegt sicherlich vor allem an der dargestellten Komplexität um die Eignung verschiedener Web-Application-Scanner für den geplanten Einsatzzweck zu bestimmen sowie zu prüfen, wie viele Fehler er findet, wie viele nicht (False Negative) und wie viele Fehlalarme entstehen (False Positive). Denn jeder übersehene Fehler kann kritische Folgen haben und jeder Fehlalarm zieht eine manuelle Überprüfung nach sich. Fazit Web-Application-Scanner sind für das Audit und die Penetrationstests unentbehrlich, sie secunet Data Loss Prevention. Damit Ihre vertraulichen Daten nicht morgen in der Zeitung stehen. VERTRAULICH Schutz statt Verlust: Vertrauliche Informationen gehören zu Ihrem wichtigsten Kapital. Ihre Daten sollten Ihr Unternehmen nicht unkontrolliert verlassen. Nutzen Sie zum effi zienten Rundumschutz die intelligente Technik von secunet DLP. Vertrauen Sie auf fundierte Planung und professionelle Umsetzung. Unsere bewährten Produkte und Tools sorgen dabei für eine schnelle und reibungslose Einführung. secunet DLP. Effi ziente Lösungen. Sichere Daten. IT-Sicherheitspartner der Bundesrepublik Deutschland schwerwiegend, kritisch). Bei umfangreichen oder mehr - stufigen Audits hingegen sollen möglicherweise die Ergebnisse des einen Scanners für den nächsten verwendet werden. Dafür ist eine Form der Ergebnisdokumentation erforderlich, die ein anderes Programm automatisch interpretieren kann. Zu den weiteren wichtigen Aspekten einer umfassenden Dokumentation zählt zum einen das Protokollieren aller ausgeführten Aktionen, denn wenn Scannern. Was es nicht gibt, ist das beste Programm. Vielmehr haben die einzelnen Anwendungen unterschiedliche Stärken und Schwächen und selbst die kostspieligsten Angebote sind nicht immer besser als Open-Source-Software oder preiswerte kommerzielle Alternativen. Von Vorteil ist häufig die parallele Verwendung mehrerer Systeme. Gerade Open- Source-Tools sind bisweilen für spezielle Aufgaben entwickelt worden und können in ihrem Bereich auftrumpfen, verfügen durch aktuelle Techniken wie Ajax oder Flash. Die Software kann daher immer nur einen Auditor unterstützen, aber kein Fachwissen und keine Praxiserfahrung ersetzen. Bei der Suche nach dem geeigneten Tool spielen auch die gewohnten Arbeitsschritte und Vorgehensweisen eines Auditors eine Rolle und wie ein spezielles Werkzeug dazu passt. Wichtig ist zudem die Verwendung existierender Test - applikationen oder die Schaffung eigener Testumgebungen, bleiben aber dennoch nur eine Unterstützung. Ohne den Menschen als Experten, der weiterhin wichtige Aufgaben übernimmt, lassen sich auf Knopfdruck nur selten angemessene Ergebnisse erhalten. Eine wirkungsvolle Kombina - tion entsteht, wenn der Experte mindestens eines oder sogar mehrere Werkzeuge verwendet. (sf/ur) Martin Wundram arbeitet bei der TronicGuard GmbH und ist spezialisiert auf Webanwendungssicherheit. ix extra 7/2011 IX

