Web Application Firewalls (WAF)

Größe: px
Ab Seite anzeigen:

Download "Web Application Firewalls (WAF)"

Transkript

1 Web Application Firewalls (WAF) Steffen Tröscher cirosec GmbH

2 Über mich Steffen Tröscher Seit 6 Jahren IT-Sicherheitsberater Schwerpunkte Sicherheitsüberprüfungen, Pen-Testing Coding Guidelines, Härtungsanweisungen, Konzeptionelle Analysen Trainer der Schulungen HE-Extrem Classic & Web

3 cirosec GmbH Beratungsunternehmen in Heilbronn derzeit 26 Mitarbeiter Fokus auf innovative IT-Sicherheit: Penetrationstests, Audits Schulungen konzeptionelle Analyse.. Angebot an Studenten: Durchführung Praktikum oder Thesis

4 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

5 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

6 Schwachstellen - OWASP Top 10 A1 A2 Injection Cross Site Scripting A3 Broken Authentication & Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration A7 Failure to Restrict URL Access A8 Unvalidated Redirects and Forwards A9 Insecure Cryptographic Storage A10 Insufficient Transport Layer Protection

7 Sicherheit auf höheren Ebenen Neuen Gefahren kann nicht mit alten Technologien begegnet werden Bekämpfung der Ursachen Sichere Entwicklung Sichere Architektur Sicherer Betrieb Regelmäßige Prüfungen Bekämpfung der Auswirkungen Neue Technologien und Produkte

8 1. Bekämpfung der Ursachen

9 Bekämpfung der Ursachen Sicheres Programmieren Codierungsrichtlinien Toolgestützt durch Quellcode-Scanner Prüfung der Sicherheit Penetrationstests Toolgestützt durch Applikations-Scanner

10 Sicheres Programmieren

11 Codierungsrichtlinien für sichere Entwicklung Meist umfangreiche Werke Sollten mit den Entwicklern gemeinsam erarbeitet werden Sensibilisierung ist hier sehr wichtig z.b. Training + Workshop Unterstützung durch Werkzeuge bei der Entwicklung Quellcode-Scanner mit guter Erklärungskomponente

12 Beispiel-Themen für Richtlinien Grundlagen, Vertrauen, Server vs. Client Prüfung von Eingaben Bereinigung von Ausgaben Session-Management Umgang mit sensiblen Informationen Verhalten bei Fehlern Einsatz von Verschlüsselung Zugriff auf Datenbanken Administrationspfade

13 Sichere Programmierung ist keine vollständige Lösung Begrenzter Einfluss durch Ausführung von Fremdcode Plattformen, Portale und Backendsysteme Einbindung Programm-Bibliotheken Menschliches Fehlerpotential Die Programmierung von Filtern zur Überprüfung von Benutzereingaben ist sehr komplex und erfordert tiefes KnowHow

14 Prüfung der Sicherheit

15 Auditierung von Applikationen Während der Entwicklung Prüfwerkzeuge innerhalb Entwicklungsumgebung Fokus auf Quellcode Unterstützung für den Entwickler statt Audit Je früher umso geringere Kosten Während der QA bzw. Testphase Sicherheit ist ein Teil der Qualität Sicherheits-Tests zusammen mit den funktionalen Tests durchführen Vor Produktivgang oder im Betrieb Durch Sicherheitsexperten

16 Marktüberblick Web Scanner Sanctum AppScan Verkauf Watchfire Verkauf IBM Kavado ScanDo Verkauf Protegrity SPI-Dynamics WebInspect Verkauf HP Cenzic Hailstorm -> Hailstorm Web -> Hailstorm NT Objectives NTO Spider Acunetix Acunetix WVS

17 2. Bekämpfung der Auswirkungen

18 Bekämpfung der Auswirkungen Warum reicht Ursachenbekämpfung alleine nicht aus? Bereits genannt Fremdcode Menschliches Fehlerpotential Zusätzlich Minimierung des Windows of Exploitation Patchen zu kostenintensiv Security Principal: Defense in depth

19 Fremdcode

20 Fremdcode MyApp LoC BEA WebLogic* >10M LoC * estimate, based on line counts in JBoss, a competing open-source J2EE application server

21 Fremdcode MyApp LoC BEA WebLogic* >10M LoC

22 Fremdcode MyApp LoC BEA WebLogic* >10M LoC

23 Menschliches Fehlerpotential

24 Menschliches Fehlerpotential Hohe Komplexität der Umgebungen führen zu Schwachstellen Fehler sind trotz Schulungen, Richtlinien oder motivierten Mitarbeitern normal Beispiel: Input-Validierungs-Filter 1. Filter: Anti-Directory-Traversal: Der String../ wird aus allen Parametern entfernt 2. Filter: Anti-Cross-Site-Scripting: Malicious characters wie > oder < werden durch "." ersetzt Frage? In welcher Reihenfolge greifen die Filter? ;) Angriffsstring: >>/>>/>>/>>/

25 Minimierung des Windows of Exploitation

26 Window of Exploitation Wunschdenken : Bei Pentest wird Schwachstelle entdeckt Diese wird sofort durch Entwickler gepatcht Neue Version wird produktiv genommen Realität: Bei Pentest wird Schwachstelle entdeckt Schwachstellen wird in Bug-Tracking-System erfasst Entwickler brauchen mehrere Tage für eine Lösung Neue Version muss durch den Q&A Prozess Es vergehen mehrere Tage bis Wochen bis die Schwachstelle gepatcht ist

27 Security Principal: Defense in depth

28 Defense in depth Security Principal Defense in depth : Implementiere Sicherheit in allen möglichen Schichten (Netzwerk, Anwendung, Webserver, Datenbank, Betriebssysteme, ). Falls die Sicherheit in einer Schicht versagt, greifen die Mechanismen der anderen Schichten Analogie: Netzwerkbasierte Firewall gehärtetes DMZ System Web Applikation Firewall sichere Web Applikation

29 Positionierung von Sicherheitslösungen

30 Produkte für Sicherheit bei E-Business und Web-Services Browser Browser- Sicherheit HTTP- Filter Web- Server Host IPS / TOS / SOS Proxies für SQL, XML, Soap, Corba App. / DB Internet LAN

31 Produkte für Sicherheit bei E-Business und Web-Services Quaresso Promon F5 (Magnifire) Citrix (Teros) Barracuda (NC) DenyAll, AppSec Inc, Guardium Browser Browser- Sicherheit HTTP- Filter Web- Server Host IPS / TOS / SOS Proxies für SQL, XML, Soap, Corba App. / DB Internet Symantec (Platform) McAffee (Entercept) Cisco CSA (Okena) Argus, eeye, LAN

32 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

33 Schutzfunktionen einer WAF Vor bekannten Angriffen über Signaturen PHP-Würmer, Exploits, Vor unbekannten Angriffen über generische Mustererkennung (Zero Day Protection) SQL Injection, XSS, Buffer Overflows, Gezielte Konfiguration zur Absicherung bekannt gewordener Schwachstellen Falls Anpassung des Systems nicht möglich Kein Feedback/Support des Herstellers

34 Grenzen einer WAF Erkennung von Logikfehlern Z.B. falsch implementiertes Berechtigungsmodell Fehlerhafte Implementierung von Sicherheit auf Client Seite Z.B. Berechtigungsmodell wird in JavaScript geprüft Ausnutzung von Browserschwachstellen Z.B. Clickjacking

35 Funktionsweise einer WAF Erzwingt konformes HTTP (RFCs) Normalisierung d5opx;ðóge]ì ³óâ= [Zܾç Ù Vð ' <½ #Ôm]ëæoª5Zòˆ!0^Ý kê ØmtÈ œìn k»a êü Ýë;u ³7JMµ4[ø Èò¾ø má¼ %2E%2E%2Fpartners%2Fe %2F%7Efinance%2Frec%2F %2Fhomepage%2Findex%2 /partners/ /finance/rec/ /homepage/index/ SSL entschlüsseln Sonderzeichen wandeln

36 Funktionsweise einer WAF Betrachtungsebene WAF arbeitet auf Ebene HTTP/HTML Im Kontext der Applikation Wichtige Abgrenzung zu IDS/IPS! Extrahieren von URLs Extrahieren von Parametern Für GET und POST-Parameter Cookies sind z.b. Sonderform der POST- Parameter Anwendung von White- und Blacklisting Ausgabefilterung

37 Kontrolle von Parametern Whitelisting Beschreibung gültiger Wertebereiche Blacklisting Anwendung von Signaturen und Mustererkennung Schutz von Session Daten und kontextabhängigen Daten Individuell je Parameter konfigurierbar Ggf. Ausnahmen für einzelne Prüfungen bei bestimmten Parametern (bei False Positives)

38 Kontrolle von URLs Zugriff wird nur auf URLs gestattet, die zur Applikation gehören Duck.htm Pluto.htm Repl.cfg fbck.php fbck.php.bak Tassen Teller Besteck /CGI /Admin /Produkte /Services /Old Home

39 Ein Ansatz: Whitelisting Beschreibung gültiger Wertebereiche für alle Eingaben (URLs und Parameter) Höchste Sicherheit Nicht immer bis ins letzte Detail umsetzbar Erstellung der Whitelist manuell oder über Lernmodus

40 Whitelisting: Regelbasierte Policy Typischerweise Definition gültiger Dateiendungen und Datentypen je Bereich Gezielte Vorgabe von erlaubten Zeichen / Längen für spezifische Parameter Nur für wenige, kritische Parameter Bei bekannten Schwachstellen

41 Whitelisting: Regelbasierte Policy Gültige URLs und Parameter werden über Wildcards oder reguläre Ausdrücke beschrieben Einfaches Beispiel: zugelassen sind *.html, *.gif und *.css alle Parameter maximal 256 Zeichen plus Prüfung gegen Blacklisten plus einzelne Ausnahmen

42 Whitelisting: Regelbasierte Policy Gültige URLs und Parameter werden über Wildcards oder reguläre Ausdrücke beschrieben Einfaches Beispiel: zugelassen sind *.html, *.gif und *.css alle Parameter maximal 256 Zeichen plus Prüfung gegen Blacklisten plus einzelne Ausnahmen

43 Whitelisting: Regelbasierte Policy Policy-Grundsätze können vorgegeben werden (z.b. durch IT-Security) Flexibel bei Änderungen der Applikation Kompakt und nachvollziehbar (wichtig bei Reviews)

44 Whitelisting: Statisches Lernen WAF erstellt einmalig Policy aus gültigen URLs und Parametern Lernen mittels Live Traffic Trusted IP Crawler Ausnahmen für Blacklists werden gelernt Nach Beendigung des Lernens wird Policy scharf geschaltet

45 Whitelisting: Statisches Lernen Ergibt sehr genaue Beschreibung der Applikationsstruktur Gutes Ergebnis für Applikationen mit statischem Inhalt und definierten Release- Zyklen (z.b. Online Banking, SAP) Einzige Möglichkeit, um z.b. auch SAP WAS URL-Prefix Services zu begrenzen Lernphase erfordert vollständiges Testen Kaum einsetzbar bei Applikationen mit häufigen Änderungen (z.b. per CMS generierte Website)

46 Dynamische Statusverfolgung ( dynamisches Lernen ) Zur Laufzeit Analyse des HTML-Quelltextes und Extrahieren von gültigen Hyperlinks ( A HREF ) gültige Formularauswahlen (Check Boxen, Radio Buttons Session Informationen (Hidden Fields, Cookies) Findet je Benutzer statt! Speicherung der gelernten Informationen im RAM der WAF oder in verschlüsseltem Cookie

47 Dynamische Statusverfolgung Verfolgen jeder einzelnen Benutzersession Analyse der abgefragten HTML-Seiten Extraktion aller möglichen Links Session 1357 Links: /products/index.html /services/index.html /cgi/feedback.pl Session /services/s1.html 1357 Links: /products/index.html /services/s2.html /services/index.html /services/xy.html /cgi/feedback.pl GET / GET / Startseite: Seite: /services/index.html /start.html Startseite: /start.html Cookie: Session Seite: /services/index.html GET /services/index.html /msadc/msadcs.dll GET /services/index.html Anwender WAF Webserver

48 Verschlüsseln von URLs Verfolgen jeder einzelnen Benutzersession Analyse der abgefragten HTML-Seiten Verschlüsseln der enthaltenen Links Session 1357 Links: /products/index.html /services/index.html Session 1357 encrypted /cgi/feedback.pl Links: /1f2caa0842ef2288 /32db48fc2c32becd /44bce4862a4f3280 GET / GET / Startseite: Seite: /1f2caa0842ef2288 /start.html Startseite: /start.html Cookie: Cookie: Session Session Seite: /services/index.html GET /msadc/msadcs.dll /1f2caa0842ef2288 GET /services/index.html Anwender WAF Webserver

49 Randbedingungen zu dynamischer Statusvervolgung bzw. URL-Verschlüsselung Bookmarks und Suchmaschinenergebnisse sind nicht mehr gültig empfehlenswert für geschlossene Bereiche mit Login-Seite (z.b. Online Banking) Navigation sollte nicht auf Client-Seite realisiert sein (z.b. JavaScript, Ajax) In der Praxis daher oft kombiniert mit statischer Konfiguration

50 Whitelisting mit dynamischer Statusverfolgung Wo ist der sinnvollste Anwendungsfall? Bei einfachen Applikationen (selten) In kleinen Teilbereichen bei komplexen Applikationen Einsatz gegen bekannte Schwachstellen Schutz vor CSRF bei besonders kritischen oder verwundbaren Teilen, z.b. ungefilterter Download aus Auswahlliste Genereller Einsatz in der Praxis kaum durchführbar

51 Adpative Policyanpassung Anstelle eines einmaligen Lernprozesses steht kontinuierliches Lernen Policy wird ständig automatisch aktualisiert z.b. auch bei Änderungen in der Webanwendung Minimaler Betriebsaufwand Allerdings erschwerte Umsetzung in klassischen Staging-Umgebung Adaptiver Prozess funktioniert nur im produktiven Datenverkehr sinnvoll In der Testumgebung können keine Anpassungen gelernt werden (Daten nicht aussagekräftig)

52 Whitelisting: Flows Verfolgung des Benutzers auf seinem Weg durch die Applikation Einsatz für kritische Bereiche Genereller Einsatz zu komplex Falscher Parameter! Seite A Seite B Seite C

53 Zusätzlicher Ansatz: Blacklisting (Angriffsmuster) vom Hersteller gepflegt/aktualisiert offengelegt oder proprietär editier- und erweiterbar Korrelation mehrerer Events ( Scoring )

54 Blacklisting (Angriffsmuster) Sind oft generisch, d.h. viele neue Angriffe werden ohne Aktualisierung erkannt Beispiel: Aktualisierung der SQL-Injection Blacklist nur bei Änderung des SQL-Standards Aktualisierung bei neuen Angriffsklassen Von zentraler Management Instanz automatisch manuell mit Staging/Approval Prozess

55 Blacklisting: Fehlerbehandlung Log Analyse Interner Logviewer hilfreich Filterfunktionen Eindeutige Error Tracking IDs Möglichkeit zu One Click Refinements

56 Whitelist und Blacklist im Vergleich Schutz Whitelist Blacklist Konfigurationsaufwand

57 Whitelist und Blacklist im Vergleich Fazit: Whitelisting bietet höchstmöglichen Schutz, ist aber sehr aufwändig zu konfigurieren In der Praxis solider Basisschutz aus: Blacklisting Generisches Whitelisting Ggf. Ergänzung durch spezifisches Whitelisting über dynamische Statusverfolgung oder Flows in kritischen Bereichen

58 Filtern von Status- und Fehlerseiten Server-Banner Fehlerseiten von Applikations- oder Datenbankservern

59 Filterung sensitiver Daten z.b. Kreditkartendaten Hyperlinks zu Administrationsoberflächen oder internen Modulen (falls Applikation keine Konfiguration zulässt) Beliebige Content-Umschreibung

60 Schutz von Cookies Cookies werden verschlüsselt Set-Cookie: CartNr bd53fa224c Set-Cookie: CartNr Cookie: CartNr 128 WAF

61 Denial Of Service Bandbreitenlimitierung für einzelne URLs Beispiel 1: normal erreichbar limitierte Request-Anzahl pro Sekunde limitierte Bandbreite Beispiel 2: Ein einzelner User kann nur eine begrenzte Anzahl an Requests/Sekunde anfordern Performance für die Allgemeinheit ist aber unbeeinflusst

62 Denial Of Service Bandbreitenlimitierung für einzelne URLs Beispiel 1: normal erreichbar limitierte Request-Anzahl pro Sekunde limitierte Bandbreite Beispiel 2: Ein einzelner User kann nur eine begrenzte Anzahl an Requests/Sekunde anfordern Performance für die Allgemeinheit ist aber unbeeinflusst

63 Aktivierung der Security Policy Passiver Modus Anwendung der Security Policy Logging von Sicherheitsvorfällen Aber kein aktives Blockieren Ideal für die ersten Stunden/Tage der Inbetriebnahme Eventuelle False Positives sind kein Problem Besonders wichtig, wenn produktive Anwendung nachträglich mit WAF-Schutz versehen wird

64 Praktische Aspekte beim WAF-Einsatz Bisheriger Deployment-Prozess muß angepasst werden Tests mit vorgeschaltener WAF Kommunikation zwischen Anwendungsentwicklung und WAF-Betrieb erforderlich Deployment zunächst in Testumgebung Dort Policy-Erstellung / -Anpassung Kopieren der fertigen Policy auf das Produktivsystem Testsystem einplanen

65 Trends in der WAF-Technologie Die WAF-Produkte nähern sich an Funktionalitäten werden abgeschaut Kombination mit Funktionalitäten der Application Delivery Loadbalancing Authentication/Authorization Caching Compression TCP Optimization SSL Offloading SSL VPN

66 Trends in der WAF-Technologie Meist Hardware Appliance Seltener Software Lösung oder Soft Appliance Integration als Reverse Proxy Sehr selten im Bridge Mode Ablösung heterogener Reverse Proxy Strukturen

67 Schutzwirkung Alle nachfolgend erwähnten Produkte bieten hohen Schutz gegen die genannten Angriffe Keine schlechten oder guten WAFs im Sinne der Schutzwirkung Aber unterschiedliche Philosophien und Ansätze, die indirekt Einfluss auf die Sicherheit haben

68 percentage Schutzwirkung Beispiel: Erkennung von XSS-Angriffen Blocked XSS-Pattern mod_security Barracuda F5 Imperva Visonys WAF Quelle der Angriffsmuster:

69 Und die Performance? Wieviele Backendserver schützen Sie? Alle Hersteller bieten Modelle unterschiedlicher Leistungsklasse bis über transactions/second (!) Gigabit Durchsatz SSL-Beschleuniger (auch mit HSM) Performance ist selten ein Problem!

70 Integration als Reverse Proxy Single Homed Webserver WAF Internet LAN

71 Integration als Reverse Proxy Dual Homed Webserver WAF Internet LAN

72 Integration als Reverse Proxy Dual Homed typisch in neu aufgebauter Umgebung ansonsten Netzwerk-Reorganisation erforderlich sehr hohe Sicherheit Single Homed typisch in vorhandener Umgebung Integration durch DNS-Änderung oder Einsatz von NAT Nicht-HTTP Datenverkehr fließt am System vorbei

73 Integration als Reverse Proxy Randbedingungen IP des Benutzers auf dem Webserver nicht mehr sichtbar Weiterleitung als Header Access Logs direkt auf der WAF generieren Transparent Proxy (WAF muss Default-Gateway sein) Absolute Links dürfen nicht auf Backend- Systeme zeigen Umschreibung von Links über die WAF (URL-Rewriting)

74 Integration als Bridge Keine TCP-Terminierung Transparente Bridge Applikations-IPS, Layer2-WAF HTTP/S-Verbindung Benutzer WAF Webserver

75 Integration als Bridge Keinerlei IP-, Netzwerk oder DNS-Änderungen erforderlich Daten werden nicht verändert (keine TCP- Terminierung) Nicht inspizierter Traffic passiert ungehindert Einfaches Deployment und Rollback Je nach Topologie mehrere WAF-Module erforderlich Keine Zusatzfunktionen, die den Content beeinflussen (Rewriting, Loadbalancing, Compression, )

76 SSL-Terminierung Filterung nur unverschlüsselt möglich SSL-Terminierung bei Reverse Proxy Transparente SSL-Analyse bei Bridge SSL-Schlüssel und Zertifikate müssen unverschlüsselt vorliegen (Base64 codiert) Bei Einsatz eines Hardware Security Modules (HSM) muss dieses von der WAF unterstützt werden

77 Hardware Security Module (HSM) Entkopplung der SSL-Behandlung von Webserver, Reverse Proxy oder WAF Besonders gesicherte Appliances Zugang nur mit starker Authentisierung oder sogar Vier-Augen-Prinzip Sichere Speicherung von SSL-Keys Key verlässt nie das HSM Sichere und effiziente Ausführung von kryptographischen Operationen SSL-Beschleunigung

78 Weitere Protokolle SOAP / XML im B2B-Umfeld Viele Angriffe gegen Webapplikationen existieren auch bei Webservices Für die WAF SOAP/XML zunächst nur normaler HTTP-Request Spezielle Module, die XML oder SOAP analysieren Alternativ native XML-Firewalls Wichtige Unterscheidung: Fokus bei WAF auf Applikationssicherheit, nicht Sicherheit durch XML-Authentisierung, SAML oder Authorisierung

79 Abgrenzung WAF gg. XML-Firewall XML-Firewalls bieten klassische Sicherheit: Verschlüsselung Authentisierung/Authorisierung WS-Security 1.0/1.1 SAML AAA XSLT-Transformationen Oft aber nur rudimentärer Schutz gegenüber Angriffen auf XML-Ebene

80 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

81 Marktentwicklung Sanctum Magnifire Verkauf Verkauf Watchfire F5 NetContinuum Seclutions Visonys Verkauf Barracuda Verkauf Phion Stratum 8 Teros KaVaDo Verkauf Verkauf Citrix Protegrity WebCohort Imperva DenyAll Reactivity Verkauf Breach / ModSecurity Cisco Art Of Defence Verkauf

82 Hersteller und Produkte (alphabetisch) Barracuda Web Application Firewall Cisco ACE Web Application Firewall Citrix Application Firewall DenyAll rweb F5 ASM Imperva SecureSphere Phion Airlock Protegrity Defiance TMS

83 Gliederung Warum WAFs? Funktionsweise von WAFs Marktübersicht Live-Demos: Vorstellung exemplarischer Schwachstellen Konfiguration einer Web Application Firewall

84 Live-Demos Vorstellung exemplarischer Schwachstellen

85 Gliederung Vorstellung exemplarischer Schwachstellen Theorie und Live Demonstrationen Alte Bekannte Cross-Site-Scripting File-Inclusion-Schwachstelle Neue Schwachstellen Blind-SQL-Injection Logische Fehler

86 Gliederung Vorstellung exemplarischer Schwachstellen Theorie und Live Demonstrationen Alte Bekannte Cross-Site-Scripting File-Inclusion-Schwachstelle Neue Schwachstellen Blind-SQL-Injection Logische Fehler

87 Cross-Site Scripting (XSS) Ausführung von bösartigem Code innerhalb des Browser des Opfers Opfer ist immer der Client(-Browser) Die eigentliche Schwachstelle liegt jedoch innerhalb der Webanwendung

88 Cross-Site Scripting (XSS) Nicht Persistentes Cross-Site Scripting 5) Ausführung des Schadcodes im Browser 6) Cookie an Angreifer 1) HTML-Mail mit Link Opfer 4) Übermittlung des Schadcodes 2) Aufruf des präparierten Links Angreifer 3) Verarbeitung des präparierten Links Webanwendung mit XSS Schwachstelle

89 Cross-Site Scripting (XSS) Demonstration

90 File-Inclusion-Schwachstelle File-Inclusion durch die Applikationslogik Beispiel: Gedachte Funktionalität: Manipulierte Funktionalität:

91 File-Inclusion-Schwachstelle File-Inclusion durch die Applikationslogik Beispiel: Gedachte Funktionalität: Manipulierte Funktionalität:

92 File-Inclusion- Schwachstelle Demonstration

93 Gliederung Vorstellung exemplarischer Schwachstellen Theorie und Live Demonstrationen Alte Bekannte Cross-Site-Scripting File-Inclusion-Schwachstelle Neue Schwachstellen Blind-SQL-Injection Logische Fehler

94 Normale SQL-Injection SELECT author,title,isbn,publisher FROM books WHERE title LIKE '%Begriff%' ' UNION SELECT SELECT null,null,password,username name,creditcardno,null,null FROM cirobank.users-- customers-- /search.asp?query=' UNION SQL-Abfrage Internet Firewall Web-Server Firewall DB-Server Angreifer Antwortseite Ergebnis der Abfrage

95 Normale SQL-Injection

96 Blind-SQL-Injection Obwohl eine Anwendung für SQL-Injection anfällig ist, wird oftmals das Ergebnis nicht direkt in der Antwortseite angezeigt werden Fehlermeldungen häufig unterdrückt Somit können Daten nicht über die Anwendungslogik oder Fehlermeldungen gewonnen werden Die Schwachstelle kann aber blind ausgenutzt werden

97 Blind-SQL-Injection Blindes Finden von SQL-Injection- Schwachstellen Idee: Einschleusen einer wahren (TRUE) und einer unwahren (FALSE) Aussage Die Antworten unterscheiden sich jeweils

98 Blind-SQL- Injection Demonstration - manuell

99 Blind-SQL-Injection Blindes Ausnutzen von SQL-Injection- Schwachstellen Ziel: Systematisches Erraten des aktuellen Datenbankbenutzers minizon Idee: Den Namen Buchstabe für Buchstabe erraten

100 Blind-SQL-Injection unwahre Aussagen: ' SUBSTR((SELECT user FROM dual),1,1)='a';-- ' SUBSTR((SELECT user FROM dual),1,1)='b';-- ' SUBSTR((SELECT user FROM dual),1,1)='c';-- so lange bis wahre Aussage: ' SUBSTR((SELECT user FROM dual),1,1)='m';--

101 Blind-SQL-Injection Iteration über alle Stellen ' and SUBSTR((SELECT user FROM dual),1,1)='m';-- ' and SUBSTR((SELECT user FROM dual),2,1)='i';-- ' and SUBSTR((SELECT user FROM dual),3,1)='n';-- ' and SUBSTR((SELECT user FROM dual),4,1)='i';-- ' and SUBSTR((SELECT user FROM dual),5,1)='z';-- ' and SUBSTR((SELECT user FROM dual),6,1)='o';-- ' and SUBSTR((SELECT user FROM dual),7,1)='n';--

102 Blind-SQL- Injection Demonstration

103 Logischer Fehler Anwendungsparameter bestimmt Kontext, in dem Anwendung verwendet wird Nach Anmeldung an Anwendung: cid ist Base64 codiert: dxnlcl9pzd0y Base64_decode() user_id=2 Manipulation des Parameters: user_id=1 Base64_encode() dxnlcl9pzd0x

104 Logischer Fehler Demonstration

105 Live-Demos Konfiguration einer Web Application Firewall

106 Danke für Ihre Aufmerksamkeit!

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen. Stefan Strobel cirosec GmbH Heilbronn

Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen. Stefan Strobel cirosec GmbH Heilbronn Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen Stefan Strobel cirosec GmbH Heilbronn Agenda Vorstellung Angriffsszenarien und Beispiele Zusammenfassung Wer ist cirosec? Eine kleine Firma

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen Sicherheit auf Anwendungsebene Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern

Mehr

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

SQL Injection Funktionsweise und Gegenmaßnahmen

SQL Injection Funktionsweise und Gegenmaßnahmen SQL Injection Funktionsweise und Gegenmaßnahmen EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005 Problematik SQL-Injection

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall!

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! IT-SeCX 12.11.2010 Version: 1.0 Autor: A. Kravitz / K. Bauer Verantwortlich: A. Kravitz Datum: 12.11.2010 Vertraulichkeitsstufe:

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Sebastian Kübeck Web-Sicherheit Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Einleitung................................................. 11 Teil I Grundlagen der Informationssicherheit......................

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Stefan Schlott @_skyr DIE OWASP TOP-10 Alpha und Omega der Security-Talks :-) TOP 10 VON 2013 1. Injection 2. Broken Authentication/Session Management

Mehr

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem:

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem: !! "!!##$ %& es gibt keine 100 %ige Sicherheit Fehler zu machen ist menschlich man muss es so gut wie möglich machen es ist GROB FAHRLÄSSIG es nicht einmal zu versuchen Ziel: Methoden entwickeln, die Sicherheit

Mehr

TKÜV mit SPONTS. Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ 2004 iku Systemhaus AG http://www.iku ag.

TKÜV mit SPONTS. Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ 2004 iku Systemhaus AG http://www.iku ag. TKÜV mit SPONTS Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ iku Systemhaus AG gegründet 1997 seit 2002 Aktiengesellschaft 10 Mitarbeiter Geschäftsfelder Linux

Mehr

Hacking Day 2011. Application Security Audit in Theorie und Praxis. Jan Alsenz & Robert Schneider. 2011 OneConsult GmbH www.oneconsult.

Hacking Day 2011. Application Security Audit in Theorie und Praxis. Jan Alsenz & Robert Schneider. 2011 OneConsult GmbH www.oneconsult. Hacking Day 2011 Application Security Audit in Theorie und Praxis Jan Alsenz & Robert Schneider 16. Juni 2011 Agenda Vorstellung Application Security Audit Optimaler Zeitpunkt Testansatz Schlussbericht

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Citrix NetScaler Seminar 2011

Citrix NetScaler Seminar 2011 Citrix NetScaler Seminar 2011 Natanael Mignon Consulting»Lounge Wer wir sind» Eine Marke der» 20 Jahre Erfahrung in Beratung und Unterstützung von Unternehmen» Über 50 Mitarbeiter für Deutschland und Mitteleuropa»

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

Sicherheit mobiler Apps. Andreas Kurtz

Sicherheit mobiler Apps. Andreas Kurtz Sicherheit mobiler Apps Andreas Kurtz Agenda OWASP Mobile Security Project OWASP TOP 10 Mobile Risks Beispiele und Erfahrungen aus der Praxis Fokus auf Defizite bei Authentisierung/Autorisierung Zusammenfassung

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09 AppSec Germany 2009 AppSec Germany 2009 Conference http://www.owasp.org/index.php/germany Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Nürnberg, 13.10.09 Sebastian

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Automatische Erkennung von Cross-Site Scripting Schwachstellen zweiter Ordnung

Automatische Erkennung von Cross-Site Scripting Schwachstellen zweiter Ordnung Automatische Erkennung von Cross-Site Scripting Schwachstellen zweiter Ordnung Christian Korscheck christian@korscheck.de Betreuer: Prof. Thomas Walter (Uni Tübingen) Dr. Pavel Laskov (Uni Tübingen) Dirk

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

HISOLUTIONS - SCHWACHSTELLENREPORT

HISOLUTIONS - SCHWACHSTELLENREPORT HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations- und

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Softwareentwicklung mit Enterprise JAVA Beans

Softwareentwicklung mit Enterprise JAVA Beans Softwareentwicklung mit Enterprise JAVA Beans Java Enterprise Edition - Überblick Was ist J2EE Java EE? Zunächst mal: Eine Menge von Spezifikationen und Regeln. April 1997: SUN initiiert die Entwicklung

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse

Mehr

Web-Application-Security

Web-Application-Security Web-Application-Security Uwe Maurer Senior Consultant www.integralis.de Argumentation Risikopotential und neue Anforderungen Gefährdungen für Webanwendungen Lösungsansatz Web Application Firewall Web-Portale

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de Apple iphone und ipad im Unternehmen Ronny Sackmann ronny.sackmann@cirosec.de Agenda Einführung Bedrohungen Integrierte Schutzfunktionen Sicherheitsmaßnahmen Zentrale Verwaltungswerkzeuge Zusammenfassung

Mehr

Web Services Monitoring

Web Services Monitoring Web Services Monitoring Foliensatz zum Vortrag von der OIO Hauskonferenz am 17. Dezember 2009 predic8 GmbH Moltkestr. 40 53173 Bonn www.predic8.de info@predic8.de Ihr Sprecher Thomas Bayer Trainer, Berater,

Mehr

PENETRATIONSTESTS BEI WEB- SERVICES

PENETRATIONSTESTS BEI WEB- SERVICES BSI GRUNDSCHUTZTAG 2014 PENETRATIONSTESTS BEI WEB- SERVICES Dominik Oepen 1 GS-WEB-SERVICES ABGRENZUNG Web-Services Schnittstelle zum automatisierten Aufruf Aufruf durch Programme (auch andere Web-Services)

Mehr

Produktpräsentation. fine apps factory DEMAND. DESIGN. DEPLOY. fineappsfactory.com. Axel Fano

Produktpräsentation. fine apps factory DEMAND. DESIGN. DEPLOY. fineappsfactory.com. Axel Fano Produktpräsentation fine apps factory DEMAND. DESIGN. DEPLOY. Axel Fano FINE APPS FACTORY. IST EINE SOFTWARE-INTEGRATIONSPLATTFORM, FÜR IT UND ANWENDER, UM GEMEINSAM BUSINESS APPS IN

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

Dr. Bruce Sams, GF OPTIMA

Dr. Bruce Sams, GF OPTIMA Dr. Bruce Sams, GF OPTIMA bruce.sams@optimabit.de www.optimabit.de Über OPTIMA OPTIMA Business Information Technology, GmbH ist eine Beratungsfirma, spezialisiert auf Applikationssicherheit und -Entwicklung

Mehr

Einsatz von Applikationsservern. Untersucht am Beispiel des Sybase Enterprise Application Server

Einsatz von Applikationsservern. Untersucht am Beispiel des Sybase Enterprise Application Server Einsatz von Applikationsservern Untersucht am Beispiel des Sybase Enterprise Application Server Architektur von Datenbanksystemen Client / Server Modell (2 Schichten Modell) Benutzerschnittstelle Präsentationslogik

Mehr