Testing for and fixing common security issues

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Testing for and fixing common security issues"

Transkript

1 Testing for and fixing common security issues Fatih Kilic, Thomas Kittel [kilic Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universtität München F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

2 Übersicht 1 Organisation und Anforderungen 2 Bewertung 3 Zeitlicher Ablauf 4 Themen des Seminars 5 Literaturrecherche 6 Nächste Schritte F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

3 Organisation Seminar wird wie eine wissenschaftliche Konferenz abgehalten: 1 Einarbeitungsphase (ca. 2 Wochen) 2 Anfertigungsphase (ca. 6 Wochen) 3 Reviewphase (ca. 3 Wochen) 4 Verbesserungsphase (ca. 3 Wochen) 5 Vortragsvorbereitung (ca. 1 Wochen) 6 Präsentation und Diskussion F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

4 Anforderungen Ausarbeitung Abgabe eines wissenschaftliches Papiers mit ca. 10 Seiten Umfang Verwendung von L A TEX ist verpflichtend für alle Formatierung mit dem L A TEX-Stil des Springer-Verlags (LNCS) Reviews Jeder erstellt zwei anonyme Reviews über zwei andere Ausarbeitungen Umfang eines Reviews: ca. eine Seite in L A TEX Zusätzlich erhält jeder ein Review von uns Präsentation Vorbereitung einer Präsentation (Tool freigestellt) 45 Minuten freier Vortrag Anschließend 15 Minuten Diskussion F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

5 Bewertung Die Bewertung umfasst alle Eigenleistungen dieses Seminars und erfolgt nach folgendem Schlüssel: Ausarbeitung (50%) Vortrag (25%) Abgeliefertes Review (15%) Teilnahme an der Diskussion (10%) F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

6 Zeitlicher Ablauf Kickoff Regelmäßige Treffen (Anwesenheitspflicht) Abgabe Ergebnisse der Literaturrecherche, Gliederung der Ausarbeitung Vorträge Bis Abgabe der 1. Version der Ausarbeitung Ende der Vortragsphase Verteilung der Reviewthemen Bis Abgabe der Reviews Rückgabe der Reviews Bis Abgabe der finalen Version der Ausarbeitung Ende der Vorlesungen F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

7 Zeitlicher Ablauf April Juni Mai Juli F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

8 Organisation Bevor wir zu den Inhalten kommen... Fragen, Anmerkungen, Diskussionsbedarf? F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

9 Themen des Seminars Übersicht 1 Buffer Overflow 2 Format String Attacks 3 Return Oriented Programming 4 SQL Injection 5 Cross-site Scripting 6 Cross-site Request Forgery F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

10 Themen des Seminars (1) SQL-Injection J. Viegas, W. Halfond, and A. Orso, A Classification of SQL Injection Attacks and Prevention Techniques, Proceedings of the IEEE International Symposium on Secure Software Engineering (ISSSE), Washington D.C., USA, March 2006 Cross-Site Scripting Wassermann et. al., Static detection of cross-site scripting vulnerabilities, ACM/IEEE 30th International Conference on Software Engineering (ICSE), 2008 Cross-Site Request Forgery Adam Barth et. al., Robust Defenses for Cross-Site Request Forgery, 15th ACM Conference on Computer and Communications Security (CCS), 2008 F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

11 Themen des Seminars (2) Return oriented Programming (2 Themen) Ryan Roemer et. al., Return-Oriented Programming: Systems, Languages, and Applications ACM Trans. Info. & System Security, 2012 Checkoway et. al., Return-oriented programming without returns, Proceedings of the 17th ACM conference on Computer and communications security (CCS), Chicago, USA, 2010 Invalid Memory Writes Jonathan Brossard, Post memory corruption memory analysis, Black Hat USA 2011, Las Vegas, USA, 2011 F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

12 Themen des Seminars (3) Rainbow Tables Ph. Oechslin, Making a faster cryptanalytic time-memory trade-off, In Advances in Cryptology (CRYPTO), LNCS, Springer, 2003 Secure Coding R. Seacord, Secure coding in C and C++ of strings and integers, Security & Privacy, IEEE, 2006 Format String Attacks Ringenburg et. al., Preventing format-string attacks via automatic and efficient dynamic checking, Proceedings of the 12th ACM conference on Computer and communications security (CCS), Alexandria, USA, 2005 F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

13 Themen des Seminars (4) Buffer Exploits Aleph One, Smashing the stack for fun and profit, Phrack, Issue 49, File 14, 1996 redpantz, Microsoft IIS 7.5 remote heap buffer overflow, Phrack, Issue 68, File 12, 2012 huku, argp, A case study on jemalloc heap overflows, Phrack, Issue 68, File 12, 2012 blackngel, The House Of Lore: Reloaded, Phrack, Issue 67, File 8, 2010 F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

14 Themenvergabe Wer möchte welches Thema? F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

15 Literaturrecherche Ziele: Literatur zum Thema finden Wesentliche Argumente, Techniken oder Verfahren... 1 erkennen, 2 verstehen, 3 erläutern, 4 belegen können Thematik strukturieren Gliederung F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

16 Recherche & Quellen Gut Bücher, Bibliothek Schlecht Heise-Newsticker Wikipedia i. A. Webseite XYZ F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

17 Zugriff auf Literatur Über Webseite der Autoren Autoren stellen Papier oft auf eigene Homepage Finden weiterer Quellen über Google Scholar Über Springer, ACM, IEEE Download der Papiere kostenpflichtig TUM verfügt über vollen Zugriff Verwendung eines Proxy-Servers notwendig: wwwcache.informatik.tu-muenchen.de, Port 8080 Zugriff auf Proxy auf das TUM-Netz beschränkt F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

18 Nächste Schritte L A TEX-Einführung Bedarf vorhanden? Termin? ToDos in der Einarbeitungsphase 1 Literaturrecherche 2 Gliederung erstellen F. Kilic, T. Kittel (Lehrstuhl I20, TUM) Seminar: Common Securtiy Flaws / 18

Konferenzseminar IT-Sicherheit

Konferenzseminar IT-Sicherheit Konferenzseminar IT-Sicherheit SS 2014 Veranstalter: Felix Freiling, Hans-Georg Eßer Weitere Betreuer: Zinaida Benenson, Michael Gruhn, Norman Hänsch, Nadina Hintz, Sven Kälber, Philipp Klein, Werner Massonne,

Mehr

Web Application Security

Web Application Security Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von

Mehr

Literaturrecherche. für das Seminar Software Qualität im SS2014. Henning Femmer und Benedikt Hauptmann

Literaturrecherche. für das Seminar Software Qualität im SS2014. Henning Femmer und Benedikt Hauptmann Literaturrecherche für das Seminar Software Qualität im SS2014 Henning Femmer und Benedikt Hauptmann Unter Verwendung von Material von Dr. Florian Deißenböck und Prof. Dr. Stefan Wagner Lernziele und Inhalte

Mehr

Seminar aus Netzwerke und Sicherheit

Seminar aus Netzwerke und Sicherheit Seminar aus Netzwerke und Sicherheit Security in Business Applications Vorbesprechung 16.10.2008 Dr. Andreas Putzinger WS09/10 1 Intention Seminar kann als 2h BAK Seminar angerechnet werden. Zweiergruppen

Mehr

Web Application Security Testing

Web Application Security Testing Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags

Mehr

Einführung in die Programmiersprache C

Einführung in die Programmiersprache C Einführung in die Programmiersprache C 10 Sicheres Programmieren Alexander Sczyrba Robert Homann Georg Sauthoff Universität Bielefeld, Technische Fakultät Literatur Klein, Buffer Overflows und Format-String-Schwachstellen.

Mehr

Konzepte von Betriebssystem-Komponenten: Mehrkern-Echtzeitsysteme

Konzepte von Betriebssystem-Komponenten: Mehrkern-Echtzeitsysteme Konzepte von Betriebssystem-Komponenten: Mehrkern-Echtzeitsysteme Peter Ulbrich Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Friedrich-Alexander-Universität Erlangen-Nürnberg Wintersemester

Mehr

Einführung in die Programmiersprache C

Einführung in die Programmiersprache C Einführung in die Programmiersprache C 10 Sicheres Programmieren Alexander Sczyrba Robert Homann Georg Sauthoff Universität Bielefeld, Technische Fakultät Literatur Klein, Buffer Overflows und Format-String-Schwachstellen.

Mehr

Seminar im Sommersemester 2012 Prozessanalyse und Privatheit in Workflowmanagementsystemen http://dbis.ipd.kit.edu/1848.php

Seminar im Sommersemester 2012 Prozessanalyse und Privatheit in Workflowmanagementsystemen http://dbis.ipd.kit.edu/1848.php Seminar im Sommersemester 2012 Prozessanalyse und Privatheit in Workflowmanagementsystemen http://dbis.ipd.kit.edu/1848.php www.kit.edu 06.09 Veranstalter Institut für Programmstrukturen und Datenorganisation

Mehr

Seminar Programmierung und Reaktive Systeme

Seminar Programmierung und Reaktive Systeme Seminar Programmierung und Reaktive Systeme Qualitätssicherung Softwareintensiver Eingebetteter Systeme Betreuer: Sascha Lity Kick-Off Meeting 03.04.2013 1 Eingebettete Systeme Computersysteme (Software

Mehr

Techniken und Werkzeuge für die IT-Sicherheit im Cloud-Computing und in verteilten Systemen

Techniken und Werkzeuge für die IT-Sicherheit im Cloud-Computing und in verteilten Systemen 1/ 19 Techniken und Werkzeuge für die IT-Sicherheit im Cloud-Computing und in verteilten Systemen Sommersemester 2013 LS14 - Arbeitsgruppe Software Engineering for Critical Systems 15.04.2013 Agenda LS14

Mehr

Seminar im Sommersemester 2010 Datenbankanwendungen im Cloud Computing http://dbis.ipd.kit.edu/1535.php

Seminar im Sommersemester 2010 Datenbankanwendungen im Cloud Computing http://dbis.ipd.kit.edu/1535.php Seminar im Sommersemester 2010 Datenbankanwendungen im Cloud Computing http://dbis.ipd.kit.edu/1535.php www.kit.edu 06.09 Veranstalter Institut für Programmstrukturen und Datenorganisation (IPD) Lehrstuhl

Mehr

Werkzeugunterstützung für sichere Software

Werkzeugunterstützung für sichere Software 1/ 26 Werkzeugunterstützung für sichere Software Wintersemester 2013/14 LS14 - Arbeitsgruppe Software Engineering for Critical Systems 15.10.2013 Agenda LS14 - Arbeitsgruppe Software Engineering for Critical

Mehr

Software Engineering & Software Performance Engineering

Software Engineering & Software Performance Engineering Software Engineering & Software Performance Engineering Seminar Vorlage AG Software Engineering AG Software Engineering Seminarleitung: Prof. Dr. Wilhelm Hasselbring (wha) Betreuung:

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Seminar Ubiquitous Computing Bachelor / Seminar Ubiquitous Computing Master

Seminar Ubiquitous Computing Bachelor / Seminar Ubiquitous Computing Master Seminar Ubiquitous Computing Bachelor / Seminar Ubiquitous Computing Master Institute of Operating Systems and Computer Networks Abteilung DUS Monty Beuster TU Braunschweig Institute of Operating Systems

Mehr

Sicherheit in Software

Sicherheit in Software Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Wie schreibt man eine Ausarbeitung?

Wie schreibt man eine Ausarbeitung? Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik TU München Wie schreibt man eine Ausarbeitung? Prof. Dr.-Ing. Georg Carle Lehrstuhl für Netzarchitekturen und Netzdienste TU München

Mehr

Seminar Security in Cloud Computing

Seminar Security in Cloud Computing Seminar Security in Cloud Computing Kick-Off 10. November 2011 Marco Ghiglieri Prof. Dr. Michael Waidner http://blog.euroweb.de/glossar/cloud-computing/ Security in Information Technology Prof. Waidner

Mehr

Proseminar Kickoff WS 2010/11. Willkommen zum Proseminar Kickoff Software Engineering für Sichere Systeme Systeme für den Zahlungsverkehr

Proseminar Kickoff WS 2010/11. Willkommen zum Proseminar Kickoff Software Engineering für Sichere Systeme Systeme für den Zahlungsverkehr Willkommen zum Software Engineering für Sichere Systeme Systeme für den Zahlungsverkehr Agenda Betreuer Präsentationsseminar Vorgaben Ausarbeitung Vorgaben Vortrag Milestones Notenbildung Sonstiges Organisatorisches

Mehr

Vertiefte Themen in Mobilen und Verteilten Systemen

Vertiefte Themen in Mobilen und Verteilten Systemen Seminar Vertiefte Themen in Mobilen und Verteilten Systemen Veranstalter: Prof. Dr. Linnhoff-Popien Durchführung: Sebastian Feld Seminar Trends in Mobilen und Verteilten Systemen Folie 1 Termine Termine

Mehr

Organisatorisches. Proseminar Technische Informatik - 18. Oktober 2013

Organisatorisches. Proseminar Technische Informatik - 18. Oktober 2013 Organisatorisches Proseminar Technische Informatik - 18. Oktober 2013 Michael Frey Distributed, embedded Systems Computer Systems and Telematics (CST) Freie Universität Berlin http://cst.mi.fu-berlin.de

Mehr

Seminar: IT-Sicherheit in eingebetteten, automotiven Systemen

Seminar: IT-Sicherheit in eingebetteten, automotiven Systemen Seminar: IT-Sicherheit in eingebetteten, automotiven Systemen Christoph Krauß, Frederic Stumpf {christoph.krauss frederic.stumpf}@sit.fraunhofer.de Fraunhofer-Institute for Secure Information Technology

Mehr

Vorlesung Automotive Software Engineering Prüfung Sommersemester 2015

Vorlesung Automotive Software Engineering Prüfung Sommersemester 2015 Vorlesung Automotive Software Engineering Prüfung Sommersemester 2015 Prof. Dr. rer. nat. Bernhard Hohlfeld Bernhard.Hohlfeld@mailbox.tu-dresden.de Technische Universität Dresden, Fakultät Informatik Honorarprofessur

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Application Requirements Engineering

Application Requirements Engineering Application Requirements Engineering - Fokus: Ableitung von Produktanforderungen - Günter Halmans / Prof. Dr. Klaus Pohl Software Systems Engineering ICB (Institute for Computer Science and Business Information

Mehr

PS Kryptographie und IT-Sicherheit. Thema: Software-Sicherheit. Thomas Loch, Michael Streif 2012

PS Kryptographie und IT-Sicherheit. Thema: Software-Sicherheit. Thomas Loch, Michael Streif 2012 PS Kryptographie und IT-Sicherheit Thema: Software-Sicherheit Thomas Loch, Michael Streif 2012 Malicious / Invalid Input Exploits nutzen Nebeneffekte von ungültigen Benutzereingaben aus, die vom Programmierer

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Ausgewählte Themen des Modellbasierten Sicherheits-Engineerings

Ausgewählte Themen des Modellbasierten Sicherheits-Engineerings 1/ 16 Ausgewählte Themen des Modellbasierten Sicherheits-Engineerings Wintersemester 2014/15 LS14 - Arbeitsgruppe Software Engineering for Critical Systems 9.10.2014 Agenda LS14 - Arbeitsgruppe Software

Mehr

Moderne Programmierparadigmen

Moderne Programmierparadigmen Moderne Programmierparadigmen Seminar Softwaretechnik WS 2010/2011 Dr.-Ing. Ina Schaefer Software Systems Engineering TU Braunschweig Ina Schaefer Seminar MPP 1 Allgemeine Informationen Dr.-Ing Ina Schaefer

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

IT-Sicherheit Prof. Dr. Claudia Eckert

IT-Sicherheit Prof. Dr. Claudia Eckert IT-Sicherheit Prof. Dr. Claudia Eckert Technische Universität München Organisatorisches: Vorlesung 3 SWS, Übung 1 SWS: 5 Credit-Points Mi 16:00-17:30 MI HS2 (Vorlesung) Do 16:15-17:00 MI HS2 (Vorlesung)

Mehr

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen Hacker unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen physikalischer Zugang möglich im LAN des Opfers außerhalb physikalischer Zugang wie kriegt man den? Diebstahl

Mehr

Redundanz und Replikation

Redundanz und Replikation Redundanz und Replikation Fehlertoleranz auf Systemebene Kurt Kanzenbach Friedrich Alexander Universität Erlangen-Nürnberg 25. November 2014 1 / 29 Redundanz und Replikation Replikation Replikation: Koordinierter

Mehr

Wintersemester 2012/13 SE Dystopien der Informatik III Die dunkle Seite der Macht. Jörg

Wintersemester 2012/13 SE Dystopien der Informatik III Die dunkle Seite der Macht. Jörg Wintersemester 2012/13 SE Dystopien der Informatik III Die dunkle Seite der Macht Einführung in die wissenschaftliche Arbeitsweise und grundlegende Vortragstechniken, Diskursanalyse, Diskussionsleitung,

Mehr

Relevante Sicherheitskriterien aktueller mobiler Plattformen

Relevante Sicherheitskriterien aktueller mobiler Plattformen Relevante Sicherheitskriterien aktueller mobiler Plattformen RTR-Workshop Sicherheit mobiler Endgeräte Thomas Zefferer Zentrum für sichere Informationstechnologie - Austria Motivation RTR-Workshop Sicherheit

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Vortreffen. Master-Seminar Aktuelle Themen der IT-Sicherheit. Prof. Holz Arbeitsgruppe Embedded Malware http://emma.rub.de

Vortreffen. Master-Seminar Aktuelle Themen der IT-Sicherheit. Prof. Holz Arbeitsgruppe Embedded Malware http://emma.rub.de Vortreffen Master-Seminar Aktuelle Themen der IT-Sicherheit Prof. Holz Arbeitsgruppe Embedded Malware http://emma.rub.de Übersicht Kurze Vorstellung der Arbeitsgruppe Organisatorische Aspekte des Seminars

Mehr

Verteilte Systeme Prof. Dr. Stefan Fischer

Verteilte Systeme Prof. Dr. Stefan Fischer TU Braunschweig Institut für Betriebssysteme und Rechnerverbund Organisation und Überblick Überblick Organisation der Veranstaltung Prüfungen Inhaltsüberblick Voraussetzungen Literatur 0-2 Organisation

Mehr

Alexander Piehl Grundseminar WS14/15

Alexander Piehl Grundseminar WS14/15 Alexander Piehl Grundseminar WS14/15 Inhaltsverzeichnis Motivation Model-Based Testing Aktueller Stand der Forschung Aufgaben und Zielsetzung 27.11.2014 2 27.11.2014 3 Motivation Beruflich mit Software

Mehr

Virtuelles Hacking Labor Sicherheit im WLAN

Virtuelles Hacking Labor Sicherheit im WLAN Virtuelles Hacking Labor Sicherheit im WLAN Prof. Dr. holger.schmidt[at]hs-duesseldorf.de Hochschule Düsseldorf Fachbereich Medien Professur für Informatik, insb. IT-Sicherheit http://medien.hs-duesseldorf.de/schmidt

Mehr

Finanzcontrolling-Seminar im Wintersemester. "Regulierung nach der Finanzkrise - Welche

Finanzcontrolling-Seminar im Wintersemester. Regulierung nach der Finanzkrise - Welche Finanzcontrolling-Seminar im Wintersemester 2009/10 "Regulierung nach der Finanzkrise - Welche Antworten liefert das Controlling?" Lehrstuhl für BWL Controlling Prof. Dr. Gunther Friedl Technische Universität

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T +41 55 214 41 60 F +41 55 214 41 61 team@csnc.ch www.csnc.ch

Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T +41 55 214 41 60 F +41 55 214 41 61 team@csnc.ch www.csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona T +41 55 214 41 60 F +41 55 214 41 61 team@csnc.ch www.csnc.ch Cyber Alpen Cup 2013 11. November 2013 Inhaltsverzeichnis 1 CYBER ALPEN CUP

Mehr

Seminar Cloud Computing Patterns

Seminar Cloud Computing Patterns Seminar Cloud Computing Patterns Institute of Architecture of Application Systems (IAAS) Prof. Dr. Dr. h.c. Frank Leymann Michael Falkenthal Oliver Kopp IAAS, Richtlinien und Hinweise für das Seminar 1

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Beispiel Automatischer Patch Download Security Updates und Antivirus-Lösungen

Beispiel Automatischer Patch Download Security Updates und Antivirus-Lösungen Kundentag - Cybersicherheit für Industrieanlagen - 22.10.2015, Volker Albert, ABB Beispiel Automatischer Patch Download Security Updates und Antivirus-Lösungen Slide 2 Mehrere Verteidigungsebenen (Defense

Mehr

Seminar. Web Engineering

Seminar. Web Engineering Verteilte und selbstorganisierende Rechnersysteme WS12/13 SS 11 Seminar Web Engineering Prof. Dr.-Ing. Martin Gaedke, Dipl.-Inf. Olexiy Chudnovskyy, Sebastian Heil M.Sc. Technische Universität Chemnitz

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

So#ware Engineering verteilter Systeme. Hauptseminar im SS 2013

So#ware Engineering verteilter Systeme. Hauptseminar im SS 2013 So#ware Engineering verteilter Systeme Hauptseminar im SS 2013 Organisatorisches n Bewerbung Email an Betreuer (hhp://www.informakk.uni- augsburg.de/lehrstuehle/swt/vs/mitarbeiter/) Name, Matrikelnummer,

Mehr

Eclipse Neue Trends in der Eclipse-Technologie (Seminar WS 2012/13) Gabriele Taentzer, Thorsten Arendt

Eclipse Neue Trends in der Eclipse-Technologie (Seminar WS 2012/13) Gabriele Taentzer, Thorsten Arendt Eclipse Neue Trends in der Eclipse-Technologie (Seminar WS 2012/13) Gabriele Taentzer, Thorsten Arendt ORGANISATION (TEIL 1) 2 Thorsten Arendt: Seminar Eclipse Organisation des Seminars Umfang: 2 SWS,

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Seminar Kommunikation und Multimedia

Seminar Kommunikation und Multimedia Seminar Kommunikation und Multimedia Network Security Advanced Network Security Institut für Betriebssysteme und Rechnerverbund Technische Universität Braunschweig 14.04.2010 IBR, TU Braunschweig 1 Ablauf

Mehr

Seminar Timed Automata

Seminar Timed Automata Einführungsveranstaltung Thomas Noll Henrik Bohnenkamp Software Modeling and Verification Group 17. Juli 2008 Zielsetzung Einführung Termine Themen Inhalt des Seminars Methoden zur Gewährleistung der Korrektheit

Mehr

Attacking Adjacent Layers

Attacking Adjacent Layers Moritz Jodeit IT Security Consultant Attacking Adjacent Layers This text is for the internal use of the Customer and n.runs AG only. No part of this publication may be reproduced, transmitted, transcribed,

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Proseminar Computergrafik

Proseminar Computergrafik Proseminar Computergrafik Prof. Dr. Stefan Müller, Martin Schumann Sommersemester 2010 Institut für Computervisualistik Universität Koblenz Über mich Dipl-Inform Martin Schumann Mail: martin.schumann@uni-koblenz.de,

Mehr

Anne Groß GI Fachgruppentreffen RE, 24./25.11.2011, Hamburg

Anne Groß GI Fachgruppentreffen RE, 24./25.11.2011, Hamburg Anforderungen an die Anforderungsspezifikation aus Sicht von Architekten und Usability Experten Anne Groß GI Fachgruppentreffen RE, 24./25.11.2011, Hamburg --- Motivation --- 2 Motivation Informationsquelle

Mehr

IT-Security-Standardisierung in der Automobilindustrie: Ein Einblick & ein Ausblick

IT-Security-Standardisierung in der Automobilindustrie: Ein Einblick & ein Ausblick IT-Security-Standardisierung in der Automobilindustrie: Ein Einblick & ein Ausblick Marko Wolf ESCRYPT GmbH Embedded Security KITS Konferenz 2014, 30. Juni 2014 DIN Koordinierungsstelle IT-Sicherheit (KITS)

Mehr

connect.it Campus Literaturverwaltung mit Mendeley

connect.it Campus Literaturverwaltung mit Mendeley connect.it Campus Literaturverwaltung mit Mendeley Philipp Küller, 22.09.2015 Wann benötigen Sie Literatur? u Proseminar à Literaturanalyse u Seminar à Literaturanalyse u Projektstudie à Recherche, Berichtsband

Mehr

2011 Lehrveranstaltung End User Programming 3.0/2.0 VU

2011 Lehrveranstaltung End User Programming 3.0/2.0 VU 2011 Lehrveranstaltung End User Programming 3.0/2.0 Orientierung & Unit 1: Eine Definition und grobe Übersicht Unit 2: Kriterien für EUP Unit 3: Beispielhafte EUP Systeme Unit 4: End-User Testing Ziele

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Komfort vs. Sicherheit. Prof. Dr. Klaus-Peter Kossakowski HAW Hamburg // DFN-CERT Services GmbH

Komfort vs. Sicherheit. Prof. Dr. Klaus-Peter Kossakowski HAW Hamburg // DFN-CERT Services GmbH Komfort vs. Sicherheit Prof. Dr. Klaus-Peter Kossakowski HAW Hamburg // DFN-CERT Services GmbH 2003-2011 DFN-CERT Services GmbH / Bochum // 19. Mai 2015 Folie 1 Fakt ist... Heute sind wir Menschen das

Mehr

Seitenkanalangriffe im Web

Seitenkanalangriffe im Web Seitenkanalangriffe im Web Sebastian Schinzel Friedrich-Alexander Universität Erlangen-Nürnberg Lehrstuhl für Informatik 1 IT-Sicherheitsinfrastrukturen Supported by Deutsche Forschungsgemeinschaft (DFG)

Mehr

Seminar Fehlertoleranz und Echtzeit

Seminar Fehlertoleranz und Echtzeit Seminar Fehlertoleranz und Echtzeit Vorbesprechung, Themenvergabe http://ess.cs.tu-dortmund.de/de/teaching/ws2015/ftrt/ Hendrik Borghorst, Ulrich Gabor, Boguslaw Jablkowski, Olaf Spinczyk vorname.nachname@tu-dortmund.de

Mehr

Seminar aus Programmiersprachen. Markus Raab LVA

Seminar aus Programmiersprachen. Markus Raab LVA Seminar aus Programmiersprachen Markus Raab LVA 185.307 09.03.2016 Outline Problem description Topics Seminar course Grading Select date Choose topic+registration Elektra's

Mehr

Software-Qualität Ausgewählte Kapitel. Messung und Prognose von interner Software-Qualität"

Software-Qualität Ausgewählte Kapitel. Messung und Prognose von interner Software-Qualität Institut für Informatik! Martin Glinz Software-Qualität Ausgewählte Kapitel Kapitel 11 Messung und Prognose von interner Software-Qualität" 2011 Martin Glinz. Alle Rechte vorbehalten. Speicherung und Wiedergabe

Mehr

Seminarvortrag - Beiträge zum Software Engineering SoSe 11. Prototyping. Björn Kahlert Institut für Informatik Freie Universität Berlin 09.06.

Seminarvortrag - Beiträge zum Software Engineering SoSe 11. Prototyping. Björn Kahlert Institut für Informatik Freie Universität Berlin 09.06. Seminarvortrag - Beiträge zum Software Engineering SoSe 11 Prototyping Björn Kahlert Institut für Informatik Freie Universität Berlin 09.06.2011 Gliederung 1. Definition & Motivation 2. Klassifikation

Mehr

Zielsetzung des Seminars IT Dienstleistungen in der Praxis Siemens Enterprise Communications Capgemini Gruppeneinteilung und Formales

Zielsetzung des Seminars IT Dienstleistungen in der Praxis Siemens Enterprise Communications Capgemini Gruppeneinteilung und Formales Seminar: Current Issues in IT-Service-Management Prof. Dr. Rüdiger Zarnekow TU Berlin, Fakultät VIII Institut für Technologie und Management Kommunikationsmanagement Agenda Zielsetzung des Seminars IT

Mehr

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

Sichere Mobile Systeme Prof. Dr. Claudia Eckert Organisatorisches:

Sichere Mobile Systeme Prof. Dr. Claudia Eckert Organisatorisches: Sichere Mobile Systeme Prof. Dr. Claudia Eckert Organisatorisches: Technische Universität München Vorlesung 2 SWS, Übung 1 SWS: 4 ECTS Mi 10:30-12:00 Uhr, MI 00.08.038 (Vorlesung) Do 13:00-13:45 Uhr, MI

Mehr

Seminar Kommunikation und Multimedia Test of Time Paper Award. Tobias Pögel

Seminar Kommunikation und Multimedia Test of Time Paper Award. Tobias Pögel Seminar Kommunikation und Multimedia Test of Time Paper Award Tobias Pögel Test of Time Paper Award ACM SIGCOM: Konferenz und Gesellschaft im Bereich Kommunikation und Computernetzwerke Test of Time Paper

Mehr

Sicherheitslabor Einführung

Sicherheitslabor Einführung Faculty of Computer Science Institute of Systems Architecture Chair of Privacy and Data Security Sicherheitslabor Einführung Dr.-Ing. Stefan Köpsell Lehrveranstaltung Sicherheitslabor Überblick Ziel: Vermittlung

Mehr

Seminar: Informationsmanagement in Versicherungen

Seminar: Informationsmanagement in Versicherungen Seminar: Informationsmanagement in Versicherungen Anmeldung & Themenübersicht Achim Klein, Dominic, Tobias Häusser Universität Hohenheim Wirtschaftsinformatik 2 Hohenheim, 23.08.2011 Inhalt des Seminars

Mehr

Seminar- und Vortragsvorbereitung

Seminar- und Vortragsvorbereitung Seminar- und Vortragsvorbereitung - der Schlüssel zum erfolgreichen Seminarvortrag...... liegt bei jedem selbst Cornelia Denz Institut für Angewandte Physik WWU Ziel eines Seminars Einführung in ein wissenschaftliches

Mehr

Wie schreibt man eine Masterarbeit in drei Tagen?

Wie schreibt man eine Masterarbeit in drei Tagen? Wie schreibt man eine Masterarbeit in drei Tagen? Magnus Pfeffer, Kai Eckert, Philipp Zumstein (Universitätsbibliothek Mannheim) Best-Practice-Wettbewerb Informationskompetenz 103. Deutscher Bibliothekartag

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Large-scale Incremental Processing Using Distributed Transactions and Notifications

Large-scale Incremental Processing Using Distributed Transactions and Notifications Percolator Large-scale Incremental Processing Using Distributed Transactions and Notifications Daniel Peng and Frank Dabek 1 Ausgangslage 10 12 10 16 10 9 Webseiten Byte Daten Updates/Tag 2 MapReduce Batch-Job

Mehr

Die Programmiersprache Java. Dr. Wolfgang Süß Thorsten Schlachter

Die Programmiersprache Java. Dr. Wolfgang Süß Thorsten Schlachter Die Programmiersprache Java Dr. Wolfgang Süß Thorsten Schlachter Eigenschaften von Java Java ist eine von der Firma Sun Microsystems entwickelte objektorientierte Programmiersprache. Java ist......a simple,

Mehr

Präsentationstechnik. Priv.-Doz. Dr.-Ing. habil. Peter Wilke. Informatik 2 Programmiersysteme Martensstraße 3 91058 Erlangen

Präsentationstechnik. Priv.-Doz. Dr.-Ing. habil. Peter Wilke. Informatik 2 Programmiersysteme Martensstraße 3 91058 Erlangen Präsentationstechnik 0. Organisatorisches Priv.-Doz. Dr.-Ing. habil. Peter Wilke Informatik 2 Programmiersysteme Martensstraße 3 91058 Erlangen Wieso, weshalb, warum PT? Weil das Thema zunehmend an Bedeutung

Mehr

Advanced Exploiting. tk, tk@trapkit.de IT-DEFENSE 2005

Advanced Exploiting. tk, tk@trapkit.de IT-DEFENSE 2005 Advanced Exploiting tk, tk@trapkit.de IT-DEFENSE 2005 Stand der Dinge Schutzmechanismen werden ausgereifter (Netz/Host) Trend zu mehr Komplexität ( ( CP AI/WI, Parser, ) Logische Konsequenzen für Angreifer:

Mehr

Wissenschaftliches Arbeiten

Wissenschaftliches Arbeiten Wissenschaftliches Arbeiten Schriftliche Ausarbeitungen Guido de Melo Seite 2 Ablauf von Seminaren Blockseminar Themenvergabe Recherche Ausarbeitung Review Vortrag/Präsentation Seite 3 Lernziele Eigenständige

Mehr

Buffer Overflow 1c) Angriffsstring: TTTTTTTTTTTTTTTT (16x) Beachte: Padding GCC-Compiler Zusatz: gcc O2 verhindert hier den Angriff (Code Optimierung)

Buffer Overflow 1c) Angriffsstring: TTTTTTTTTTTTTTTT (16x) Beachte: Padding GCC-Compiler Zusatz: gcc O2 verhindert hier den Angriff (Code Optimierung) Buffer Overflow 1c) 1 char passok='f'; 2 char password[8]; 3 printf( Passwort: ); 4 gets(password); 5 if(!strcmp(password, daspassw )){passok = 'T';} 6 if(passok=='t'){printf( %s, Willkommen! );} 7 else

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Seminar Programmierung und Reaktive Systeme

Seminar Programmierung und Reaktive Systeme Seminar Programmierung und Reaktive Systeme Qualitätssicherung Softwareintensiver Eingebetteter Systeme Betreuer: Sascha Lity, Hauke Baller in Kooperation mit dem Institut für Softwaretechnik und Fahrzeuginformatik

Mehr

Proseminar String Matching

Proseminar String Matching Proseminar Textsuche Proseminar String Matching PD Dr. habil. Hanjo Täubig Lehrstuhl für Theoretische Informatik (Prof. Dr. Susanne Albers) Institut für Informatik Technische Universität München Wintersemester

Mehr

Proseminar - Data Mining

Proseminar - Data Mining Proseminar - Data Mining SCCS, Fakultät für Informatik Technische Universität München SS 2014, SS 2014 1 Data Mining: Beispiele (1) Hausnummererkennung (Klassifikation) Source: http://arxiv.org/abs/1312.6082,

Mehr

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Vorlesung 4: Sommersemester 2015 h_da, Lehrbeauftragter Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP

Mehr

Wissenschaftliches Arbeiten (184.690)

Wissenschaftliches Arbeiten (184.690) Wissenschaftliches Arbeiten (184.690) Literatursuche Reinhard Pichler und Stefan Woltran Institut für Informationssysteme Arbeitsbereich "Datenbanken und Artificial Intelligence" Sommersemester 2015 Wissenschaftliche

Mehr

Motivation Schwellenwertverfahren Shamir Sicherheitsaspekte Zugriffsstrukturen Quellen. Secret Sharing. Das Teilen von Geheimnissen.

Motivation Schwellenwertverfahren Shamir Sicherheitsaspekte Zugriffsstrukturen Quellen. Secret Sharing. Das Teilen von Geheimnissen. Secret Sharing Das Teilen von Geheimnissen Stefan Kluge 20.01.2017 Motivation Schutz wichtiger Systeme vor unberechtigtem Zugriff, z.b. Schatzkarte Datenbanken Atomwaffen Wie können Geheimnisse vor Verlust

Mehr

Web Engineering Prof. Dr. Martin Gaedke, Dipl.-Inf. Olexiy Chudnovskyy

Web Engineering Prof. Dr. Martin Gaedke, Dipl.-Inf. Olexiy Chudnovskyy Verteilte und selbstorganisierende Rechnersysteme WS SS 11/12 Seminar Web Engineering Prof. Dr. Martin Gaedke, Dipl.-Inf. Olexiy Chudnovskyy Technische Universität Chemnitz Fakultät für Informatik Professur

Mehr

Hackerpraktikum SS 202

Hackerpraktikum SS 202 Hackerpraktikum SS 202 Philipp Schwarte, Lars Fischer Universität Siegen April 17, 2012 Philipp Schwarte, Lars Fischer 1/18 Organisation wöchentliche Übung mit Vorlesungsanteil alle zwei Wochen neue Aufgaben

Mehr

Seminar: Software Engineering verteilter Systeme

Seminar: Software Engineering verteilter Systeme Seminar: Software Engineering verteilter Systeme Hauptseminar im Sommersemester 2011 Programmierung verteilter Systeme Institut für Informatik Universität Augsburg 86135 Augsburg Tel.: +49 821 598-2118

Mehr