Automatisiertes Software Security-Testing

Größe: px
Ab Seite anzeigen:

Download "Automatisiertes Software Security-Testing"

Transkript

1 ERFA-Tagung Automatisiertes Software Security-Testing Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften Dr. Ralf Hauser CEO PrivaSphere AG Marc Rennhard, , ERFA_ASTF.pptx 1

2 Inhalt und Ziele Inhalt Motivation für das Projekt, Ziele Projektablauf Grundlegender Ansatz des entwickelten Testing-Frameworks Einsatz des Testing-Frameworks Entwicklungen der jüngeren Zeit Integrierte Testing-Tools Demonstration Zusammenfassung Ziele Sie erhalten einen Einblick in das von uns entwickelte Testing-Framework Sie erkennen den Mehrwert des Frameworks Marc Rennhard, , ERFA_ASTF.pptx 2

3 Über PrivaSphere AG Erster Schweizer Anbieter einer öffentlichen sicheren Mailplattform Zehntausende Benutzer von Finanzdienstleister und öffentlichen Verwaltungen, sowie Gesundheitsbehörden und mittelständische Betriebe Ausgedehntes Technologie-, Integrations- und Distributionspartnernetzwerk und technische Zusammenarbeit mit ETH und Hochschulen Aktionariat: mehrheitlich Management - weitere Aktionäre: z.b. Hasler Stiftung Mezzanine-Darlehen der ZKB für Startup-Phase - 100% getilgt, bankenunabhängig Ausgezeichnet mit CTI Startup Label im 2004 und Preisträger des Swiss Technology Awards ISO27001 Zertifizierung Einzige offizielle Zustellplattformtechnologie anerkannt für die Bundesverwaltung Marc Rennhard, , ERFA_ASTF.pptx 3

4 Motivation für das Projekt Online-Applikationen haben oft restriktive Sicherheitsanforderungen Unterstützung im SWE-Prozess durch entsprechende automatisierte Security-Testing-Tools ist nur limitiert vorhanden Diverse Tools existieren, sind aber heterogen in der Benutzung Aufruf erfolgt meist manuell nach Bedarf keine Kontinuität Tools sind meist nicht integriert in den SWE-Prozess Resultierende Probleme: Sicherheitskritische Komponenten werden unregelmässig, ungenügend (Regressionen) oder mit hohem personellem Aufwand getestet Mangelhafte Softwarequalität/-sicherheit oder hohe Kosten für den Hersteller der Applikation Das Problem verstärkt sich bei Applikationen, die ständig weiterentwickelt werden (kurze Release Zyklen, Continuous Build ) Marc Rennhard, , ERFA_ASTF.pptx 4

5 Projektziele Primäres Ziel: Entwicklung eines Testing-Frameworks, mit welchem die Softwarequalität/-sicherheit erhöht werden kann Erlaubt es, Online-Applikationen weitgehend automatisiert bezüglich ihrer Sicherheit zu testen Automatisiert = Durchführbarkeit ohne menschliche Interaktion und eindeutige Reproduzierbarkeit Framework integriert mehrere Security Testing-Tools und soll deren einheitliche Benutzung in versch. SWE-Projekten ermöglichen Testing-Framework soll in den SWE-Prozess integriert sein: Qualitätskontrolle, Benachrichtigung von Entwicklern... Ergebnis: Automated Security Testing Framework (ASTF) Marc Rennhard, , ERFA_ASTF.pptx 5

6 Beitrag von ASTF über den State-of-the-Art hinaus Integration von bestehenden Software- und Security-Testing-Tools, die sehr heterogen bezüglich Bedienung und generiertem Output sind, in einem Framework Bedienung und Darstellung im Framework sind weitgehend einheitlich Verfolgung des Qualitätsverlaufs von Softwareprojekten über die Zeit und Setzen von realistischen Zielen Ziele können jederzeit gesetzt und angepasst werden Analyse und Vergleich einer grossen Zahl von Testing-Tools das Framework integriert die wirklich guten und geeigneten Tools Entwicklung von neuartigen Security-Testing Tools bzw. verbessern von bestehenden Tools Marc Rennhard, , ERFA_ASTF.pptx 6

7 Projektablauf (1) 1. KTI-Projekt zwischen PrivaSphere und InIT (07/ /2008) Konzipierung und Entwicklung des Frameworks Analyse und Integration diverser Testing-Tools Eingesetzt von PrivaSphere im Rahmen der eigenen Softwareentwicklung Vorstellung an einzelne Interessenten Schlussfolgerungen: Proof-of-Concept, dass es funktioniert Diverse Firmen zeigten Interesse Aber auch Limitierungen / Erweiterungspotential Performance bei grossen Reports (z.b Nachrichten) Keine Möglichkeit, mehrere Scanner parallel zu integrieren Entwicklung eigener Testing-Tools bzw. Erweiterung bestehender Tools Marc Rennhard, , ERFA_ASTF.pptx 7

8 Projektablauf (2) 2. KTI-Projekt (Folgeprojekt) zwischen PrivaSphere und InIT (seit 11/2009) mit diversen Zielen: Professionalisierung des Frameworks (Usability, Stabilität) Bessere Skalierbarkeit (Verteilung auf mehrere Komponenten) Verbesserung der Performance Eigene Entwicklung von Testing-Tools (vor allem im Rahmen von Master- Studentenprojekten) Durchführen von Pilotprojekten mit Partnerfirmen Marc Rennhard, , ERFA_ASTF.pptx 8

9 ASTF Grundlegender Ansatz (1) Die grundlegenden Eigenschaften von ASTF wurden wie folgt definiert: ASTF baut auf bereits vorhandenen Testing Tools auf Wenn möglich Verwendung von Open-Source Testing-Tools Integration beliebiger Tools ist aber prinzipiell möglich PMD... Checkstyle JMeter ASTF Core FindBugs w3af Nmap OpenVAS Wieso Fokus auf Open-Source Testing-Tools? Vielzahl an mächtigen Tools bereits vorhanden Bei Bedarf sind Erweiterungen relativ einfach möglich Benutzung/Weitergabe von ASTF wird stark vereinfacht Marc Rennhard, , ERFA_ASTF.pptx 9

10 ASTF Grundlegender Ansatz (2) Der primäre Mehrwert von ASTF besteht in der Integration dieser heterogenen Tools, um diese als vereinigten Service anzubieten Einheitliche Verwendung der Testing-Tools im Rahmen eines Software- Entwicklungsprojekts Einheitliche Zuweisung der Tools zu einem Projekt Scheduling über die verschiedenen Testing-Tools Einheitliches Reporting über alle Testing-Tools Benutzerfreundliche Bedienung mittels Webinterface Management View, um einen schnellen Überblick über mehrere Projekte zu erhalten Testing-Tools erhalten eine sinnvolle Basiskonfiguration Diese sind im Rahmen von ASTF out-of-the-box einsetzbar Dies ist insbesondere bei Code-Analysis und Scanning Tools möglich Bei komplexeren Tests (z.b. sicherheitskritische Abläufe) müssen die entsprechenden Testcases mit den Testing-Tools selbst kreiert werden Marc Rennhard, , ERFA_ASTF.pptx 10

11 ASTF Grundlegender Ansatz (3) ASTF enthält eine detaillierte Reporting-Komponente, die auch zur Qualitätssicherung dient Generiert Reports, die über die gefundenen Fehler informieren Erlaubt das Browsen von Reports, um die Fehler schnell zu lokalisieren Erlaubt bei Source-Code Analysis-Tools das betrachten des fehlerverursachenden Code-Segments Ermöglicht die Verfolgung des Verlaufs des Outputs eines Testing-Tools über die Zeit (nehmen die Fehler z.b. zu oder ab) Versendet s an verantwortliche Personen/Entwickler, um unmittelbar nach den Tests über die Ergebnisse zu informieren Marc Rennhard, , ERFA_ASTF.pptx 11

12 ASTF Grundlegender Ansatz (4) ASTF soll als integraler Teil der Projektentwicklung eingesetzt werden Führt regelmässig Tests der Applikation durch (z.b. nightly) Kann bereits sehr früh in der Entwicklungsphase eingesetzt werden (mit Verwendung einiger weniger Testing-Tools) Kann dank dem Baseline-Konzept aber auch noch sehr spät in der Entwicklungsphase eingesetzt werden (graduelle Verbesserung dank Setzen von inkrementellen Zielen) Weitere Testing-Tools können jederzeit aktiviert werden Marc Rennhard, , ERFA_ASTF.pptx 12

13 ASTF Einsatz Marc Rennhard, , ERFA_ASTF.pptx 13

14 ASTF Einsatz (verteilt) Marc Rennhard, , ERFA_ASTF.pptx 14

15 ASTF Jüngste Entwicklungen (1) Detaillierte Analyse zu Beginn des 2. KTI-Projekts bezüglich der zu verwendenden Framework-Basis Wahl fiel auf Hudson (http://hudson-ci.org) Hudson ist ein continuous software building/testing tool Wieso Hudson? Es bietet gewisse Grundfunktionen, die in ASTF auch gefordert sind: Projektverwaltung, Testing-Tool-Verwaltung, Scheduling-Mechanismus Ist bereits verteilt einsetzbar Etabliertes, reifes Produkt; wird von vielen Unternehmen verwendet Open Source und erweiterbar Es wäre sehr viel Aufwand, das bestehende ASTF bezüglich dieser Grundfunktionen auf einen vergleichbaren Level wie Hudson zu bringen Aber: Die innovativen Ideen von ASTF waren in Hudson weitgehend nicht vorhanden Diesbezüglich musste/muss Hudson erweitert werden Marc Rennhard, , ERFA_ASTF.pptx 15

16 ASTF Jüngste Entwicklungen (2) Integration der bestehenden Testing-Tools in Hudson Ergebnisse eines Tests werden in einer Datenbank gespeichert deutlich bessere Performance bei der Darstellung der Ergebnisse Bis Ende September sollten alle Testing-Tools integriert sein Management View, um schnell eine konsolidierte Ansicht zu erhalten Ansicht ist für alle Projekte und Tools identisch Bedingt eine gewisse Normalisierung der Reports, z.b. auf einheitliche Prioritäten Weiterentwicklung des Baseline / Acceptance Criteria-Mechanismus Ermöglicht die Spezifikation des erwünschten Qualitätsverlauf, z.b. Keine High-Priority-Nachrichten sind erlaubt Innerhalb der nächsten 100 Tage möchte ich von 100 Meldungen auf höchstens 20 Meldungen kommen Erlaubt das Setzen von realistischen Zielen Marc Rennhard, , ERFA_ASTF.pptx 16

17 ASTF Jüngste Entwicklungen (3) Markieren von False Positives Einige der automatisierten Testing-Tools werden zwangsläufig False Positives (fälschlich gemeldete Fehler) melden Code analysis tools, Web application vulnerability scanner ASTF bietet die Möglichkeit, diese Nachrichten zu markieren Die gleichen False Positives werden in den folgenden Testläufen dann nicht mehr gemeldet und sie zählen auch nicht bei der Berechnung der Qualitätskriterien Erzeugung von Graphen, um den Qualitätsverlauf visuell darzustellen Auch im Vergleich zu den Acceptance Criteria Marc Rennhard, , ERFA_ASTF.pptx 17

18 ASTF Jüngste Entwicklungen (4) Analyse verfügbarer Code Analysis Tools Es gibt hunderte von Source Code Analysis Tools für ganz verschiedene Programmiersprachen ASTF sollte eine geeignete Auswahl davon integrieren Im Rahmen einer Master-Projektarbeit haben wir viele dieser Tools analysiert Fokus auf Open-Source Tools Decken die gängigen Web-Sprachen ab (Java, JavaScript, PHP, Ruby, ActionScript, Perl,.NET) Ergebnis: Nur sehr wenige (< 10) dieser Tools wurden als gut befunden Wir wissen jetzt, welche Tools sinnvollerweise integriert werden sollen Derzeitiger Fokus liegt auf Java, kann jederzeit erweitert werden Marc Rennhard, , ERFA_ASTF.pptx 18

19 ASTF Jüngste Entwicklungen (5) Entwicklung eines kombinierten Black-/White-Box Web Application Vulnerabiliy Scanners Web Application Security Testing Framework (WASTF) Motivation: Heute verwendete automatische Scanning-Tools verwenden praktisch immer einen reinen Black-Box Ansatz Dabei interagiert der Scanner mit der Applikation, hat aber keinen Zugriff auf Informationen wie Quell-Code oder interne Zustandsinformation Nur anhand der direkt sichtbaren Antwort einer Applikation ist es oft schwierig, eine Aussage über eine vorhandene Schwachstelle zu machen führt zu einer grossen Zahl von False Positives In einer Master-Projektarbeit haben wir überlegt, wie man diese Situation mit etwas mehr White-Box Information verbessern kann Daraus entstanden diverse Vorschläge, einen davon haben wir umgesetzt Marc Rennhard, , ERFA_ASTF.pptx 19

20 ASTF Jüngste Entwicklungen (6) Erste Version kann SQL Injection Vulnerabilities in Web Applikationen zuverlässiger und schneller detektieren als reine Black-Box Scanner Problem bei reinem Black-Box Ansatz: Unklar, welche gesendeten Werte überhaupt in einer DB-Query resultieren Erfolg einer Attacke ist anhand der Antwortseite kaum feststellbar Um dieses Problem zu lösen, verwendet WASTF das Database Query Log als White-Box Komponente Alle gängigen Datenbanken erzeugen ein Database Query Log Das Database Query Log ist eine Datei oder eine Tabelle, die alle SQL Statements enthält, welche von der Datenbank verarbeitet werden Marc Rennhard, , ERFA_ASTF.pptx 20

21 ASTF Jüngste Entwicklungen (7) Marc Rennhard, , ERFA_ASTF.pptx 21

22 ASTF Jüngste Entwicklungen (8) WASTF läuft nun mehrstufig ab: Die Webapplikation wird gecrawlt, um alle Möglichkeiten für Benutzereingaben (GET/POST Parameter) zu finden Bei allen Parametern wird nun ein bestimmter Wert gesendet und im Query Log wird nachgeschaut, welche Parameter in einer Query resultieren nur diese Parameter werden weiterverfolgt Anschliessend werden in SQL Injection Attacken typischerweise verwendete Strings gesendet, z.b. ', ", SELECT etc. Eine weitere Inspektion des Query Logs zeigt uns, welche Zeichen bei welchen Parametern zugelassen sind Je nach zugelassenen Zeichen können wir für einzelne Parameter SQL Injection Strings konstruieren entspricht einer Schwachstelle Marc Rennhard, , ERFA_ASTF.pptx 22

23 ASTF Jüngste Entwicklungen (9) Die ersten Ergebnisse sind sehr positiv, WASTF ist: Schneller ist als reine Black-Box Scanner und......ermöglicht präzisere Aussagen (mehr gefundene Schwachstellen, weniger False Positives) Der grundlegende Ansatz lässt sich vermutlich auf weitere Arten von Schwachstellen ausweiten Folgearbeit ist wahrscheinlich Marc Rennhard, , ERFA_ASTF.pptx 23

24 ASTF Jüngste Entwicklungen (10) Entwicklung eines Black-Box Fuzzers (im Rahmen von zwei Master- Studentenarbeiten), als Plugin in w3af Das Ziel ist es, die Robustheit einer Webapplikation zu testen Der entwickelte Fuzzer ist flexibler als verfügbare Fuzzer und deckt neue Bereiche ab: Enthält einem Satz von Teststrings (Payloads) als Basis, auch sehr lange und leere Strings und solche mit ASCII control caracters Diverse Möglichkeiten, diese Strings zu codieren (ASCII, Unicode...) Parameter können wegelassen oder verdoppelt, auch der Name des Parameters kann manipuliert werden Automatische Erkennung von Problemen anhand Fehlermeldungen, serverseitigem Programmcode, auffälligen HTTP Response codes, Pfadangaben des Servers, privaten IP-Addressen... TBD: Erkennung von Problemen durch Clustering Marc Rennhard, , ERFA_ASTF.pptx 24

25 ASTF Jüngste Entwicklungen (11) Es konnten bereits einige Fehler in Real-World Applications gefunden werden: Marc Rennhard, , ERFA_ASTF.pptx 25

26 ASTF Integrierte Testing-Tools Sicherheitsaspekte von Applikationen Derzeit integrierte Testing- Tools bzw. in Planung Applikatorische Sicherheitsfunktionen (z.b. Login-Prozess) JMeter Typische Schwachstellen in Online- Applikationen (z.b. XSS, SQL Injection) w3af, WASTF Serverkonfiguration (z.b. schwache SSL Cipher, offene Ports) OpenVAS, Nmap Allgemeine Programmierfehler und Vulnerabilities (z.b. unhandled Exceptions, missing input validation) Checkstyle, FindBugs, PMD Marc Rennhard, , ERFA_ASTF.pptx 26

27 Demonstration Startseite Die Einstiegsseite zeigt alle derzeit konfigurierten Projekte (hier 3) Der blaue/rote Punkt zeigt an, ob der letzte Testlauf gemäss den gesetzten Qualitätskriterien accepted oder not accepted war Marc Rennhard, , ERFA_ASTF.pptx 27

28 Demonstration Neues Projekt kreieren (1) New Job erzeigt ein neues Projekt Ein Projekt erhält einen Namen z.b. den des zutestenden SW-Projekts Marc Rennhard, , ERFA_ASTF.pptx 28

29 Demonstration Neues Projekt kreieren (2) Die Konfiguration beinhaltet z.b. das Scheduling (autom. Testausführung) und das zu verwendende Code-Repository Marc Rennhard, , ERFA_ASTF.pptx 29

30 Demonstration PMD-Test hinzufügen Konfiguration für einen PMD-Test Benötigt Code Location und das zu verwendende PMD Ruleset Acceptance criteria werden auf Default- Werten belassen Marc Rennhard, , ERFA_ASTF.pptx 30

31 Demonstration FindBugs-Test hinzufügen Konfiguration für einen FindBugs-Test Benötigt Bytecode Location und Angabe des Effort Levels (Testintensität) Acceptance criteria werden auf Default- Werten belassen Marc Rennhard, , ERFA_ASTF.pptx 31

32 Demonstration ERFA-Tool Projekt kreiert Neues Projekt ist jetzt in der Übersicht enthalten Marc Rennhard, , ERFA_ASTF.pptx 32

33 Demonstration Testlauf manuell ausführen Ein Klick auf Build Job führt einen kompletten Testlauf durch Es werden die konfigurierten Tests verwendet Der Testlauf wird in der Build History eingetragen Marc Rennhard, , ERFA_ASTF.pptx 33

34 Demonstration Übersicht der Ergebnisse Ein Klick auf den fertigen Testlauf in der Build History zeigt eine Übersicht der Ergebnisse Man sieht, dass der Testlauf not accepted ist (roter Punkt) Ebenfalls werden die Zahl der gefundenen Nachrichten angezeigt Marc Rennhard, , ERFA_ASTF.pptx 34

35 Demonstration Detailergebnisse (1) Ein Klick PMD Test Results zeigt die PMD-Ergebnisse im Detail Es werden eine Übersicht (Summary) und Details zu den gefunden Nachrichten angezeigt Marc Rennhard, , ERFA_ASTF.pptx 35

36 Demonstration Detailergebnisse (2) Ein Klick auf den Filename zeigt die Codestelle an, basierend auf welcher die Nachricht generiert wurde Marc Rennhard, , ERFA_ASTF.pptx 36

37 Demonstration Baseline setzen Der Report wird als Baseline gesetzt (dasselbe bei FindBugs machen) Ziel: Zukünftige Reports sind akzeptiert, wenn sie nicht schlechter als dieser Report (die Baseline) sind Marc Rennhard, , ERFA_ASTF.pptx 37

38 Demonstration Nächster Testlauf Report ist jetzt akzeptiert Ein erneuter Testlauf wird nun akzeptiert (blauer Punkt), da die generierten Nachrichten identisch sind wie die eben gesetzte Baseline das ist gut genug Marc Rennhard, , ERFA_ASTF.pptx 38

39 Demonstration Konfiguration Acceptance Criteria Acceptance Criteria können sehr flexibel konfiguriert werden, für jedes ausgewählte Testing-Tool und jede Priorität separat Mit relativen Kriterien kann man Ziele vorgeben, z.b. von der aktuellen Baseline auf 0 Meldungen in 180 Tagen Marc Rennhard, , ERFA_ASTF.pptx 39

40 Demonstration w3af-test hinzufügen Konfiguration für einen w3af-test Benötigt ein w3af Script, in welchem der Testablauf definiert ist Marc Rennhard, , ERFA_ASTF.pptx 40

41 Demonstration Erneuter Testlauf (not accepted), Betrachten der w3af-ergebnisse Der w3af-test resultiert in zwei Nachrichten Der Tester identifiziert diese als False Positives und markiert diese als solche Marc Rennhard, , ERFA_ASTF.pptx 41

42 Demonstration Als False Positives markieren, Testlauf erneut ausführen (accepted) Testlauf erneut ausführen und w3af- Ergebnisse anzeigen Report ist nun accepted, weil zwar wieder die beiden Nachrichten erzeugt werden, dies aber nun als False Positives behandelt werden und nicht mehr auftauchen Marc Rennhard, , ERFA_ASTF.pptx 42

43 Demonstration PMD-Test ein zweites Mal hinzufügen (unabhängig vom ersten PMD-Test) Ein Test-Tool kann mehrere Male in einem Projekt verwendet werden (mehrere Instanzen) Marc Rennhard, , ERFA_ASTF.pptx 43

44 Demonstration Management View (1) Die Management View gibt einen schnellen Überblick über den Zustand aller Projekte Es werden Status, gemeldete Nachrichten und Differenz des letzten zum vorletzten Testlauf angezeigt (in Klammern) Marc Rennhard, , ERFA_ASTF.pptx 44

45 Demonstration Management View (2) Ein Klick auf eines der Projekte zeigt summarische Informationen zu den verwendeten Testing-Tools an Ein Klick auf eines der Testing-Tools geht zur Detailansicht des neuesten Testlaufs Marc Rennhard, , ERFA_ASTF.pptx 45

46 Demonstration Management View (3) Es können auch Trend-Graphen über beliebige Zeiträume dargestellt werden Dabei wird angezeigt, wann ein Report accepted oder nonaccepted war und wie die Acceptance Criteria jeweils gesetzt waren Marc Rennhard, , ERFA_ASTF.pptx 46

47 Demonstration Management View (4) Über einen längeren Zeitraum können sehr anschauliche Graphen erzeugt werden In diesem Beispiel wurde die Baseline (medium) zuerst auf 500 Messages gesetzt Als diese Qualität erreicht wurde, wurde sie auf 100 Messages gesetzt und auch dies konnte dann unterschritten werden Marc Rennhard, , ERFA_ASTF.pptx 47

48 Demonstration Management View (5) Die Angabe eines kleineren Ausschnittes erlaubt es quasi, hinein zu zoomen Marc Rennhard, , ERFA_ASTF.pptx 48

49 Demonstration Testläufe mit sehr vielen Messages ASTF kann auch mit grossen Datenmengen umgehen Hier z.b. ein PMD-Report mit über und ein FindBugs-Report mit über Messages Das Ausführen dieser Tests dauert natürlich einige Zeit das findet aber ja typischerweise in der Nacht statt Das anzeigen solcher grosser Reports dauert aber nur wenige Sekunden Dies liegt vor allem daran, dass wir nicht die originalen Reports einlesen, sondern diese nach einem Testlauf in einer Datenbank ablegen Marc Rennhard, , ERFA_ASTF.pptx 49

50 Zusammenfassung Nutzen und Vorteile (1) Konsequentes, vollständiges und effizientes Testen Durch die Automatisierung wird umfassend getestet und nicht nur dann, wenn es die personellen Ressourcen zulässt Es ist zwar ein Aufwand bei der Definition eines Testcases notwendig, dies wird durch die automatisierte Ausführung aber bei weitem kompensiert Die Reproduzierbarkeit von Tests wird stark verbessert Vermutlich der einzige Ansatz, der mit einer Continuous Build-Philosophie und wachsender Softwarekomplexität vereinbar ist Zeitnahes Testen Durch das Nightly-Testing werden Fehler unmittelbar und nicht erst beim nächsten Integrations-/Funktionstest gefunden Fehler fallen damit kurz nach deren Implementierung auf, was deren Behebung vereinfacht und Folgeeffekte mindert Das Nightly Testing zwingt die Entwickler auch, die Testcases jeweils an die Änderungen im Programm anzupassen Marc Rennhard, , ERFA_ASTF.pptx 50

51 Zusammenfassung Nutzen und Vorteile (2) Umfassendes Reporting und Qualitätskontrolle Standardisierte Reports erlauben das kontinuierliche Monitoring der Softwarequalität während des Entwicklungsprozesses Das Konzept mit der Baseline und den Acceptance Criteria ermöglichen das Setzen von realistischen Zielen bezüglich Software-Qualität Reports ermöglichen das schnelle Lokalisieren der Fehler Die Management View erlaubt, sehr schnell einen Überblick über den aktuellen Stand zu erhalten Einheitliche Bedienung durch Webinterface Die Einheitlichkeit bezüglich Tool-Konfiguration / -Zuweisung und Anzeige der generierten Nachrichten erhöhen die Usability im Vergleich zur direkten Benutzung der einzelnen Tools massiv Marc Rennhard, , ERFA_ASTF.pptx 51

52 Zusammenfassung Nutzen und Vorteile (3) Flexibel im Einsatz Ab der ersten Codezeile oder erst im Laufe des Entwicklungsprozesses Testing-Tools können jederzeit hinzugefügt oder entfernt werden Im Prinzip natürlich auch für non-security-related Testing verwendbar Fast jedes denkbare Testing-Tool kann integriert werden Stabilität, Performance und Skalierbarkeit Mit dem Wechsel auf Hudson steht ASTF auf einer technologisch soliden und etablierten Basis Die konsequente Ablage der Reports in einer Datenbank hat die Performance insbesondere bei grossen Reports massiv verbessert Bei sehr grossen Projekten kann ASTF selbst auf mehrere Komponenten verteilt werden Marc Rennhard, , ERFA_ASTF.pptx 52

53 ASTF Nächste Schritte Komplettierung der Grundfunktionen: Integration aller geplanter Testing-Tools Berechtigungssystem Automatische Benachrichtigung Umfassendes Testen von ASTF Usability, Perfomance, Stabilität... Durchführen von Pilotprojekten Erste Kontakte bestehen Interessenten können sich aber gerne bei uns melden! Marc Rennhard, , ERFA_ASTF.pptx 53

54 Zusammenfassung ASTF ermöglicht kontinuierliches, umfassendes und weitgehend automatisiertes Testen von Online-Applikationen bezüglich Sicherheit ASTF integriert verschiedene, zumeist Open Source Testing-Tools unter einer gemeinsamen Benutzeroberfläche ASTF ist insbesondere für Applikationen, die ständig weiterentwickelt werden, geeignet (Continuous Build) ASTF kann jederzeit ob sehr früh oder spät im SWE-Prozess eingesetzt werden ASTF eignet sich sehr gut zur Qualitätskontrolle, auch über mehrere Projekte hinweg Marc Rennhard, , ERFA_ASTF.pptx 54

Automatisiertes Software Security-Testing

Automatisiertes Software Security-Testing Security Zone 08 Automatisiertes Software Security-Testing Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften marc.rennhard@zhaw.ch

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 Software Testing Automatisiert Manuell 100% 70% 1 Überwiegender Teil der Testing Tools fokusiert auf automatisiertes Testen Microsoft

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

Build-Pipeline mit Jenkins

Build-Pipeline mit Jenkins JUG Augsburg 24.10.2013 Seite 1 Wer sind wir? Agiler Architekt und Entwickler Eigenes Produkt mit kompletter Pipeline / CD aktuell: Architekt / Entwickler in einem großen Entwicklungsprojekt im Automotiv

Mehr

Softwaretests. Werkzeuge zur Automatisierung. Thementag Wer testet, ist feige. Autor: für 24.06.2009. Markus Alvermann.

Softwaretests. Werkzeuge zur Automatisierung. Thementag Wer testet, ist feige. Autor: für 24.06.2009. Markus Alvermann. Softwaretests Werkzeuge zur Automatisierung für Thementag Wer testet, ist feige 24.06.2009 Autor: Markus Alvermann Seite 2 / 39 Agenda Motivation Versionsverwaltung Build-Tools Unit-Tests GUI-Tests Continuous

Mehr

Auswahl eines Continuous Integrationsservers

Auswahl eines Continuous Integrationsservers Auswahl eines Continuous Integrationsservers Orientation in Objects GmbH Weinheimer Str. 68 68309 Mannheim Version: 1.0 www.oio.de info@oio.de Gliederung Einführung Auswahlkriterien Fazit 2 Gliederung

Mehr

Wir schützen Ihre Investitionen. Qualitätssicherung nach Maß. IT Quality Services

Wir schützen Ihre Investitionen. Qualitätssicherung nach Maß. IT Quality Services Wir schützen Ihre Investitionen Qualitätssicherung nach Maß IT Quality Services Sicherheit, die senkt Mit den IT Quality Services schützen Sie Ihre Investitionen Ohne Qualitätssicherung Mit Qualitätssicherung

Mehr

Über PrivaSphere AG. Corporate Presentation

Über PrivaSphere AG. Corporate Presentation Corporate Presentation 1 Über PrivaSphere AG Erster Schweizer Anbieter einer öffentlichen sicheren Mailplattform Tausende Benutzer von Finanzdienstleister und öffentlichen Verwaltungen, sowie Gesundheitsbehörden

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND init.at informationstechnologie GmbH - Tannhäuserplatz 2 - A-1150 Wien - www.init.at Dieses Dokument und alle Teile von ihm bilden ein geistiges Eigentum

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

>EasyMain Die Nutzung von Methoden, Prozessen und Standards im Rahmen eines Application Lifecycle Managements

>EasyMain Die Nutzung von Methoden, Prozessen und Standards im Rahmen eines Application Lifecycle Managements >EasyMain Die Nutzung von Methoden, Prozessen und Standards im Rahmen eines Application Lifecycle Managements 6. Januar 2014 >Agenda Motivation EasyMain Methoden, Standards und Prozesse bei EasyMain Folie

Mehr

0. Einführung. C und C++ (CPP)

0. Einführung. C und C++ (CPP) C und C++ (CPP) 0. Einführung Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften marc.rennhard@zhaw.ch Marc Rennhard, 05.01.2010,

Mehr

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2 Inhaltsverzeichnis 1 Einführung 2 1.1 Warum Softwaretests?.................................... 2 2 Durchgeführte Tests 2 2.1 Test: allgemeine Funktionalität............................... 2 2.1.1 Beschreibung.....................................

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Willkommen zu Release 6 von 4D v11 SQL. Dieses Dokument beschreibt die neuen Funktionalitäten und Änderungen der Version. Erweiterte Verschlüsselungsmöglichkeiten Release 6 von 4D v11 SQL erweitert

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

IT-Monitoring braucht Sicherheit Sicherheit braucht Monitoring. Günther Klix op5 GmbH - Area Manager D/A/CH

IT-Monitoring braucht Sicherheit Sicherheit braucht Monitoring. Günther Klix op5 GmbH - Area Manager D/A/CH IT-Monitoring braucht Sicherheit Sicherheit braucht Monitoring Günther Klix op5 GmbH - Area Manager D/A/CH Technische Anforderungen an IT Immer komplexere & verteiltere Umgebungen zunehmend heterogene

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

init.at informationstechnologie GmbH Tannhäuserplatz 2/5.OG 1150 Wien Austria

init.at informationstechnologie GmbH Tannhäuserplatz 2/5.OG 1150 Wien Austria init.at informationstechnologie GmbH Tannhäuserplatz 2/5.OG 1150 Wien Austria Seite 2 von 10 1 Inhaltsverzeichnis 2 Warum NOCTUA by init.at... 3 3 Ihre Vorteile mit NOCTUA:... 4 4 NOCTUA Features... 5

Mehr

Last- und Stresstest. Überblick. Einleitung / Motivation Stresstest Lasttest Tools The Grinder Zusammenfassung

Last- und Stresstest. Überblick. Einleitung / Motivation Stresstest Lasttest Tools The Grinder Zusammenfassung Methoden und Werkzeuge zur Softwareproduktion WS 2003/04 Karsten Beyer Dennis Dietrich Überblick Einleitung / Motivation Stresstest Lasttest Tools The Grinder Zusammenfassung 2 Motivation Funktionstest

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Einreichung zum Call for Papers

Einreichung zum Call for Papers Internet: www.aitag.com Email: info@aitag.com Einreichung zum Call for Papers Kontaktinformationen Sven Hubert AIT AG Leitzstr. 45 70469 Stuttgart Deutschland http://www.aitag.com bzw. http://tfsblog.de

Mehr

Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht

Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht 2 Apparo Fast Edit ist die das Standardprogramm für unternehmensweite Dateneingabe, mit der Sie Daten ändern, importieren

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

TecLocal 4.0. Neues in Version 4.0 (Freigabeinformationen)

TecLocal 4.0. Neues in Version 4.0 (Freigabeinformationen) TecLocal 4.0 Neues in Version 4.0 (Freigabeinformationen) 22.07.2013 Seite 1 Inhalt 1. Software Voraussetzungen.....3 2. Neue Funktionen......9 3. Zusätzliche Änderungen......14 4. Entfallene Komponenten/Funktionen

Mehr

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2

Mehr

Virtual Forge CodeProfiler for HANA

Virtual Forge CodeProfiler for HANA W H I T E P A P E R Virtual Forge CodeProfiler for HANA Version 1.0 - Gültig ab 30.07.2015 Dokument 2015, Virtual Forge GmbH Inhaltsangabe Inhaltsangabe... 2 Management Summary... 3 Herausforderungen...

Mehr

Institut für angewandte Informationstechnologie (InIT)

Institut für angewandte Informationstechnologie (InIT) School of Engineering Institut für angewandte Informationstechnologie (InIT) We ride the information wave Zürcher Fachhochschule www.init.zhaw.ch Forschung & Entwicklung Institut für angewandte Informationstechnologie

Mehr

Call Button / HTTP - Systembeschreibung

Call Button / HTTP - Systembeschreibung Call Button / HTTP - Systembeschreibung Detlef Reil, 14.03.2004, zu Call Button, Version 040127, V1.50 Beta! Software System Für die Kommunikation zwischen den Call Buttons und der Applikation war bisher

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Monitoring bei GISA Jörg Sterlinski

Monitoring bei GISA Jörg Sterlinski Jörg Sterlinski Donnerstag, 18. Oktober 2012 2012 GISA GmbH Leipziger Chaussee 191 a 06112 Halle (Saale) www.gisa.de Agenda Vorstellung GISA GmbH Gründe für den Einsatz von Icinga Rahmenbedingungen KISS

Mehr

JOB SCHEDULER. Managed User Jobs. Dokumentation Juli 2005. MySQL-Job-Automation

JOB SCHEDULER. Managed User Jobs. Dokumentation Juli 2005. MySQL-Job-Automation MySQL-Job-Automation Managed User Jobs JOB SCHEDULER Dokumentation Juli 2005 Software- und Organisations-Service GmbH Giesebrechtstr. 15 D-10629 Berlin Telefon (030) 86 47 90-0 Telefax (030) 861 33 35

Mehr

Win7Deploy Seite 2 von 17. Was ist Win7Deploy?

Win7Deploy Seite 2 von 17. Was ist Win7Deploy? Win7Deploy Seite 1 von 17 Win7Deploy Eine einfache, passgenaue und kostengünstige Lösung um Windows 7 in Ihrem Unternehmen einzuführen [ www.win7deploy.de ] Ablauf einer Win7Deploy Installation am Beispiel

Mehr

Session Storage im Zend Server Cluster Manager

Session Storage im Zend Server Cluster Manager Session Storage im Zend Server Cluster Manager Jan Burkl System Engineer, Zend Technologies Agenda Einführung in Zend Server und ZSCM Überblick über PHP Sessions Zend Session Clustering Session Hochverfügbarkeit

Mehr

Sehr geehrte Faktor-IPS Anwender,

Sehr geehrte Faktor-IPS Anwender, März 2014 Faktor-IPS 3.11 Das neue Release Faktor-IPS 3.11 steht Ihnen zum Download zur Verfügung. Wir informieren Sie über die neusten Feautres. Lesen Sie mehr Sehr geehrte Faktor-IPS Anwender, Auf faktorzehn.org

Mehr

Software Engineering in

Software Engineering in Software Engineering in der Werkzeuge für optimierte LabVIEW-Entwicklung Folie 1 Best Practices Requirements Engineering Softwaretest Versionsmanagement Build- Automatisierung Folie 2 Arbeiten Sie im Team?

Mehr

Whitepaper. Produkt: combit List & Label 16. List & Label Windows Azure. combit GmbH Untere Laube 30 78462 Konstanz

Whitepaper. Produkt: combit List & Label 16. List & Label Windows Azure. combit GmbH Untere Laube 30 78462 Konstanz combit GmbH Untere Laube 30 78462 Konstanz Whitepaper Produkt: combit List & Label 16 List & Label Windows Azure List & Label Windows Azure - 2 - Inhalt Softwarevoraussetzungen 3 Schritt 1: Neues Projekt

Mehr

[DIA] Webinterface 2.4

[DIA] Webinterface 2.4 [DIA] Webinterface 2.4 2 Inhalt Inhalt... 2 1. Einleitung... 3 2. Konzept... 4 2.1 Vorteile und Anwendungen des... 4 2.2 Integration in bestehende Systeme und Strukturen... 4 2.3 Verfügbarkeit... 5 3.

Mehr

Wer bin ich. > Senior Consultant, Architekt und Trainer (MATHEMA Software GmbH) > 25+ Jahre Software > 12+ Jahre Java Enterprise > 7+ Jahre.

Wer bin ich. > Senior Consultant, Architekt und Trainer (MATHEMA Software GmbH) > 25+ Jahre Software > 12+ Jahre Java Enterprise > 7+ Jahre. Copyright 2010, MATHEMA Software GmbH 1 Wer bin ich > Senior Consultant, Architekt und Trainer (MATHEMA Software GmbH) > 25+ Jahre Software > 12+ Jahre Java Enterprise > 7+ Jahre.Net > Schwerpunkte Software

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

mimacom path Ihr Nutzen www.mimacom.com

mimacom path Ihr Nutzen www.mimacom.com ist ein Lösungspaket, mit dem sich das ganze Application Lifecycle Management abdecken lässt: Vom Requirements Engineering über die agile Abwicklung von Projekten bis hin zum Service Management. Der ganzheitliche

Mehr

Einführung in die Cross-Plattform Entwicklung Das Intel App Framework

Einführung in die Cross-Plattform Entwicklung Das Intel App Framework Einführung in die Cross-Plattform Entwicklung Das Intel App Framework Einführung Dieses Hands-on-Lab (HOL) macht den Leser mit dem Intel App Framework vom Intel XDK vertraut. Es wird Schritt für Schritt

Mehr

SiteAudit Knowledge Base. SiteAudit Service Level Agreement (SLA) Tracking In diesem : Feature Übersicht. Feature Übersicht Konfigurationsschritte

SiteAudit Knowledge Base. SiteAudit Service Level Agreement (SLA) Tracking In diesem : Feature Übersicht. Feature Übersicht Konfigurationsschritte SiteAudit Knowledge Base SiteAudit Service Level Agreement (SLA) Tracking In diesem : Feature Übersicht Konfigurationsschritte Oktober 2009 Schwellwerte & Anzeigen Reports erstellen SiteAudit v3.0 bietet

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

Verteidigung gegen SQL Injection Attacks

Verteidigung gegen SQL Injection Attacks Verteidigung gegen SQL Injection Attacks Semesterarbeit SS 2003 Daniel Lutz danlutz@watz.ch 1 Inhalt Motivation Demo-Applikation Beispiele von Attacken Massnahmen zur Verteidigung Schlussfolgerungen 2

Mehr

RELEASE AUF KNOPFDRUCK: MIT CONTINUOUS DELIVERY KOMMEN SIE SCHNELLER ANS ZIEL.

RELEASE AUF KNOPFDRUCK: MIT CONTINUOUS DELIVERY KOMMEN SIE SCHNELLER ANS ZIEL. RELEASE AUF KNOPFDRUCK: MIT CONTINUOUS DELIVERY KOMMEN SIE SCHNELLER ANS ZIEL. Die Erwartungen Ihrer Businesskunden an ihre IT steigen. Mehr denn je kommt es darauf an, die Software optimal am Kunden auszurichten

Mehr

Felix von Eye, Wolfgang Hommel, Stefan Metzger DR. TOPSCAN. Ein Werkzeug für die automatisierte Portscanauswertung in komplexen Netzinfrastrukturen

Felix von Eye, Wolfgang Hommel, Stefan Metzger DR. TOPSCAN. Ein Werkzeug für die automatisierte Portscanauswertung in komplexen Netzinfrastrukturen Felix von Eye, Wolfgang Hommel, Stefan Metzger DR. TOPSCAN Ein Werkzeug für die automatisierte Portscanauswertung in komplexen Netzinfrastrukturen Felix von Eye, Wolfgang Hommel, Stefan Metzger DR. TOPSCAN

Mehr

Maven 2 Softwareprojekte mit Kultur

Maven 2 Softwareprojekte mit Kultur Maven 2 Softwareprojekte mit Kultur Patrick Zeising 28.05.2010 Motivation Projekte unterscheiden sich stark im Aufbau Abläufe beim Übersetzen und Deployen unterscheiden sich stark

Mehr

Datenbankenseminar: SAP Reporting Vergleich ABAP vs. Quick View. Dipl. WiFo Sven Adolph

Datenbankenseminar: SAP Reporting Vergleich ABAP vs. Quick View. Dipl. WiFo Sven Adolph Datenbankenseminar: SAP Reporting Vergleich ABAP vs. Quick View Dipl. WiFo Sven Adolph Gehalten am Lehrstuhl PI III Prof. Moerkotte 28.11.2003 Übersicht 1. Motivation 2. Die betriebliche Standardsoftware

Mehr

Nachhaltige IT in der öffentlichen Verwaltung: Kontinuität und Kosteneffizienz Rechtliche Möglichkeiten im technischen und wirtschaftlichen Reality

Nachhaltige IT in der öffentlichen Verwaltung: Kontinuität und Kosteneffizienz Rechtliche Möglichkeiten im technischen und wirtschaftlichen Reality Nachhaltige IT in der öffentlichen Verwaltung: Kontinuität und Kosteneffizienz Rechtliche Möglichkeiten im technischen und wirtschaftlichen Reality Check Agenda Vorstellung Abhängigkeit von Software-Anbietern

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

easylearn Webservice lsessionservice Interface für Single Sign On (SSO)

easylearn Webservice lsessionservice Interface für Single Sign On (SSO) - 1 - easylearn Webservice lsessionservice Interface für Single Sign On (SSO) SDN AG, Solution Development Network Dezember 2008 - 2 - Inhaltsverzeichnis Inhaltsverzeichnis... 2 easylearn Webservice lsessionservice...

Mehr

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011 No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen Hamburg, 27.09.2011 Ausgangssituation Webanwendungen sind aus unserem heutigen Leben nicht mehr

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen Mit der aktuellen Version hält eine komplett neu konzipierte webbasierte Anwendung Einzug, die sich neben innovativer Technik auch durch ein modernes Design und eine intuitive Bedienung auszeichnet. Angefangen

Mehr

Test nichtfunktionaler Anforderungen in der Praxis am Beispiel einer netzzentrierten Anwendung. Test nichtfunktionaler Anforderungen Agenda

Test nichtfunktionaler Anforderungen in der Praxis am Beispiel einer netzzentrierten Anwendung. Test nichtfunktionaler Anforderungen Agenda Test nichtfunktionaler in der Praxis am Beispiel einer netzzentrierten Anwendung Februar 2011 Test nichtfunktionaler Agenda 1. 2. 3. 4. 5. 6. TAV Tagung Februar 2011 Julia Remmert Public Wincor Nixdorf

Mehr

Vergleich von Netzwerkbetriebssystemen Mag. Dr. Klaus Coufal. Mag. Dr. Klaus Coufal - Vergleich von Netzwerkbetriebssystemen - 9.5.

Vergleich von Netzwerkbetriebssystemen Mag. Dr. Klaus Coufal. Mag. Dr. Klaus Coufal - Vergleich von Netzwerkbetriebssystemen - 9.5. Vergleich von Netzwerkbetriebssystemen Mag. Dr. Klaus Coufal 1 Ziel Überblick über die Systeme am Markt Vorstellung der Systeme Vorteile und Nachteile der Systeme Einsetzbarkeit Entscheidungshilfen 2 Arten

Mehr

Installation Anleitung für JTheseus und MS SQL Server 2000

Installation Anleitung für JTheseus und MS SQL Server 2000 Installation Anleitung für JTheseus und MS SQL Server 2000 Inhaltsverzeichnis 1 Installation der Datenbank 3 1.1 Erstellen der Datenbank 3 1.2 Tabellen und Minimal Daten einlesen 4 1.3 Benutzer JTheseus

Mehr

OPNET s Application Response Expert (ARX)

OPNET s Application Response Expert (ARX) OPNET s Application Response Expert (ARX) Root Cause Analyse und End2End Monitoring für Web Anwendungen Summary Werden im IT Betrieb Probleme durch die Anwender gemeldet, müssen schnell Informationen aus

Mehr

Performance Tools. für alle Editionen

Performance Tools. für alle Editionen Performance Tools. für alle Editionen Andreas Cejna Kodachrome Cloud Control Bunt Umfangreich Mächtig Aber zu welchem Preis? Enterprise Edition in der DB Diagnostic Pack (Tuning Pack) Dark sideofthemoon

Mehr

ISA Server 2004 - Best Practice Analyzer

ISA Server 2004 - Best Practice Analyzer ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer

Mehr

Erfahrungen und Erkenntnisse. Klaus Richarz, HBT GmbH

Erfahrungen und Erkenntnisse. Klaus Richarz, HBT GmbH Erfahrungen und Erkenntnisse Klaus Richarz, HBT GmbH Java Enterprise Edition 5.0 JBoss Seam Konsequenzen für Realisierung Qualitätssicherung Build & Deployment Fazit & Empfehlungen JBoss Seam in Projekten,

Mehr

MappingTestTool. Werkzeug für automatisierte Mappingtests auf SAP PI / PO

MappingTestTool. Werkzeug für automatisierte Mappingtests auf SAP PI / PO MappingTestTool Werkzeug für automatisierte Mappingtests auf SAP PI / PO Regressionstests mit Integrationen (Non)SAP SAP PI / PO (Non)SAP Testfall erstellen Nachricht übertragen Routing Mapping Nachricht

Mehr

Testmanagement in IT-Projekten

Testmanagement in IT-Projekten Teil 1: Projektmagazin 05/20009 Teil 2: Projektmagazin 06/2009 1 Test: Prozess, bei dem ein Programm oder ein Software-System ausgeführt wird, um Fehler zu finden Teil 1: Projektmagazin 05/20009 Teil 2:

Mehr

Mobile Backend in der

Mobile Backend in der Mobile Backend in der Cloud Azure Mobile Services / Websites / Active Directory / Kontext Auth Back-Office Mobile Users Push Data Website DevOps Social Networks Logic Others TFS online Windows Azure Mobile

Mehr

Bedienerhandbuch. TCO-Inventar. Netzwerk Scanner

Bedienerhandbuch. TCO-Inventar. Netzwerk Scanner Bedienerhandbuch TCO-Inventar Netzwerk Scanner Zimmer IT-Solution Am Hart 9f 85375 Neufahrn Tel.: 08165 / 6476443 Fax.: 08165 / 6476445 www.zimmer-it-solution.de Inhaltsverzeichnis 1 Der Inventar-Scanner...4

Mehr

End-to-End Agility Sind Sie schon agil genug? Mag. Christoph Leithner c.leithner@celix.at

End-to-End Agility Sind Sie schon agil genug? Mag. Christoph Leithner c.leithner@celix.at End-to-End Agility Sind Sie schon agil genug? Mag. Christoph Leithner c.leithner@celix.at www.celix.at September 2015 celix Solutions GmbH Spezialist für Team Collaboration und IT Prozess Management Agile

Mehr

CIB DOXIMA PRODUKTINFORMATION

CIB DOXIMA PRODUKTINFORMATION > CIB Marketing CIB DOXIMA PRODUKTINFORMATION Dokumentenmanagement & Dokumentenarchivierung > Stand: Februar 2012 THE NEXT GENERATION DMS Mit neuen Ideen, innovativen Lösungen und dem Produkt CIB doxima

Mehr

Erfahrungsbericht zu JBoss SOA Platform 6 Tech Talk 2013, 17. Oktober 2013, Bern

Erfahrungsbericht zu JBoss SOA Platform 6 Tech Talk 2013, 17. Oktober 2013, Bern Erfahrungsbericht zu JBoss SOA Platform 6 Tech Talk 2013, 17. Oktober 2013, Bern Daniel Tschan Technischer Leiter Michael Zaugg Software-Ingenieur Motivation Puzzle Through 2016, companies will continue

Mehr

Polarion etwas anders genutzt. Eine Erfolgsgeschichte des Polarion Customizing

Polarion etwas anders genutzt. Eine Erfolgsgeschichte des Polarion Customizing Polarion etwas anders genutzt Eine Erfolgsgeschichte des Polarion Customizing Mein Name ist Guido Majewski Senior Consultant Software Development Process Improvements T-Systems Internation GmbH Service

Mehr

Nagios Reporting. Aufbau eines Nagios-Reporting- Frameworks. Bernd Erk 11.09.2008. http://www.netways.de

Nagios Reporting. Aufbau eines Nagios-Reporting- Frameworks. Bernd Erk 11.09.2008. http://www.netways.de Nagios Reporting Aufbau eines Nagios-Reporting- Frameworks Bernd Erk 11.09.2008 Kurzvorstellung Bernd Erk beruflich seit 2007 bei der NETWAYS GmbH zuvor 8 Jahre im Bereich Oracle und J2EE Consulting Datenbanktuning

Mehr

Mobile Backend in. Cloud. Azure Mobile Services / Websites / Active Directory /

Mobile Backend in. Cloud. Azure Mobile Services / Websites / Active Directory / Mobile Backend in Cloud Azure Mobile Services / Websites / Active Directory / Einführung Wachstum / Marktanalyse Quelle: Gartner 2012 2500 Mobile Internet Benutzer Desktop Internet Benutzer Internet Benutzer

Mehr

ALM mit Visual Studio Online. Philip Gossweiler Noser Engineering AG

ALM mit Visual Studio Online. Philip Gossweiler Noser Engineering AG ALM mit Visual Studio Online Philip Gossweiler Noser Engineering AG Was ist Visual Studio Online? Visual Studio Online hiess bis November 2013 Team Foundation Service Kernstück von Visual Studio Online

Mehr

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY

Mehr

Deploy von PHP-Applikationen

Deploy von PHP-Applikationen Deploy von PHP-Applikationen Jan Burkl System Engineer Zend Technologies Wer bin ich? Jan Burkl jan.burkl@zend.com PHP Entwickler seit 2001 Projektarbeit Bei Zend seit 2006 System Engineer Zend Certified

Mehr

Kontinuierliche Architekturanalyse. in 3D

Kontinuierliche Architekturanalyse. in 3D Kontinuierliche Architekturanalyse in 3D Stefan Rinderle Bachelor an der HS Karlsruhe Master "Software Engineering" in München / Augsburg Seit 2013 bei Payback 2 Software-Visualisierung Visualisierung

Mehr

Evaluation geeigneter Plugins im Bereich Web Application Vulnerabilities für die Integration ins ASTF

Evaluation geeigneter Plugins im Bereich Web Application Vulnerabilities für die Integration ins ASTF Evaluation geeigneter Plugins im Bereich Web Application Vulnerabilities für die Integration ins ASTF Seminararbeit Eingereicht bei Dr. Marc Rennhard Kevin Denver Winterthur, 20. November 2008 Abstract

Mehr

SaaS-Referenzarchitektur. iico-2013-berlin

SaaS-Referenzarchitektur. iico-2013-berlin SaaS-Referenzarchitektur iico-2013-berlin Referent Ertan Özdil Founder / CEO / Shareholder weclapp die Anforderungen 1.000.000 registrierte User 3.000 gleichzeitig aktive user Höchste Performance Hohe

Mehr

Werkzeuge für Datenbank Handwerker: IBM Data Studio und IBM Optim QWT

Werkzeuge für Datenbank Handwerker: IBM Data Studio und IBM Optim QWT Werkzeuge für Datenbank Handwerker: IBM Data Studio und IBM Optim QWT Neue Technologien effizient nutzen Ehningen, 3. Juli 2014 Rodney Krick rk@aformatik.de aformatik Training & Consulting GmbH & Co. KG

Mehr

Stuttgarter Test-Tage 2011 Der Fluch des grünen Balkens in sehr großen Projekten

Stuttgarter Test-Tage 2011 Der Fluch des grünen Balkens in sehr großen Projekten main {GRUPPE} Seite 1 Jürgen Nicolai Geschäftsführender Gesellschafter Liebknechtstrasse 33 70178 Stuttgart Tel : 0711 2270225 Fax : 0711 2270497 Mail : j.nicolai@main-gruppe.de Web: www.health4j.de Stuttgarter

Mehr

GitLab als alternative Entwicklungsplattform zu Github.com

GitLab als alternative Entwicklungsplattform zu Github.com Entwicklungsplattform zu Github.com Chemnitzer Linux-Tage 2015 21. März 2015 Ralf Lang Linux Consultant/Developer lang@b1-systems.de - Linux/Open Source Consulting, Training, Support & Development GitLab

Mehr

Buzzword Bingo Game Documentation (Java based Game)

Buzzword Bingo Game Documentation (Java based Game) Buzzword Bingo Game Documentation (Java based Game) Meppe Patrick Djeufack Stella Beltran Daniel April 15, 2011 1 Inhaltsverzeichnis 1 Einleitung 3 2 Aufgabenstellung 3 3 Allgemeines zu Buzzword Bingo

Mehr

Tutorial Grundlagen der Softwareverteilung

Tutorial Grundlagen der Softwareverteilung Tutorial Grundlagen der Softwareverteilung Inhaltsverzeichnis 1. Einführung... 3 2. Clientsysteme einrichten... 3 2.1 Den SDI Agent verteilen... 3 2.2 Grundeinstellungen festlegen... 4 3. Softwareverteiler...

Mehr

STOFF- IDENT. System DAIOS. Workshop: STOFF-IDENT & openmasp 18. / 19.04.2013 Freising. marco.luthardt@hswt.de

STOFF- IDENT. System DAIOS. Workshop: STOFF-IDENT & openmasp 18. / 19.04.2013 Freising. marco.luthardt@hswt.de STOFF- IDENT System DAIOS Workshop: STOFF-IDENT & openmasp 18. / 19.04.2013 Freising marco.luthardt@hswt.de Überblick 1. Plattform - Vorschau 2. openmasp (OM) 3. STOFF-IDENT(SI) 4. Plattform - Fazit Folie

Mehr

Test-Karussell. Automatisierte Qualitätssicherung im Round-Trip. Test-Karussell. Folie 1 08. November 2006

Test-Karussell. Automatisierte Qualitätssicherung im Round-Trip. Test-Karussell. Folie 1 08. November 2006 Automatisierte Qualitätssicherung im Round-Trip Folie 1 Test und Automatisierung Qualitätssicherung schafft (nur) Transparenz und ist aufwändig und teuer Testen kann die Qualität nicht verbessern 40-50%

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Agile Software Verteilung

Agile Software Verteilung Agile Software Verteilung Vortrag: René Steg Steg IT-Engineering, Zürich (Schweiz) Gründe für Agile Software-Verteilung Wenn Sie Hunderte von Servern mit vielen Anwendungen betreiben Verteilte Anwendungen

Mehr

Software Performance Lifecycle Management bei der DBV Winterthur

Software Performance Lifecycle Management bei der DBV Winterthur Ihr leistungsstarker Partner für die Integration aller qualitätsbezogener Aspekte einer Softwareentwicklung oder Softwareeinführung Software Performance Lifecycle Management bei der DBV Winterthur Alois

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr