Grundlagen der Web-Sicherheit
|
|
- Ferdinand Beckenbauer
- vor 8 Jahren
- Abrufe
Transkript
1 Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert creativecommons.org/licenses/by-nc-nd/2.0/de
2 pwn pwn pwn...!"#$%&'($)*+,-&../% OS Interface Flaws: Format String, Race Condition Logic Flaws (MAX_INT) Data Reference Failures: Buffer, Integer, Heap Overflows Interface Flaws IO Errors: SQL Injection, XSS Quelle: Software Security is Software! Reliability, Felix Lindner, CACM 49/6 Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 2 / 27
3 Proxies: mod_security snort SSL Privoxy Orientierung Layer 2 - Physical Layer 3 - Network Layer 4 - Transport Layer 7 - Application Protokoll Client optional: Proxies Server HTTP (&DNS) Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 3 / 27
4 Orientierung DNS Client Betriebsysteme Browser-Engines: Opera, Firefox, MS IE Plugins: Flash, Silverlight, Java, ActiveX, et cetera JavaScript, LiveConnect Daten via HTTP Datenbanken 3rd Parties Server Filter: mod_security, snort, et cetera Server: Apache, IIS PHP, Ruby, Java, Python, ASP et cetera CakePHP, RoR, Django, et cetera Moodle, Wordpress, et cetera statische Seiten Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 4 / 27
5 :// Hyper Text Transfer Protocol (HTTP) iis: 2006 : 1 seh protection apache: eben wenig in komponenten: mod_rewrite bo openssl bo 1989 CERN, inkl HTML und URL Zustandslos: Anwendung implementiert Session HTTPd: IIS 35% Apache 50%* (kaum Security Bugs) GET /TEXT.html HTTP/1.1 Host: UserAgent: MS IE Referer: HTTP/ OK Server: Apache/ (Unix) PHP/4.3.4 Content-Length: (Größe TEXT.html) Content-Language: de Content-Type: text/html Connection: close * Quelle: netcraft (Inhalt TEXT.html) Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 5 / 27
6 turn it off. JavaScript (JS): objektbasierte Sprache für dynamisches HTML <body onload="document.write(document.cookie); window.print()"> Same Origin Policy (SOP) Local-Zone Scripting Ausführen von JS durch Angreifer = volle Kontrolle über Browser im Kontext der SOP HTTP ist Sitzungslos Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 6 / 27
7 ! F%-(-1%()$G%H"&$I">'&12)(-3! E'"#- lol, schau dir mal den link an... Cross Site Scripting (XSS) >20% der Mitre CVE = XSS Jede große Seite betroffen,!"#$%&'$())"&$*"'#+,,"-. unteranderem ~40 deutsche Banken!"#$%&'$())"&$*"'#+,,"-.! /('0#)%12$3%"$!"*&%'"$3"#$4+-,"#"-56! 2''7688(9(:%-(1'%+-;&+,'<(#"=&>77+#';*%58! /('0#)%12$3%"$!"*&%'"$3"#$4+-,"#"-56!?-@")($A"#B")&$C01B'#%''6! 2''7688(9(:%-(1'%+-;&+,'<(#"=&>77+#';*%58! D>-3"&#"@%"#>-@;3"!!?-@")($A"#B")&$C01B'#%''6 E7%"@")! D>-3"&#"@%"#>-@;3"! F%-(-1%()$G%H"&$I">'&12)(-3! E7%"@")! E'"#! F%-(-1%()$G%H"&$I">'&12)(-3! E'"#- Whitehat Security 7/10 Seiten betroffen Effektiv auf SN Sites und in Kombination mit Phishing / Social Engineering Session Fixation / Hijacking Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 7 / 27
8 demo: XSS Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 8 / 27
9 Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 9 / 27
10 AJAX Web 2.0 Prototype.js Browser User XML UI Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 10 / 27
11 Web 1.0 Zeit Browser Datenübertragung Benutzeraktivität Benutzeraktivität Datenübertragung Server Berechnungen Server Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert / 27
12 Web 2.0 Zeit User Interaktion Browser UI AJAX engine AJAX Logik Datenübertragung Datenübertragung Server Berechnungen Server Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 12 / 27
13 AJAX VX Server AJAX engine Browser User Steuer- und Nutzdaten AJAX Virus Bedienung XSS fuer einplanzen des Virus in die Nutzdaten XSS Was könnte man mit einem Virus auf einem Studentenverzeichniss machen? -> eine Millionen Freunde hinzufügen Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 13 / 27
14 i want to be your friend Virus erzeugte 1 Millionen Freunde in 24h damit ist Samy der schnellst verbreitende Virus der Geschichte MySpace.com Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 14 / 27
15 wer routet so spät durch Nacht und Wind? Mexico XSRF Router DNS Poison Incident PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET &NAME= &ADDR= It does not validate POST, or Referer or Anything hkm (at) hakim (dot) ws Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 15 / 27
16 demo: XSRF Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 16 / 27
17 A or A Logic Flaws unister.de/einladung_12345.html Einladung für User mit und Namen asmallworld Social Network (SN) Iteration über Namen wie oben <input name=price value= EUR type=hidden> Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 17 / 27
18 Interface Flaws example.com/?user=foo&pass=bar error: unknown user aber: example.com/?user=felix&pass= error: wrong password Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 18 / 27
19 demo: rfi Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 19 / 27
20 it s a feature, not a bug remote file inclusion (rfi) / local file inclusion (lfi): allow_url_fopen = 0 (rfi) nullbyte nur mgl. mit magic_quotes_gpc = 0 example.com/?file=../../../../../var/db/locatedb Mass Exploits via Google Dorking Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 20 / 27
21 Hello DB! Hello Mr DROPTABLE! IO Error: SQL Injection (SQLi) Benutzereingaben werden ungeprüft an SQL Datenbank weiter gereicht Benutzereingaben enthalten SQL Befehle Kompromittierung des Servers Problem des In-Band-Signalling (à la 2600 Hz) Trennung Kontroll-Befehle und Daten Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 21 / 27
22 demo: SQLi Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 22 / 27
23 Ausblick HTTP Response Splitting Web Exploit Toolkits DNS Rebinding XSRF Worms Client & Server Worms (auto-sqli-iframe) Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 23 / 27
24 Graphenbeispiel
25 Fazit Sichere Programmierung & Frameworks Web 2.0 Hebel Datamining: Datenschutz und Nutzer- Sensibilisierung wichtig wie nie zuvor PHP-ids.org / OWASP.org Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 25 / 27
26 !? Vielen Dank für Eure Aufmerksamkeit! Fragen oder Anmerkungen? Das Labor e.v Johannes Dahse, Felix Gröbert creativecommons.org/licenses/by-nc-nd/2.0/de
27 Werbung! CIPHER IV, Grundlagen der Web-Sicherheit Das Labor e.v Johannes Dahse, Felix Gröbert 27 / 27
Sicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrWhen your browser turns against you Stealing local files
Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester
MehrProtokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL
TCP/IP: Standard Protokolle Konrad Rosenbaum, 2006/7 DNS - Domain Name System hierarchische, global verteilte Datenbank löst Namen in IP-Adressen auf Host hat einen primären Nameserver, der Fragen selbst
MehrWeb Exploit Toolkits - Moderne Infektionsroutinen -
Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrAlte Technik neu verpackt
Alte Technik neu verpackt AJAX hilft Anwendungen im Web interaktiver zu werden Christian Aurich Ronny Engelmann Alte Technik neu verpackt Entwicklung von AJAX Was ist Web 2.0 / Social Web? Anwendungen
MehrDestructive AJAX. Stefan Proksch Christoph Kirchmayr
Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell
MehrInhaltsverzeichnis. Einleitung... 11
Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP
MehrTechnologische Entwicklung von GIS und Internet der letzten Jahre
Technologische Entwicklung von GIS und Internet der letzten Jahre 10. Seminar GIS & Internet 10. bis 12. September 2007 UniBwMünchen Dr. Christine Giger Übersicht GIS vor 30 Jahren GIS vor 20 Jahren GIS
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrWie funktioniert das WWW? Sicher im WWW
Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/
MehrMapbender3 Workshop. Christian Wygoda. FOSSGIS Dessau 2012
Mapbender3 Workshop Christian Wygoda FOSSGIS Dessau 2012 Christian Wygoda Mapbender3 Developer Team PSC (Project Steering Commitee) WhereGroup Bonn http:///www.wheregroup.com Mapbender3 Einführung in Mapbender
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrInhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling
Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan
MehrTobias Wassermann. Sichere Webanwendungen mit PHP
Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP
MehrAJAX Implementierung mit Joomla!
Joomla! DAY TM AUSTRIA 2015 AJAX Implementierung mit Joomla! Inhalt AJAX Implementierung mit Joomla! Inhalt Einleitung Was ist AJAX und wie funktioniert es Joomla! & AJAX AJAX in Templates mit Komponenten
MehrSicherheit im Internet - Datenschutz als Standortvorteil im E-Business -
Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:
MehrAktuelle Bedrohungen im Internet
Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung
MehrSicherheit in Rich Internet Applications
Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
MehrZusammenfassung Web-Security-Check ZIELSYSTEM
Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt
MehrSicheres HTTP. 8. Juni 2004. Proseminar Electronic Commerce und digitale Unterschriften
Sicheres HTTP 8. Juni 2004 Proseminar Electronic Commerce und digitale Unterschriften Sicheres HTTP HTTP über SSL = sicheres HTTP Überblick HTTP: Protokoll zur Datenübertragung im Internet Klartextprotokoll
MehrTIA Portal V13 Kommunikation mit S7-1500
TIA Portal V13 Kommunikation mit S7-1500 Seite 1 Anmerkungen zum Webmeeting Fragen bitte hier eingeben Bitte Lautsprecher an / Mikro & Video aus Sie brauchen nichts mitzuschreiben à Download hier. mit
MehrForschungsseminar Web Engineering @ VSR Betreuer Michael Krug
Forschungsseminar Web Engineering @ VSR Betreuer Michael Krug Unter Echtzeit versteht man den Betrieb eines Rechensystems, bei dem Programme zur Verarbeitung anfallender Daten ständig betriebsbereit sind,
Mehrà la Carte KMU - Lösungen im Alltag für Filemaker und das Web
à la Carte KMU - Lösungen im Alltag für Filemaker und das Web Filemaker + Web Zielgruppe: - Kunde: - KMU s - Filemaker-erfahrene Anwender - Ansprüche: Umsetzung individuell, sofort, einfach - IT: - FM,
MehrNetzwerk Technologien in LabVIEW
Netzwerk Technologien in LabVIEW von Dirk Wieprecht NI Germany Hier sind wir: Agenda Agenda Bedeutung des Ethernet für die Messtechnik Ethernet-basierende Technologien in LabVIEW Low Level- TCP/IP Objekt
MehrAutomatisches Exploratives Testen von Webanwendungen
Automatisches Exploratives Testen von Webanwendungen Dr. Valentin Dallmeier IT-Themenabend - 2013-10-01 AG Produkte und Dienstleistungen für die Qualitätssicherung von Software. AG Dr. Valentin Dallmeier
MehrSelbst ist die Frau / der Mann: eine eigene Homepage erstellen!
Selbst ist die Frau / der Mann: eine eigene Homepage erstellen! Selbst ist die Frau / der Mann: eine eigene Homepage erstellen! "FIT IM NETZ Eine Vortragsreihe der Stadtbibliothek Ludwigsburg Agenda Warum
MehrSession Beans & Servlet Integration. Ralf Gitzel ralf_gitzel@hotmail.de
s & Servlet Integration Ralf Gitzel ralf_gitzel@hotmail.de 1 Themenübersicht Ralf Gitzel ralf_gitzel@hotmail.de 2 Übersicht Motivation Das Interface Stateful und Stateless s Programmierung einer Stateful
MehrWeb Sockets mit HTML5. Quelle: www.html5rocks.com/de
Web Sockets mit HTML5 Quelle: www.html5rocks.com/de Intensive Client-Server-Kommunikation: Beispiele Online-Spiele mit mehreren Mitspielern Chat-Anwendungen Live-Sport-Ticker Echtzeit-Aktualisierungen
MehrWo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite http://www.hp.
Erfahrungen mit dem Insight Manager von HP Dipl. Ing. Elektrotechnik (FH) - Automatisierungs- / Regelungstechnik DV-Spezialist Landesbank Rheinland-Pfalz Abteilung 2-351 Große Bleiche 54-56 55098 Mainz
MehrBrowserbasiertes, kollaboratives Whiteboard
WS 2011/12 Bachelorarbeit Browserbasiertes, kollaboratives Whiteboard Sebastian Dorn 1 von 21 Inhalt 1. Motivation 2. Analyse 3. Design 4. Evaluation 5. Fazit Inhalt 2 von 21 Motivation Zusammenarbeit
Mehr4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen
Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was
MehrPHP-Schwachstellen und deren Ausnutzung
PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrGrundlagen Internet-Technologien INF3171
Fachbereich Informatik Informationsdienste Grundlagen Internet-Technologien INF3171 Zusammenfassung Version 1.0 13.07.2015 Zusammenfassung die zentralen Themen Internet, Protokolle, HTTP, Dynamik im Web,
MehrRIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI - 12. Deutscher IT-Sicherheitskongress
BSI - 12. Deutscher IT-Sicherheitskongress 10.-12. Mai.2011, Bonn Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse, Ruhr-Universität Bochum 1 1.1 Motivation Schwachstellen
MehrAktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische
MehrWeb-Konzepte für das Internet der Dinge Ein Überblick
Web-Konzepte für das Internet der Dinge Ein Überblick Samuel Wieland sawielan@student.ethz.ch ETH Zürich Seminar Das Internet der Dinge Historisches Tim Berners-Lee Erster Web-Server Bildquelle: Wikimedia
MehrTutorial. In diesem Tutorial möchte ich die Möglichkeiten einer mehrspracheigen Web-Site erläutern.
Tutorial In diesem Tutorial möchte ich die Möglichkeiten einer mehrspracheigen Web-Site erläutern. Zu Beginn müssen wir uns über die gewünschten Sprachen Gedanken machen. Zum einem, da eine professionelle
MehrHerzlich willkommen im Modul Informatik Grundlagen
Herbstsemester 2010/2011 Herzlich willkommen im Modul Informatik Grundlagen Wirtschaftsingenieurwesen: 1. Semester Dozent: Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Martin Hüsler 1 Ablauf: 1.
MehrRechnernetze Übung 12
Rechnernetze Übung 12 Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juli 2011 Sie kennen sicherlich sogenannte Web-Mailer, also WWW-Oberflächen über die Sie Emails lesen und vielleicht
MehrAngreifbarkeit von Webapplikationen
Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre
MehrInhaltsverzeichnis. Hinweise zum Gebrauch des Buches... XIII. Teil I Grundlagen der Web-Programmierung
Hinweise zum Gebrauch des Buches... XIII Teil I Grundlagen der Web-Programmierung 1 Entwicklung der Web-Programmierung... 3 1.1 DerWegzumWorldWideWeb... 3 1.2 Komponenten der frühen Technik..... 5 1.3
MehrSharePoint 2010 Mobile Access
Erstellung 23.05.2013 SharePoint 2010 Mobile Access von TIMEWARP IT Consulting GmbH Stephan Nassberger Hofmühlgasse 17/1/5 A-1060 Wien Verantwortlich für das Dokument: - Stephan Nassberger (TIMEWARP) 1
MehrDCCS Lotusphere Nachlese 2012 Was sind XPages? Mobile Features für XPages
Wir automatisieren und optimieren Ihre Geschäftsprozesse DCCS Lotusphere Nachlese 2012 Was sind XPages? Mobile Features für XPages Thomas Brandstätter 06.03.2012 www.dccs.at Agenda Theorie Was sind XPages
MehrGeorg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.
Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck
MehrAJAX DRUPAL 7 AJAX FRAMEWORK. Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks.
DRUPAL 7 AJAX FRAMEWORK Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks AJAX Beispiele Fragen: Gibt es jemanden der noch gar keine Erfahrungen
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrUni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)
Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen
MehrTypo3 - Schutz und Sicherheit - 07.11.07
Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit
MehrAbbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich
MehrTechniken und Werkzeuge für die IT-Sicherheit im Cloud-Computing und in verteilten Systemen
1/ 19 Techniken und Werkzeuge für die IT-Sicherheit im Cloud-Computing und in verteilten Systemen Sommersemester 2013 LS14 - Arbeitsgruppe Software Engineering for Critical Systems 15.04.2013 Agenda LS14
MehrCarsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier
Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrOpenWAF Web Application Firewall
OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang
MehrNeues aus dem DFN-CERT. 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT
Neues aus dem DFN-CERT 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT Veranstaltungen Tutorium DFN-PKI in der Praxis 22./23. Nov. 2007 in München (Ismaning) Telekom
MehrSichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?
Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information
MehrEnterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.
Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de
MehrRESTful Web. Representational State Transfer
RESTful Web Representational State Transfer 1 Warum REST? REST ist die Lingua Franca des Webs Heterogene (verschiedenartige) Systeme können mit REST kommunizieren, unabhängig von Technologie der beteiligten
MehrWelche Gefahren gehen vom Firmenauftritt im Internet aus?
Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/
MehrInhaltsverzeichnis. Hinweise zum Gebrauch des Buches... XIII. Teil I Grundlagen der Web-Programmierung
Inhaltsverzeichnis Hinweise zum Gebrauch des Buches... XIII Teil I Grundlagen der Web-Programmierung 1 Entwicklung der Web-Programmierung... 3 1.1 DerWegzumWorldWideWeb... 3 1.2 Komponenten der frühen
MehrAnwendungsprotokolle: HTTP, POP, SMTP
Anwendungsprotokolle: HTTP, POP, SMTP TCP? UDP? Socket? eingesetzt, um Webseiten zu übertragen Zustandslos Nutzt TCP Client schickt Anfrage ( HTTP-Request ) an Server, Server schickt daraufhin Antwort
MehrOWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
MehrOpen Source und Sicherheit
Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit
MehrScheduling Mechanisms for the Grid
Scheduling Mechanisms for the Grid Seminar Mechanismen in verteilten Netzen Xu,Yongchun und Zheng,Bin Betreuer: Bjoern Schnizler 1 Definition Grid-Computing Scheduling 2 Definition--Grid 3 Definition--Grid
Mehrdrupal + nodejs erste schritte. @frega - fl@flink-solutions.de
drupal + nodejs erste schritte. @frega - fl@flink-solutions.de am konkreten beispiel (inkl. code-schnipsel und live-demo, what could go wrong...) eine "shoutbox", d.h. ein kleinstmöglicher chatroom. nodejs?
MehrSicherheit in Software
Sicherheit in Software Fabian Cordt und Friedrich Eder 3. Juni 2011 Allgemeines Begriffserklärung Woher Die 19 Todsünden 1 - Teil 2 - Teil 3 - Teil Was kann passieren Probleme beim Porgramm Durch Lücken
MehrProseminar: Website-Management-Systeme
Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das
MehrSicherheitsanalyse der Private Cloud Interfaces von
Sicherheitsanalyse der Private Cloud Interfaces von Emanuel Durmaz Ruhr-Universität Bochum 1 Emanuel Durmaz 10/16: Bachelor of Science IT-Sicherheit, Ruhr-Universität Bochum Thesis: Sicherheitsanalyse
MehrHERZLICH WILLKOMMEN SHAREPOINT 2013 - DEEP DIVE FOR ADMINS 11.09.2012 IOZ AG 2
11.09.2012 IOZ AG 1 HERZLICH WILLKOMMEN SHAREPOINT 2013 - DEEP DIVE FOR ADMINS 11.09.2012 IOZ AG 2 AGENDA Über mich Architekturänderungen Systemvoraussetzungen Migration Fragen 11.09.2012 IOZ AG 3 ÜBER
Mehrphp Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...
php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...7 3.Zugriff auf mysql Daten...11 Verteilte Systeme: php.sxw Prof.
MehrMainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4
UNIVERSITÄT LEIPZIG Mainframe Internet Integration Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013 WebSphere Application Server Teil 4 Leistungsverhalten el0100 copyright W. G. Spruth,
MehrEinleitung AJaX und Web 2.0 Kartendienst APIs im Web 2.0 Übersicht freier GPS Track Visualisierer
Online Anwendung zur Analyse und Visualisierung von GPS Tracks Teil 1: AJaX und Web2.0 (Lukas Schack) Teil2: Kartendienst APIs im Web2.0 (Jakob Unger) Teil 3: Übersicht über freie GPS Track Visualisierer
MehrInternetanbindung von Datenbanken
Internetanbindung von Datenbanken Oracle Application Server Oracle Application Server - 1 Gliederung Einführung Oracle Application Server (OAS) Praxis- und Diplomarbeitenverwaltung LiveHTML Kritik Becker,
MehrApollo Überblick. Klaus Kurz. Manager Business Development. 2007 Adobe Systems Incorporated. All Rights Reserved.
