Automatisiertes Software Security-Testing

Größe: px
Ab Seite anzeigen:

Download "Automatisiertes Software Security-Testing"

Transkript

1 ERFA-Tagung Automatisiertes Software Security-Testing Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften Dr. Ralf Hauser CEO PrivaSphere AG Marc Rennhard, , ERFA_ASTF.pptx 1

2 Inhalt und Ziele Inhalt Motivation für das Projekt, Ziele Projektablauf Grundlegender Ansatz des entwickelten Testing-Frameworks Einsatz des Testing-Frameworks Entwicklungen der jüngeren Zeit Integrierte Testing-Tools Demonstration Zusammenfassung Ziele Sie erhalten einen Einblick in das von uns entwickelte Testing-Framework Sie erkennen den Mehrwert des Frameworks Marc Rennhard, , ERFA_ASTF.pptx 2

3 Über PrivaSphere AG Erster Schweizer Anbieter einer öffentlichen sicheren Mailplattform Zehntausende Benutzer von Finanzdienstleister und öffentlichen Verwaltungen, sowie Gesundheitsbehörden und mittelständische Betriebe Ausgedehntes Technologie-, Integrations- und Distributionspartnernetzwerk und technische Zusammenarbeit mit ETH und Hochschulen Aktionariat: mehrheitlich Management - weitere Aktionäre: z.b. Hasler Stiftung Mezzanine-Darlehen der ZKB für Startup-Phase - 100% getilgt, bankenunabhängig Ausgezeichnet mit CTI Startup Label im 2004 und Preisträger des Swiss Technology Awards ISO27001 Zertifizierung Einzige offizielle Zustellplattformtechnologie anerkannt für die Bundesverwaltung Marc Rennhard, , ERFA_ASTF.pptx 3

4 Motivation für das Projekt Online-Applikationen haben oft restriktive Sicherheitsanforderungen Unterstützung im SWE-Prozess durch entsprechende automatisierte Security-Testing-Tools ist nur limitiert vorhanden Diverse Tools existieren, sind aber heterogen in der Benutzung Aufruf erfolgt meist manuell nach Bedarf keine Kontinuität Tools sind meist nicht integriert in den SWE-Prozess Resultierende Probleme: Sicherheitskritische Komponenten werden unregelmässig, ungenügend (Regressionen) oder mit hohem personellem Aufwand getestet Mangelhafte Softwarequalität/-sicherheit oder hohe Kosten für den Hersteller der Applikation Das Problem verstärkt sich bei Applikationen, die ständig weiterentwickelt werden (kurze Release Zyklen, Continuous Build ) Marc Rennhard, , ERFA_ASTF.pptx 4

5 Projektziele Primäres Ziel: Entwicklung eines Testing-Frameworks, mit welchem die Softwarequalität/-sicherheit erhöht werden kann Erlaubt es, Online-Applikationen weitgehend automatisiert bezüglich ihrer Sicherheit zu testen Automatisiert = Durchführbarkeit ohne menschliche Interaktion und eindeutige Reproduzierbarkeit Framework integriert mehrere Security Testing-Tools und soll deren einheitliche Benutzung in versch. SWE-Projekten ermöglichen Testing-Framework soll in den SWE-Prozess integriert sein: Qualitätskontrolle, Benachrichtigung von Entwicklern... Ergebnis: Automated Security Testing Framework (ASTF) Marc Rennhard, , ERFA_ASTF.pptx 5

6 Beitrag von ASTF über den State-of-the-Art hinaus Integration von bestehenden Software- und Security-Testing-Tools, die sehr heterogen bezüglich Bedienung und generiertem Output sind, in einem Framework Bedienung und Darstellung im Framework sind weitgehend einheitlich Verfolgung des Qualitätsverlaufs von Softwareprojekten über die Zeit und Setzen von realistischen Zielen Ziele können jederzeit gesetzt und angepasst werden Analyse und Vergleich einer grossen Zahl von Testing-Tools das Framework integriert die wirklich guten und geeigneten Tools Entwicklung von neuartigen Security-Testing Tools bzw. verbessern von bestehenden Tools Marc Rennhard, , ERFA_ASTF.pptx 6

7 Projektablauf (1) 1. KTI-Projekt zwischen PrivaSphere und InIT (07/ /2008) Konzipierung und Entwicklung des Frameworks Analyse und Integration diverser Testing-Tools Eingesetzt von PrivaSphere im Rahmen der eigenen Softwareentwicklung Vorstellung an einzelne Interessenten Schlussfolgerungen: Proof-of-Concept, dass es funktioniert Diverse Firmen zeigten Interesse Aber auch Limitierungen / Erweiterungspotential Performance bei grossen Reports (z.b Nachrichten) Keine Möglichkeit, mehrere Scanner parallel zu integrieren Entwicklung eigener Testing-Tools bzw. Erweiterung bestehender Tools Marc Rennhard, , ERFA_ASTF.pptx 7

8 Projektablauf (2) 2. KTI-Projekt (Folgeprojekt) zwischen PrivaSphere und InIT (seit 11/2009) mit diversen Zielen: Professionalisierung des Frameworks (Usability, Stabilität) Bessere Skalierbarkeit (Verteilung auf mehrere Komponenten) Verbesserung der Performance Eigene Entwicklung von Testing-Tools (vor allem im Rahmen von Master- Studentenprojekten) Durchführen von Pilotprojekten mit Partnerfirmen Marc Rennhard, , ERFA_ASTF.pptx 8

9 ASTF Grundlegender Ansatz (1) Die grundlegenden Eigenschaften von ASTF wurden wie folgt definiert: ASTF baut auf bereits vorhandenen Testing Tools auf Wenn möglich Verwendung von Open-Source Testing-Tools Integration beliebiger Tools ist aber prinzipiell möglich PMD... Checkstyle JMeter ASTF Core FindBugs w3af Nmap OpenVAS Wieso Fokus auf Open-Source Testing-Tools? Vielzahl an mächtigen Tools bereits vorhanden Bei Bedarf sind Erweiterungen relativ einfach möglich Benutzung/Weitergabe von ASTF wird stark vereinfacht Marc Rennhard, , ERFA_ASTF.pptx 9

10 ASTF Grundlegender Ansatz (2) Der primäre Mehrwert von ASTF besteht in der Integration dieser heterogenen Tools, um diese als vereinigten Service anzubieten Einheitliche Verwendung der Testing-Tools im Rahmen eines Software- Entwicklungsprojekts Einheitliche Zuweisung der Tools zu einem Projekt Scheduling über die verschiedenen Testing-Tools Einheitliches Reporting über alle Testing-Tools Benutzerfreundliche Bedienung mittels Webinterface Management View, um einen schnellen Überblick über mehrere Projekte zu erhalten Testing-Tools erhalten eine sinnvolle Basiskonfiguration Diese sind im Rahmen von ASTF out-of-the-box einsetzbar Dies ist insbesondere bei Code-Analysis und Scanning Tools möglich Bei komplexeren Tests (z.b. sicherheitskritische Abläufe) müssen die entsprechenden Testcases mit den Testing-Tools selbst kreiert werden Marc Rennhard, , ERFA_ASTF.pptx 10

11 ASTF Grundlegender Ansatz (3) ASTF enthält eine detaillierte Reporting-Komponente, die auch zur Qualitätssicherung dient Generiert Reports, die über die gefundenen Fehler informieren Erlaubt das Browsen von Reports, um die Fehler schnell zu lokalisieren Erlaubt bei Source-Code Analysis-Tools das betrachten des fehlerverursachenden Code-Segments Ermöglicht die Verfolgung des Verlaufs des Outputs eines Testing-Tools über die Zeit (nehmen die Fehler z.b. zu oder ab) Versendet s an verantwortliche Personen/Entwickler, um unmittelbar nach den Tests über die Ergebnisse zu informieren Marc Rennhard, , ERFA_ASTF.pptx 11

12 ASTF Grundlegender Ansatz (4) ASTF soll als integraler Teil der Projektentwicklung eingesetzt werden Führt regelmässig Tests der Applikation durch (z.b. nightly) Kann bereits sehr früh in der Entwicklungsphase eingesetzt werden (mit Verwendung einiger weniger Testing-Tools) Kann dank dem Baseline-Konzept aber auch noch sehr spät in der Entwicklungsphase eingesetzt werden (graduelle Verbesserung dank Setzen von inkrementellen Zielen) Weitere Testing-Tools können jederzeit aktiviert werden Marc Rennhard, , ERFA_ASTF.pptx 12

13 ASTF Einsatz Marc Rennhard, , ERFA_ASTF.pptx 13

14 ASTF Einsatz (verteilt) Marc Rennhard, , ERFA_ASTF.pptx 14

15 ASTF Jüngste Entwicklungen (1) Detaillierte Analyse zu Beginn des 2. KTI-Projekts bezüglich der zu verwendenden Framework-Basis Wahl fiel auf Hudson (http://hudson-ci.org) Hudson ist ein continuous software building/testing tool Wieso Hudson? Es bietet gewisse Grundfunktionen, die in ASTF auch gefordert sind: Projektverwaltung, Testing-Tool-Verwaltung, Scheduling-Mechanismus Ist bereits verteilt einsetzbar Etabliertes, reifes Produkt; wird von vielen Unternehmen verwendet Open Source und erweiterbar Es wäre sehr viel Aufwand, das bestehende ASTF bezüglich dieser Grundfunktionen auf einen vergleichbaren Level wie Hudson zu bringen Aber: Die innovativen Ideen von ASTF waren in Hudson weitgehend nicht vorhanden Diesbezüglich musste/muss Hudson erweitert werden Marc Rennhard, , ERFA_ASTF.pptx 15

16 ASTF Jüngste Entwicklungen (2) Integration der bestehenden Testing-Tools in Hudson Ergebnisse eines Tests werden in einer Datenbank gespeichert deutlich bessere Performance bei der Darstellung der Ergebnisse Bis Ende September sollten alle Testing-Tools integriert sein Management View, um schnell eine konsolidierte Ansicht zu erhalten Ansicht ist für alle Projekte und Tools identisch Bedingt eine gewisse Normalisierung der Reports, z.b. auf einheitliche Prioritäten Weiterentwicklung des Baseline / Acceptance Criteria-Mechanismus Ermöglicht die Spezifikation des erwünschten Qualitätsverlauf, z.b. Keine High-Priority-Nachrichten sind erlaubt Innerhalb der nächsten 100 Tage möchte ich von 100 Meldungen auf höchstens 20 Meldungen kommen Erlaubt das Setzen von realistischen Zielen Marc Rennhard, , ERFA_ASTF.pptx 16

17 ASTF Jüngste Entwicklungen (3) Markieren von False Positives Einige der automatisierten Testing-Tools werden zwangsläufig False Positives (fälschlich gemeldete Fehler) melden Code analysis tools, Web application vulnerability scanner ASTF bietet die Möglichkeit, diese Nachrichten zu markieren Die gleichen False Positives werden in den folgenden Testläufen dann nicht mehr gemeldet und sie zählen auch nicht bei der Berechnung der Qualitätskriterien Erzeugung von Graphen, um den Qualitätsverlauf visuell darzustellen Auch im Vergleich zu den Acceptance Criteria Marc Rennhard, , ERFA_ASTF.pptx 17

18 ASTF Jüngste Entwicklungen (4) Analyse verfügbarer Code Analysis Tools Es gibt hunderte von Source Code Analysis Tools für ganz verschiedene Programmiersprachen ASTF sollte eine geeignete Auswahl davon integrieren Im Rahmen einer Master-Projektarbeit haben wir viele dieser Tools analysiert Fokus auf Open-Source Tools Decken die gängigen Web-Sprachen ab (Java, JavaScript, PHP, Ruby, ActionScript, Perl,.NET) Ergebnis: Nur sehr wenige (< 10) dieser Tools wurden als gut befunden Wir wissen jetzt, welche Tools sinnvollerweise integriert werden sollen Derzeitiger Fokus liegt auf Java, kann jederzeit erweitert werden Marc Rennhard, , ERFA_ASTF.pptx 18

19 ASTF Jüngste Entwicklungen (5) Entwicklung eines kombinierten Black-/White-Box Web Application Vulnerabiliy Scanners Web Application Security Testing Framework (WASTF) Motivation: Heute verwendete automatische Scanning-Tools verwenden praktisch immer einen reinen Black-Box Ansatz Dabei interagiert der Scanner mit der Applikation, hat aber keinen Zugriff auf Informationen wie Quell-Code oder interne Zustandsinformation Nur anhand der direkt sichtbaren Antwort einer Applikation ist es oft schwierig, eine Aussage über eine vorhandene Schwachstelle zu machen führt zu einer grossen Zahl von False Positives In einer Master-Projektarbeit haben wir überlegt, wie man diese Situation mit etwas mehr White-Box Information verbessern kann Daraus entstanden diverse Vorschläge, einen davon haben wir umgesetzt Marc Rennhard, , ERFA_ASTF.pptx 19

20 ASTF Jüngste Entwicklungen (6) Erste Version kann SQL Injection Vulnerabilities in Web Applikationen zuverlässiger und schneller detektieren als reine Black-Box Scanner Problem bei reinem Black-Box Ansatz: Unklar, welche gesendeten Werte überhaupt in einer DB-Query resultieren Erfolg einer Attacke ist anhand der Antwortseite kaum feststellbar Um dieses Problem zu lösen, verwendet WASTF das Database Query Log als White-Box Komponente Alle gängigen Datenbanken erzeugen ein Database Query Log Das Database Query Log ist eine Datei oder eine Tabelle, die alle SQL Statements enthält, welche von der Datenbank verarbeitet werden Marc Rennhard, , ERFA_ASTF.pptx 20

21 ASTF Jüngste Entwicklungen (7) Marc Rennhard, , ERFA_ASTF.pptx 21

22 ASTF Jüngste Entwicklungen (8) WASTF läuft nun mehrstufig ab: Die Webapplikation wird gecrawlt, um alle Möglichkeiten für Benutzereingaben (GET/POST Parameter) zu finden Bei allen Parametern wird nun ein bestimmter Wert gesendet und im Query Log wird nachgeschaut, welche Parameter in einer Query resultieren nur diese Parameter werden weiterverfolgt Anschliessend werden in SQL Injection Attacken typischerweise verwendete Strings gesendet, z.b. ', ", SELECT etc. Eine weitere Inspektion des Query Logs zeigt uns, welche Zeichen bei welchen Parametern zugelassen sind Je nach zugelassenen Zeichen können wir für einzelne Parameter SQL Injection Strings konstruieren entspricht einer Schwachstelle Marc Rennhard, , ERFA_ASTF.pptx 22

23 ASTF Jüngste Entwicklungen (9) Die ersten Ergebnisse sind sehr positiv, WASTF ist: Schneller ist als reine Black-Box Scanner und......ermöglicht präzisere Aussagen (mehr gefundene Schwachstellen, weniger False Positives) Der grundlegende Ansatz lässt sich vermutlich auf weitere Arten von Schwachstellen ausweiten Folgearbeit ist wahrscheinlich Marc Rennhard, , ERFA_ASTF.pptx 23

24 ASTF Jüngste Entwicklungen (10) Entwicklung eines Black-Box Fuzzers (im Rahmen von zwei Master- Studentenarbeiten), als Plugin in w3af Das Ziel ist es, die Robustheit einer Webapplikation zu testen Der entwickelte Fuzzer ist flexibler als verfügbare Fuzzer und deckt neue Bereiche ab: Enthält einem Satz von Teststrings (Payloads) als Basis, auch sehr lange und leere Strings und solche mit ASCII control caracters Diverse Möglichkeiten, diese Strings zu codieren (ASCII, Unicode...) Parameter können wegelassen oder verdoppelt, auch der Name des Parameters kann manipuliert werden Automatische Erkennung von Problemen anhand Fehlermeldungen, serverseitigem Programmcode, auffälligen HTTP Response codes, Pfadangaben des Servers, privaten IP-Addressen... TBD: Erkennung von Problemen durch Clustering Marc Rennhard, , ERFA_ASTF.pptx 24

25 ASTF Jüngste Entwicklungen (11) Es konnten bereits einige Fehler in Real-World Applications gefunden werden: Marc Rennhard, , ERFA_ASTF.pptx 25

26 ASTF Integrierte Testing-Tools Sicherheitsaspekte von Applikationen Derzeit integrierte Testing- Tools bzw. in Planung Applikatorische Sicherheitsfunktionen (z.b. Login-Prozess) JMeter Typische Schwachstellen in Online- Applikationen (z.b. XSS, SQL Injection) w3af, WASTF Serverkonfiguration (z.b. schwache SSL Cipher, offene Ports) OpenVAS, Nmap Allgemeine Programmierfehler und Vulnerabilities (z.b. unhandled Exceptions, missing input validation) Checkstyle, FindBugs, PMD Marc Rennhard, , ERFA_ASTF.pptx 26

27 Demonstration Startseite Die Einstiegsseite zeigt alle derzeit konfigurierten Projekte (hier 3) Der blaue/rote Punkt zeigt an, ob der letzte Testlauf gemäss den gesetzten Qualitätskriterien accepted oder not accepted war Marc Rennhard, , ERFA_ASTF.pptx 27

28 Demonstration Neues Projekt kreieren (1) New Job erzeigt ein neues Projekt Ein Projekt erhält einen Namen z.b. den des zutestenden SW-Projekts Marc Rennhard, , ERFA_ASTF.pptx 28

29 Demonstration Neues Projekt kreieren (2) Die Konfiguration beinhaltet z.b. das Scheduling (autom. Testausführung) und das zu verwendende Code-Repository Marc Rennhard, , ERFA_ASTF.pptx 29

30 Demonstration PMD-Test hinzufügen Konfiguration für einen PMD-Test Benötigt Code Location und das zu verwendende PMD Ruleset Acceptance criteria werden auf Default- Werten belassen Marc Rennhard, , ERFA_ASTF.pptx 30

31 Demonstration FindBugs-Test hinzufügen Konfiguration für einen FindBugs-Test Benötigt Bytecode Location und Angabe des Effort Levels (Testintensität) Acceptance criteria werden auf Default- Werten belassen Marc Rennhard, , ERFA_ASTF.pptx 31

32 Demonstration ERFA-Tool Projekt kreiert Neues Projekt ist jetzt in der Übersicht enthalten Marc Rennhard, , ERFA_ASTF.pptx 32

33 Demonstration Testlauf manuell ausführen Ein Klick auf Build Job führt einen kompletten Testlauf durch Es werden die konfigurierten Tests verwendet Der Testlauf wird in der Build History eingetragen Marc Rennhard, , ERFA_ASTF.pptx 33

34 Demonstration Übersicht der Ergebnisse Ein Klick auf den fertigen Testlauf in der Build History zeigt eine Übersicht der Ergebnisse Man sieht, dass der Testlauf not accepted ist (roter Punkt) Ebenfalls werden die Zahl der gefundenen Nachrichten angezeigt Marc Rennhard, , ERFA_ASTF.pptx 34

35 Demonstration Detailergebnisse (1) Ein Klick PMD Test Results zeigt die PMD-Ergebnisse im Detail Es werden eine Übersicht (Summary) und Details zu den gefunden Nachrichten angezeigt Marc Rennhard, , ERFA_ASTF.pptx 35

36 Demonstration Detailergebnisse (2) Ein Klick auf den Filename zeigt die Codestelle an, basierend auf welcher die Nachricht generiert wurde Marc Rennhard, , ERFA_ASTF.pptx 36

37 Demonstration Baseline setzen Der Report wird als Baseline gesetzt (dasselbe bei FindBugs machen) Ziel: Zukünftige Reports sind akzeptiert, wenn sie nicht schlechter als dieser Report (die Baseline) sind Marc Rennhard, , ERFA_ASTF.pptx 37

38 Demonstration Nächster Testlauf Report ist jetzt akzeptiert Ein erneuter Testlauf wird nun akzeptiert (blauer Punkt), da die generierten Nachrichten identisch sind wie die eben gesetzte Baseline das ist gut genug Marc Rennhard, , ERFA_ASTF.pptx 38

39 Demonstration Konfiguration Acceptance Criteria Acceptance Criteria können sehr flexibel konfiguriert werden, für jedes ausgewählte Testing-Tool und jede Priorität separat Mit relativen Kriterien kann man Ziele vorgeben, z.b. von der aktuellen Baseline auf 0 Meldungen in 180 Tagen Marc Rennhard, , ERFA_ASTF.pptx 39

40 Demonstration w3af-test hinzufügen Konfiguration für einen w3af-test Benötigt ein w3af Script, in welchem der Testablauf definiert ist Marc Rennhard, , ERFA_ASTF.pptx 40

41 Demonstration Erneuter Testlauf (not accepted), Betrachten der w3af-ergebnisse Der w3af-test resultiert in zwei Nachrichten Der Tester identifiziert diese als False Positives und markiert diese als solche Marc Rennhard, , ERFA_ASTF.pptx 41

42 Demonstration Als False Positives markieren, Testlauf erneut ausführen (accepted) Testlauf erneut ausführen und w3af- Ergebnisse anzeigen Report ist nun accepted, weil zwar wieder die beiden Nachrichten erzeugt werden, dies aber nun als False Positives behandelt werden und nicht mehr auftauchen Marc Rennhard, , ERFA_ASTF.pptx 42

43 Demonstration PMD-Test ein zweites Mal hinzufügen (unabhängig vom ersten PMD-Test) Ein Test-Tool kann mehrere Male in einem Projekt verwendet werden (mehrere Instanzen) Marc Rennhard, , ERFA_ASTF.pptx 43

44 Demonstration Management View (1) Die Management View gibt einen schnellen Überblick über den Zustand aller Projekte Es werden Status, gemeldete Nachrichten und Differenz des letzten zum vorletzten Testlauf angezeigt (in Klammern) Marc Rennhard, , ERFA_ASTF.pptx 44

45 Demonstration Management View (2) Ein Klick auf eines der Projekte zeigt summarische Informationen zu den verwendeten Testing-Tools an Ein Klick auf eines der Testing-Tools geht zur Detailansicht des neuesten Testlaufs Marc Rennhard, , ERFA_ASTF.pptx 45

46 Demonstration Management View (3) Es können auch Trend-Graphen über beliebige Zeiträume dargestellt werden Dabei wird angezeigt, wann ein Report accepted oder nonaccepted war und wie die Acceptance Criteria jeweils gesetzt waren Marc Rennhard, , ERFA_ASTF.pptx 46

47 Demonstration Management View (4) Über einen längeren Zeitraum können sehr anschauliche Graphen erzeugt werden In diesem Beispiel wurde die Baseline (medium) zuerst auf 500 Messages gesetzt Als diese Qualität erreicht wurde, wurde sie auf 100 Messages gesetzt und auch dies konnte dann unterschritten werden Marc Rennhard, , ERFA_ASTF.pptx 47

48 Demonstration Management View (5) Die Angabe eines kleineren Ausschnittes erlaubt es quasi, hinein zu zoomen Marc Rennhard, , ERFA_ASTF.pptx 48

49 Demonstration Testläufe mit sehr vielen Messages ASTF kann auch mit grossen Datenmengen umgehen Hier z.b. ein PMD-Report mit über und ein FindBugs-Report mit über Messages Das Ausführen dieser Tests dauert natürlich einige Zeit das findet aber ja typischerweise in der Nacht statt Das anzeigen solcher grosser Reports dauert aber nur wenige Sekunden Dies liegt vor allem daran, dass wir nicht die originalen Reports einlesen, sondern diese nach einem Testlauf in einer Datenbank ablegen Marc Rennhard, , ERFA_ASTF.pptx 49

50 Zusammenfassung Nutzen und Vorteile (1) Konsequentes, vollständiges und effizientes Testen Durch die Automatisierung wird umfassend getestet und nicht nur dann, wenn es die personellen Ressourcen zulässt Es ist zwar ein Aufwand bei der Definition eines Testcases notwendig, dies wird durch die automatisierte Ausführung aber bei weitem kompensiert Die Reproduzierbarkeit von Tests wird stark verbessert Vermutlich der einzige Ansatz, der mit einer Continuous Build-Philosophie und wachsender Softwarekomplexität vereinbar ist Zeitnahes Testen Durch das Nightly-Testing werden Fehler unmittelbar und nicht erst beim nächsten Integrations-/Funktionstest gefunden Fehler fallen damit kurz nach deren Implementierung auf, was deren Behebung vereinfacht und Folgeeffekte mindert Das Nightly Testing zwingt die Entwickler auch, die Testcases jeweils an die Änderungen im Programm anzupassen Marc Rennhard, , ERFA_ASTF.pptx 50

51 Zusammenfassung Nutzen und Vorteile (2) Umfassendes Reporting und Qualitätskontrolle Standardisierte Reports erlauben das kontinuierliche Monitoring der Softwarequalität während des Entwicklungsprozesses Das Konzept mit der Baseline und den Acceptance Criteria ermöglichen das Setzen von realistischen Zielen bezüglich Software-Qualität Reports ermöglichen das schnelle Lokalisieren der Fehler Die Management View erlaubt, sehr schnell einen Überblick über den aktuellen Stand zu erhalten Einheitliche Bedienung durch Webinterface Die Einheitlichkeit bezüglich Tool-Konfiguration / -Zuweisung und Anzeige der generierten Nachrichten erhöhen die Usability im Vergleich zur direkten Benutzung der einzelnen Tools massiv Marc Rennhard, , ERFA_ASTF.pptx 51

52 Zusammenfassung Nutzen und Vorteile (3) Flexibel im Einsatz Ab der ersten Codezeile oder erst im Laufe des Entwicklungsprozesses Testing-Tools können jederzeit hinzugefügt oder entfernt werden Im Prinzip natürlich auch für non-security-related Testing verwendbar Fast jedes denkbare Testing-Tool kann integriert werden Stabilität, Performance und Skalierbarkeit Mit dem Wechsel auf Hudson steht ASTF auf einer technologisch soliden und etablierten Basis Die konsequente Ablage der Reports in einer Datenbank hat die Performance insbesondere bei grossen Reports massiv verbessert Bei sehr grossen Projekten kann ASTF selbst auf mehrere Komponenten verteilt werden Marc Rennhard, , ERFA_ASTF.pptx 52

53 ASTF Nächste Schritte Komplettierung der Grundfunktionen: Integration aller geplanter Testing-Tools Berechtigungssystem Automatische Benachrichtigung Umfassendes Testen von ASTF Usability, Perfomance, Stabilität... Durchführen von Pilotprojekten Erste Kontakte bestehen Interessenten können sich aber gerne bei uns melden! Marc Rennhard, , ERFA_ASTF.pptx 53

54 Zusammenfassung ASTF ermöglicht kontinuierliches, umfassendes und weitgehend automatisiertes Testen von Online-Applikationen bezüglich Sicherheit ASTF integriert verschiedene, zumeist Open Source Testing-Tools unter einer gemeinsamen Benutzeroberfläche ASTF ist insbesondere für Applikationen, die ständig weiterentwickelt werden, geeignet (Continuous Build) ASTF kann jederzeit ob sehr früh oder spät im SWE-Prozess eingesetzt werden ASTF eignet sich sehr gut zur Qualitätskontrolle, auch über mehrere Projekte hinweg Marc Rennhard, , ERFA_ASTF.pptx 54

Automatisiertes Software Security-Testing

Automatisiertes Software Security-Testing Security Zone 08 Automatisiertes Software Security-Testing Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften marc.rennhard@zhaw.ch

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Build-Pipeline mit Jenkins

Build-Pipeline mit Jenkins JUG Augsburg 24.10.2013 Seite 1 Wer sind wir? Agiler Architekt und Entwickler Eigenes Produkt mit kompletter Pipeline / CD aktuell: Architekt / Entwickler in einem großen Entwicklungsprojekt im Automotiv

Mehr

Auswahl eines Continuous Integrationsservers

Auswahl eines Continuous Integrationsservers Auswahl eines Continuous Integrationsservers Orientation in Objects GmbH Weinheimer Str. 68 68309 Mannheim Version: 1.0 www.oio.de info@oio.de Gliederung Einführung Auswahlkriterien Fazit 2 Gliederung

Mehr

Einreichung zum Call for Papers

Einreichung zum Call for Papers Internet: www.aitag.com Email: info@aitag.com Einreichung zum Call for Papers Kontaktinformationen Sven Hubert AIT AG Leitzstr. 45 70469 Stuttgart Deutschland http://www.aitag.com bzw. http://tfsblog.de

Mehr

Entwicklungswerkzeuge

Entwicklungswerkzeuge Entwicklungswerkzeuge Werner Struckmann & Tim Winkelmann 10. Oktober 2012 Gliederung Anforderungen Projekte Debugging Versionsverwaltung Frameworks Pattern Integrated development environment (IDE) Werner

Mehr

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2 Inhaltsverzeichnis 1 Einführung 2 1.1 Warum Softwaretests?.................................... 2 2 Durchgeführte Tests 2 2.1 Test: allgemeine Funktionalität............................... 2 2.1.1 Beschreibung.....................................

Mehr

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 Software Testing Automatisiert Manuell 100% 70% 1 Überwiegender Teil der Testing Tools fokusiert auf automatisiertes Testen Microsoft

Mehr

ISA Server 2004 - Best Practice Analyzer

ISA Server 2004 - Best Practice Analyzer ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer

Mehr

Manuelles Testmanagement. Einfach testen.

Manuelles Testmanagement. Einfach testen. Manuelles Testmanagement. Einfach testen. Testmanagement als Erfolgsfaktor. Ziel des Testprozesses ist die Minimierung des Restrisikos verbleibender Fehler und somit eine Bewertung der realen Qualität

Mehr

0. Einführung. C und C++ (CPP)

0. Einführung. C und C++ (CPP) C und C++ (CPP) 0. Einführung Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften marc.rennhard@zhaw.ch Marc Rennhard, 05.01.2010,

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

NEWSLETTER // AUGUST 2015

NEWSLETTER // AUGUST 2015 NEWSLETTER // AUGUST 2015 Kürzlich ist eine neue Version von SoftwareCentral erschienen, die neue Version enthält eine Reihe von Verbesserungen und neuen Funktionen die das Arbeiten mit SCCM noch einfacher

Mehr

Wer bin ich. > Senior Consultant, Architekt und Trainer (MATHEMA Software GmbH) > 25+ Jahre Software > 12+ Jahre Java Enterprise > 7+ Jahre.

Wer bin ich. > Senior Consultant, Architekt und Trainer (MATHEMA Software GmbH) > 25+ Jahre Software > 12+ Jahre Java Enterprise > 7+ Jahre. Copyright 2010, MATHEMA Software GmbH 1 Wer bin ich > Senior Consultant, Architekt und Trainer (MATHEMA Software GmbH) > 25+ Jahre Software > 12+ Jahre Java Enterprise > 7+ Jahre.Net > Schwerpunkte Software

Mehr

Sehr geehrte Faktor-IPS Anwender,

Sehr geehrte Faktor-IPS Anwender, März 2014 Faktor-IPS 3.11 Das neue Release Faktor-IPS 3.11 steht Ihnen zum Download zur Verfügung. Wir informieren Sie über die neusten Feautres. Lesen Sie mehr Sehr geehrte Faktor-IPS Anwender, Auf faktorzehn.org

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

OPNET s Application Response Expert (ARX)

OPNET s Application Response Expert (ARX) OPNET s Application Response Expert (ARX) Root Cause Analyse und End2End Monitoring für Web Anwendungen Summary Werden im IT Betrieb Probleme durch die Anwender gemeldet, müssen schnell Informationen aus

Mehr

Detection of Attacks and Anomalies in HTTP Traffic Using Instance-Based Learning and KNN Classification

Detection of Attacks and Anomalies in HTTP Traffic Using Instance-Based Learning and KNN Classification Detection of Attacks and Anomalies in HTTP Traffic Using Instance-Based Learning and KNN Classification Michael Kirchner Diplomarbeit an der FH Hagenberg, Studiengang Sichere Informationssysteme OWASP

Mehr

STOFF- IDENT. System DAIOS. Workshop: STOFF-IDENT & openmasp 18. / 19.04.2013 Freising. marco.luthardt@hswt.de

STOFF- IDENT. System DAIOS. Workshop: STOFF-IDENT & openmasp 18. / 19.04.2013 Freising. marco.luthardt@hswt.de STOFF- IDENT System DAIOS Workshop: STOFF-IDENT & openmasp 18. / 19.04.2013 Freising marco.luthardt@hswt.de Überblick 1. Plattform - Vorschau 2. openmasp (OM) 3. STOFF-IDENT(SI) 4. Plattform - Fazit Folie

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

Kontinuierliche Architekturanalyse. in 3D

Kontinuierliche Architekturanalyse. in 3D Kontinuierliche Architekturanalyse in 3D Stefan Rinderle Bachelor an der HS Karlsruhe Master "Software Engineering" in München / Augsburg Seit 2013 bei Payback 2 Software-Visualisierung Visualisierung

Mehr

Softwaretests. Werkzeuge zur Automatisierung. Thementag Wer testet, ist feige. Autor: für 24.06.2009. Markus Alvermann.

Softwaretests. Werkzeuge zur Automatisierung. Thementag Wer testet, ist feige. Autor: für 24.06.2009. Markus Alvermann. Softwaretests Werkzeuge zur Automatisierung für Thementag Wer testet, ist feige 24.06.2009 Autor: Markus Alvermann Seite 2 / 39 Agenda Motivation Versionsverwaltung Build-Tools Unit-Tests GUI-Tests Continuous

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

CIB DOXIMA PRODUKTINFORMATION

CIB DOXIMA PRODUKTINFORMATION > CIB Marketing CIB DOXIMA PRODUKTINFORMATION Dokumentenmanagement & Dokumentenarchivierung > Stand: Januar 2013 INHALT 1 CIB DOXIMA 2 1.1 The next generation DMS 3 1.2 Dokumente erfassen Abläufe optimieren

Mehr

Last- und Stresstest. Überblick. Einleitung / Motivation Stresstest Lasttest Tools The Grinder Zusammenfassung

Last- und Stresstest. Überblick. Einleitung / Motivation Stresstest Lasttest Tools The Grinder Zusammenfassung Methoden und Werkzeuge zur Softwareproduktion WS 2003/04 Karsten Beyer Dennis Dietrich Überblick Einleitung / Motivation Stresstest Lasttest Tools The Grinder Zusammenfassung 2 Motivation Funktionstest

Mehr

Gerrit und Jenkins ein Traumpaar für Pre-Tested Commit

Gerrit und Jenkins ein Traumpaar für Pre-Tested Commit und ein Traumpaar für Pre-Tested Commit Orientation in Objects GmbH Weinheimer Str. 68 68309 Mannheim Steffen Schäfer Steffen Schluff Version:.0 www.oio.de info@oio.de Gliederung Pre-tested commit und

Mehr

Kampf dem Fehlerteufel PMD, Findbugs und Checkstyle in großen Projekten

Kampf dem Fehlerteufel PMD, Findbugs und Checkstyle in großen Projekten main {GRUPPE} Seite 1 Jürgen Nicolai Geschäftsführender Gesellschafter Liebknechtstrasse 33 70565 Stuttgart Tel : 07 11/7 81 19 90 Fax : 07 11/ 7 81 19 91 Mail : j.nicolai@main-gruppe.de Web: www.main-gruppe.de

Mehr

Testplan. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw, 16.04.2013

Testplan. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw, 16.04.2013 Software Komponenten FS13 Gruppe 03 Horw, 16.04.2013 Bontekoe Christian Estermann Michael Moor Simon Rohrer Felix Autoren Bontekoe Christian Studiengang Informatiker (Berufsbegleitend) Estermann Michael

Mehr

Test-Karussell. Automatisierte Qualitätssicherung im Round-Trip. Test-Karussell. Folie 1 08. November 2006

Test-Karussell. Automatisierte Qualitätssicherung im Round-Trip. Test-Karussell. Folie 1 08. November 2006 Automatisierte Qualitätssicherung im Round-Trip Folie 1 Test und Automatisierung Qualitätssicherung schafft (nur) Transparenz und ist aufwändig und teuer Testen kann die Qualität nicht verbessern 40-50%

Mehr

7HVWHQYRQ6$3$QZHQGXQJHQPLWGHP([WHQGHG &RPSXWHU$LGHG7HVW7RROH&$77

7HVWHQYRQ6$3$QZHQGXQJHQPLWGHP([WHQGHG &RPSXWHU$LGHG7HVW7RROH&$77 7HVWHQYRQ6$3$QZHQGXQJHQPLWGHP([WHQGHG &RPSXWHU$LGHG7HVW7RROH&$77 (LQOHLWXQJ Mit der SAP Testworkbench und dem Testtool ecatt können Anwender von SAP Software auf Basis des SAP Web Application Servers ab

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

SANDBOXIE konfigurieren

SANDBOXIE konfigurieren SANDBOXIE konfigurieren für Webbrowser und E-Mail-Programme Dies ist eine kurze Anleitung für die grundlegenden folgender Programme: Webbrowser: Internet Explorer, Mozilla Firefox und Opera E-Mail-Programme:

Mehr

Gerrit und Jenkins ein Traumpaar für Pre-Tested Commit

Gerrit und Jenkins ein Traumpaar für Pre-Tested Commit und ein Traumpaar für Pre-Tested Commit Orientation in Objects GmbH Weinheimer Str. 68 6809 Mannheim Steffen Schäfer Steffen Schluff Version:.0 www.oio.de info@oio.de Gliederung Pre-tested commit und Pre-tested

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Erfolg ist programmierbar.

Erfolg ist programmierbar. 4578954569774981234656895856512457895456977498 3465689585651245789545697749812346568958561245 9545697749812346568958565124578954569774981234 6895856512457895456977498123465689585612457895 6977498123465689585651245789545697749812346568

Mehr

Call - ID. Call-ID. Leitfaden Installation und Konfiguration CALL-ID Stand : 30. Mai 2008

Call - ID. Call-ID. Leitfaden Installation und Konfiguration CALL-ID Stand : 30. Mai 2008 Call - ID Call-ID ist ein Programm zur direkten Anzeige von eingehenden Anrufen durch automatisches öffnen der entsprechenden Tobit-Adresskarte oder Wahlweise separatem Pop-Up. Zudem erstellt Call-ID eine

Mehr

Call Button / HTTP - Systembeschreibung

Call Button / HTTP - Systembeschreibung Call Button / HTTP - Systembeschreibung Detlef Reil, 14.03.2004, zu Call Button, Version 040127, V1.50 Beta! Software System Für die Kommunikation zwischen den Call Buttons und der Applikation war bisher

Mehr

Implementation of a Framework Component for Processing Tasks within Threads on the Application Level

Implementation of a Framework Component for Processing Tasks within Threads on the Application Level Implementation of a Framework Component for Processing Tasks within Threads on the Application Level Deutsches Krebsforschungszentrum, for Processing Task within Threads on the Application Level Motivation

Mehr

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Willkommen zu Release 6 von 4D v11 SQL. Dieses Dokument beschreibt die neuen Funktionalitäten und Änderungen der Version. Erweiterte Verschlüsselungsmöglichkeiten Release 6 von 4D v11 SQL erweitert

Mehr

GOsa2. Eine Identity-Management-Lösung auf Open-Source-Basis. Irina Neerfeld

GOsa2. Eine Identity-Management-Lösung auf Open-Source-Basis. Irina Neerfeld GOsa2 Eine Identity-Management-Lösung auf Open-Source-Basis Irina Neerfeld Hochschulrechenzentrum der Rheinische Friedrich-Wilhelms-Universität Bonn Übersicht: Wie hat es angefangen? Wo stehen wir heute?

Mehr

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13

NEWpixi* API und die Umstellung auf REST. Freitag, 3. Mai 13 NEWpixi* API und die Umstellung auf REST Fakten NEWpixi* API Technik REST-basierend.NET Webservice IIS Webserver Release 31. August 2013, zusammen mit dem NEWpixi* ELI Release Legacy API und erste NEWpixi*

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

SiteAudit Knowledge Base. SiteAudit Service Level Agreement (SLA) Tracking In diesem : Feature Übersicht. Feature Übersicht Konfigurationsschritte

SiteAudit Knowledge Base. SiteAudit Service Level Agreement (SLA) Tracking In diesem : Feature Übersicht. Feature Übersicht Konfigurationsschritte SiteAudit Knowledge Base SiteAudit Service Level Agreement (SLA) Tracking In diesem : Feature Übersicht Konfigurationsschritte Oktober 2009 Schwellwerte & Anzeigen Reports erstellen SiteAudit v3.0 bietet

Mehr

Über PrivaSphere AG. Corporate Presentation

Über PrivaSphere AG. Corporate Presentation Corporate Presentation 1 Über PrivaSphere AG Erster Schweizer Anbieter einer öffentlichen sicheren Mailplattform Tausende Benutzer von Finanzdienstleister und öffentlichen Verwaltungen, sowie Gesundheitsbehörden

Mehr

Maik Derstappen. maik.derstappen@derstappen-it.de www.derstappen-it.de. ein freies Content Management System

Maik Derstappen. maik.derstappen@derstappen-it.de www.derstappen-it.de. ein freies Content Management System Maik Derstappen maik.derstappen@derstappen-it.de www.derstappen-it.de ein freies Content Management System 1 Was ist Plone? 2 Was ist Plone? Plone ist ein Content Management System (CMS) Plone ist in der

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Deploy Early oder die richtigen. Zutaten für Ihren Relaunch

Deploy Early oder die richtigen. Zutaten für Ihren Relaunch Deploy Early oder die richtigen Zutaten für Ihren Relaunch Plug & Play Web Applikationen 2016 Paradigma #1 Nutze Vorfertigung! HTML/CSS-Frameworks Responsive Design Logo Button Action Screen Tablet Landscape

Mehr

Deploy von PHP-Applikationen

Deploy von PHP-Applikationen Deploy von PHP-Applikationen Jan Burkl System Engineer Zend Technologies Wer bin ich? Jan Burkl jan.burkl@zend.com PHP Entwickler seit 2001 Projektarbeit Bei Zend seit 2006 System Engineer Zend Certified

Mehr

Software Engineering in

Software Engineering in Software Engineering in der Werkzeuge für optimierte LabVIEW-Entwicklung Folie 1 Best Practices Requirements Engineering Softwaretest Versionsmanagement Build- Automatisierung Folie 2 Arbeiten Sie im Team?

Mehr

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Wie richten Sie Ihr Web Paket bei Netpage24 ein Wie richten Sie Ihr Web Paket bei Netpage24 ein Eine kostenlose ebook Anleitung von Netpage24 - Webseite Information 1 E-Mail Bestätigung... 3 2 Ticketsystem... 3 3 FTP Konto anlegen... 4 4 Datenbank anlegen...

Mehr

Oracle Warehouse Builder 3i

Oracle Warehouse Builder 3i Betrifft Autoren Art der Info Oracle Warehouse Builder 3i Dani Schnider (daniel.schnider@trivadis.com) Thomas Kriemler (thomas.kriemler@trivadis.com) Technische Info Quelle Aus dem Trivadis Technologie

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Schlussbewertung FB VI SOFTWAREPROJEKT II WS 09/10 TEAM. Alexander Kalden Dominik Eckelmann Marcel Pierry Julian Heise Besha Taher

Schlussbewertung FB VI SOFTWAREPROJEKT II WS 09/10 TEAM. Alexander Kalden Dominik Eckelmann Marcel Pierry Julian Heise Besha Taher Schlussbewertung FB VI SOFTWAREPROJEKT II WS 09/10 TEAM Alexander Kalden Dominik Eckelmann Marcel Pierry Julian Heise Besha Taher 729631 745097 736477 745011 741297 Inhalt Schlussbewertung... 3 Bewertung

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools Installation Wawi SQL in Verbindung mit Microsoft SQL Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte Funktionalität der SelectLine Applikation mit

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

Telling TestStories Modellbasiertes Akzeptanz Testen Serviceorientierter Systeme

Telling TestStories Modellbasiertes Akzeptanz Testen Serviceorientierter Systeme Telling TestStories Modellbasiertes Akzeptanz Testen Serviceorientierter Systeme Michael Felderer Workshop Requirements Engineering meets Testing Bad Honnef, 5. Juni 2008 1 Überblick Grundbegriffe Motivation

Mehr

Relution Enterprise App Store. Mobilizing Enterprises. 2.6 Release Note

Relution Enterprise App Store. Mobilizing Enterprises. 2.6 Release Note Mobilizing Enterprises 2.6 Release Note 1 Relution Release 2.6 Die neueste Relution Version 2.6 schafft neue Facetten im Mobile App Lebenszyklus. Neben den bereits vorhandenen Möglichkeiten Apps zu verwalten,

Mehr

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY

Mehr

MO 27. Aug. 2007, 17:00 UHR JAVA FRAMEWORKS TIPPS VON PROFI-GÄRTNERN GEGEN WILDWUCHS

MO 27. Aug. 2007, 17:00 UHR JAVA FRAMEWORKS TIPPS VON PROFI-GÄRTNERN GEGEN WILDWUCHS 072 MO 27. Aug. 2007, 17:00 UHR JAVA FRAMEWORKS TIPPS VON PROFI-GÄRTNERN GEGEN WILDWUCHS Die Flut von Open Source Frameworks ist vergleichbar mit dem Markt von kommerziellen Produkten Es gibt eine Vielzahl

Mehr

ATHOS Benutzertreffen

ATHOS Benutzertreffen ATHOS Benutzertreffen Report of the Lab Glashütten, 10. November 2010 HighQSoft GmbH, Karst Schaap karst.schaap@highqsoft.de www.highqsoft.de / www.highqsoft.com 10 November 2010-1 Themen Aktueller Stand

Mehr

DRIVE LIKE A VIRTUAL DEVELOPER Die Poleposition für Ihre Softwareentwicklung

DRIVE LIKE A VIRTUAL DEVELOPER Die Poleposition für Ihre Softwareentwicklung DRIVE LIKE A VIRTUAL DEVELOPER Die Poleposition für Ihre Softwareentwicklung Was für ein Tempo! Das Rad dreht sich rasant schnell: Die heutigen Anforderungen an Softwareentwicklung sind hoch und werden

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Nagios Reporting. Aufbau eines Nagios-Reporting- Frameworks. Bernd Erk 11.09.2008. http://www.netways.de

Nagios Reporting. Aufbau eines Nagios-Reporting- Frameworks. Bernd Erk 11.09.2008. http://www.netways.de Nagios Reporting Aufbau eines Nagios-Reporting- Frameworks Bernd Erk 11.09.2008 Kurzvorstellung Bernd Erk beruflich seit 2007 bei der NETWAYS GmbH zuvor 8 Jahre im Bereich Oracle und J2EE Consulting Datenbanktuning

Mehr

Vergleich von Netzwerkbetriebssystemen Mag. Dr. Klaus Coufal. Mag. Dr. Klaus Coufal - Vergleich von Netzwerkbetriebssystemen - 9.5.

Vergleich von Netzwerkbetriebssystemen Mag. Dr. Klaus Coufal. Mag. Dr. Klaus Coufal - Vergleich von Netzwerkbetriebssystemen - 9.5. Vergleich von Netzwerkbetriebssystemen Mag. Dr. Klaus Coufal 1 Ziel Überblick über die Systeme am Markt Vorstellung der Systeme Vorteile und Nachteile der Systeme Einsetzbarkeit Entscheidungshilfen 2 Arten

Mehr

ANT. Kurzvortrag von Manuel Schulze. mschulze@inf.fu-berlin.de

ANT. Kurzvortrag von Manuel Schulze. mschulze@inf.fu-berlin.de ANT Kurzvortrag von Manuel Schulze mschulze@inf.fu-berlin.de ANT Überblick Teilprojekt der Apache Software Foundation [1] ANT ist Opensource Build-Tool ähnlich wie make (?) jedoch voll auf Java zugeschnitten

Mehr

Reporting Services und SharePoint 2010 Teil 1

Reporting Services und SharePoint 2010 Teil 1 Reporting Services und SharePoint 2010 Teil 1 Abstract Bei der Verwendung der Reporting Services in Zusammenhang mit SharePoint 2010 stellt sich immer wieder die Frage bei der Installation: Wo und Wie?

Mehr

Quality Point München

Quality Point München Quality Point München Test webbasierter Applikationen - Vorgehen, Instrumente, Probleme Gestern habe ich mich wieder über eine fehlerhafte Webanwendung geärgert. Muss das sein? Test ist halt auch hier

Mehr

End-to-End Agility Sind Sie schon agil genug? Mag. Christoph Leithner c.leithner@celix.at

End-to-End Agility Sind Sie schon agil genug? Mag. Christoph Leithner c.leithner@celix.at End-to-End Agility Sind Sie schon agil genug? Mag. Christoph Leithner c.leithner@celix.at www.celix.at September 2015 celix Solutions GmbH Spezialist für Team Collaboration und IT Prozess Management Agile

Mehr

Installationsanleitung für den Online-Backup Client

Installationsanleitung für den Online-Backup Client Installationsanleitung für den Online-Backup Client Inhalt Download und Installation... 2 Login... 4 Konfiguration... 5 Erste Vollsicherung ausführen... 7 Webinterface... 7 FAQ Bitte beachten sie folgende

Mehr

git & git-flow Jens Sandmann 14.12.2013 Warpzone Münster e.v. Jens Sandmann (WZ) git & git-flow 14.12.2013 1 / 31

git & git-flow Jens Sandmann 14.12.2013 Warpzone Münster e.v. Jens Sandmann (WZ) git & git-flow 14.12.2013 1 / 31 git & git-flow Jens Sandmann Warpzone Münster e.v. 14.12.2013 Jens Sandmann (WZ) git & git-flow 14.12.2013 1 / 31 Überblick 1 git Versionskontrolle Allgemein VCS mit git 2 git flow 3 git nutzen 4 Anhang

Mehr

Win7Deploy Seite 2 von 17. Was ist Win7Deploy?

Win7Deploy Seite 2 von 17. Was ist Win7Deploy? Win7Deploy Seite 1 von 17 Win7Deploy Eine einfache, passgenaue und kostengünstige Lösung um Windows 7 in Ihrem Unternehmen einzuführen [ www.win7deploy.de ] Ablauf einer Win7Deploy Installation am Beispiel

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Probeklausur. Lenz Belzner. January 26, 2015. Lenz Belzner Probeklausur January 26, 2015 1 / 16

Probeklausur. Lenz Belzner. January 26, 2015. Lenz Belzner Probeklausur January 26, 2015 1 / 16 Probeklausur Lenz Belzner January 26, 2015 Lenz Belzner Probeklausur January 26, 2015 1 / 16 Definieren Sie Software Engineering in Abgrenzung zu Individual Programming. Ingenieursdisziplin professionelle

Mehr

Infrastruktur fit machen für Hochverfügbarkeit, Workload Management und Skalierbarkeit

Infrastruktur fit machen für Hochverfügbarkeit, Workload Management und Skalierbarkeit make connections share ideas be inspired Infrastruktur fit machen für Hochverfügbarkeit, Workload Management und Skalierbarkeit Artur Eigenseher, SAS Deutschland Herausforderungen SAS Umgebungen sind in

Mehr

FAQ. VisBee - IDE FAQ 2011-11-21. Änderungsindex: 1.0. Änderungsdatum: 2011-11-21. Christ Elektronik GmbH. Alpenstraße 34 DE-87700 Memmingen

FAQ. VisBee - IDE FAQ 2011-11-21. Änderungsindex: 1.0. Änderungsdatum: 2011-11-21. Christ Elektronik GmbH. Alpenstraße 34 DE-87700 Memmingen Änderungsindex: 1.0 Änderungsdatum: DE- Copyright 2011 Weitergabe sowie Vervielfältigung dieser Unterlage, Verwertung und Mitteilung ihres Inhalts nicht gestattet, soweit nicht ausdrücklich zugestanden.

Mehr

Continuous Database Integration mit Flyway

Continuous Database Integration mit Flyway XP Days Germany 2015 Continuous Database Integration mit Flyway Sandra Parsick info@sandra-parsick.de @SandraParsick Zur meiner Person Freiberufliche Softwareentwickler und Consultant im Java- Umfeld Schwerpunkte:

Mehr

Installation SQL- Server 2012 Single Node

Installation SQL- Server 2012 Single Node Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit

Mehr

OMM Online Maintenance Management

OMM Online Maintenance Management OMM Online Maintenance Management 1 Inhaltsverzeichnis Login Homepage Offene Angebote (Gesandte Anfragen) Bestand verwalten (Maschinensuche) Bestand verwalten (Anfrage verschicken) Bestand verwalten (Maschinendetails)

Mehr

Der Neue Weg zur Verschlüsselung von Datenbankinhalten

Der Neue Weg zur Verschlüsselung von Datenbankinhalten Der Neue Weg zur Verschlüsselung von Datenbankinhalten Da Häufigkeit und Schwere von Datendiebstahl zunehmen, ist es immens wichtig, dass Unternehmen vertrauliche und sensible Daten zusätzlich durch Verschlüsselung

Mehr

PHP Kurs Online Kurs Analysten Programmierer Web PHP

PHP Kurs Online Kurs Analysten Programmierer Web PHP PHP Kurs Online Kurs Analysten Programmierer Web PHP Akademie Domani info@akademiedomani.de Allgemeines Programm des Kurses PHP Modul 1 - Einführung und Installation PHP-Umgebung Erste Lerneinheit Introduzione

Mehr

Praktikum Ingenieurinformatik (PI)

Praktikum Ingenieurinformatik (PI) Praktikum Ingenieurinformatik (PI) Verteilte Versionskontrolle mit Git und Github Björn Meyer Fachgebiet Technische Informatik 1 Agenda Einleitung Motivation Versionskontrolle Ansätze Git Funktionen Arbeiten

Mehr

Appery.io Mobile Apps schnell und einfach entwickeln

Appery.io Mobile Apps schnell und einfach entwickeln Appery.io Mobile Apps schnell und einfach entwickeln Cloud-basierte Entwicklungsumgebung, keine lokale Installation von Entwicklungsumgebung nötig. Technologie: HTML5. JQuery Mobile, Apache Cordova. Plattformen:

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

Einführung in die Cross-Plattform Entwicklung Das Intel App Framework

Einführung in die Cross-Plattform Entwicklung Das Intel App Framework Einführung in die Cross-Plattform Entwicklung Das Intel App Framework Einführung Dieses Hands-on-Lab (HOL) macht den Leser mit dem Intel App Framework vom Intel XDK vertraut. Es wird Schritt für Schritt

Mehr

Microsoft SQL Server 2014 Express & EPLAN Plattform. EPLAN-Product-IT-Support / FOS / 2015 1

Microsoft SQL Server 2014 Express & EPLAN Plattform. EPLAN-Product-IT-Support / FOS / 2015 1 Microsoft SQL Server 2014 Express & EPLAN Plattform 1 Microsoft SQL Server & EPLAN Plattform Übersicht Download - Microsoft SQL Server 2014 Express mit Advances Services Installation - Microsoft SQL Server

Mehr

Validiert das RTF-Template auf syntaktische Fehler und gibt Hinweis auf Zeilennummer in der RTF-Datei. der eingebetteten XML-Daten

Validiert das RTF-Template auf syntaktische Fehler und gibt Hinweis auf Zeilennummer in der RTF-Datei. der eingebetteten XML-Daten Troubleshooting für BI Publisher Reports Jürgen Menge Oracle Deutschland B.V. & Co. KG München Schlüsselworte Oracle BI Publisher, Diagnose, Performance, Logging, Debugging, Auditing, Monitoring. Einleitung

Mehr

Erfahrungen und Erkenntnisse. Klaus Richarz, HBT GmbH

Erfahrungen und Erkenntnisse. Klaus Richarz, HBT GmbH Erfahrungen und Erkenntnisse Klaus Richarz, HBT GmbH Java Enterprise Edition 5.0 JBoss Seam Konsequenzen für Realisierung Qualitätssicherung Build & Deployment Fazit & Empfehlungen JBoss Seam in Projekten,

Mehr

Web-Anwendungsentwicklung mit dem Delivery Server

Web-Anwendungsentwicklung mit dem Delivery Server Web-Anwendungsentwicklung mit dem Delivery Server Java-Framework auf Basis der Open API Bernfried Howe, Webertise Consulting GmbH WEBertise Consulting Dipl. Informatiker (Wirtschaftsinformatik) 2001-2010

Mehr

Tutorial. Tutorial. Microsoft Office 2010 Standard Edition verteilen. 2011 DeskCenter Solutions AG

Tutorial. Tutorial. Microsoft Office 2010 Standard Edition verteilen. 2011 DeskCenter Solutions AG Tutorial Microsoft Office 2010 Standard Edition verteilen 2011 DeskCenter Solutions AG Inhaltsverzeichnis 1. Einführung...3 2. Office 2010 Ressourcen bereitstellen...3 3. Anpassung der Office Installation...4

Mehr

PG5 Starter Training Webeditor 8 Applikation Email Daniel Ernst DE02 2013-03-14

PG5 Starter Training Webeditor 8 Applikation Email Daniel Ernst DE02 2013-03-14 PG5 Starter Training Webeditor 8 Applikation Email Daniel Ernst DE02 2013-03-14 Einführung Benötigtes Material: Notebook oder Computer PCD1 E-Controller USB Kabel Schulungsplatine Ethernet Kabel (Energiezähler

Mehr

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte Funktionalität der SelectLine Applikation mit dem SQL Server Express with Tools 2008 vorgenommen

Mehr

Implementierung der neuen Plattform für "Customized Investment Reporting"

Implementierung der neuen Plattform für Customized Investment Reporting Öffentlich Implementierung der neuen Plattform für "Customized Investment Reporting" Datum: 23. September 2010 Erstellt von: Ashish R. Arondekar IT-Programm Customized Investment Reporting Übergreifende

Mehr

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004 Ausarbeitung über SS 2004 Dennis Völker [dv04@hdm-stuttgart.de] Steffen Schurian [ss59@hdm-stuttgart.de] Überblick Sicherheit sollte eine Eigenschaft moderner, verteilter Anwendungen sein, jedoch ist ein

Mehr