Web Application Firewalls (WAF)
|
|
- Lukas Lange
- vor 8 Jahren
- Abrufe
Transkript
1 Web Application Firewalls (WAF) Steffen Tröscher cirosec GmbH
2 Über mich Steffen Tröscher Seit 6 Jahren IT-Sicherheitsberater steffen.troescher@cirosec.de Schwerpunkte Sicherheitsüberprüfungen, Pen-Testing Coding Guidelines, Härtungsanweisungen, Konzeptionelle Analysen Trainer der Schulungen HE-Extrem Classic & Web
3 cirosec GmbH Beratungsunternehmen in Heilbronn derzeit 26 Mitarbeiter Fokus auf innovative IT-Sicherheit: Penetrationstests, Audits Schulungen konzeptionelle Analyse.. Angebot an Studenten: Durchführung Praktikum oder Thesis
4 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall
5 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall
6 Schwachstellen - OWASP Top 10 A1 A2 Injection Cross Site Scripting A3 Broken Authentication & Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration A7 Failure to Restrict URL Access A8 Unvalidated Redirects and Forwards A9 Insecure Cryptographic Storage A10 Insufficient Transport Layer Protection
7 Sicherheit auf höheren Ebenen Neuen Gefahren kann nicht mit alten Technologien begegnet werden Bekämpfung der Ursachen Sichere Entwicklung Sichere Architektur Sicherer Betrieb Regelmäßige Prüfungen Bekämpfung der Auswirkungen Neue Technologien und Produkte
8 1. Bekämpfung der Ursachen
9 Bekämpfung der Ursachen Sicheres Programmieren Codierungsrichtlinien Toolgestützt durch Quellcode-Scanner Prüfung der Sicherheit Penetrationstests Toolgestützt durch Applikations-Scanner
10 Sicheres Programmieren
11 Codierungsrichtlinien für sichere Entwicklung Meist umfangreiche Werke Sollten mit den Entwicklern gemeinsam erarbeitet werden Sensibilisierung ist hier sehr wichtig z.b. Training + Workshop Unterstützung durch Werkzeuge bei der Entwicklung Quellcode-Scanner mit guter Erklärungskomponente
12 Beispiel-Themen für Richtlinien Grundlagen, Vertrauen, Server vs. Client Prüfung von Eingaben Bereinigung von Ausgaben Session-Management Umgang mit sensiblen Informationen Verhalten bei Fehlern Einsatz von Verschlüsselung Zugriff auf Datenbanken Administrationspfade
13 Sichere Programmierung ist keine vollständige Lösung Begrenzter Einfluss durch Ausführung von Fremdcode Plattformen, Portale und Backendsysteme Einbindung Programm-Bibliotheken Menschliches Fehlerpotential Die Programmierung von Filtern zur Überprüfung von Benutzereingaben ist sehr komplex und erfordert tiefes KnowHow
14 Prüfung der Sicherheit
15 Auditierung von Applikationen Während der Entwicklung Prüfwerkzeuge innerhalb Entwicklungsumgebung Fokus auf Quellcode Unterstützung für den Entwickler statt Audit Je früher umso geringere Kosten Während der QA bzw. Testphase Sicherheit ist ein Teil der Qualität Sicherheits-Tests zusammen mit den funktionalen Tests durchführen Vor Produktivgang oder im Betrieb Durch Sicherheitsexperten
16 Marktüberblick Web Scanner Sanctum AppScan Verkauf Watchfire Verkauf IBM Kavado ScanDo Verkauf Protegrity SPI-Dynamics WebInspect Verkauf HP Cenzic Hailstorm -> Hailstorm Web -> Hailstorm NT Objectives NTO Spider Acunetix Acunetix WVS
17 2. Bekämpfung der Auswirkungen
18 Bekämpfung der Auswirkungen Warum reicht Ursachenbekämpfung alleine nicht aus? Bereits genannt Fremdcode Menschliches Fehlerpotential Zusätzlich Minimierung des Windows of Exploitation Patchen zu kostenintensiv Security Principal: Defense in depth
19 Fremdcode
20 Fremdcode MyApp LoC BEA WebLogic* >10M LoC * estimate, based on line counts in JBoss, a competing open-source J2EE application server
21 Fremdcode MyApp LoC BEA WebLogic* >10M LoC
22 Fremdcode MyApp LoC BEA WebLogic* >10M LoC
23 Menschliches Fehlerpotential
24 Menschliches Fehlerpotential Hohe Komplexität der Umgebungen führen zu Schwachstellen Fehler sind trotz Schulungen, Richtlinien oder motivierten Mitarbeitern normal Beispiel: Input-Validierungs-Filter 1. Filter: Anti-Directory-Traversal: Der String../ wird aus allen Parametern entfernt 2. Filter: Anti-Cross-Site-Scripting: Malicious characters wie > oder < werden durch "." ersetzt Frage? In welcher Reihenfolge greifen die Filter? ;) Angriffsstring: >>/>>/>>/>>/
25 Minimierung des Windows of Exploitation
26 Window of Exploitation Wunschdenken : Bei Pentest wird Schwachstelle entdeckt Diese wird sofort durch Entwickler gepatcht Neue Version wird produktiv genommen Realität: Bei Pentest wird Schwachstelle entdeckt Schwachstellen wird in Bug-Tracking-System erfasst Entwickler brauchen mehrere Tage für eine Lösung Neue Version muss durch den Q&A Prozess Es vergehen mehrere Tage bis Wochen bis die Schwachstelle gepatcht ist
27 Security Principal: Defense in depth
28 Defense in depth Security Principal Defense in depth : Implementiere Sicherheit in allen möglichen Schichten (Netzwerk, Anwendung, Webserver, Datenbank, Betriebssysteme, ). Falls die Sicherheit in einer Schicht versagt, greifen die Mechanismen der anderen Schichten Analogie: Netzwerkbasierte Firewall gehärtetes DMZ System Web Applikation Firewall sichere Web Applikation
29 Positionierung von Sicherheitslösungen
30 Produkte für Sicherheit bei E-Business und Web-Services Browser Browser- Sicherheit HTTP- Filter Web- Server Host IPS / TOS / SOS Proxies für SQL, XML, Soap, Corba App. / DB Internet LAN
31 Produkte für Sicherheit bei E-Business und Web-Services Quaresso Promon F5 (Magnifire) Citrix (Teros) Barracuda (NC) DenyAll, AppSec Inc, Guardium Browser Browser- Sicherheit HTTP- Filter Web- Server Host IPS / TOS / SOS Proxies für SQL, XML, Soap, Corba App. / DB Internet Symantec (Platform) McAffee (Entercept) Cisco CSA (Okena) Argus, eeye, LAN
32 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall
33 Schutzfunktionen einer WAF Vor bekannten Angriffen über Signaturen PHP-Würmer, Exploits, Vor unbekannten Angriffen über generische Mustererkennung (Zero Day Protection) SQL Injection, XSS, Buffer Overflows, Gezielte Konfiguration zur Absicherung bekannt gewordener Schwachstellen Falls Anpassung des Systems nicht möglich Kein Feedback/Support des Herstellers
34 Grenzen einer WAF Erkennung von Logikfehlern Z.B. falsch implementiertes Berechtigungsmodell Fehlerhafte Implementierung von Sicherheit auf Client Seite Z.B. Berechtigungsmodell wird in JavaScript geprüft Ausnutzung von Browserschwachstellen Z.B. Clickjacking
35 Funktionsweise einer WAF Erzwingt konformes HTTP (RFCs) Normalisierung d5opx;ðóge]ì ³óâ= [Zܾç Ù Vð ' <½ #Ôm]ëæoª5Zòˆ!0^Ý kê ØmtÈ œìn k»a êü Ýë;u ³7JMµ4[ø Èò¾ø má¼ %2E%2E%2Fpartners%2Fe %2F%7Efinance%2Frec%2F %2Fhomepage%2Findex%2 /partners/ /finance/rec/ /homepage/index/ SSL entschlüsseln Sonderzeichen wandeln
36 Funktionsweise einer WAF Betrachtungsebene WAF arbeitet auf Ebene HTTP/HTML Im Kontext der Applikation Wichtige Abgrenzung zu IDS/IPS! Extrahieren von URLs Extrahieren von Parametern Für GET und POST-Parameter Cookies sind z.b. Sonderform der POST- Parameter Anwendung von White- und Blacklisting Ausgabefilterung
37 Kontrolle von Parametern Whitelisting Beschreibung gültiger Wertebereiche Blacklisting Anwendung von Signaturen und Mustererkennung Schutz von Session Daten und kontextabhängigen Daten Individuell je Parameter konfigurierbar Ggf. Ausnahmen für einzelne Prüfungen bei bestimmten Parametern (bei False Positives)
38 Kontrolle von URLs Zugriff wird nur auf URLs gestattet, die zur Applikation gehören Duck.htm Pluto.htm Repl.cfg fbck.php fbck.php.bak Tassen Teller Besteck /CGI /Admin /Produkte /Services /Old Home
39 Ein Ansatz: Whitelisting Beschreibung gültiger Wertebereiche für alle Eingaben (URLs und Parameter) Höchste Sicherheit Nicht immer bis ins letzte Detail umsetzbar Erstellung der Whitelist manuell oder über Lernmodus
40 Whitelisting: Regelbasierte Policy Typischerweise Definition gültiger Dateiendungen und Datentypen je Bereich Gezielte Vorgabe von erlaubten Zeichen / Längen für spezifische Parameter Nur für wenige, kritische Parameter Bei bekannten Schwachstellen
41 Whitelisting: Regelbasierte Policy Gültige URLs und Parameter werden über Wildcards oder reguläre Ausdrücke beschrieben Einfaches Beispiel: zugelassen sind *.html, *.gif und *.css alle Parameter maximal 256 Zeichen plus Prüfung gegen Blacklisten plus einzelne Ausnahmen
42 Whitelisting: Regelbasierte Policy Gültige URLs und Parameter werden über Wildcards oder reguläre Ausdrücke beschrieben Einfaches Beispiel: zugelassen sind *.html, *.gif und *.css alle Parameter maximal 256 Zeichen plus Prüfung gegen Blacklisten plus einzelne Ausnahmen
43 Whitelisting: Regelbasierte Policy Policy-Grundsätze können vorgegeben werden (z.b. durch IT-Security) Flexibel bei Änderungen der Applikation Kompakt und nachvollziehbar (wichtig bei Reviews)
44 Whitelisting: Statisches Lernen WAF erstellt einmalig Policy aus gültigen URLs und Parametern Lernen mittels Live Traffic Trusted IP Crawler Ausnahmen für Blacklists werden gelernt Nach Beendigung des Lernens wird Policy scharf geschaltet
45 Whitelisting: Statisches Lernen Ergibt sehr genaue Beschreibung der Applikationsstruktur Gutes Ergebnis für Applikationen mit statischem Inhalt und definierten Release- Zyklen (z.b. Online Banking, SAP) Einzige Möglichkeit, um z.b. auch SAP WAS URL-Prefix Services zu begrenzen Lernphase erfordert vollständiges Testen Kaum einsetzbar bei Applikationen mit häufigen Änderungen (z.b. per CMS generierte Website)
46 Dynamische Statusverfolgung ( dynamisches Lernen ) Zur Laufzeit Analyse des HTML-Quelltextes und Extrahieren von gültigen Hyperlinks ( A HREF ) gültige Formularauswahlen (Check Boxen, Radio Buttons Session Informationen (Hidden Fields, Cookies) Findet je Benutzer statt! Speicherung der gelernten Informationen im RAM der WAF oder in verschlüsseltem Cookie
47 Dynamische Statusverfolgung Verfolgen jeder einzelnen Benutzersession Analyse der abgefragten HTML-Seiten Extraktion aller möglichen Links Session 1357 Links: /products/index.html /services/index.html /cgi/feedback.pl Session /services/s1.html 1357 Links: /products/index.html /services/s2.html /services/index.html /services/xy.html /cgi/feedback.pl GET / GET / Startseite: Seite: /services/index.html /start.html Startseite: /start.html Cookie: Session Seite: /services/index.html GET /services/index.html /msadc/msadcs.dll GET /services/index.html Anwender WAF Webserver
48 Verschlüsseln von URLs Verfolgen jeder einzelnen Benutzersession Analyse der abgefragten HTML-Seiten Verschlüsseln der enthaltenen Links Session 1357 Links: /products/index.html /services/index.html Session 1357 encrypted /cgi/feedback.pl Links: /1f2caa0842ef2288 /32db48fc2c32becd /44bce4862a4f3280 GET / GET / Startseite: Seite: /1f2caa0842ef2288 /start.html Startseite: /start.html Cookie: Cookie: Session Session Seite: /services/index.html GET /msadc/msadcs.dll /1f2caa0842ef2288 GET /services/index.html Anwender WAF Webserver
49 Randbedingungen zu dynamischer Statusvervolgung bzw. URL-Verschlüsselung Bookmarks und Suchmaschinenergebnisse sind nicht mehr gültig empfehlenswert für geschlossene Bereiche mit Login-Seite (z.b. Online Banking) Navigation sollte nicht auf Client-Seite realisiert sein (z.b. JavaScript, Ajax) In der Praxis daher oft kombiniert mit statischer Konfiguration
50 Whitelisting mit dynamischer Statusverfolgung Wo ist der sinnvollste Anwendungsfall? Bei einfachen Applikationen (selten) In kleinen Teilbereichen bei komplexen Applikationen Einsatz gegen bekannte Schwachstellen Schutz vor CSRF bei besonders kritischen oder verwundbaren Teilen, z.b. ungefilterter Download aus Auswahlliste Genereller Einsatz in der Praxis kaum durchführbar
51 Adpative Policyanpassung Anstelle eines einmaligen Lernprozesses steht kontinuierliches Lernen Policy wird ständig automatisch aktualisiert z.b. auch bei Änderungen in der Webanwendung Minimaler Betriebsaufwand Allerdings erschwerte Umsetzung in klassischen Staging-Umgebung Adaptiver Prozess funktioniert nur im produktiven Datenverkehr sinnvoll In der Testumgebung können keine Anpassungen gelernt werden (Daten nicht aussagekräftig)
52 Whitelisting: Flows Verfolgung des Benutzers auf seinem Weg durch die Applikation Einsatz für kritische Bereiche Genereller Einsatz zu komplex Falscher Parameter! Seite A Seite B Seite C
53 Zusätzlicher Ansatz: Blacklisting (Angriffsmuster) vom Hersteller gepflegt/aktualisiert offengelegt oder proprietär editier- und erweiterbar Korrelation mehrerer Events ( Scoring )
54 Blacklisting (Angriffsmuster) Sind oft generisch, d.h. viele neue Angriffe werden ohne Aktualisierung erkannt Beispiel: Aktualisierung der SQL-Injection Blacklist nur bei Änderung des SQL-Standards Aktualisierung bei neuen Angriffsklassen Von zentraler Management Instanz automatisch manuell mit Staging/Approval Prozess
55 Blacklisting: Fehlerbehandlung Log Analyse Interner Logviewer hilfreich Filterfunktionen Eindeutige Error Tracking IDs Möglichkeit zu One Click Refinements
56 Whitelist und Blacklist im Vergleich Schutz Whitelist Blacklist Konfigurationsaufwand
57 Whitelist und Blacklist im Vergleich Fazit: Whitelisting bietet höchstmöglichen Schutz, ist aber sehr aufwändig zu konfigurieren In der Praxis solider Basisschutz aus: Blacklisting Generisches Whitelisting Ggf. Ergänzung durch spezifisches Whitelisting über dynamische Statusverfolgung oder Flows in kritischen Bereichen
58 Filtern von Status- und Fehlerseiten Server-Banner Fehlerseiten von Applikations- oder Datenbankservern
59 Filterung sensitiver Daten z.b. Kreditkartendaten Hyperlinks zu Administrationsoberflächen oder internen Modulen (falls Applikation keine Konfiguration zulässt) Beliebige Content-Umschreibung
60 Schutz von Cookies Cookies werden verschlüsselt Set-Cookie: CartNr bd53fa224c Set-Cookie: CartNr Cookie: CartNr 128 WAF
61 Denial Of Service Bandbreitenlimitierung für einzelne URLs Beispiel 1: normal erreichbar limitierte Request-Anzahl pro Sekunde limitierte Bandbreite Beispiel 2: Ein einzelner User kann nur eine begrenzte Anzahl an Requests/Sekunde anfordern Performance für die Allgemeinheit ist aber unbeeinflusst
62 Denial Of Service Bandbreitenlimitierung für einzelne URLs Beispiel 1: normal erreichbar limitierte Request-Anzahl pro Sekunde limitierte Bandbreite Beispiel 2: Ein einzelner User kann nur eine begrenzte Anzahl an Requests/Sekunde anfordern Performance für die Allgemeinheit ist aber unbeeinflusst
63 Aktivierung der Security Policy Passiver Modus Anwendung der Security Policy Logging von Sicherheitsvorfällen Aber kein aktives Blockieren Ideal für die ersten Stunden/Tage der Inbetriebnahme Eventuelle False Positives sind kein Problem Besonders wichtig, wenn produktive Anwendung nachträglich mit WAF-Schutz versehen wird
64 Praktische Aspekte beim WAF-Einsatz Bisheriger Deployment-Prozess muß angepasst werden Tests mit vorgeschaltener WAF Kommunikation zwischen Anwendungsentwicklung und WAF-Betrieb erforderlich Deployment zunächst in Testumgebung Dort Policy-Erstellung / -Anpassung Kopieren der fertigen Policy auf das Produktivsystem Testsystem einplanen
65 Trends in der WAF-Technologie Die WAF-Produkte nähern sich an Funktionalitäten werden abgeschaut Kombination mit Funktionalitäten der Application Delivery Loadbalancing Authentication/Authorization Caching Compression TCP Optimization SSL Offloading SSL VPN
66 Trends in der WAF-Technologie Meist Hardware Appliance Seltener Software Lösung oder Soft Appliance Integration als Reverse Proxy Sehr selten im Bridge Mode Ablösung heterogener Reverse Proxy Strukturen
67 Schutzwirkung Alle nachfolgend erwähnten Produkte bieten hohen Schutz gegen die genannten Angriffe Keine schlechten oder guten WAFs im Sinne der Schutzwirkung Aber unterschiedliche Philosophien und Ansätze, die indirekt Einfluss auf die Sicherheit haben
68 percentage Schutzwirkung Beispiel: Erkennung von XSS-Angriffen Blocked XSS-Pattern mod_security Barracuda F5 Imperva Visonys WAF Quelle der Angriffsmuster:
69 Und die Performance? Wieviele Backendserver schützen Sie? Alle Hersteller bieten Modelle unterschiedlicher Leistungsklasse bis über transactions/second (!) Gigabit Durchsatz SSL-Beschleuniger (auch mit HSM) Performance ist selten ein Problem!
70 Integration als Reverse Proxy Single Homed Webserver WAF Internet LAN
71 Integration als Reverse Proxy Dual Homed Webserver WAF Internet LAN
72 Integration als Reverse Proxy Dual Homed typisch in neu aufgebauter Umgebung ansonsten Netzwerk-Reorganisation erforderlich sehr hohe Sicherheit Single Homed typisch in vorhandener Umgebung Integration durch DNS-Änderung oder Einsatz von NAT Nicht-HTTP Datenverkehr fließt am System vorbei
73 Integration als Reverse Proxy Randbedingungen IP des Benutzers auf dem Webserver nicht mehr sichtbar Weiterleitung als Header Access Logs direkt auf der WAF generieren Transparent Proxy (WAF muss Default-Gateway sein) Absolute Links dürfen nicht auf Backend- Systeme zeigen Umschreibung von Links über die WAF (URL-Rewriting)
74 Integration als Bridge Keine TCP-Terminierung Transparente Bridge Applikations-IPS, Layer2-WAF HTTP/S-Verbindung Benutzer WAF Webserver
75 Integration als Bridge Keinerlei IP-, Netzwerk oder DNS-Änderungen erforderlich Daten werden nicht verändert (keine TCP- Terminierung) Nicht inspizierter Traffic passiert ungehindert Einfaches Deployment und Rollback Je nach Topologie mehrere WAF-Module erforderlich Keine Zusatzfunktionen, die den Content beeinflussen (Rewriting, Loadbalancing, Compression, )
76 SSL-Terminierung Filterung nur unverschlüsselt möglich SSL-Terminierung bei Reverse Proxy Transparente SSL-Analyse bei Bridge SSL-Schlüssel und Zertifikate müssen unverschlüsselt vorliegen (Base64 codiert) Bei Einsatz eines Hardware Security Modules (HSM) muss dieses von der WAF unterstützt werden
77 Hardware Security Module (HSM) Entkopplung der SSL-Behandlung von Webserver, Reverse Proxy oder WAF Besonders gesicherte Appliances Zugang nur mit starker Authentisierung oder sogar Vier-Augen-Prinzip Sichere Speicherung von SSL-Keys Key verlässt nie das HSM Sichere und effiziente Ausführung von kryptographischen Operationen SSL-Beschleunigung
78 Weitere Protokolle SOAP / XML im B2B-Umfeld Viele Angriffe gegen Webapplikationen existieren auch bei Webservices Für die WAF SOAP/XML zunächst nur normaler HTTP-Request Spezielle Module, die XML oder SOAP analysieren Alternativ native XML-Firewalls Wichtige Unterscheidung: Fokus bei WAF auf Applikationssicherheit, nicht Sicherheit durch XML-Authentisierung, SAML oder Authorisierung
79 Abgrenzung WAF gg. XML-Firewall XML-Firewalls bieten klassische Sicherheit: Verschlüsselung Authentisierung/Authorisierung WS-Security 1.0/1.1 SAML AAA XSLT-Transformationen Oft aber nur rudimentärer Schutz gegenüber Angriffen auf XML-Ebene
80 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall
81 Marktentwicklung Sanctum Magnifire Verkauf Verkauf Watchfire F5 NetContinuum Seclutions Visonys Verkauf Barracuda Verkauf Phion Stratum 8 Teros KaVaDo Verkauf Verkauf Citrix Protegrity WebCohort Imperva DenyAll Reactivity Verkauf Breach / ModSecurity Cisco Art Of Defence Verkauf
82 Hersteller und Produkte (alphabetisch) Barracuda Web Application Firewall Cisco ACE Web Application Firewall Citrix Application Firewall DenyAll rweb F5 ASM Imperva SecureSphere Phion Airlock Protegrity Defiance TMS
83 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall
84 Live-Demos Vorstellung exemplarischer Schwachstellen
85 Gliederung Vorstellung exemplarischer Schwachstellen Theorie und Live Demonstrationen Alte Bekannte Cross-Site-Scripting File-Inclusion-Schwachstelle Neue Schwachstellen Blind-SQL-Injection Logische Fehler
86 Gliederung Vorstellung exemplarischer Schwachstellen Theorie und Live Demonstrationen Alte Bekannte Cross-Site-Scripting File-Inclusion-Schwachstelle Neue Schwachstellen Blind-SQL-Injection Logische Fehler
87 Cross-Site Scripting (XSS) Ausführung von bösartigem Code innerhalb des Browser des Opfers Opfer ist immer der Client(-Browser) Die eigentliche Schwachstelle liegt jedoch innerhalb der Webanwendung
88 Cross-Site Scripting (XSS) Nicht Persistentes Cross-Site Scripting 5) Ausführung des Schadcodes im Browser 6) Cookie an Angreifer 1) HTML-Mail mit Link Opfer 4) Übermittlung des Schadcodes 2) Aufruf des präparierten Links Angreifer 3) Verarbeitung des präparierten Links Webanwendung mit XSS Schwachstelle
89 Cross-Site Scripting (XSS) Demonstration
90 File-Inclusion-Schwachstelle File-Inclusion durch die Applikationslogik Beispiel: Gedachte Funktionalität: Manipulierte Funktionalität:
91 File-Inclusion-Schwachstelle File-Inclusion durch die Applikationslogik Beispiel: Gedachte Funktionalität: Manipulierte Funktionalität:
92 File-Inclusion- Schwachstelle Demonstration
93 Gliederung Vorstellung exemplarischer Schwachstellen Theorie und Live Demonstrationen Alte Bekannte Cross-Site-Scripting File-Inclusion-Schwachstelle Neue Schwachstellen Blind-SQL-Injection Logische Fehler
94 Normale SQL-Injection SELECT author,title,isbn,publisher FROM books WHERE title LIKE '%Begriff%' ' UNION SELECT SELECT null,null,password,username name,creditcardno,null,null FROM cirobank.users-- customers-- /search.asp?query=' UNION SQL-Abfrage Internet Firewall Web-Server Firewall DB-Server Angreifer Antwortseite Ergebnis der Abfrage
95 Normale SQL-Injection
96 Blind-SQL-Injection Obwohl eine Anwendung für SQL-Injection anfällig ist, wird oftmals das Ergebnis nicht direkt in der Antwortseite angezeigt werden Fehlermeldungen häufig unterdrückt Somit können Daten nicht über die Anwendungslogik oder Fehlermeldungen gewonnen werden Die Schwachstelle kann aber blind ausgenutzt werden
97 Blind-SQL-Injection Blindes Finden von SQL-Injection- Schwachstellen Idee: Einschleusen einer wahren (TRUE) und einer unwahren (FALSE) Aussage Die Antworten unterscheiden sich jeweils
98 Blind-SQL- Injection Demonstration - manuell
99 Blind-SQL-Injection Blindes Ausnutzen von SQL-Injection- Schwachstellen Ziel: Systematisches Erraten des aktuellen Datenbankbenutzers minizon Idee: Den Namen Buchstabe für Buchstabe erraten
100 Blind-SQL-Injection unwahre Aussagen: ' SUBSTR((SELECT user FROM dual),1,1)='a';-- ' SUBSTR((SELECT user FROM dual),1,1)='b';-- ' SUBSTR((SELECT user FROM dual),1,1)='c';-- so lange bis wahre Aussage: ' SUBSTR((SELECT user FROM dual),1,1)='m';--
101 Blind-SQL-Injection Iteration über alle Stellen ' and SUBSTR((SELECT user FROM dual),1,1)='m';-- ' and SUBSTR((SELECT user FROM dual),2,1)='i';-- ' and SUBSTR((SELECT user FROM dual),3,1)='n';-- ' and SUBSTR((SELECT user FROM dual),4,1)='i';-- ' and SUBSTR((SELECT user FROM dual),5,1)='z';-- ' and SUBSTR((SELECT user FROM dual),6,1)='o';-- ' and SUBSTR((SELECT user FROM dual),7,1)='n';--
102 Blind-SQL- Injection Demonstration
103 Logischer Fehler Anwendungsparameter bestimmt Kontext, in dem Anwendung verwendet wird Nach Anmeldung an Anwendung: cid ist Base64 codiert: dxnlcl9pzd0y Base64_decode() user_id=2 Manipulation des Parameters: user_id=1 Base64_encode() dxnlcl9pzd0x
104 Logischer Fehler Demonstration
105 Live-Demos Konfiguration einer Web Application Firewall
106 Danke für Ihre Aufmerksamkeit!
Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische
MehrHÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014
HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrOpenWAF Web Application Firewall
OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang
MehrDatenbank-basierte Webserver
Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrISA Server 2004 Einzelner Netzwerkadapater
Seite 1 von 8 ISA Server 2004 - Konfiguration mit nur einer Netzwerkkarte Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 In diesem Artikel wird auf die Konfiguration von
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrDatenbank-Verschlüsselung mit DbDefence und Webanwendungen.
Datenbank-Verschlüsselung mit DbDefence und Webanwendungen. In diesem Artikel werden wir Ihnen zeigen, wie Sie eine Datenbank verschlüsseln können, um den Zugriff einzuschränken, aber trotzdem noch eine
MehrWas eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009
Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrEine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren
Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren patrick.hof@redteam-pentesting.de http://www.redteam-pentesting.de netzwerk recherche 01./02.
MehrStuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München
Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding
MehrSZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht
SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:
MehrUni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)
Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen
MehrSICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.
SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung
MehrESB - Elektronischer Service Bericht
Desk Software & Consulting GmbH ESB - Elektronischer Service Bericht Dokumentation des elektronischen Serviceberichts Matthias Hoffmann 25.04.2012 DESK Software und Consulting GmbH Im Heerfeld 2-4 35713
MehrKonfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung
Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung Inhalt 1. Einleitung:... 2 2. Igel ThinClient Linux OS und Zugriff aus dem LAN... 3
MehrErste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?
Erste Hilfe «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Cache Einstellungen Im Internet Explorer von Microsoft wie auch in anderen Browsern (zum Beispiel Firefox) gibt
MehrSecure Programming vs. Secure Development
Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrHow-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003
MehrSecurity Breakfast: Secure Hosting -
Security Breakfast: Secure Hosting - was heißt das in der Praxis? Veranstaltung 11. Juni 2010 Pallas GmbH Referent Ulrich Gärtner Leiter Vertrieb Pallas GmbH Hermülheimer Straße 10 50321 Brühl information(at)pallas.de
MehrWorum geht es in diesem Projekt?
Worum geht es in diesem Projekt? In dem Aktuellen SocialMedia Umfeld wird es immer schwieriger der Informationsflut und Schnittstellen Basis Herr zu werden und alle Schnittstellenprozesse im Überblick
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
Mehritsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com
itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der
MehrTELEMETRIE EINER ANWENDUNG
TELEMETRIE EINER ANWENDUNG VISUAL STUDIO APPLICATION INSIGHTS BORIS WEHRLE TELEMETRIE 2 TELEMETRIE WELCHE ZIELE WERDEN VERFOLGT? Erkennen von Zusammenhängen Vorausschauendes Erkennen von Problemen um rechtzeitig
MehrHandbuch für die DailyDeal Entwertungs-App
Ein Handbuch für die DailyDeal Entwertungs-App Seite Inhalt I. Vorstellung der App im Überblick Was ist die DailyDeal Partnerapp?...3 Voraussetzungen für die Nutzung der App 4 II. Nutzung der App Die Willkommens-Seite..5
MehrGeorg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.
Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck
Mehrsecunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.
secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.com Übersicht Aktuelle Angriffe auf Web-Anwendungen Grenzen heutiger Schutzstrategien
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrForefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung
Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und
MehrTimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München
Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar
MehrWebapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum
Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
MehrFORGE2015 HDC Session 4. Nachhaltige Infrastruktur als technologische Herausforderung. Tibor Kálmán Tim Hasler Sven Bingert
FORGE2015 HDC Session 4 Nachhaltige Infrastruktur als technologische Herausforderung Tibor Kálmán Tim Hasler Sven Bingert Diskussionsgrundlage: Liste der Infrastrukturprobleme Wir unterscheiden gute (leicht
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
Mehrpro4controlling - Whitepaper [DEU] Whitepaper zur CfMD-Lösung pro4controlling Seite 1 von 9
Whitepaper zur CfMD-Lösung pro4controlling Seite 1 von 9 1 Allgemeine Beschreibung "Was war geplant, wo stehen Sie jetzt und wie könnte es noch werden?" Das sind die typischen Fragen, mit denen viele Unternehmer
MehrInstallationsbeschreibung Import / ATLAS / PV Zollsystem für die EDV-Abteilung
Seite 1/11 Installationsbeschreibung Import / ATLAS / PV Zollsystem für die EDV-Abteilung 1. WICHTIGE HINWEISE Anbei erhalten Sie das Import /PV ATLAS NCTS Update Version V8.4.1 Build: 404, welches Sie
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrHTBVIEWER INBETRIEBNAHME
HTBVIEWER INBETRIEBNAHME Vorbereitungen und Systemvoraussetzungen... 1 Systemvoraussetzungen... 1 Betriebssystem... 1 Vorbereitungen... 1 Installation und Inbetriebnahme... 1 Installation... 1 Assistenten
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrSZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit
SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID
MehrFacebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten
Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten Seit Anfang Juni 2012 hat Facebook die Static FBML Reiter deaktiviert, so wird es relativ schwierig für Firmenseiten eigene Impressumsreiter
MehrPraktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe
Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2
MehrMobile ERP Business Suite
Greifen Sie mit Ihrem ipad oder iphone jederzeit und von überall auf Ihr SAP ERP System zu. Haben Sie Up-To-Date Informationen stets verfügbar. Beschleunigen Sie Abläufe und verkürzen Sie Reaktionszeiten
MehrAnwenderleitfaden Citrix. Stand Februar 2008
Anwenderleitfaden Citrix Stand Februar 2008 Inhalt 1. Ansprechpartner...3 2. Einführung...4 3. Citrix-Standard-Anwendungen...5 4. Sperrung der Citrix-Session durch falsche Anmeldung...5 5. Unterbrechung
MehrÜbersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software
FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi
MehrMSDE 2000 mit Service Pack 3a
MSDE 2000 mit Service Pack 3a Neues MSDE im WINLine-Setup: Seit der WINLine 8.2 Build 972 wird auf der WINLine-CD ein neues Setup der Microsoft MSDE mit ausgeliefert. Mit dieser neuen Version MSDE 2000
MehrSoftwaretechnische Anforderungen zu Opale bluepearl Version 1.0 vom 23.05.2013
Sehr geehrte Kundin, Sehr geehrter Kunden. Sie werden demnächst die neue Version Opale bluepearl einsetzen. Damit Sie bestmöglich von der 3ten Generation der Opale-Lösungen profitieren können, ist es an
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten
MehrPowermanager Server- Client- Installation
Client A Server Client B Die Server- Client- Funktion ermöglicht es ein zentrales Powermanager Projekt von verschiedenen Client Rechnern aus zu bedienen. 1.0 Benötigte Voraussetzungen 1.1 Sowohl am Server
MehrMSSQL Server Fragen GridVis
MSSQL Server Fragen GridVis 1.0 Server allgemein Frage 1.1 Welche Sprache benötigt die Software bzgl. Betriebssystem/SQL Server (deutsch/englisch)? 1.2 Welche MS SQL Server-Edition wird mindestens benötigt
MehrZugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:
Anleitung zur Installation der Exchange Mail Lösung auf Android 2.3.5 Voraussetzung für die Einrichtung ist ein vorliegender Passwortbrief. Wenn in der folgenden Anleitung vom Extranet gesprochen wird
MehrProtect 7 Anti-Malware Service. Dokumentation
Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der
MehrAngreifbarkeit von Webapplikationen
Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise
ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2
MehrEinrichten des IIS für VDF WebApp. Einrichten des IIS (Internet Information Server) zur Verwendung von Visual DataFlex Web Applications
Einrichten des IIS (Internet Information Server) zur Verwendung von Visual DataFlex Web Applications Windows 8 Systemsteuerung > Programme > Windows Features aktivieren / deaktivieren > Im Verzeichnisbaum
MehrBetroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite
Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY
MehrRoot-Server für anspruchsvolle Lösungen
Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig
MehrEndpoint Web Control Übersichtsanleitung
Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos UTM (Version 9.2 oder höher) Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2013 Inhalt 1 Endpoint Web
MehrTechnische Grundlagen von Internetzugängen
Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung
MehrKontrollfragen Firewalltypen
Kontrollfragen Firewalltypen Paketlter Die vier Grundaktionen des Paketlters Ein Paketfilter repräsentiert das Urgestein der Firewallthematik. Er arbeitet mit so genannten Regelketten, welche sequentiell
MehrIntrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit
Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen
Mehr4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen
Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was
MehrFragen zur GridVis MSSQL-Server
Fragen zur GridVis MSSQL-Server Frage Anmerkung 1.0 Server allgemein 1.1 Welche Sprache benötigt die Software bzgl. Betriebssystem/SQL Server (deutsch/englisch)? 1.2 Welche MS SQL Server-Edition wird mindestens
Mehr4D Server v12 64-bit Version BETA VERSION
4D Server v12 64-bit Version BETA VERSION 4D Server v12 unterstützt jetzt das Windows 64-bit Betriebssystem. Hauptvorteil der 64-bit Technologie ist die rundum verbesserte Performance der Anwendungen und
MehrDiese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.
Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343. Benutzte Hardware: Router DGL-4100 mit der IP Adresse 192.168.0.1 Rechner mit Betriebssystem Windows Server 2000 und Active
MehrAuthentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL
Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
Mehr:: Anleitung Hosting Server 1cloud.ch ::
:: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Hosting Server
MehrHeartbleed beats hard
Heartbleed beats hard Geschichten aus 1000 und einem Netzwerk 07.05.2014 Heartbleed beats hard 1 Curesec GmbH Technische IT-Security Security Audits Tiger Team Audits Mobile Phone Untersuchung (Android/iOS)
MehrBaustein Webanwendungen. Stephan Klein, Jan Seebens
Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische
MehrBenutzerbezogene Visualisierung zur Darstellung von Risiken und Angriffen - und nun? Achim Kraus Senior Consultant Palo Alto Networks Inc.
Benutzerbezogene Visualisierung zur Darstellung von Risiken und Angriffen - und nun? Achim Kraus Senior Consultant Palo Alto Networks Inc. Agenda Leistungsfähige und umfassende Erhebung und Visualisierung
MehrWeb Applications Vulnerabilities
Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt
MehrVersion 2.0.2 Deutsch 09.02.2015. In diesem HOWTO wird beschrieben wie Sie Ihr vorhandenes PMS-System mit der IAC-BOX verbinden und konfigurieren.
Version 2.0.2 Deutsch 09.02.2015 In diesem HOWTO wird beschrieben wie Sie Ihr vorhandenes PMS-System mit der IAC-BOX verbinden und konfigurieren. Inhaltsverzeichnis... 1 1. Hinweise... 2 2. Konfiguration...
MehrLexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver
Eine Firewall für Lexware professional oder premium konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Die Firewall von Windows 7 und Windows 2008 Server... 2 4. Die Firewall
MehrDestructive AJAX. Stefan Proksch Christoph Kirchmayr
Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell
MehrMOC 20486 - Entwicklung von ASP.NET MVC 4 Webapplikationen
MOC 20486 - Entwicklung von ASP.NET MVC 4 Webapplikationen Kompakt-Intensiv-Training Diese Schulung bereitet Sie optimal auf die MOC-Zertifzierung vor. Zu Beginn der Schulung erhalten Sie einen Überblick
MehrSDD System Design Document
SDD Software Konstruktion WS01/02 Gruppe 4 1. Einleitung Das vorliegende Dokument richtet sich vor allem an die Entwickler, aber auch an den Kunden, der das enstehende System verwenden wird. Es soll einen
Mehr