10 Webvorkoster Datenströme inspizieren Webapplikationen ermöglichen einer großen Anzahl Anwender den einfachen Zugang zu IT-Ressourcen. Zum Schutz der über sie zugänglichen Informationen haben sich Web Application Firewalls durchgesetzt. Onlineshops oder die Service-Portale von Finanzdienstleistern sind typische Web applikationen, mit denen fast jeder Anwender von Zeit zu Zeit in Berührung kommt. In Unternehmen existieren dar - über hinaus webgestützte Anwendungen, die der internen Organisation dienen, zum Beispiel Zeitbuchungssysteme, spezielle Teamkalender, Front - ends für Warenwirtschafts- und Customer-Relationship-Management-Software. Gemeinsam ist all diesen Systemen, dass sie auf der einen Seite einen möglichst einfachen Zugriff übers Internet oder Intranet gewähren sollen, auf der anderen Seite aber die Brücke zu Datenbanken mit wichtigen und zum Teil vertraulichen Informationen darstellen. Der Webshop etwa muss über eine Schnittstelle zur Kundendatenbank verfügen, und das interne Zeitbuchungssystem verwaltet zwangsläufig zumindest einen Teil der Personaldaten. Dieser Brückenfunktion wegen sind Webapplikationen durchaus lohnende Ziele für Angreifer mit verschiedenen Interessen. Darunter können Spione sein, die Betriebsgeheimnisse ausforschen möchten, aber auch Diebe von Identitätsinformationen oder Saboteure. Damit sind also alle drei Standard-Schutzziele der Informa - tionssicherheit betroffen: Vertraulichkeit, Verfügbarkeit und Integrität. Dass die erwünschte Sicherheit nicht leicht herzustellen ist, liegt dabei nicht allein an der primären Ausrichtung der Web - applikationen auf eine einfache Kommunikation der Anwender mit internen Ressourcen. Vielmehr kommt erschwerend dazu, dass diese Anwendungen oft Eigenentwicklungen sind, die nicht in größerem Umfang auf Sicherheitslücken getestet und entsprechend optimiert werden. Darüber hinaus ver - fügen die Hintergrund-Datenbanken als Systeme für den internen Betrieb nicht immer über ausgefeilte Schutz - mechanismen. Web Application Firewalls (WAF) stellen ein bewährtes Mittel dar, auch in dieser Situation die Informationssicherheit auf ein akzeptables Niveau zu heben. Sie verlagern den Schutz auf eine Ebene vor der eigentlichen Webanwendung, um deren Konzeption und Betrieb von den hohen Sicherheitsanforderungen zu entlasten. WAF-Systeme inspizieren die Datenströme von und zur Webapplikation und reagieren, wenn sie darin Sicherheitsrisiken erkennen etwa Eingaben, die auf Manipulationsversuche schließen lassen, oder unbeabsichtigt ausgehende Informationen. Web Application Firewalls existieren als Servermodule, klassische Softwaresysteme, Hardware-Appliances und in jüngerer Zeit auch als virtuelle Appliances. Auf den ersten Blick mag es inkonsequent erscheinen und nach Bastelei aussehen, den Schutz in eine zweite Instanz zu verlagern, statt die Webapplikationen selbst optimal zu härten. Organisatorisch und personell aber hat dies durchaus Vorteile: Die Anwendungsentwickler können sich bei diesem Konstrukt weiter auf die Funktionsfähigkeit konzentrieren und die Sicherheitsverantwortlichen auf den Bereich Security. Außerdem lässt sich ein spezialisiertes und standardisiertes Sicherheitssystem vergleichsweise leicht und schnell und mit der Unterstützung des Anbieters auf neue Bedrohungen wie aktuelle Hacker-Tricks einstellen, während eine derartige Modifikation bei einer komplexen Webapplikation erheblich aufwendigere Eingriffe erfordern würde. Filter oder Stellvertreter WAF-Systeme haben mit üblichen Firewalls wenig zu tun. Eine klassische Firewall regelt, über welche Ports von ihr geschützte Systeme erreicht werden können, und überwacht die IP-Adressen der Kommunikation. Typische Angriffe auf Webapplikationen finden aber grundsätzlich über legitime http- und https-verbindungen statt, also über bereits explizit freigegebene Kommunikationswege. Web Application Firewalls müssen deshalb auf der Anwendungsebene (OSI-Schichtˇ7) die Datenströme auf ihren Inhalt hin kontrollieren und haben somit eher eine Filterfunktion. Um diesen Zweck zu erfüllen, können sie sich auf unterschied - liche Art in die Verbindung

11 Connect With Confidence zwischen Browser und Web - appli kation einklinken: als WAF im Bridge-Modus oder als Reverse Proxy. WAFs im Bridge-Modus sind wie ein Switch in die Datenleitung eingebunden und lesen die Kommunikation mit. Der Anwender greift in diesem Fall weiterhin direkt auf die Web applikation zu. Findet eine Bridge-WAF verdächtige Kommunikation, kann sie zumindest Alarm schlagen und Kommunikationsströme blockieren. Ein Reverse Proxy dagegen bricht die Verbindung zur Anwendung auf. Bei diesem häufiger gewählten Konzept kommuniziert der Anwender, ohne dies zu merken, zunächst nur mit dem WAF-System seine http- oder https-verbindung endet dort. Von der Webapplikation nimmt das WAF-System die Webseiten mit den zu transferierenden Informationen entgegen und präsentiert sie dem Anwender. Zugleich analysiert es den eingehenden Datenstrom und damit die Eingaben des Anwenders und reicht nur geprüfte und für risikofrei befundene Ein - gabedaten und Uploads an die Applikation weiter. Schwarze und weiße Listen Ein zentraler Schutzmechanismus, auf den nahezu alle WAF- Systeme bauen, ist die gleichzeitige Arbeit mit White- und Blacklists. Eine weiße Liste dokumentiert, welche Eingaben bei der Arbeit mit einer Web applikation erlaubt sind in welche Felder etwa Zahlen welcher Größe und welchen Formats eingegeben werden, wo nur Text erlaubt ist, welche URLs aufgerufen werden können und so weiter. Dies verhindert, dass ein böswilliger Anwender Systeme durch unerwartete Eingaben in einen instabilen Betriebsmodus bringt oder beispielsweise Programmcode einschleust. Über Whitelists lässt sich also jede Eingabe unterbinden, die nicht explizit zugelassen ist. Dazu allerdings ist eine durchaus aufwendige Abstimmung der WAF auf die zu schützende Applikation notwendig. Moderne Systeme können dazu in einem Lernmodus arbeiten. Darin speichern sie über einen gewissen Zeitraum legitime Kommunika - tionsströme und leiten daraus selbst ab, was Anwender beispielsweise in bestimmte Felder eingeben dürfen und was nicht. Wichtig ist dies vor allem, wenn WAF-Systeme auch für häufiger modifizierte Webanwendungen eingesetzt werden sollen. Neueste Systeme gehen hier noch einen Schritt weiter: Sie sind in der Lage, Regeln für die legitime Kommunikation mit Webanwendungen dynamisch zu pflegen und Werte- oder Zeichenmengen, die für Ein - gaben zugelassen sind, flexibel mittels regulärer Ausdrücke zu beschreiben. Kommen reguläre Ausdrucke zum Einsatz, müssen nicht erst alle zugelassenen Zeichenketten oder Zahlenwerte vom Administrator eingegeben oder von der WAF erlernt werden. Ein wichtiges Qualitätskriterium, dass für alle WAF-Systeme mit Whitelists gilt, ist eine möglichst geringe Zahl von False Positives also fälschlich zurückgewiesener Anwenderkommunikationen während und nach der Konfigurations- oder Lernphase. Blacklists unterbinden lediglich Eingaben, die als Teil von Angriffsmustern bereits bekannt sind, etwa als Teil einer SQL-Injection oder des Cross-Site Scripting. Die schwarzen Listen können wie die Pattern-Dateien von Virenschutz-Systemen und die Angriffsmuster-Dateien von Intrusion-Detection-Systemen von den Herstellern der Systeme gepflegt werden. SSL-Inspektion und Authentifizierung ASTA TARO SEC ECUR URIT ITY GATE TEWA WAY ALL-IN -ONE PRO ROTE TECT CTIO ION Alle relevanten Sicherheitsfunktionen unter einer einheitlichen Management- FLEXIBEL EINFACH EFFIZIENT Minimaler Ressourcen - 30 Tage kostenlos testen WAF-Systeme im Reverse- Proxy-Modus lassen sich so einsetzen, dass sie für SSL-VeriX extra 7/2011

12 bindungen vom Browser des Anwenders zur Webanwendung den Endpunkt darstellen. Die Web Application Firewall entschlüsselt dann den Datenstrom, der vom Browser des Anwenders kommt, und verschlüsselt, was die Webapplikation zum Anwender hin liefert. Damit dies funktioniert, installiert der Verantwortliche auf einer entsprechend ein - gerichteten WAF das Server- Zertifikat für die geschützte Applikation. Sinnvoll ist dieses Konzept, weil das Sicherheitssystem auf diese Weise vollen Einblick in die verschlüsselte Kommunikation erhält. Ob auch die Verbindung zwischen dem WAF-System und der Webapplikation verschlüsselt werden muss, hängt davon ab, wo die Systeme installiert sind in einem gut geschützten internen Netzsegment kann diese Verbindung offen bleiben. Gängig ist es außerdem, WAF-Systeme zur Authentifizierung der Anwender einer Webapplikation KOMMERZIELLE UND FREIE WAFS Anbieter Produkt URL Applicure dotdefender Web Application Firewall Armorlogic profense WAF art of defence hyperguard Astaro Web Application Firewall Barracuda Networks Barracuda Web Application Firewall Breach Security WebDefend Cisco ACE Web Application Firewall Citrix NetScaler Web Application Firewall Deny All rweb Ergon Airlock F5 BIG-IP Application Security Manager Fortinet Fortiweb Imperva SecureSphere Web Application Firewall Radware AppWall secunet Web Application Firewall SONICWALL Web Application Firewall United Security USP Secure Entry Server Providers Zeus Web Application Firewall IronBee Web Application Firewall (Open Source) ModSecurity ModSecurity (Open Source) WebCastellum Web Application Firewall (Open Source) Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. heranzuziehen. Je nach Produkt sind dabei alle bekannten Methoden der Benutzererkennung möglich. Eine weitere Sicherheitsstrategie, die moderne WAF- Systeme bieten, ist die Verschleierung von Informationen über die interne Struktur einer Webapplikation. Die URLs beispielsweise, die im Code der HTML-Seiten einer Applikation enthalten sind, kann eine Web Application Firewall gegen verschlüsselte Varianten austauschen, bevor sie die Seiten Die Aufregung um Cloud Computing hat deutlich den Hype- Gipfel überschritten und nähert sich allmählich der Nullgrenze. Unbestritten ist, dass mit fein abgestimmter Ressourcenzuteilung und präzisen Abrechnungsmethoden viele Speicher - anforderungen bedarfsgerecht von außen erfüllt werden könnten. Doch was für File Services möglich erscheint, sieht bei etwa im Reverse-Proxy-Modus an den Anwender weiterreicht. Lässt sich dieser den Quellcode einer solchen Seite anzeigen, findet er in den eingebetteten Links anstelle lesbarer Dateinamen und -typen nichtssagende Zeichenketten. Er erhält somit keine Informationen über Ordnerstrukturen, IP- Adressen und Dateien, die die Webanwendung verwendet. Akzeptiert außerdem eine WAF als Eingabe grundsätzlich nur die von ihr selbst verschlüsselten Links, hat ein Angreifer auch keine Möglichkeit, über manipulierten Webcode direkt Dateien oder Ressourcen aufzurufen, deren Existenz er auf dem Server der Webapplikation vermutet ( Forceful Browsing ). Ähnlichen Zwecken dient es, wenn eine WAF Fehlermeldungen von Webservern oder Applikationen abfängt, statt sie den Anwendern weiterzureichen. Solche Meldungen enthalten technische Interna, die ein Hacker missbrauchen könnte. Auch Cookies, die eine Webanwendung auf dem System des Anwenders setzt, lassen sich durch Verschlüsselung gegen Manipulationen sichern. (sf/ur) Bettina Weßelmann ist freie Journalistin. In ix extra 8/2011 Storage: SaaS Public und Private Cloud Storage DIE WEITEREN IX EXTRAS: Block-Storage schon wieder ganz anders aus. Ein Situations - bericht. Erscheinungstermin: Ausgabe Thema Erscheinungstermin 09/11 Networking Hochverfügbares Server-Hosting 18.ˇ08.ˇ11 10/11 Embedded Systems Industrietaugliche I/O-Komponenten 15.ˇ09.ˇ11 11/11 Security Malware-Trends die Professionalisierung des Bösen 13.ˇ10.ˇ11 XII ix extra 7/2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

extra Von Anfang an Security In den frühen Zeiten des Web Sicherheit für Webanwendungen Veranstaltungen ix extra Security zum Nachschlagen: Security

extra Von Anfang an Security In den frühen Zeiten des Web Sicherheit für Webanwendungen Veranstaltungen ix extra Security zum Nachschlagen: Security sponsored by: Eine Sonderveröffentlichung der Heise Zeitschriften Verlag GmbH & Co. KG extra Security Sicherheit für Webanwendungen Sicherheit bei Webapplikationen beginnt mit der Entwicklung Von Anfang

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen Sicherheit auf Anwendungsebene Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS)

AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS) Web Application Security Untersuchung AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS) 05.11.2012 - V1.1 Sven Schleier, SecureNet GmbH Thomas Schreiber, SecureNet GmbH Abstract Das vorliegende

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

IT Security Audits. IT Security Audits. net workers AG

IT Security Audits. IT Security Audits. net workers AG net workers AG Networkers ist eines der in Deutschland führenden Unternehmen für die Planung, den Aufbau und den Betrieb von sicheren und leistungsfähigen Applikations- und Netzwerkinfrastrukturen. Unternehmen

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ IT-SECURITY-FORUM: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ 1 Aktuelle Lage 2 Bedrohungen für Unternehmen Welche Folgen können für Sie aus Datenpannen

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 08. Dezember 2006 Laptop: Tragbarer, zeitweilig netzunabhängiger Computer mit einem klappbaren,

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

MS SharePoint stellt Ihnen ein Intranet Portal zur Verfügung. Sie können Ihre Inhalte weltweit verfügbar machen auch für mobile Endgeräte.

MS SharePoint stellt Ihnen ein Intranet Portal zur Verfügung. Sie können Ihre Inhalte weltweit verfügbar machen auch für mobile Endgeräte. Microsoft SharePoint Microsoft SharePoint ist die Business Plattform für Zusammenarbeit im Unternehmen und im Web. Der MS SharePoint vereinfacht die Zusammenarbeit Ihrer Mitarbeiter. Durch die Verbindung

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke 1 Testen von System- & Netzwerksicherheit 2 Gliederung Sicherheit im Allgemeinen Testbereiche Methodik und Standards Hilfsmittel im Speziellen nessus nmap Szenario im praktischen Teil 3 Fragen zur Sicherheit

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Top Findings bei Security Audits. DI (FH) Wolfgang Köppl

Top Findings bei Security Audits. DI (FH) Wolfgang Köppl Top Findings bei Security Audits DI (FH) Wolfgang Köppl DI(FH) Wolfgang Köppl Top Findings bei Security Audits Absolvent Studiengang und Mediensicherheit / FH Hagenberg Gründer des Hagenberger Kreises,

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick

IT-Schwachstellenampel: Produktsicherheit auf einen Blick Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1 Aktuelle Lage 2 Bedrohungen für

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT IT-Service IT-Security IT-Infrastruktur Internet Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT Woran haben wir heute gedacht? Quelle: www. badische-zeitung.de Vorstellung der heutigen Themen

Mehr

Mobile Security. Astaro 2011 MR Datentechnik 1

Mobile Security. Astaro 2011 MR Datentechnik 1 Mobile Astaro 2011 MR Datentechnik 1 Astaro Wall 6 Schritte zur sicheren IT Flexibel, Einfach und Effizient Enzo Sabbattini Pre-Sales Engineer presales-dach@astaro.com Astaro 2011 MR Datentechnik 2 Integration

Mehr

Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing

Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing von Ulrike Wendel (ulrike.wendel@crn.de) 18.08.2010 Cyberkriminelle werden immer raffinierter wenn es darum geht, Daten von Unternehmen

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Fraunhofer Institute for Secure Information Technology

Fraunhofer Institute for Secure Information Technology Fraunhofer Institute for Secure Information Technology Entwicklung sichere Unternehmens-Apps: gut gemeint oder gut gemacht? Dr. Jens Heider Head of Department Testlab Mobile Security Amt für Wirtschaft

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

vap 2006 R2 Datenbankzugriff mit Windows Integrated Security Technische Dokumenation

vap 2006 R2 Datenbankzugriff mit Windows Integrated Security Technische Dokumenation vap 2006 R2 Datenbankzugriff mit Windows Integrated Security Technische Dokumenation www.visionapp.com Inhalt 1 Einleitung... 2 2 Voraussetzungen... 2 3 Installation... 2 3.1 Infrastrukturelle Anforderungen...

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK Herausforderung Viele der größten Sicherheitsverletzungen beginnen heutzutage mit einem einfachen E-Mail- Angriff, der sich Web-Schwachstellen

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

INTERNETDIENSTETDIENSTE

INTERNETDIENSTETDIENSTE INTERNETDIENSTETDIENSTE EASY ONLINE WIR BRINGEN SIE INS WELTWEITE NETZ. SICHER UND SCHNELL - VON ADSL BIS GIGABIT ETHERNET. Nur wer die neuen Medien zu seinen Gunsten nutzt und so die Kommunikation mit

Mehr

Quality Point München

Quality Point München Quality Point München Test webbasierter Applikationen - Vorgehen, Instrumente, Probleme Gestern habe ich mich wieder über eine fehlerhafte Webanwendung geärgert. Muss das sein? Test ist halt auch hier

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Vulnerability Scanning + Penetration Testing

Vulnerability Scanning + Penetration Testing Vulnerability Scanning + Penetration Testing Seminar IT-Sicherheit Felix Riemann felixriemann@student.uni-kassel.de 29. Januar 2011 Gliederung Vulnerability Scanning Was ist das? Scanner Demo: Nessus Penetration

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr