Web Application Security und der Einsatz von Web Application Firewalls

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Web Application Security und der Einsatz von Web Application Firewalls"

Transkript

1 Web Application Security und der Einsatz von Web Application Firewalls Philipp Etschel, BSc opennetworks.at fhstp.ac.at

2 2 Agenda: Warum überhaupt eine WAF einsetzen? Funktionsweise einer WAF Welche Web- Technologien kommen in Frage Ändern der Source vs. Einsatz einer WAF OWASP Top Ten Gegen welche schützt mich eine WAF wirklich. Absichern einer Applikation mittels Phions Airlock

3 3 Warum überhaupt eine WAF einsetzen?

4 4 Fakt: Moderne Webapplikationen sind auf mehrere Schichten verteilt

5 5 Resultat(1): Jede Komponente ist verwundbar / kann Bugs aufweisen OWASP CWE listet 800 Vulnerabilities Vulnerability Scanning testet nur gegen einen Snapshot Bug muss immer noch behoben werden Was passiert wenn sich die Applikation ändert? FW/IDS/IPS können keinen User State erkennen

6 6 Resultat(2): Die geläufigsten Vulnerabilities beruhen auf fehlerhafter Input Validierung SQL Injection Cross Side Scripting (XSS) LDAP Injection XML Injection Xpath Injection Command Injection Und eine ganze Menge mehr

7 7 Lösung: Vorgelagerte Security Schnelles Patchen nach bekanntwerden von Schwächen in der Applikation ist möglich Absicherung von Applikationen mit denen sich niemand mehr auskennt Für Provider deren Kunden immer noch darauf bestehen Register_Globals zu verwenden Zentraler Einstiegspunkt ins Backend Vorgeschrieben z.b. durch den Payment Industry Standart

8 8 Nutzen einer WAF Nutzen einer WAF Gering Mittel Hoch Voller Zugriff auf Source und Entwickler Viel selbst entwickelt, wenig eingekauft Viel eingekauft, kein Produkt Sourcecode Applikation als Blackbox Voll Teilweise Wenig Gar nicht Zugriff auf Applikation

9 9 Wie funktioniert eine WAF?

10 10 WAF - Funktionsweise Implementiert als vorgelagerte BOX Reverse Proxy Eigentliche Applikation bleibt unberührt Filterung des Traffics auf Anwendungsebene Filterung erfolgt mittels eines Regelwerkes Regular Expressions Je nach Hersteller unterschiedliche Zusatzfeatures Virenscanner Authentifizierung SSL VPN etc. Konfiguration erfolgt über ein Webinterface

11 11 WAF als Reverse Proxy

12 12 Airlock Multi Stage Filter 1 Network Level Filter Self-controlled 2 SSL Termination Self-controlled 3 Protocol Validation and Rebuilding Self-controlled 4 Character Encoding und Unicode Validation Self-controlled 5 Cookie Protection Self-controlled 6 Request Validation Customizable 7 Attack Blocking Customizable 8 URL Encryption Self-controlled 9 Smart Form Protection Self-controlled 10 Response Content Filter and Rewriting Customizable

13 13 Request Validation & Attack Blocking Request Validation Attack Blocking HTTP Request White List Rules Matches one or more Black List Rules Does not violate any Alert Block Alert Block

14 14 1. White List Filter HTTP Filter Rule Accept Only Source IP Address Requests From /24 URL Path Content Type HTTP Method Parameter Name Restriction Parameter Value Restriction Character Sets General Length Restrictions Access To Path -> / login.asp multipart/form-data, application/x-wwwform-urlencoded POST/GET Parameters -> UserID, Password... Values with 4-8 Characters and other Restrictions Charsets ISO , UTF-8 Max Path Length, Max Parameters etc.

15 15 2. Black List Filter Deny SQL Injection Cross Side Scripting Non- Printable Characters HTTP Response Splitting Path/Directory Traversal Illegal Unicode Sequences Selbst Definierte Regeln

16 16 Welche Webtechnologien können geschützt werden?

17 17 Absicherung diverser Technologien (1) Optimal: statisches HTML über HTTP Jede Abweichung davon bedeutet Einbußen in der Security, oder einen Mehraufwand bei der Konfiguration Filterung erfolgt Hauptsächlich auf HTTP Ebene Somit ist der Einsatz von nicht HTML konformen Technologien denkbar Jedoch in der Praxis unrealistisch, da die Inhalte z.b. mit SOAP/XML, AMF, JSON etc. übermittelt und somit nicht gefiltert werden können.

18 18 Abicherung diverser Technologien (2) Beispiel Rest Query: eviceid&$expand=admin,place URL Parameter können abgesichert werden Problem 1: Inhalte werden jedoch per XML oder JSON übermittelt, diese werden somit nicht gefiltert -> XSS wäre z.b. wieder möglich

19 19 Absicherung diverser Technologien (3) (Generelles) Problem 2: Da Requests Asynchron im Hintergrund übermittelt werden, kriegt der User ggf. von einem Fehler nichts mit -> es passiert einfach nichts!

20 20 Absicherung diverser Technologien (4) Zusammenfassung: Nur HTTP möglich Unabhängigkeit vom Web Application Server Am Besten HTML Einsetzen Problematisch bei HTML: Absolute Links Dynamisches Anlegen von Cookies Dynamisch generierte URL s Dynamisch generierte Forms + Form Inhalte

21 21 Code vs. WAF Womit ist Sicherheit besser umzusetzen?

22 22 Vergleich Coden vs. WAF Beispiel: Programmatische Absicherung einer Java Webapplikation gegen Cross Site Scripting Anmerkung: Die Programmiersprache ist an sich irrelevant, da die Schritte immer die selben sind

23 23 Filtern 1: White List Filterung final String inputstr = request.getparameter("input"); final String numericpattern = "^\\d+$"; if (!inputstr.matches(numericpattern)) { // invalid input, do something with error } Z.B. nur Numerische Werte zulassen Vorteil: sehr sicher Nachteil: Muss für jeden Parameter festgelegt werden -> Arbeitsintensiv

24 24 Filtern 2: Ersetzen / * regular expression that * tests for the existence of malicious characters * and replaces them with a space. */ final String filterpattern="[<>{}\\[\\];\\&]"; String inputstr = s.replaceall(filterpattern," "); Was ist jedoch wenn die Sonderzeichen dargestellt werden sollen, etwa in einem Forum?

25 25 Encoding (1) public static String encode(string data) { final StringBuffer buf = new StringBuffer(); final char[] chars = data.tochararray(); for (int i = 0; i < chars.length; i++) { buf.append("&#" + (int) chars[i]); } } return buf.tostring(); Vorteil: Sonderzeichen können dargestellt werden Nachteil: Kann leicht umgangen werden

26 26 Encoding (2) Filter können durch Encodierten Input umgangen werden z.b: >alert("hello XSS!");</script> 3%63%72%69%70%74%3e%61%6c%65%72%74%28%2 2%48%65%6c%6c%6f%20%58%53%53%21%22%29;%3 c/%73%63%72%69%70%74%3e

27 27 Encoding (3) Decodieren (Normalisieren) des Inputs bevor dieser Encodiert (Escaped) und wieder ausgegeben wird Durchgängiges Einhalten des Zeichensatzes in der Applikation (UTF-8, ISO , etc.) <HEAD> <META http-equiv="content-type" content="text/html; charset=iso "> </HEAD>

28 28 Vergleich: Coden vs. WAF Wie schaut das ganze nun mit einer WAF aus?

29 29 Encoding WAF (1) 1 Network Level Filter Self-controlled 2 SSL Termination Self-controlled 3 Protocol Validation and Rebuilding Self-controlled 4 Character Encoding und Unicode Validation Self-controlled 5 Cookie Protection Self-controlled 6 Request Validation Customizable 7 Attack Blocking Customizable 8 URL Encryption Self-controlled 9 Smart Form Protection Self-controlled 10 Response Content Filter and Rewriting Customizable

30 30 Encoding WAF (2) Normalisierung des Inputs erfolgt Transparent Character Sets können erzwungen werden Performance Faktor da sich die Applikation nicht mehr darum kümmern muss

31 31 Filtern WAF Erkennen von XSS Attacken erfolgt mittels des Blacklist Filters und Regular Expressions Per Default sind drei Regeln aktiv: XSS Rule for Values XSS Rule for Parameter Names XSS Rule for Paths Diese bieten per Default einen sehr guten Schutz Anmerkung: Andere Regeln müssen jedoch durchaus angepasst werden

32 32 Fazit Sicherer Source Code ist wichtig Ist jedoch immer nur so gut wie der Programmierer Niemand kann an alles denken Ist aufwändig umzusetzen Kostenfaktor Eine WAF kann die Applikation ergänzen Input ist schon Normalisiert bevor er die Applikation erreicht -> Das muss nicht mehr von dieser übernommen werden Schnelles Patchen von Bugs Die WAF schon bei der Programmierung einer Web Applikation mit einbeziehen Was kann mir diese abnehmen?

33 33 OWASP Top Ten Vulnerabilities Gegen welche schützt mich eine WAF wirklich?

34 34 OWASP Top Ten Cross Site Scripting Wie aus dem eben gezeigten Bsp. ersichtlich Input wird Normalisiert Default Regeln erreichen eine sehr gute Abdeckung Fazit: Guter Schutz per Default Regeln schlagen nur bei Attacken an

35 35 OWASP Top Ten Injection Flaws Ähnlich wie XSS jedoch gilt es folgendes zu beachten: Die WAF kann keine Rechte an der DB überwachen -> Hier muss Explizit nach Anfälligkeiten gesucht werden Wildcard Injection ist möglich Resultat DB kann durch sinnlose Anfragen überlastet werden Pararameter Pollution ist möglich Fazit: Defaultschutz vorhanden, dieser muss jedoch um eigene Regeln ergänzt werden

36 36 OWASP Top Ten - Malicious File Execution WAF kann Dateierweiterungen und Content Type überprüfen Das was das File wirklich enthält kann diese jedoch nicht erkennen File Upload ist generell problematisch Fazit: Virenscanner per ICAP einbinden Frameworks/Tools in der Applikation einsetzen

37 37 OWASP Top Ten - Insecure Direct Object Reference Guter Schutz gegen Path Traversal, aber Alle Ressourcen innerhalb einer Applikation bleiben auch mit einer WAF zugänglich Um dies zu Ändern gibt es zwei Möglichkeiten: URL Encryption verwenden Nachteil: Nicht immer User freundlich Pfade per Deny Rules einschränken Nachteil: Aufwändig Fazit: Wer sicher gehen will kommt um einen dieser beiden Schritte nicht herum

38 38 OWASP Top Ten -Cross Site Request Forgery Eine der gefährlichsten Attacken Hiergegen kann die WAF durch Session Based URL Encryption schützen somit kann der Angreifer die für die Session valide URL nicht schon im Vorfeld erraten. Eine untergeschobene URL wird somit ungültig. Fazit: Guter Schutz möglich, aber nicht per Default.

39 39 OWASP Top Ten - Information Leakage and Improper Error Handling Fehlermeldungen einer Applikation können von einer WAF sehr gut durch einen Response Body Rewrite abgefangen werden Z.B. mittels einer Regex ^.*Server Error.*$ -> <h1>meldung</h1> Fazit: Sehr gut anpassbar, aber da jede Applikation anders ist gibt es keinen Default

40 40 OWASP Top Ten - Encryption Broken Authentication and Session Management Insecure Cryptographic Storage Insecure Communications Sehr guter Schutz durch Cookie Store und zu schaltbare Verschlüsselung per SSL

41 41 OWASP Top Ten - Failure to Restrict URL Access Wie bei der Direct Object Reference gibt es die zwei Möglichkeiten, URL Encryption und Pfade per Regeln einschränken, mit allen Vor- und Nachteilen Fazit: Guter Schutz möglich, muss aber wieder händisch an die Applikation angepasst werden

42 42 Fazit Eine WAF bietet bis auf wenige Ausnahmen sehr guten Schutz gegen die genannten Attacken, aber jede Applikation ist anders und... somit gibt es keinen Schutz per Default, da jedes Regelwerk an diese angepasst werden muss.

43 43 Praxisbeispiel

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications

Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications Referat von Georg Räß und Kevin Virmani Paper geschrieben von Marco Balduzzi,Carmen Torrano Gimenez,Davide Balzarotti

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Was eine WAF (nicht) kann. Ausgabe 2013

Was eine WAF (nicht) kann. Ausgabe 2013 Was eine WAF (nicht) kann. Ausgabe 2013 Mirko Dziadzka http://mirko.dziadzka.de/ @MirkoDziadzka OWASP Stammtisch München - 19.11.2013 1 / 27 Inhalt Worum soll es heute gehen Meine (subjektive) Meinung

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09 AppSec Germany 2009 AppSec Germany 2009 Conference http://www.owasp.org/index.php/germany Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Nürnberg, 13.10.09 Sebastian

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 4: 14.12.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Vorlesung 4: Sommersemester 2015 h_da, Lehrbeauftragter Teil 2: Themenübersicht der Vorlesung 1. Einführung / Grundlagen der / Authentifizierung 2. Kryptografie / Verschlüsselung und Signaturen mit PGP

Mehr

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information

Mehr

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische

Mehr

Detection of Attacks and Anomalies in HTTP Traffic Using Instance-Based Learning and KNN Classification

Detection of Attacks and Anomalies in HTTP Traffic Using Instance-Based Learning and KNN Classification Detection of Attacks and Anomalies in HTTP Traffic Using Instance-Based Learning and KNN Classification Michael Kirchner Diplomarbeit an der FH Hagenberg, Studiengang Sichere Informationssysteme OWASP

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller OWASP Top 10: Scanning JSF Andreas Hartmann & Stephan Müller 07.04.2011 Andreas Hartmann (Principal Software Engineer): Leichtgewichtige Softwarearchitekturen und Frameworks auf Basis der JEE Plattform

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Was ist bei der Entwicklung sicherer Apps zu beachten?

Was ist bei der Entwicklung sicherer Apps zu beachten? Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Der Weg zu einem sicheren SAP System

Der Weg zu einem sicheren SAP System Virtual Forge GmbH Der Weg zu einem sicheren SAP System Patrick Boch SAP Sicherheit Picture of Rolls Royce Oldtimer Agenda IST-Situation analysieren Sicherheitsanforderungen definieren Systemlandschaft

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

web2py - Web-Framework mit didaktischem Hintergrund Nik Klever Hochschule Augsburg

web2py - Web-Framework mit didaktischem Hintergrund Nik Klever Hochschule Augsburg web2py - Web-Framework mit didaktischem Hintergrund Nik Klever Hochschule Augsburg web2py ein modernes Python-Application-Framework, dessen Ausrichtung ursprünglich auf die Ausbildung von Studierenden

Mehr

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter Top 10 Was t/nun? Nürnberg, 20.10.2010 Dirk Wetter Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The Foundation Permission

Mehr

OWASP Top 10 Was t/nun? OWASP Nürnberg, The OWASP Foundation AppSec Germany Dirk Wetter

OWASP Top 10 Was t/nun? OWASP Nürnberg, The OWASP Foundation  AppSec Germany Dirk Wetter Top 10 Was t/nun? Nürnberg, 20.10.2010 Dirk Wetter Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The Foundation Permission

Mehr

Design Bugs OWASP The OWASP Foundation Alexios Fakos Senior Security Consultant n.runs AG

Design Bugs OWASP The OWASP Foundation  Alexios Fakos Senior Security Consultant n.runs AG Design Bugs 13.10.2009 Alexios Fakos Senior Security Consultant n.runs AG alexios.fakos@nruns.com Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Schutz von Datenbanken vor fehlerhaften Webanwendungen

Schutz von Datenbanken vor fehlerhaften Webanwendungen Schutz von Datenbanken vor fehlerhaften Webanwendungen Agenda 1. Problemstellung 2. Appliance zum Schutz von Webanwendungen 3. Prototyp 4. Ausblick Benjamin Große 2 Agenda 1. Problemstellung 2. Appliance

Mehr

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation

PHPIDS Vortrag. PHP Usergroup Frankfurt am Main 14. Februar 2008. Autor: Tom Klingenberg. Web & Applikation PHPIDS Vortrag PHP Usergroup Frankfurt am Main 14. Februar 2008 Autor: Tom Klingenberg Web & Applikation PHP (PHP: Braucht hier nicht erklärt werden.) IDS IDS: Intrusion Detection System Einbruchsmeldesystem

Mehr

Benchmark: Sicherheitslücken & Compliance-

Benchmark: Sicherheitslücken & Compliance- Peter Werner TITEL bearbeiten Dr. Markus Schumacher Benchmark: Sicherheitslücken & Compliance- Risiken Click to im edit ABAP-Code Master text styles von SAP-Anwendungen 2011 2012 Virtual Forge GmbH www.virtualforge.com

Mehr

OWASP Top 10 Wat nu? The OWASP Foundation http://www.owasp.org. OWASP Stammtisch. GUUG-Treffen. Dirk Wetter

OWASP Top 10 Wat nu? The OWASP Foundation http://www.owasp.org. OWASP Stammtisch. GUUG-Treffen. Dirk Wetter OWASP Top 10 Wat nu? Dirk Wetter OWASP Stammtisch GUUG-Treffen Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The OWASP

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Hackerpraktikum SS 202

Hackerpraktikum SS 202 Hackerpraktikum SS 202 Philipp Schwarte, Lars Fischer Universität Siegen April 17, 2012 Philipp Schwarte, Lars Fischer 1/18 Organisation wöchentliche Übung mit Vorlesungsanteil alle zwei Wochen neue Aufgaben

Mehr

Unified-E Standard WebHttp Adapter

Unified-E Standard WebHttp Adapter Unified-E Standard WebHttp Adapter Version: 1.5.0.2 und höher Juli 2017 Inhalt 1 Allgemeines... 2 2 Adapter-Parameter in Unified-E... 2 3 Symbolische Adressierung... 3 3.1 ReadValues-Methode... 4 3.2 WriteValues

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Absicherung von Grid Services Transparenter Application Level Gateway

Absicherung von Grid Services Transparenter Application Level Gateway Absicherung von Grid Services Transparenter Application Level Gateway Thijs Metsch (DLR Simulations- und Softwaretechnik) Göttingen, 27.03.2007, 2. D-Grid Security Workshop Folie 1 Überblick Gliederung

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten. Christoph Kern, Google

Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten. Christoph Kern, Google Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten Christoph Kern, Google Weit verbreitete Sicherheitslücken SQL-injection, XSS, XSRF, etc -- OWASP Top 10 Grundproblem: APIs/Frameworks

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Sicherheit in Software

Sicherheit in Software Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken

Mehr

Sicherheit mobiler Apps. Andreas Kurtz

Sicherheit mobiler Apps. Andreas Kurtz Sicherheit mobiler Apps Andreas Kurtz Agenda OWASP Mobile Security Project OWASP TOP 10 Mobile Risks Beispiele und Erfahrungen aus der Praxis Fokus auf Defizite bei Authentisierung/Autorisierung Zusammenfassung

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

OWASP Top 10 Wat nu?, Dirk Wetter. The OWASP Foundation OWASP AppSec Germany 2010

OWASP Top 10 Wat nu?, Dirk Wetter. The OWASP Foundation  OWASP AppSec Germany 2010 OWASP Top 10 Wat nu? Dirk Wetter OWASP 20.10.2010 Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The OWASP Foundation

Mehr

Thema PHP-Sicherheits-Training-System. vorgelegt von Timo Pagel

Thema PHP-Sicherheits-Training-System. vorgelegt von Timo Pagel Thema PHP-Sicherheits-Training-System vorgelegt von Timo Pagel Hamburg, den 29.04.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 24 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

SAP Anwendungen im Visier von Hackern Angriffsszenarien und Schutzkonzepte

SAP Anwendungen im Visier von Hackern Angriffsszenarien und Schutzkonzepte Dr. Markus Schumacher Dr. Markus Schumacher SAP Anwendungen im Visier von Hackern Angriffsszenarien und Schutzkonzepte INHALT SAP Anwendungen im Visier von Hackern 1. Schutz der Kronjuwelen SAP Systeme

Mehr

Christopher Kunz Peter Prochaska. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. dpunkt.verlag

Christopher Kunz Peter Prochaska. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. dpunkt.verlag Christopher Kunz Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren dpunkt.verlag 1 Einleitung 1 1.1 Über dieses Buch 1 1.2 Was ist Sicherheit? 3 1.3 Wichtige Begriffe 4 1.4 Sicherheitskonzepte

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Internet-Information-Server

Internet-Information-Server Internet-Information-Server Sicherheitstage WS 2007/2008 Hergen Harnisch harnisch@rrzn.uni-hannover.de 20.11.2007 Hergen Harnisch IIS 20.11.2007 Folie 2 Einleitung Firewall IIS Securing & Auditing Einschätzung/Empfehlung

Mehr

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de

suhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de suhosin PHP-Patch und PHP-Security Extension Peter Prochaska Freiberuflicher Security-Consultant, PHP- Entwickler, Trainer und Autor. PHP-Entwickler seit 1998 Buchautor: PHP-Sicherheit, dpunkt.verlag Mitentwickler

Mehr

Compass Security. Bedrohungen Web-Applikationen. 17. März 2006

Compass Security. Bedrohungen Web-Applikationen. 17. März 2006 Compass Security Bedrohungen Web-Applikationen 17. März 2006 Dokumentname: compass_security_bedrohungen_web_applikationen_v2.5.doc Version: V 2.5 Autor(en): Walter Sprenger, Compass Security AG Lieferungsdatum:

Mehr

Thema PHP-Sicherheits-Training-System. Timo Pagel

Thema PHP-Sicherheits-Training-System. Timo Pagel Thema PHP-Sicherheits-Training-System Timo Pagel Hamburg, den 13.05.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 27 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration einer

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Android VPN. Am Beispiel eines Netzwerktunnels für das Domain Name System (DNS) 1 Andiodine - Android DNS-VPN

Android VPN. Am Beispiel eines Netzwerktunnels für das Domain Name System (DNS) 1 Andiodine - Android DNS-VPN Android VPN Am Beispiel eines Netzwerktunnels für das Domain Name System () 1 Inhalt VPN Framework in Android Übersicht zu Iodine Funktionsweise Demonstration 2 VPN und Android Verfügbar seit Android 4.0

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Erfolgsgeschichten phion airlock ICAP Module

Erfolgsgeschichten phion airlock ICAP Module Erfolgsgeschichten phion airlock ICAP Module Complex Content Rewriting & Identity Mapping V1.3 2009 by keyon. About keyon 1 Agenda Internet Content Adaptation Protocol (ICAP) airlock & ICAP 1 Complex Content

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr