Sicherheit von Webanwendungen. mit IBM Rational AppScan
|
|
- Georg Rothbauer
- vor 5 Jahren
- Abrufe
Transkript
1 Sicherheit von Webanwendungen mit IBM Rational AppScan
2 Ziel dieses Vortrags Rund zwei Drittel aller Hackerangriffe richten sich gegen Webanwendungen mit dem Ziel, persönliche und unternehmenskritische Daten auszuspähen In diesem Vortrag erfahren Sie: Welche Sicherheitslücken gibt es bei Webanwendungen? Wie gefährlich sind sie? Wie wirken sich Angriffe aus? Die Fiducia unternimmt viel im Bereich Sicherheit auch im Bereich der Webanwendungen Weshalb ist das Thema für die Fiducia so wichtig? Wie sind die Erfahrungen der Fiducia mit Webapplication-Scannern und automatisierten Source Code Audits (SCA)? Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 2
3 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 3
4 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 4
5 Der Mythos: Wir sind sicher Wir haben Firewalls Wir lassen jedes Jahr ein Audit durchführen Wir haben SSL Verschlüsselung Wir haben Netzwerk- Scanner Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 5
6 X-Force Report Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 6
7 X-Force Report Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 7
8 Ausgabenverteilung für Sicherheit in Unternehmen Security Ausgaben % der Attacken % der Ausgaben Web Applications 10% 75% 90% 25% Network Server aller Attacken auf Informationssicherheit 75% finden im Web Application Layer statt 2/3 aller Webanwendungen sind gefährdet Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 8
9 Einordnung von Webanwendungssicherheit (IDS=Intrusion Detection System, IPS=Intrusion Prevention System) Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 9
10 Warum ist Anwendungssicherheit wichtig? Seit dem 1. September 2009 gilt ein neues Bundesdatenschutzgesetz! "... Gehen beispielsweise personenbezogene Daten verloren, verschaffen sich Unbefugte Zugriff darauf oder werden sie unrechtmäßig an Dritte weitergegeben, müssen Unternehmen und Behörden dies künftig veröffentlichen (Novelle II des Bundesdatenschutzgesetzes BDSG, 42a). Festgelegt ist auch, dass Unternehmen die von den Datensicherheitsverletzungen Betroffenen informieren müssen. Dies kann schlimmstenfalls bedeuten, dass sie sich an Millionen von Betroffenen beispielsweise über Anzeigen in Tageszeitungen wenden müssen..." Web-Applikationen sind für Hacker höchst interessant Zugriff auf persönliche Daten, Kundendaten, Unternehmensdaten, Kreditkarten usw. Compliance-Anforderungen werden verletzt Basel II, Datenschutzgesetze, SOX, Payment Card Industry (PCI) Standards, GLBA, HIPAA, FISMA Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 10
11 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 11
12 Hacker-Attacken Vortäuschen einer anderen Identität (Impersonation) Aneignung von Berechtigungen (Elevation of Privilege) Manipulation von Daten während der Übertragung (Tampering) Einlesen von Informationen (Information Disclosure) Löschen des Nachweises einer getätigten Transaktion (Repudation) Verursachen einer Serverüberlastung (Denial-of-Service) Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 12
13 und die Security Lücken 1. Cross-Site Scripting (XSS) 2. Injection Flaws 3. Verstecktes Ausführen einer Datei 4. Unsichere Direct Object Reference 5. Verfälschung eines Cross-Site Requests 6. Informationsverlust und unsaubere Fehlerbehandlung 7. Broken Authentication & Session Management 8. Unsichere Kryptografie Speicherung 9. Unsichere Kommunikation 10. Fehlerhafte Abwehr von URL Zugriffen Schwachstellen Statistik ( Seiten) Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 13
14 Brute Force -Tools sind einfach zu finden Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 14
15 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 15
16 Was ist IBM Rational AppScan Standard Edition? Ein automatisiertes Testtool zum Aufdecken von Sicherheitslücken in Webanwendungen (dynamische Analyse/Blackbox Test) Zweistufiges Vorgehen: 1. Auslesen der URL-Struktur und Scan der Seiten, um potentielle Angriffspunkte zu finden und zu listen 2. Test der gefundenen Angriffspunkte Über vordefinierte Sicherheits- und Compliancetests werden automatisiert durchgeführt Ein Expertenteam beobachtet laufend bekannte und neue Angriffsarten. Entwickelt neue und aktualisiert bestehende Tests und stellt diese per Update bereit Ausführliche, konfigurierbare Reports zu den durchgeführten Tests Zu den gefundenen Schwachstellen werden Maßnahmen zur Abhilfe vorgeschlagen HTTP Request Webanwendung Application HTTP Response Web Servers Databases Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 16
17 Rational AppScan Standard Edition Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 17
18 Rational AppScan Enterprise Edition Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 18
19 Was ist statische Code-Analyse? Statische Code-Analyse ist der Prozess zum Aufbau eines theoretischen Models wie eine Anwendung arbeitet, aufbauend auf dessen Code und Binaries, sowie die Suche nach Schwachstellen von diesem Model Ebenfalls als White-Box-Testing bekannt, da im Gegensatz zum zum Black-Box- Testing/dynamischer Analyse alle Interna der Anwendung verfügbar sind Im Gegensatz zur dynamischen Analyse wird aber nichts ausgeführt, Tests basieren auf theoretischen Modellen Es gibt verschiedene Analysemodelle, die wichtigste ist die Taint Flow-Analyse. Ziel der Taint Flow-Analyse ist das Identifizieren der Benutzung nicht vertrauenswürdiger Daten in den Anwendungen Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 19
20 Rational AppScan Source Edition Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 20
21 Agenda Warum Webanwendungssicherheit? Sicherheitslücken Die Lösung IBM Rational AppScan Webanwendungen in der Fiducia Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 21
22 Webanwendungen der Fiducia Sehr viele kritische Webanwendungen im Internet erreichbar Bankenhomepages für hunderte von Volksbanken und Raiffeisenbanken Internet-Banking für Hunderte von Volksbanken und Raiffeisenbanken Websites zum Dateitransfer, für Gehaltsabrechnungen, Attraktive Ziele für Angreifer Es geht um viel Geld: Die Betrüger wollen ein Stück vom Kuchen Geld lässt sich sowohl direkt (z. B. über Phishing, manipulierte Transaktionen, ) als auch indirekt (Verkauf/Missbrauch von Kundendaten) verdienen Medien und Kunden reagieren sensibel Jede Meldung zu einer Sicherheitslücke in einer Bankanwendung führt zum Imageschaden, das Vertrauen der Banken und deren Kunden sinkt Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 22
23 Webanwendungen der Fiducia Die Sicherheit von Web-Anwendungen, z. B. ebanking, ist nach außen hin direkt sichtbar und jederzeit durch Dritte, auch Endkunden, überprüfbar. Schwachstellen sind direkt ausnutzbar Eine Sicherheitslücke in einer Web-Anwendung kann sich direkt auf das Sicherheits- Image aller Web-Anwendungen auswirken Einige Medien, federführend der Heise-Verlag mit seinem News-Ticker ( haben diese Problematik aufgegriffen und publizieren Schwachstellen sehr schnell Wir hatten in der Vergangenheit bereits mehrfach öffentlich bekannte Schwachstellen in Anwendungen in Verantwortung der Fiducia, die zum Teil erst nach einigen Tagen geschlossen werden konnten Schwachstellen wurden meist zeitnah geschlossen Dennoch: schlechte Presse Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 23
24 Banken stehen im Fokus: Suche nach Fiducia bei heise Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 24
25 Pressemitteilung von heise wird durch die Medien aufgegriffen Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 25
26 Pressemitteilung von heise führt zu Bericht in heute -Sendung XSS-Schwachstelle heute -Sendung vom Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 26
27 Was unternimmt die Fiducia im Bereich Webanwendungssicherheit? Awareness und Know-how Regelmäßige Awareness-Programme Aus- und Weiterbildung von Mitarbeitern, auch speziell zu Sicherheitsthemen Beratung Sicherheitsabnahmen Intern durchgeführte Sicherheitsabnahmen Technische Audits durch externe Dienstleister (z. B. TÜV-Zertifizierung ebanking PE) Source Code Audits (Beispiele) ebanking Private Edition (PoC) agreesb Operator Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 27
28 Source Code Audit: Bisherige Erfahrungen Vollständig automatisierte Scans machbar? Die getesteten Lösungen zur statischen Source Code Analyse sind nur eingeschränkt geeignet, um diese automatisiert in den Entwicklungsprozess zu integrieren Nutzen der Source Code Audits (SCA)? Die Source Code-Analyse ist geeignet und empfehlenswert, um selbst entwickelte Anwendungen auf Schwachstellen hin zu untersuchen Die SCA trägt dazu bei, die Qualität des Quelltexts/der Anwendung zu steigern: Steigerung der Stabilität und damit Verfügbarkeit einer Anwendung Positive Wirkung auf Wartbarkeit Verbesserung der Sicherheit Tool-Nutzen? Deutliche Unterstützung eines menschlichen Auditors bei der Source Code Analyse Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 28
29 Web-Application-Scanner: Bisherige Erfahrungen Vollständig automatisierte Scans machbar? Auch die guten Scanner liefern Falschmeldungen ( false positives ) Gute Unterstützung bei Test auf Standard-Schwächen (z. B. der OWASP-TOP-10) Umfangreiche Prüfung auf bekannte Schwachstellen: z. B. XSS, SQL-Injection (bekannte) Konfigurationsfehler bei Web- und Application-Servern Keine Erkennung von Design-Fehlern oder logischen Fehlern Denkfehler im Programmfluss Interpretation und Bereinigung von false positives durch menschlichen Auditor notwendig Gut geeignet zum regelmäßigen Prüfen von neuen Anwendungen/Releases Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 29
30 Weiterführende Informationen BSI: Sicherheit von Webanwendungen Maßnahmenkatalog WebSec_pdf.pdf? blob=publicationfile OWASP-Projekt Security-Portal der Fiducia IT AG Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 30
31 Fragen? Diskussion? Tobias Kutzer IBM Software Group Tobias Kastner SEC 0721 / Sicherheit von Webanwendungen mit IBM Rational AppScan Tobias Kutzer, Tobias Kastner JBFOne 2010 Seite 31
32 Ihr IT-Partner Vielen Dank
Web Application Security mit IBM Rational AppScan
IBM Software Group Web Application Security mit IBM Rational AppScan Alexander Nenz IBM Rational Software Group Watchfire Sales Manager Germany Troopers 2008, München 23.-24.04.08 2008 IBM Corporation
MehrWALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN
WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN Die 7 häufigsten Fehler im IT-Security- Management bei Webanwendungen (nach OWASP) München, 11.10.2011 c1 Folie 3 c1 Ich habe
MehrSAP Penetrationstest. So kommen Sie Hackern zuvor!
SAP Penetrationstest So kommen Sie Hackern zuvor! TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz
MehrNo Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011
No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen Hamburg, 27.09.2011 Ausgangssituation Webanwendungen sind aus unserem heutigen Leben nicht mehr
MehrJanotta und Partner. Projekt DEFENSE
Janotta und Partner Cybersicherheit Sicherheit Projekt DEFENSE Projekt Defense - Das Sicherheitssystem Janotta und Partner Breslaustrasse 28, 97424 Schweinfurt Telefon: (09721) 370 38 17 Schützen Sie Ihre
MehrJanotta und Partner. Projekt DEFENSE
Janotta und Partner Cybersicherheit Sicherheit Projekt DEFENSE Heutzutage existiert eine Vielzahl von Methoden zur Erkennung von Angriffen. So arbeiten viele Systeme heute nach dem Prinzip. Datenpakete
MehrRational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance
SWG Partner Academy Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance 3. Tag, Donnerstag den 09.10.2008 Michael Bleichert Rational Channel Manager Germany Michael.Bleichert@de.ibm.com
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrSichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus?
Sichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus? Ziel dieses Vortrags Thema Sicherheit von Webanwendungen greifbar machen Praxisorientierte Einführung in aktuelle/zukünftige
MehrWeb Application Testing
Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer
MehrWie steht es um die Sicherheit in Software?
Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrDaniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH
11.12.2012 Daniel Schalberger, SySS GmbH 1 LIVE-HACKING, Typische Schwachstellen im Online-Handel, Prävention Dipl. Inform. Daniel Schalberger, Syss GmbH 11.12.2012 Daniel Schalberger, SySS GmbH 2 Daniel
MehrIT-Sicherheit auf dem Prüfstand Penetrationstest
IT-Sicherheit auf dem Prüfstand Penetrationstest Penetrationstest IT-Sicherheit auf dem Prüfstand Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten
MehrSicherheit Web basierter Anwendungen
Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche
MehrThema PHP-Sicherheits-Training-System. vorgelegt von Timo Pagel
Thema PHP-Sicherheits-Training-System vorgelegt von Timo Pagel Hamburg, den 29.04.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 24 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration
MehrQualitätssicherung in SAP HCM Eigenentwicklungen
TITEL bearbeiten Thomas Kastner (Managing Director, Virtual Forge) Dr. Markus Schumacher Qualitätssicherung in SAP HCM Eigenentwicklungen Kundeninformationstag von HCM Experts, 19. Juni 2012, Heidelberg
MehrSichere Software. Vermeidung von Angriffspunkten bei der Software-Entwicklung. Andreas Vombach
Sichere Software Vermeidung von Angriffspunkten bei der Software-Entwicklung Andreas Vombach Einleitung Mein Hintergrund Von der Hardware- zur Softwareentwicklung Software im Banking Bereich Erlebnisse
MehrThema PHP-Sicherheits-Training-System. Timo Pagel
Thema PHP-Sicherheits-Training-System Timo Pagel Hamburg, den 13.05.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 27 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration einer
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrDatenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke
Datenschutztag Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke 1. Website Security Gliederung 2. Viren, Trojaner & Antivirensoftware 3. Phishing & Gefahren des World Wide
MehrSIWECOS auf der sicheren Seite. Peter Meyer, eco e.v. Marcus Niemietz, RUB/Hackmanit David Jardin, CMS-Garden e.v.
SIWECOS auf der sicheren Seite Peter Meyer, eco e.v. Marcus Niemietz, RUB/Hackmanit David Jardin, CMS-Garden e.v. KMUs als Ziel Es gibt zwei Arten von Unternehmen: solche, die schon gehackt wurden, und
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
MehrJust-In-Time Security: Sicherheit im Entwicklungsprozess
Just-In-Time Security: Sicherheit im Entwicklungsprozess Mike Wiesner SpringSource Germany Über mich Senior Consultant bei SpringSource Germany Spring-/Security-Consulting Trainings IT-Security Consulting
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrDatensicherheit. Vorlesung 7: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.1.2018 Wintersemester 2017/2018 h_da, Lehrbeauftragter Teil 2: Datensicherheit Themenübersicht der Vorlesung 1. Einführung / Grundlagen der Datensicherheit / Authentifizierung
MehrSicherheit bei IoT. DOAG 2015 Andreas Chatziantoniou - Foxglove-IT BV
Sicherheit bei IoT DOAG 2015 Andreas Chatziantoniou - Foxglove-IT BV Bio Andreas Chatziantoniou Freelance Oracle Fusion Middleware Consultant 17 Jahre Oracle Erfahrung/27 Jahre IT (Unix/C) Oracle ACE andreas@foxglove-it.nl
MehrEinfallstor Webseite Risiken und Lösungen für Webseitenbetreiber IT-Trends Sicherheit 2018
Einfallstor Webseite Risiken und Lösungen für Webseitenbetreiber IT-Trends Sicherheit 2018 Peter Meyer, eco e.v. Projektmanager SIWECOS Aktuelle Lage der IT-Sicherheit in KMU http://www.wik.org/index.php?id=869&l=2
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrDSGVO: Konkrete Hilfe bei der Umsetzung. Was bei der Verarbeitung von personenbezogenen Daten in Web-Anwendungen zu beachten ist
DSGVO: Konkrete Hilfe bei der Umsetzung Was bei der Verarbeitung von personenbezogenen Daten in Web-Anwendungen zu beachten ist Agenda Einführung DSGVO Risikobewusstsein und -minimierung unter der DSGVO
MehrJanotta und Partner Cybersicherheit. Sicherheit. Web-Engineering
Janotta und Partner Cybersicherheit Sicherheit Web-Engineering Application Security Anwendungssicherheit Janotta und Partner Breslaustrasse 28, 97424 Schweinfurt Telefon: (09721) 370 38 17 Erweiterungen
MehrWeb Application Security: SQL-injection, Cross Site Scripting -- w3af
Web Application Security: SQL-injection, Cross Site Scripting -- w3af 1 Web 2.0 Application und Angriffspunkte Grundlagen: SQL SQL-injection Cross Site Scripting Web Application Scans mit w3af 2 Eine Web
MehrSecure Programming vs. Secure Development
Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg
MehrBaustein Webanwendungen. Stephan Klein, Jan Seebens
Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische
MehrSicherheitslücken in Webanwendungen -
Manuel Ziegler Web Hacking Sicherheitslücken in Webanwendungen - Lösungswege für Entwickler Mit Playground im Internet HANSER Vorwort IX 1 Sicherheitsprobleme im Internet und deren Folgen 1 1.1 Sicherheitsprobleme
MehrOpen for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH
Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)
MehrHÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014
HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,
MehrIBM Security Systems: Intelligente Sicherheit für die Cloud
: Intelligente Sicherheit für die Cloud Oliver Oldach Arrow ECS GmbH 2011 Sampling of Security Incidents by Attack Type, Time and Impact Conjecture of relative breach impact is based on publicly disclosed
MehrV10 I, Teil 2: Web Application Security
IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command
MehrCompass Security [The ICT-Security Experts]
Compass Security [The ICT-Security Experts] Penetrationstests Welchen Wert haben simulierte Angriffe [it-sa 2016, Nürnberg 20.10.2016] Jan-Tilo Kirchhoff Compass Security Deutschland GmbH Tauentzienstr.
MehrModerne APT-Erkennung: Die Tricks der Angreifer
Moderne APT-Erkennung: Die Tricks der Angreifer CeBIT 2016, 16.03.2016 Ihr Referent: Dominique Petersen petersen [at] finally-safe.com Halle 6, Stand G30 Agenda Wer ist finally safe? Advanced Persistent
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrIT-SICHERHEITSEXPERTE/IN Beratung/Penetrationstests JOBPERSPEKTIVE
IT-SICHERHEITSEXPERTE/IN Beratung/Penetrationstests JOBPERSPEKTIVE IT-SICHERHEITSEXPERTE/IN ist nicht gleich IT - Sicherheitsexperte/in. Sie haben die Qual der Wahl zwischen den folgenden Tätigkeitschwerpunkten
MehrAnbieter von Webapplikationen sind gefordert. Der Standard der Kreditkartenindustrie macht einkaufen im Internet sicherer
Hintergrundartikel Anbieter von Webapplikationen sind gefordert Der Standard der Kreditkartenindustrie macht einkaufen im Internet sicherer Von Cyrill Osterwalder* Seit Ende September 2007 ist der neue
MehrIT-Sicherheit im Gesundheitswesen
IT-Sicherheit im Gesundheitswesen Marco Lewin, Senior Consultant Veranstaltung: Brühl, 30. Mai 2017 Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de Agenda
MehrVielen Dank für Ihre Aufmerksamkeit!
Gefahrenabwehr - Threat Intelligence NRW-Sicherheitstag, 2.12.15 Dipl.-Inform. Norbert Friederichs, Vorstand Vielen Dank für Ihre Aufmerksamkeit! Einordnung von Threat Intelligence (Die Unsicherheitspyramide)
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
Mehritsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com
itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der
MehrGeorg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.
Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck
MehrOpenWAF Web Application Firewall
OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang
MehrCybersicherheit in der Smart Factory
Stage7 am 07.06.2017 Cybersicherheit in der Smart Factory Wie schützt man Fertigungsanlagen, wenn alles miteinander kommuniziert - auch schon heute? Stefan Menge, Achtwerk GmbH & Co. KG Agenda Motivation
MehrLEISTUNGSSTARKES, SKALIERBARES SCHWACHSTELLEN- MANAGEMENT. F-Secure Radar
LEISTUNGSSTARKES, SKALIERBARES SCHWACHSTELLEN- MANAGEMENT F-Secure Radar 48% Anstieg bei sicherheitsrelevanten Ereignissen 1 22,000,000 42,000,000 DIE BEDROHUNG IST REAL Angreifer suchen immer nach Schlupflöchern.
MehrOpen for Business Open to Attack Firewalls schützen Ihr Netzwerk Wer schützt Ihre Applikationen?
Open for Business Open to Attack Firewalls schützen Ihr Netzwerk Wer schützt Ihre Applikationen? IT Symposium, 17 Mai 2006 Roland Heer CEO Visonys AG roland.heer@visonys.com, +41 43 366 8888 Agenda Wer
MehrSicherheit & Compliance von SAP -Systemen
TITEL bearbeiten Dr. Markus Schumacher Dr. Markus Schumacher Sicherheit & Compliance von SAP -Systemen 2011 2012 Virtual Forge GmbH www.virtualforge.com All rights reserved. AGENDA TITEL bearbeiten Sicherheit
MehrWas ist Ihnen im Leben am Wichtigsten?
IBM Security Systems Was ist Ihnen im Leben am Wichtigsten? 2012 IBM Corporation IBM Security Systems Was ist Ihnen im Leben am Wichtigsten? Freiheit? 2012 IBM Corporation IBM Security Systems Was ist
MehrPENETRATIONSTESTS UND TECHNISCHE AUDITS. Delivering Transformation. Together.
PENETRATIONSTESTS UND TECHNISCHE AUDITS Delivering Transformation. Together. HERAUSFORDERUNG IT-SICHERHEIT Als Folge der fortschreitenden Digitalisierung hängt der Erfolg eines Unternehmens immer stärker
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrPenetrationtests: Praxisnahe IT-Sicherheit
Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 08. Dezember 2006 Laptop: Tragbarer, zeitweilig netzunabhängiger Computer mit einem klappbaren,
MehrHacking und die rechtlichen Folgen für die Geschäftsleitung
Hacking und die rechtlichen Folgen für die Geschäftsleitung - Christoph Winderling, GF Arbor-Link - Haiko Molitor, Projektleiter Arbor-Link - Jonas Spieckermann, Watchguard - Dr. Tobias Hemler, Rechtsanwalt
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrIHK: Web-Hacking-Demo
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web
MehrVDE CERT Was ist ein Response Team?
CERT@VDE VDE CERT Was ist ein Response Team? Partner: Andreas Harner, VDE Kompetenzzentrum Informationssicherheit DKE Innovation Campus 2017 Cybersicherheit: haben wir ein Problem?... es gibt doch Standardlösungen?
MehrMoney for Nothing... and Bits4free
Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom
MehrWie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?
APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.
MehrWeb Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?
Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a
MehrAgenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF
Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis
MehrSicherung der logistischen Abläufe bei der HHLA durch Schutz der IT gegen aktuelle Sicherheitsbedrohungen
Sicherung der logistischen Abläufe bei der HHLA durch Schutz der IT gegen aktuelle Sicherheitsbedrohungen IT-Sicherheit Dipl.-Ing. L. Damm AGENDA HHLA-Konzern Was haben wir besonders zu schützen? Gegen
MehrIT-Notfallmanagement - Aufbau, Praxisbeispiele u. Erfahrungen
1 IT-Notfallmanagement - Aufbau, Praxisbeispiele u. Erfahrungen Über die TÜV TRUST IT Daten und Fakten Seit 1872 TÜV TRUST IT über 40 IT-Sicherheitsexperten mit langjähriger Berufserfahrung und breitem
Mehrbusiness.people.technology.
business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus
MehrSoftwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit
Softwaresicherheit Eine Präsentation von Benedikt Streitwieser und Max Göttl Einführung Kryptographie und IT-Sicherheit Gliederung Einleitung: Was ist Softwaresicherheit Populäre Beispiele Anforderungen
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
MehrPenetrationtests: Praxisnahe IT-Sicherheit
Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:
MehrWas ist bei der Entwicklung sicherer Apps zu beachten?
Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrCompliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc
Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrWeb Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security
mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der
MehrTestautomatisierung für das Internet der Dinge
Testautomatisierung für das Internet der Dinge Workshop Sichere Plattformarchitekturen im Programm Smart Service Welt Berlin, 15.02.2017 IoT Testobjekte, -ziele und konfigurationen Agenda Testware Werkzeugkasten
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrPenetration Testing und Ethical Hacking Joel Tekeste, IBM Security Services Advisory IT Specialist
Kunde und IBM vertraulich August 2011 Mögliche Sicherheitslücken im Unternehmen erkennen Die IBM Sicherheitsanalyse Kompakt Penetration Testing und Ethical Hacking Joel Tekeste, IBM Security Services Advisory
MehrNeues aus dem DFN-CERT. 48. DFN-Betriebstagung - Forum Sicherheit 26. Februar 2008 Andreas Bunten, DFN-CERT
Neues aus dem DFN-CERT 48. DFN-Betriebstagung - Forum Sicherheit 26. Februar 2008 Andreas Bunten, DFN-CERT Agenda Neuigkeiten zum Thema Automatische Warnmeldungen Aktuelle Angriffe und Schwachstellen Das
MehrIT Security-Dienstleistungen Produktbeschreibung Stand 06. Juli 2016
IT Security-Dienstleistungen Produktbeschreibung Stand 06. Juli 2016 Schneider & Wulf EDV-Beratung GmbH & Co KG www.schneider-wulf.de info@schneider-wulf.de Fon +49 6073 6001-0 Fax +49 6073 6001-99 Inhalt
MehrBest Practices Guide: Web Application Firewalls. OWASP German Chapter. The OWASP Foundation Alexander Meisel CTO art of defence
Deutschland Konferenz 2008 Best Practices Guide: Web Application Firewalls Alexander Meisel CTO art of defence German Chapter Copyright The Foundation Permission is granted to copy, distribute and/or modify
Mehr8com Awareness-Portal
8com Awareness-Portal Ihre All-in-one-Lösung für nachhaltige Mitarbeitersensibilisierung MIT SICHERHEIT FIT! Stärken Sie die menschliche Firewall Mehr Informationssicherheit durch ganzheitliche Awareness
MehrInformationssicherheit und Datenschutz
Informationssicherheit und Datenschutz Henning Bergmann Datenschutzbeauftragter IT Security Manager Asklepios Kliniken Hamburg GmbH Sylt Barmbek (Hamburg) Falkenstein Ini Hannover Bad Griesbach Inhalt
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Dortmund
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrTop 10 Datenschutz-Risiken in Web-Applikationen
.consulting.solutions.partnership OWASP Top 10 Privacy Risks Project Top 10 Datenschutz-Risiken in Web-Applikationen Florian Stahl Über mich Florian Stahl Abteilungsleiter im Bereich Information Security
MehrOWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente
Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische
MehrPROFI IT Risk Compact Check Nur wer seine Risiken kennt, kann sie steuern
PROFI IT Risk Compact Check Nur wer seine Risiken kennt, kann sie steuern 1 02.12.2014 IT Risk Compact Check I. Audit meets IT IT-Sicherheit eine Bestandsaufnahme IT-Sicherheit eine Bestandsaufnahme Situation
MehrCyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen
Cyber Security 4.0 Aktuelle Angriffs- Methoden & Gegenmaßnahmen Michael Hochenrieder Senior Information Security Consultant HvS-Consulting AG Einige prominente Fälle Restricted: for project use only 2
MehrSecurity Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung
Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!
MehrBSI IT-Grundschutz in der Praxis
BSI IT-Grundschutz in der Praxis Die Maßnahme ist schon fast umgesetzt, Erfahrungen aus dem Alltag eines Beraters Daniel Jedecke Managing Consultant 1 Agenda 1 Vorstellung 2 BSI IT-Grundschutz 3 Herausforderungen
MehrIT-Security-Symposium 2019 IT- Security im Fokus
IT-Security-Symposium 2019 IT- Security im Fokus Datensicherheit richtig überwachen und verwalten wie Sie Datenschutzverstöße verhindern. Referent: Michael Veit, Technology Evangelist, Sophos Sicherheit-als-System
MehrWebapplikationssicherheit (inkl. Livehack) TUGA 15
Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich
MehrDie neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH
Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log
Mehr