Apollo Überblick Klaus Kurz Manager Business Development 1 Was ist Apollo? Apollo ist der Codename für eine plattformunabhängige Laufzeitumgebung, entwickelt von Adobe, die es Entwicklern ermöglicht ihre
MehrEnterprise Application Integration Erfahrungen aus der Praxis
Enterprise Application Integration Erfahrungen aus der Praxis Teil 4: EAI und.net, EAI und J2EE Tutorial NODs 2002, Wolfgang Keller and Generali 2001, 2002, all rights reserved 1 Überblick EAI und....net
MehrVerteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrSaaS-Referenzarchitektur. iico-2013-berlin
SaaS-Referenzarchitektur iico-2013-berlin Referent Ertan Özdil Founder / CEO / Shareholder weclapp die Anforderungen 1.000.000 registrierte User 3.000 gleichzeitig aktive user Höchste Performance Hohe
MehrSchnelle Webapplikationen. Status Quo heute...
Schnelle Webapplikationen Status Quo heute... Schnelle Webapplikationen Status Quo heute...... wohin geht die Reise? Über mich CTO und Gesellschafter der Marketing Factory Consulting GmbH TYPO3 Commerce
MehrOpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen. Das Projekt Das Produkt
OpenSecurity @ OPEN COMMONS_KONGRESS 2014 OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen Das Projekt Das Produkt Nikolaus Dürk, MAS X-Net Services
MehrVerteilte Systeme. Übung 10. Jens Müller-Iden
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrCompass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil
Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Compass E-Lab Remote Security Lab 19. November 2008 Name des Dokumentes: DE_Hacking_Lab_V3.2.doc
MehrRAP vs. GWT vs. GAE/J + jquery. Web Technologien im Verlgeich
RAP vs. GWT vs. GAE/J + jquery Web Technologien im Verlgeich RAP vs GWT vs jquery Dominik Wißkirchen 30. Oktober 2010 Abkürzungen RAP AJAX RWT Rich AJAX Platform Asynchronous JavaScript and XML RAP Widget
MehrPaper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications
Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications Referat von Georg Räß und Kevin Virmani Paper geschrieben von Marco Balduzzi,Carmen Torrano Gimenez,Davide Balzarotti
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrAgenda. Einführung AJAX Was ist eigentlich AJAX?
Anwendung in.net Agenda Einführung AJAX Was ist eigentlich AJAX? Was macht AJAX? Klassisch vs. AJAX Bekannte Beispiele Wer hat es erfunden? Wer spricht AJAX? ASP.NET AJAX Microsoft und AJAX Microsofts
MehrSecure Bindings for Browser-based Single Sign-On
Secure Bindings for Browser-based Single Sign-On Andreas Mayer 1, Florian Kohlar 2, Lijun Liao 2, Jörg Schwenk 2 1 Adolf Würth GmbH & Co. KG, Künzelsau-Gaisbach 2 Horst Görtz Institut für IT-Sicherheit,
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrSoftware Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet
und seine Anwendbarkeit für die Steuerung von Videodaten im Internet FACHBEREICH FB5 Stefan Königs ISE Seminar 22.10.2012 1 Agenda o Einführung o Software Defined Networking o Ansatz/Prinzip o o Vergleich
MehrEinführung Internettechnologien. - Clientseitige Programmierung -
Einführung Internettechnologien - Clientseitige Programmierung - Client Client: Programm, das Daten von einem Server anfordert In einem Netzwerk können unterschiedliche Clients zum Einsatz kommen Im Folgenden:
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrProseminar: Website-Managment-System. NetObjects Fusion. von Christoph Feller
Proseminar: Website-Managment-System NetObjects Fusion von Christoph Feller Netobjects Fusion - Übersicht Übersicht Einleitung Die Komponenten Übersicht über die Komponenten Beschreibung der einzelnen
MehrSOA. Prof. Dr. Eduard Heindl Hochschule Furtwangen Wirtschaftsinformatik
SOA Prof. Dr. Eduard Heindl Hochschule Furtwangen Wirtschaftsinformatik Laderampen müssen passen Modularisieren Softwarearchitektur Modul A Modul B Modul C Modul D Große Anwendung im Unternehmen Modul
MehrWindows Server 2003. Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren / 05.06.
Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren / 05.06.2004) Inhalt Inhalt... 2 Konfiguration... 3 Features Konfigurieren... 3 Shutdown Event Tracker...
MehrONET: FT-NIR-Netzwerke mit zentraler Administration & Datenspeicherung. ONET Server
: FT-NIR-Netzwerke mit zentraler Administration & Datenspeicherung Motivation für die Vernetzung von Spektrometern Weiterhin wachsender Bedarf für schnelle Analysenmethoden wie NIR Mehr Kalibrationen werden
Mehr