Web Application Firewalls (WAF)

Größe: px
Ab Seite anzeigen:

Download "Web Application Firewalls (WAF)"

Transkript

1 Web Application Firewalls (WAF) Steffen Tröscher cirosec GmbH

2 Über mich Steffen Tröscher Seit 6 Jahren IT-Sicherheitsberater Schwerpunkte Sicherheitsüberprüfungen, Pen-Testing Coding Guidelines, Härtungsanweisungen, Konzeptionelle Analysen Trainer der Schulungen HE-Extrem Classic & Web

3 cirosec GmbH Beratungsunternehmen in Heilbronn derzeit 26 Mitarbeiter Fokus auf innovative IT-Sicherheit: Penetrationstests, Audits Schulungen konzeptionelle Analyse.. Angebot an Studenten: Durchführung Praktikum oder Thesis

4 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

5 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

6 Schwachstellen - OWASP Top 10 A1 A2 Injection Cross Site Scripting A3 Broken Authentication & Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration A7 Failure to Restrict URL Access A8 Unvalidated Redirects and Forwards A9 Insecure Cryptographic Storage A10 Insufficient Transport Layer Protection

7 Sicherheit auf höheren Ebenen Neuen Gefahren kann nicht mit alten Technologien begegnet werden Bekämpfung der Ursachen Sichere Entwicklung Sichere Architektur Sicherer Betrieb Regelmäßige Prüfungen Bekämpfung der Auswirkungen Neue Technologien und Produkte

8 1. Bekämpfung der Ursachen

9 Bekämpfung der Ursachen Sicheres Programmieren Codierungsrichtlinien Toolgestützt durch Quellcode-Scanner Prüfung der Sicherheit Penetrationstests Toolgestützt durch Applikations-Scanner

10 Sicheres Programmieren

11 Codierungsrichtlinien für sichere Entwicklung Meist umfangreiche Werke Sollten mit den Entwicklern gemeinsam erarbeitet werden Sensibilisierung ist hier sehr wichtig z.b. Training + Workshop Unterstützung durch Werkzeuge bei der Entwicklung Quellcode-Scanner mit guter Erklärungskomponente

12 Beispiel-Themen für Richtlinien Grundlagen, Vertrauen, Server vs. Client Prüfung von Eingaben Bereinigung von Ausgaben Session-Management Umgang mit sensiblen Informationen Verhalten bei Fehlern Einsatz von Verschlüsselung Zugriff auf Datenbanken Administrationspfade

13 Sichere Programmierung ist keine vollständige Lösung Begrenzter Einfluss durch Ausführung von Fremdcode Plattformen, Portale und Backendsysteme Einbindung Programm-Bibliotheken Menschliches Fehlerpotential Die Programmierung von Filtern zur Überprüfung von Benutzereingaben ist sehr komplex und erfordert tiefes KnowHow

14 Prüfung der Sicherheit

15 Auditierung von Applikationen Während der Entwicklung Prüfwerkzeuge innerhalb Entwicklungsumgebung Fokus auf Quellcode Unterstützung für den Entwickler statt Audit Je früher umso geringere Kosten Während der QA bzw. Testphase Sicherheit ist ein Teil der Qualität Sicherheits-Tests zusammen mit den funktionalen Tests durchführen Vor Produktivgang oder im Betrieb Durch Sicherheitsexperten

16 Marktüberblick Web Scanner Sanctum AppScan Verkauf Watchfire Verkauf IBM Kavado ScanDo Verkauf Protegrity SPI-Dynamics WebInspect Verkauf HP Cenzic Hailstorm -> Hailstorm Web -> Hailstorm NT Objectives NTO Spider Acunetix Acunetix WVS

17 2. Bekämpfung der Auswirkungen

18 Bekämpfung der Auswirkungen Warum reicht Ursachenbekämpfung alleine nicht aus? Bereits genannt Fremdcode Menschliches Fehlerpotential Zusätzlich Minimierung des Windows of Exploitation Patchen zu kostenintensiv Security Principal: Defense in depth

19 Fremdcode

20 Fremdcode MyApp LoC BEA WebLogic* >10M LoC * estimate, based on line counts in JBoss, a competing open-source J2EE application server

21 Fremdcode MyApp LoC BEA WebLogic* >10M LoC

22 Fremdcode MyApp LoC BEA WebLogic* >10M LoC

23 Menschliches Fehlerpotential

24 Menschliches Fehlerpotential Hohe Komplexität der Umgebungen führen zu Schwachstellen Fehler sind trotz Schulungen, Richtlinien oder motivierten Mitarbeitern normal Beispiel: Input-Validierungs-Filter 1. Filter: Anti-Directory-Traversal: Der String../ wird aus allen Parametern entfernt 2. Filter: Anti-Cross-Site-Scripting: Malicious characters wie > oder < werden durch "." ersetzt Frage? In welcher Reihenfolge greifen die Filter? ;) Angriffsstring: >>/>>/>>/>>/

25 Minimierung des Windows of Exploitation

26 Window of Exploitation Wunschdenken : Bei Pentest wird Schwachstelle entdeckt Diese wird sofort durch Entwickler gepatcht Neue Version wird produktiv genommen Realität: Bei Pentest wird Schwachstelle entdeckt Schwachstellen wird in Bug-Tracking-System erfasst Entwickler brauchen mehrere Tage für eine Lösung Neue Version muss durch den Q&A Prozess Es vergehen mehrere Tage bis Wochen bis die Schwachstelle gepatcht ist

27 Security Principal: Defense in depth

28 Defense in depth Security Principal Defense in depth : Implementiere Sicherheit in allen möglichen Schichten (Netzwerk, Anwendung, Webserver, Datenbank, Betriebssysteme, ). Falls die Sicherheit in einer Schicht versagt, greifen die Mechanismen der anderen Schichten Analogie: Netzwerkbasierte Firewall gehärtetes DMZ System Web Applikation Firewall sichere Web Applikation

29 Positionierung von Sicherheitslösungen

30 Produkte für Sicherheit bei E-Business und Web-Services Browser Browser- Sicherheit HTTP- Filter Web- Server Host IPS / TOS / SOS Proxies für SQL, XML, Soap, Corba App. / DB Internet LAN

31 Produkte für Sicherheit bei E-Business und Web-Services Quaresso Promon F5 (Magnifire) Citrix (Teros) Barracuda (NC) DenyAll, AppSec Inc, Guardium Browser Browser- Sicherheit HTTP- Filter Web- Server Host IPS / TOS / SOS Proxies für SQL, XML, Soap, Corba App. / DB Internet Symantec (Platform) McAffee (Entercept) Cisco CSA (Okena) Argus, eeye, LAN

32 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

33 Schutzfunktionen einer WAF Vor bekannten Angriffen über Signaturen PHP-Würmer, Exploits, Vor unbekannten Angriffen über generische Mustererkennung (Zero Day Protection) SQL Injection, XSS, Buffer Overflows, Gezielte Konfiguration zur Absicherung bekannt gewordener Schwachstellen Falls Anpassung des Systems nicht möglich Kein Feedback/Support des Herstellers

34 Grenzen einer WAF Erkennung von Logikfehlern Z.B. falsch implementiertes Berechtigungsmodell Fehlerhafte Implementierung von Sicherheit auf Client Seite Z.B. Berechtigungsmodell wird in JavaScript geprüft Ausnutzung von Browserschwachstellen Z.B. Clickjacking

35 Funktionsweise einer WAF Erzwingt konformes HTTP (RFCs) Normalisierung d5opx;ðóge]ì ³óâ= [Zܾç Ù Vð ' <½ #Ôm]ëæoª5Zòˆ!0^Ý kê ØmtÈ œìn k»a êü Ýë;u ³7JMµ4[ø Èò¾ø má¼ %2E%2E%2Fpartners%2Fe %2F%7Efinance%2Frec%2F %2Fhomepage%2Findex%2 /partners/ /finance/rec/ /homepage/index/ SSL entschlüsseln Sonderzeichen wandeln

36 Funktionsweise einer WAF Betrachtungsebene WAF arbeitet auf Ebene HTTP/HTML Im Kontext der Applikation Wichtige Abgrenzung zu IDS/IPS! Extrahieren von URLs Extrahieren von Parametern Für GET und POST-Parameter Cookies sind z.b. Sonderform der POST- Parameter Anwendung von White- und Blacklisting Ausgabefilterung

37 Kontrolle von Parametern Whitelisting Beschreibung gültiger Wertebereiche Blacklisting Anwendung von Signaturen und Mustererkennung Schutz von Session Daten und kontextabhängigen Daten Individuell je Parameter konfigurierbar Ggf. Ausnahmen für einzelne Prüfungen bei bestimmten Parametern (bei False Positives)

38 Kontrolle von URLs Zugriff wird nur auf URLs gestattet, die zur Applikation gehören Duck.htm Pluto.htm Repl.cfg fbck.php fbck.php.bak Tassen Teller Besteck /CGI /Admin /Produkte /Services /Old Home

39 Ein Ansatz: Whitelisting Beschreibung gültiger Wertebereiche für alle Eingaben (URLs und Parameter) Höchste Sicherheit Nicht immer bis ins letzte Detail umsetzbar Erstellung der Whitelist manuell oder über Lernmodus

40 Whitelisting: Regelbasierte Policy Typischerweise Definition gültiger Dateiendungen und Datentypen je Bereich Gezielte Vorgabe von erlaubten Zeichen / Längen für spezifische Parameter Nur für wenige, kritische Parameter Bei bekannten Schwachstellen

41 Whitelisting: Regelbasierte Policy Gültige URLs und Parameter werden über Wildcards oder reguläre Ausdrücke beschrieben Einfaches Beispiel: zugelassen sind *.html, *.gif und *.css alle Parameter maximal 256 Zeichen plus Prüfung gegen Blacklisten plus einzelne Ausnahmen

42 Whitelisting: Regelbasierte Policy Gültige URLs und Parameter werden über Wildcards oder reguläre Ausdrücke beschrieben Einfaches Beispiel: zugelassen sind *.html, *.gif und *.css alle Parameter maximal 256 Zeichen plus Prüfung gegen Blacklisten plus einzelne Ausnahmen

43 Whitelisting: Regelbasierte Policy Policy-Grundsätze können vorgegeben werden (z.b. durch IT-Security) Flexibel bei Änderungen der Applikation Kompakt und nachvollziehbar (wichtig bei Reviews)

44 Whitelisting: Statisches Lernen WAF erstellt einmalig Policy aus gültigen URLs und Parametern Lernen mittels Live Traffic Trusted IP Crawler Ausnahmen für Blacklists werden gelernt Nach Beendigung des Lernens wird Policy scharf geschaltet

45 Whitelisting: Statisches Lernen Ergibt sehr genaue Beschreibung der Applikationsstruktur Gutes Ergebnis für Applikationen mit statischem Inhalt und definierten Release- Zyklen (z.b. Online Banking, SAP) Einzige Möglichkeit, um z.b. auch SAP WAS URL-Prefix Services zu begrenzen Lernphase erfordert vollständiges Testen Kaum einsetzbar bei Applikationen mit häufigen Änderungen (z.b. per CMS generierte Website)

46 Dynamische Statusverfolgung ( dynamisches Lernen ) Zur Laufzeit Analyse des HTML-Quelltextes und Extrahieren von gültigen Hyperlinks ( A HREF ) gültige Formularauswahlen (Check Boxen, Radio Buttons Session Informationen (Hidden Fields, Cookies) Findet je Benutzer statt! Speicherung der gelernten Informationen im RAM der WAF oder in verschlüsseltem Cookie

47 Dynamische Statusverfolgung Verfolgen jeder einzelnen Benutzersession Analyse der abgefragten HTML-Seiten Extraktion aller möglichen Links Session 1357 Links: /products/index.html /services/index.html /cgi/feedback.pl Session /services/s1.html 1357 Links: /products/index.html /services/s2.html /services/index.html /services/xy.html /cgi/feedback.pl GET / GET / Startseite: Seite: /services/index.html /start.html Startseite: /start.html Cookie: Session Seite: /services/index.html GET /services/index.html /msadc/msadcs.dll GET /services/index.html Anwender WAF Webserver

48 Verschlüsseln von URLs Verfolgen jeder einzelnen Benutzersession Analyse der abgefragten HTML-Seiten Verschlüsseln der enthaltenen Links Session 1357 Links: /products/index.html /services/index.html Session 1357 encrypted /cgi/feedback.pl Links: /1f2caa0842ef2288 /32db48fc2c32becd /44bce4862a4f3280 GET / GET / Startseite: Seite: /1f2caa0842ef2288 /start.html Startseite: /start.html Cookie: Cookie: Session Session Seite: /services/index.html GET /msadc/msadcs.dll /1f2caa0842ef2288 GET /services/index.html Anwender WAF Webserver

49 Randbedingungen zu dynamischer Statusvervolgung bzw. URL-Verschlüsselung Bookmarks und Suchmaschinenergebnisse sind nicht mehr gültig empfehlenswert für geschlossene Bereiche mit Login-Seite (z.b. Online Banking) Navigation sollte nicht auf Client-Seite realisiert sein (z.b. JavaScript, Ajax) In der Praxis daher oft kombiniert mit statischer Konfiguration

50 Whitelisting mit dynamischer Statusverfolgung Wo ist der sinnvollste Anwendungsfall? Bei einfachen Applikationen (selten) In kleinen Teilbereichen bei komplexen Applikationen Einsatz gegen bekannte Schwachstellen Schutz vor CSRF bei besonders kritischen oder verwundbaren Teilen, z.b. ungefilterter Download aus Auswahlliste Genereller Einsatz in der Praxis kaum durchführbar

51 Adpative Policyanpassung Anstelle eines einmaligen Lernprozesses steht kontinuierliches Lernen Policy wird ständig automatisch aktualisiert z.b. auch bei Änderungen in der Webanwendung Minimaler Betriebsaufwand Allerdings erschwerte Umsetzung in klassischen Staging-Umgebung Adaptiver Prozess funktioniert nur im produktiven Datenverkehr sinnvoll In der Testumgebung können keine Anpassungen gelernt werden (Daten nicht aussagekräftig)

52 Whitelisting: Flows Verfolgung des Benutzers auf seinem Weg durch die Applikation Einsatz für kritische Bereiche Genereller Einsatz zu komplex Falscher Parameter! Seite A Seite B Seite C

53 Zusätzlicher Ansatz: Blacklisting (Angriffsmuster) vom Hersteller gepflegt/aktualisiert offengelegt oder proprietär editier- und erweiterbar Korrelation mehrerer Events ( Scoring )

54 Blacklisting (Angriffsmuster) Sind oft generisch, d.h. viele neue Angriffe werden ohne Aktualisierung erkannt Beispiel: Aktualisierung der SQL-Injection Blacklist nur bei Änderung des SQL-Standards Aktualisierung bei neuen Angriffsklassen Von zentraler Management Instanz automatisch manuell mit Staging/Approval Prozess

55 Blacklisting: Fehlerbehandlung Log Analyse Interner Logviewer hilfreich Filterfunktionen Eindeutige Error Tracking IDs Möglichkeit zu One Click Refinements

56 Whitelist und Blacklist im Vergleich Schutz Whitelist Blacklist Konfigurationsaufwand

57 Whitelist und Blacklist im Vergleich Fazit: Whitelisting bietet höchstmöglichen Schutz, ist aber sehr aufwändig zu konfigurieren In der Praxis solider Basisschutz aus: Blacklisting Generisches Whitelisting Ggf. Ergänzung durch spezifisches Whitelisting über dynamische Statusverfolgung oder Flows in kritischen Bereichen

58 Filtern von Status- und Fehlerseiten Server-Banner Fehlerseiten von Applikations- oder Datenbankservern

59 Filterung sensitiver Daten z.b. Kreditkartendaten Hyperlinks zu Administrationsoberflächen oder internen Modulen (falls Applikation keine Konfiguration zulässt) Beliebige Content-Umschreibung

60 Schutz von Cookies Cookies werden verschlüsselt Set-Cookie: CartNr bd53fa224c Set-Cookie: CartNr Cookie: CartNr 128 WAF

61 Denial Of Service Bandbreitenlimitierung für einzelne URLs Beispiel 1: normal erreichbar limitierte Request-Anzahl pro Sekunde limitierte Bandbreite Beispiel 2: Ein einzelner User kann nur eine begrenzte Anzahl an Requests/Sekunde anfordern Performance für die Allgemeinheit ist aber unbeeinflusst

62 Denial Of Service Bandbreitenlimitierung für einzelne URLs Beispiel 1: normal erreichbar limitierte Request-Anzahl pro Sekunde limitierte Bandbreite Beispiel 2: Ein einzelner User kann nur eine begrenzte Anzahl an Requests/Sekunde anfordern Performance für die Allgemeinheit ist aber unbeeinflusst

63 Aktivierung der Security Policy Passiver Modus Anwendung der Security Policy Logging von Sicherheitsvorfällen Aber kein aktives Blockieren Ideal für die ersten Stunden/Tage der Inbetriebnahme Eventuelle False Positives sind kein Problem Besonders wichtig, wenn produktive Anwendung nachträglich mit WAF-Schutz versehen wird

64 Praktische Aspekte beim WAF-Einsatz Bisheriger Deployment-Prozess muß angepasst werden Tests mit vorgeschaltener WAF Kommunikation zwischen Anwendungsentwicklung und WAF-Betrieb erforderlich Deployment zunächst in Testumgebung Dort Policy-Erstellung / -Anpassung Kopieren der fertigen Policy auf das Produktivsystem Testsystem einplanen

65 Trends in der WAF-Technologie Die WAF-Produkte nähern sich an Funktionalitäten werden abgeschaut Kombination mit Funktionalitäten der Application Delivery Loadbalancing Authentication/Authorization Caching Compression TCP Optimization SSL Offloading SSL VPN

66 Trends in der WAF-Technologie Meist Hardware Appliance Seltener Software Lösung oder Soft Appliance Integration als Reverse Proxy Sehr selten im Bridge Mode Ablösung heterogener Reverse Proxy Strukturen

67 Schutzwirkung Alle nachfolgend erwähnten Produkte bieten hohen Schutz gegen die genannten Angriffe Keine schlechten oder guten WAFs im Sinne der Schutzwirkung Aber unterschiedliche Philosophien und Ansätze, die indirekt Einfluss auf die Sicherheit haben

68 percentage Schutzwirkung Beispiel: Erkennung von XSS-Angriffen Blocked XSS-Pattern mod_security Barracuda F5 Imperva Visonys WAF Quelle der Angriffsmuster:

69 Und die Performance? Wieviele Backendserver schützen Sie? Alle Hersteller bieten Modelle unterschiedlicher Leistungsklasse bis über transactions/second (!) Gigabit Durchsatz SSL-Beschleuniger (auch mit HSM) Performance ist selten ein Problem!

70 Integration als Reverse Proxy Single Homed Webserver WAF Internet LAN

71 Integration als Reverse Proxy Dual Homed Webserver WAF Internet LAN

72 Integration als Reverse Proxy Dual Homed typisch in neu aufgebauter Umgebung ansonsten Netzwerk-Reorganisation erforderlich sehr hohe Sicherheit Single Homed typisch in vorhandener Umgebung Integration durch DNS-Änderung oder Einsatz von NAT Nicht-HTTP Datenverkehr fließt am System vorbei

73 Integration als Reverse Proxy Randbedingungen IP des Benutzers auf dem Webserver nicht mehr sichtbar Weiterleitung als Header Access Logs direkt auf der WAF generieren Transparent Proxy (WAF muss Default-Gateway sein) Absolute Links dürfen nicht auf Backend- Systeme zeigen Umschreibung von Links über die WAF (URL-Rewriting)

74 Integration als Bridge Keine TCP-Terminierung Transparente Bridge Applikations-IPS, Layer2-WAF HTTP/S-Verbindung Benutzer WAF Webserver

75 Integration als Bridge Keinerlei IP-, Netzwerk oder DNS-Änderungen erforderlich Daten werden nicht verändert (keine TCP- Terminierung) Nicht inspizierter Traffic passiert ungehindert Einfaches Deployment und Rollback Je nach Topologie mehrere WAF-Module erforderlich Keine Zusatzfunktionen, die den Content beeinflussen (Rewriting, Loadbalancing, Compression, )

76 SSL-Terminierung Filterung nur unverschlüsselt möglich SSL-Terminierung bei Reverse Proxy Transparente SSL-Analyse bei Bridge SSL-Schlüssel und Zertifikate müssen unverschlüsselt vorliegen (Base64 codiert) Bei Einsatz eines Hardware Security Modules (HSM) muss dieses von der WAF unterstützt werden

77 Hardware Security Module (HSM) Entkopplung der SSL-Behandlung von Webserver, Reverse Proxy oder WAF Besonders gesicherte Appliances Zugang nur mit starker Authentisierung oder sogar Vier-Augen-Prinzip Sichere Speicherung von SSL-Keys Key verlässt nie das HSM Sichere und effiziente Ausführung von kryptographischen Operationen SSL-Beschleunigung

78 Weitere Protokolle SOAP / XML im B2B-Umfeld Viele Angriffe gegen Webapplikationen existieren auch bei Webservices Für die WAF SOAP/XML zunächst nur normaler HTTP-Request Spezielle Module, die XML oder SOAP analysieren Alternativ native XML-Firewalls Wichtige Unterscheidung: Fokus bei WAF auf Applikationssicherheit, nicht Sicherheit durch XML-Authentisierung, SAML oder Authorisierung

79 Abgrenzung WAF gg. XML-Firewall XML-Firewalls bieten klassische Sicherheit: Verschlüsselung Authentisierung/Authorisierung WS-Security 1.0/1.1 SAML AAA XSLT-Transformationen Oft aber nur rudimentärer Schutz gegenüber Angriffen auf XML-Ebene

80 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

81 Marktentwicklung Sanctum Magnifire Verkauf Verkauf Watchfire F5 NetContinuum Seclutions Visonys Verkauf Barracuda Verkauf Phion Stratum 8 Teros KaVaDo Verkauf Verkauf Citrix Protegrity WebCohort Imperva DenyAll Reactivity Verkauf Breach / ModSecurity Cisco Art Of Defence Verkauf

82 Hersteller und Produkte (alphabetisch) Barracuda Web Application Firewall Cisco ACE Web Application Firewall Citrix Application Firewall DenyAll rweb F5 ASM Imperva SecureSphere Phion Airlock Protegrity Defiance TMS

83 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

84 Live-Demos Vorstellung exemplarischer Schwachstellen

85 Gliederung Vorstellung exemplarischer Schwachstellen Theorie und Live Demonstrationen Alte Bekannte Cross-Site-Scripting File-Inclusion-Schwachstelle Neue Schwachstellen Blind-SQL-Injection Logische Fehler

86 Gliederung Vorstellung exemplarischer Schwachstellen Theorie und Live Demonstrationen Alte Bekannte Cross-Site-Scripting File-Inclusion-Schwachstelle Neue Schwachstellen Blind-SQL-Injection Logische Fehler

87 Cross-Site Scripting (XSS) Ausführung von bösartigem Code innerhalb des Browser des Opfers Opfer ist immer der Client(-Browser) Die eigentliche Schwachstelle liegt jedoch innerhalb der Webanwendung

88 Cross-Site Scripting (XSS) Nicht Persistentes Cross-Site Scripting 5) Ausführung des Schadcodes im Browser 6) Cookie an Angreifer 1) HTML-Mail mit Link Opfer 4) Übermittlung des Schadcodes 2) Aufruf des präparierten Links Angreifer 3) Verarbeitung des präparierten Links Webanwendung mit XSS Schwachstelle

89 Cross-Site Scripting (XSS) Demonstration

90 File-Inclusion-Schwachstelle File-Inclusion durch die Applikationslogik Beispiel: Gedachte Funktionalität: Manipulierte Funktionalität:

91 File-Inclusion-Schwachstelle File-Inclusion durch die Applikationslogik Beispiel: Gedachte Funktionalität: Manipulierte Funktionalität:

92 File-Inclusion- Schwachstelle Demonstration

93 Gliederung Vorstellung exemplarischer Schwachstellen Theorie und Live Demonstrationen Alte Bekannte Cross-Site-Scripting File-Inclusion-Schwachstelle Neue Schwachstellen Blind-SQL-Injection Logische Fehler

94 Normale SQL-Injection SELECT author,title,isbn,publisher FROM books WHERE title LIKE '%Begriff%' ' UNION SELECT SELECT null,null,password,username name,creditcardno,null,null FROM cirobank.users-- customers-- /search.asp?query=' UNION SQL-Abfrage Internet Firewall Web-Server Firewall DB-Server Angreifer Antwortseite Ergebnis der Abfrage

95 Normale SQL-Injection

96 Blind-SQL-Injection Obwohl eine Anwendung für SQL-Injection anfällig ist, wird oftmals das Ergebnis nicht direkt in der Antwortseite angezeigt werden Fehlermeldungen häufig unterdrückt Somit können Daten nicht über die Anwendungslogik oder Fehlermeldungen gewonnen werden Die Schwachstelle kann aber blind ausgenutzt werden

97 Blind-SQL-Injection Blindes Finden von SQL-Injection- Schwachstellen Idee: Einschleusen einer wahren (TRUE) und einer unwahren (FALSE) Aussage Die Antworten unterscheiden sich jeweils

98 Blind-SQL- Injection Demonstration - manuell

99 Blind-SQL-Injection Blindes Ausnutzen von SQL-Injection- Schwachstellen Ziel: Systematisches Erraten des aktuellen Datenbankbenutzers minizon Idee: Den Namen Buchstabe für Buchstabe erraten

100 Blind-SQL-Injection unwahre Aussagen: ' SUBSTR((SELECT user FROM dual),1,1)='a';-- ' SUBSTR((SELECT user FROM dual),1,1)='b';-- ' SUBSTR((SELECT user FROM dual),1,1)='c';-- so lange bis wahre Aussage: ' SUBSTR((SELECT user FROM dual),1,1)='m';--

101 Blind-SQL-Injection Iteration über alle Stellen ' and SUBSTR((SELECT user FROM dual),1,1)='m';-- ' and SUBSTR((SELECT user FROM dual),2,1)='i';-- ' and SUBSTR((SELECT user FROM dual),3,1)='n';-- ' and SUBSTR((SELECT user FROM dual),4,1)='i';-- ' and SUBSTR((SELECT user FROM dual),5,1)='z';-- ' and SUBSTR((SELECT user FROM dual),6,1)='o';-- ' and SUBSTR((SELECT user FROM dual),7,1)='n';--

102 Blind-SQL- Injection Demonstration

103 Logischer Fehler Anwendungsparameter bestimmt Kontext, in dem Anwendung verwendet wird Nach Anmeldung an Anwendung: cid ist Base64 codiert: dxnlcl9pzd0y Base64_decode() user_id=2 Manipulation des Parameters: user_id=1 Base64_encode() dxnlcl9pzd0x

104 Logischer Fehler Demonstration

105 Live-Demos Konfiguration einer Web Application Firewall

106 Danke für Ihre Aufmerksamkeit!

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen. Stefan Strobel cirosec GmbH Heilbronn

Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen. Stefan Strobel cirosec GmbH Heilbronn Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen Stefan Strobel cirosec GmbH Heilbronn Agenda Vorstellung Angriffsszenarien und Beispiele Zusammenfassung Wer ist cirosec? Eine kleine Firma

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Was eine WAF (nicht) kann. Ausgabe 2013

Was eine WAF (nicht) kann. Ausgabe 2013 Was eine WAF (nicht) kann. Ausgabe 2013 Mirko Dziadzka http://mirko.dziadzka.de/ @MirkoDziadzka OWASP Stammtisch München - 19.11.2013 1 / 27 Inhalt Worum soll es heute gehen Meine (subjektive) Meinung

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Web Application Security und der Einsatz von Web Application Firewalls

Web Application Security und der Einsatz von Web Application Firewalls Web Application Security und der Einsatz von Web Application Firewalls Philipp Etschel, BSc opennetworks.at fhstp.ac.at 2 Agenda: Warum überhaupt eine WAF einsetzen? Funktionsweise einer WAF Welche Web-

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen Sicherheit auf Anwendungsebene Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Intrusion Detection and Prevention

Intrusion Detection and Prevention Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2016 Zentrum für Informationssicherheit Webanwendungssicherheit-Workshop 15. 17. November 2016, Frankfurt Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de Webanwendungssicherheit

Mehr

SQL Injection Funktionsweise und Gegenmaßnahmen

SQL Injection Funktionsweise und Gegenmaßnahmen SQL Injection Funktionsweise und Gegenmaßnahmen EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005 Problematik SQL-Injection

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Citrix NetScaler Seminar 2011

Citrix NetScaler Seminar 2011 Citrix NetScaler Seminar 2011 Natanael Mignon Consulting»Lounge Wer wir sind» Eine Marke der» 20 Jahre Erfahrung in Beratung und Unterstützung von Unternehmen» Über 50 Mitarbeiter für Deutschland und Mitteleuropa»

Mehr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell

Mehr

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller OWASP Top 10: Scanning JSF Andreas Hartmann & Stephan Müller 07.04.2011 Andreas Hartmann (Principal Software Engineer): Leichtgewichtige Softwarearchitekturen und Frameworks auf Basis der JEE Plattform

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren patrick.hof@redteam-pentesting.de http://www.redteam-pentesting.de netzwerk recherche 01./02.

Mehr

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall!

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! IT-SeCX 12.11.2010 Version: 1.0 Autor: A. Kravitz / K. Bauer Verantwortlich: A. Kravitz Datum: 12.11.2010 Vertraulichkeitsstufe:

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

TKÜV mit SPONTS. Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ 2004 iku Systemhaus AG http://www.iku ag.

TKÜV mit SPONTS. Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ 2004 iku Systemhaus AG http://www.iku ag. TKÜV mit SPONTS Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ iku Systemhaus AG gegründet 1997 seit 2002 Aktiengesellschaft 10 Mitarbeiter Geschäftsfelder Linux

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen. KNF Kongre 2001 Henning P. Schmiedehausen

Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen. KNF Kongre 2001 Henning P. Schmiedehausen <henning@apache.org> Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen Henning P. Schmiedehausen Turbine - ein berblick Open Source unter Apache License 100% pure Java, Java 2 (JDK 1.2+) Servlet-basiertes

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem:

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem: !! "!!##$ %& es gibt keine 100 %ige Sicherheit Fehler zu machen ist menschlich man muss es so gut wie möglich machen es ist GROB FAHRLÄSSIG es nicht einmal zu versuchen Ziel: Methoden entwickeln, die Sicherheit

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

TELEMETRIE EINER ANWENDUNG

TELEMETRIE EINER ANWENDUNG TELEMETRIE EINER ANWENDUNG VISUAL STUDIO APPLICATION INSIGHTS BORIS WEHRLE TELEMETRIE 2 TELEMETRIE WELCHE ZIELE WERDEN VERFOLGT? Erkennen von Zusammenhängen Vorausschauendes Erkennen von Problemen um rechtzeitig

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Citrix NetScaler als hoch verfügbare Schaltzentrale für XenApp Umgebungen

Citrix NetScaler als hoch verfügbare Schaltzentrale für XenApp Umgebungen Citrix NetScaler als hoch verfügbare Schaltzentrale für XenApp Umgebungen Citrix-Seminar 05.05.2011 Heimon Hinze hhinze@netik.de 05.05.2011 Dr. Netik & Partner GmbH 1 Citrix Netscaler Nur eine weitere

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Stefan Schlott @_skyr DIE OWASP TOP-10 Alpha und Omega der Security-Talks :-) TOP 10 VON 2013 1. Injection 2. Broken Authentication/Session Management

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Einsatz von Applikationsservern. Untersucht am Beispiel des Sybase Enterprise Application Server

Einsatz von Applikationsservern. Untersucht am Beispiel des Sybase Enterprise Application Server Einsatz von Applikationsservern Untersucht am Beispiel des Sybase Enterprise Application Server Architektur von Datenbanksystemen Client / Server Modell (2 Schichten Modell) Benutzerschnittstelle Präsentationslogik

Mehr

Carsten Eilers ceilers-it.de. Schwachstellen-Scans im Web 2.0

Carsten Eilers ceilers-it.de. Schwachstellen-Scans im Web 2.0 Carsten Eilers ceilers-it.de Schwachstellen-Scans im Web 2.0 Vorstellung» Berater für IT-Sicherheit» Autor» About Security» Standpunkt Sicherheit» und anderes...» Schwachstellen-Datenbank» Security Aktuell

Mehr