ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln
|
|
|
- Hildegard Goldschmidt
- vor 8 Jahren
- Abrufe
Transkript
1 ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln
2 Über mich Informatiker Entwickler IT Security 2
3 TOC Aufbau ZF Problem 1 bis 10 3
4 Aufbau eines ZF-Projekts Public Bootstrap Config Models Views Controllers 4
5 Aufbau - public/index.php <?php // set_include_path usw. /** Zend_Application */ require_once 'Zend/Application.php'; // Create application, bootstrap, and run $application = new Zend_Application(! APPLICATION_ENV,! APPLICATION_PATH. '/configs/application.ini' ); $application->bootstrap(); $application->run(); 5
6 Aufbau - application/bootstrap.php <?php class Bootstrap extends Zend_Application_Bootstrap_Bootstrap { protected function _initfoo() { // } } 6
7 Problem 1 - SQL-Injections Problematischer Code: $sql = SELECT name FROM users WHERE username = $username ; $db->query($sql); 7
8 Problem 1 - SQL-Injections Genauso problematischer Code: $sql = SELECT name FROM users WHERE username =. addslashes($username). ; $db->query($sql); genauso wie magic_quotes_* = On 8
9 Problem 1 - SQL-Injections OK $sql = SELECT name FROM users WHERE username =. $db->quote($username); $db->query($sql); // $db ist ein Zend_Db_Adapter siehe auch quoteinto und quoteidentifier 9
10 Problem 1 - SQL-Injections Auch OK, aber nicht die ZF $escaped_username = mysql_real_escape_string($username); $sql = SELECT name FROM users WHERE username = $escaped_username ; $db->query($sql); 10
11 Problem 1 - SQL-Injections Schon wieder problematisch: $sql = SELECT foo FROM bar WHERE foobar LIKE. $db->quote($foobar); $db->query($sql); % nicht vergessen 11
12 ZF Forms (Überblick) Controller $form = new Zend_Form(); $form->setaction($this->view->url()) ->setmethod('post'); $form->addelement('submit', 'login', array(!!! 'label' => 'Login')); // noch mehr addelement $this->view->form = $form; View <?php echo $this->form->render();?> 12
13 Problem 2: Forms Problematisches Formular: $form = new Zend_Form(); $form->setaction($this->view->url()) ->setmethod('get'); $form->addelement('submit', 'action', array(!!! 'label' => 'Passwort-Reset')); 13
14 Problem 2: Forms / CSRF OK $form = new Zend_Form(); $form->setaction($this->view->url()) ->setmethod('get'); $form->addelement('hash', 'csrftoken', array(!!! 'required' => true,!!! 'salt' => '12345', )); $form->addelement('submit', 'action', array(!!! 'label' => 'Passwort-Reset')); 14
15 Problem 3: Forms Vielleicht problematisches Formular: $form->addelement('text', 'username', array('label' => 'Username')); $form->addelement('password', 'password', array('label' => 'Password')); $form->addelement('submit', 'login', array(!! 'label' => 'Login')); 15
16 Problem 3: Forms / Validators Problematisches Formular: $form->addelement('text', 'username', array( 'label' => 'Username', 'validators' => array( array('regex', true, array('/^[a-za-z0-9_.@-]+$/d')), array('stringlength', true, array(1, 50)) ) )); $form->addelement('password', 'password', array(!!! 'label' => 'Password',!!! 'validators' => array( array('stringlength', true, array(1, 255))) )); $form->addelement('hash', 'csrftoken', array(!!! 'required' => true,!!! 'salt' => '12345')); $form->addelement('submit', 'login', array(!!! 'label' => 'Login')); Vorsicht REGEX!! 16
![@-]+$/d')), array('stringlength', true, array(1, 50)) ) )); $form->addelement('password', 'password', array(!!! 'label' => 'Password',!](/docs-images/44/2068196/images/page_16.jpg "!! 'validators' => array( array('stringlength', true, array(1, 255))) )); $form->addelement('hash', 'csrftoken', array(!!! 'required' => true,!")
17 Problem 3: Forms / required OK $form->addelement('text', 'username', array( 'label' => 'Username', 'required' => true, 'validators' => array( array('regex', true, array('/^[a-za-z0-9_.@-]+$/')), array('stringlength', true, array(1, 50)) ) )); $form->addelement('password', 'password', array(!!! 'label' => 'Password',!!! 'required' => true,!!! 'validators' => array( array('stringlength', true, array(1, 255))) )); $form->addelement('hash', 'csrftoken', array(!!! 'required' => true,!!! 'salt' => '12345')); 17
![@-]+$/')), array('stringlength', true, array(1, 50)) ) )); $form->addelement('password', 'password', array(!](/docs-images/44/2068196/images/page_17.jpg "!! 'label' => 'Password',!!! 'required' => true,!")
18 Problem 4: Views / XSS (trivial) Controller $request = $this->getrequest(); $this->view->lang = $request->getparam( lang ); View <?php echo $this->lang;?> <?php echo $this->escape($this->lang);?> 18
19 Problem 4: Views / XSS (URL) Controller $request = $this->getrequest(); $this->view->lang = $request->getparam( lang ); View <a href=?lang=<?php echo $this->lang;? > >boo</a> <a href=?lang=<?php echo urlencode($this->lang);?> >boo</a> siehe auch http_build_query 19
20 Problem 4: Views / XSS (falsches Escaping) Controller $request = $this->getrequest(); $this->view->lang = $request->getparam( lang ); View <script language= javascript > var lang = <?php echo htmlspecialchars($this->lang);?> ; </script> 20
21 Problem 4: Views / Whitelisting! Controller $request = $this->getrequest(); $lang = $request->getparam( lang ); if (!in_array($lang, array( en, de )) $lang = en ; $this->view->lang = $lang; View <?php echo $this->lang;?> 21
22 Problem 5: Config / Empfehlungen register_globals = Off (php.ini) expose_php = Off (php.ini) ServerTokens Prod (apache config) ServerSignature Off (apache config) 22
23 Problem 5: Config / eastereggs expose_php = On 23
24 Problem 5: Config / Dateisystem chown htdocs /public (www / htdocs privilege separation) ZendFramework (oder andere Frameworks) nie im public Verzeichnis 24
25 Problem 5: Config / generelle Probleme security = on, aber nicht nachgedacht (jede config, z.b. geladen, aber nicht konfiguriert) keine oder schlechte DB-Passwörter development / staging / production (ZF - siehe.htaccess: SetEnv APPLICATION_ENV production) 25
26 Problem 6: Session Handling (Login) Controller $auth = Zend_Auth::getInstance();!! $adapter = new Zend_Auth_Adapter_DbTable( Zend_Db_Table_Abstract::getDefaultAdapter(), 'users', 'username', 'password', 'MD5(?) AND confirmed'); $adapter ->setidentity($form->getvalue('username')) ->setcredential($form->getvalue('password')); $result = $auth->authenticate($adapter); Fortsetzung nächste Seite 26
27 Problem 6: Session Handling (Login) Controller (problematisch) if ($result->isvalid()) { // successful login $storage = $auth->getstorage(); $storage->write( $adapter->getresultrowobject(array( 'id', 'username', 'orga', 'admin'))); } else { // invalid login } 27
28 Problem 6: Session Handling (Login) Controller (ok) if ($result->isvalid()) { // successful login Zend_Session::regenerateId(); $storage = $auth->getstorage(); $storage->write( $adapter->getresultrowobject(array( 'id', 'username', 'orga', 'admin'))); } else { // invalid login } 28
29 Problem 6: Session Handling (Logout) Controller (problematisch) public function logoutaction() { $this->_redirect('/'); } 29
30 Problem 6: Session Handling (Logout) Controller (ok) public function logoutaction() { Zend_Auth::getInstance()->clearIdentity(); Zend_Session::destroy(true, true);! $this->_redirect('/'); } 30
31 Problem 7: Verschlüsselung / Session Cookies Bootstrap protected function _initsession() { $cookieparams = session_get_cookie_params(); session_set_cookie_params( $cookieparams['lifetime'], // lifetime in seconds "/guru2", // path $cookieparams['domain'], // domain true, // secure flag true // http-only flag );!! session_name("guru_sid"); } 31
32 Problem 7: Verschlüsselung / Apache.htaccess RewriteCond %{HTTPS}!=on RewriteRule ^.*$ - [NC,C] RewriteCond %{REQUEST_URI}!^/index RewriteRule ^.*$ - [NC,F,L] apache config SSLCipherSuite HIGH:MEDIUM:!SSLv2:!EXP:!aNULL:!eNULL 32
33 Problem 8: Encoding & Charset View (problematisch) <meta http-equiv="content-type" content="text/html; charset=utf8" /> 33
34 Problem 8: Encoding & Charset View (ok) <meta http-equiv="content-type" content="text/html; charset=utf-8" /> apache config AddDefaultCharset utf-8 34
35 Problem 8: Encoding / DB application.ini resources.db.params.charset = utf8 35
36 Problem 9: Login Brute-Forcing Controller (problematisch) $result = $auth->authenticate($adapter); if ($result->isvalid()) { // successful login // (viel Zeit) } else { // invalid login // (wenig Zeit) } 36
37 Problem 9: Login Brute-Forcing Controller (ok) $result = $auth->authenticate($adapter); if ($result->isvalid()) { // successful login // (viel Zeit) } else { // invalid login // wait usleep(1000*(750 + rand(0, 2000))); } 37
38 Problem 10: Unsinn Backdoors if ($password == secret ) { // backdoor login } 38
39 Problem 10: Unsinn Eigene Crypto $warenkorb_cookie = rot23($warenkorb); 39
40 Problem 10 1/2: Alles andere logische Fehler XSS in Translations Format Strings - z.b. sprintf($_get[ foo ]); MVC Mixup - z.b. SQL im View 40
41 Kommentare?
WEBAPPLIKATIONEN MIT PHP. Wo gibt es Hilfe? Wie fang ich an?
WEBAPPLIKATIONEN MIT PHP Wo gibt es Hilfe? Wie fang ich an? Tools Webapplikationen bestehen aus Textdateien Lassen sich in Texteditoren schreiben Alternativen: Eclipse (PDT) Netbeans (Dynamic Languages)
Einführung in Web-Security
Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme
OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
Zend Framework MVC Applikationen testen
Zend Framework MVC Applikationen testen Jan Burkl, System Engineer, Zend Technologies Wer bin ich? Jan Burkl jan.burkl@zend.com PHP Entwickler seit 2001 Projektarbeit Bei Zend seit 2006 System Engineer
Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
Interaktive Webseiten mit PHP und MySQL
Interaktive Webseiten mit PHP und Vorlesung 4: PHP & Sommersemester 2003 Martin Ellermann Heiko Holtkamp Sommersemester 2001 Hier noch ein wenig zu (My)SQL: SHOW INSERT SELECT ORDER BY GROUP BY LIKE /
Sicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
Das Zend Framework. Hält der Name, was er verspricht?
Hält der Name, was er verspricht? Sprecher: Carsten Lucke Sofware-Ingenieur bei der sd&m AG, München Aktives Mitglied der sd&m Client- Community PEAR und PECL Entwickler Schreibt für Fachzeitschriften/-bücher
Web-Anwendungsentwicklung mit dem Delivery Server
Web-Anwendungsentwicklung mit dem Delivery Server Java-Framework auf Basis der Open API Bernfried Howe, Webertise Consulting GmbH WEBertise Consulting Dipl. Informatiker (Wirtschaftsinformatik) 2001-2010
Fakultät für Informatik & Wirtschaftsinformatik DB & IS II SS 2015 PHP MVC. Dr. Christian Senger. PHP MVC 1 von 21
PHP MVC PHP MVC 1 von 21 Model View Control Views Controlers Business logic GUI OO-application logic Object-relational-Mapping Relational DBMS PHP MVC 2 von 21 Webbasierte Informationssysteme WWW-Browser
Sessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1
Sessions mit PHP Annabell Langs 2004 Sessions in PHP - Annabell Langs 1 Sessions» Inhaltsverzeichnis Wozu Sessions? 3 Wie funktionieren Sessions? 5 Wie kann ich die Session-ID übergeben? 8 Sicherheit 9
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
Übungen. DI (FH) Levent Öztürk
Übungen DI (FH) Levent Öztürk Übersicht Entwicklungsumgebung PHPMYADMIN Datenbank anlegen User anlegen Tabellen Anlegen Datenbankzugriffe über PHP 01.04.2014 DI (FH) Levent Öztürk 2 Entwicklungsumgebung
Session Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
Ablauf. Wichtige Termine. Vertiefendes Übungsprojekt - SQL II
Ablauf Wichtige Termine Ablauf der Lehrveranstaltung Vorstellung des Projektthemas Projektgruppen Vorstellung der Arbeitsumgebung (Software, Locations) Walkthrough Datenbankentwurf Formulare PHP Security
Sicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
Security Component Bundle
Security Component Bundle Bietet Mechanismen zur Authentifizierung und Authorisierung Was bedeuten die Begriffe? Timon Schroeter 2 www.php-schulung.de Security Component Bundle Bietet Mechanismen zur Authentifizierung
Grundlagen der Informatik 2
Grundlagen der Informatik 2 Dipl.-Inf., Dipl.-Ing. (FH) Michael Wilhelm Hochschule Harz FB Automatisierung und Informatik mwilhelm@hs-harz.de Raum 2.202 Tel. 03943 / 659 338 1 Gliederung 1. Einführung
Multimedia im Netz Wintersemester 2011/12
Multimedia im Netz Wintersemester 2011/12 Übung 01 Betreuer: Verantwortlicher Professor: Sebastian Löhmann Prof. Dr. Heinrich Hussmann Organisatorisches 26.10.2011 MMN Übung 01 2 Inhalte der Übungen Vertiefung
Verteidigung gegen SQL Injection Attacks
Verteidigung gegen SQL Injection Attacks Semesterarbeit SS 2003 Daniel Lutz danlutz@watz.ch 1 Inhalt Motivation Demo-Applikation Beispiele von Attacken Massnahmen zur Verteidigung Schlussfolgerungen 2
Ich liebe Java && Ich liebe C# Rolf Borst
Ich liebe Java && Ich liebe C# Rolf Borst Java oder C#? Einführung public class Einfuehrung { private int gesamtzahl = 0; /* Ermittelt die Anzahl der geraden und durch drei teilbaren Zahlen */ public String
2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST
2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.
Es wird das Struts <html:option> Element erläutert und anhand von kleinen Beispielen der Umgang veranschaulicht.
Struts Code Peaces Element Es wird das Struts Element erläutert und anhand von kleinen Beispielen der Umgang veranschaulicht. Allgemeines Autor: Sascha Wolski Sebastian Hennebrüder
Grails. Weiterführende Themen zu Internet- und WWW-Technologien. Matthias Springer. 06. Juni 2011
Weiterführende Themen zu Internet- und WWW-Technologien 06. Juni 2011 Übersicht 1 Was ist? 2 Übersicht über 3 MVC-Konzept 4 Groovy Beispiele 5 Tutorial: Kleiner Notizblock Web Application Framework Übersicht
Ablauf Unit2. Walkthrough
Ablauf Unit2 Vertiefendes Uebungsprojekt - SQL II Gerhard Wohlgenannt Test Vorstellung der Arbeitsumgebung (Software, Locations) Walkthrough Gruppeneinteilung + Themenvergabe Vorstellung der Arbeitsumgebung
Wordpress am eigenen Server installieren
Wordpress am eigenen Server installieren Voraussetzung: Zugang zum Server und einen Datenbanknamen und Datenbankuser 1. Download der aktuellen Wordpress-Version unter http://wpde.org/download/ Die Installation
php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...
php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...7 3.Zugriff auf mysql Daten...11 Verteilte Systeme: php.sxw Prof.
ORM & OLAP. Object-oriented Enterprise Application Programming Model for In-Memory Databases. Sebastian Oergel
ORM & OLAP Object-oriented Enterprise Application Programming Model for In-Memory Databases Sebastian Oergel Probleme 2 Datenbanken sind elementar für Business-Anwendungen Gängiges Datenbankparadigma:
Django - ein Python Web-Framework
31. Mai 2011 Inhaltsverzeichnis 1 Überblick Was ist Django Merkmale Anforderungen 2 MVC im Detail Model Controller View 3 Live-Demo 4 Wie geht es weiter? Was ist Django Was ist Django? quelloffenes Web-Framework
SharePoint s Best Practice Was funktioniert (wirklich)? DI(FH) Chris Holubarz Teamlead SharePoint
SharePoint s Best Practice Was funktioniert (wirklich)? DI(FH) Chris Holubarz Teamlead SharePoint Über mich DI (FH) Christopher Holubarz Teamlead SharePoint Projekte seit Beginn SharePoint 2007 Ursprung
Multimedia Engineering II - Übung 2
Multimedia Engineering II - Übung 2 Zielstellung der Übungsaufgabe Das Login-Panel der ersten Übung erhält nun die Funktion, auf eine zweite View zu wechseln. Auf dieser werden Sie nun das erste Mal einen
Zusammenfassung Web-Security-Check ZIELSYSTEM
Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt
PHP - Projekt Personalverwaltung. Erstellt von James Schüpbach
- Projekt Personalverwaltung Erstellt von Inhaltsverzeichnis 1Planung...3 1.1Datenbankstruktur...3 1.2Klassenkonzept...4 2Realisierung...5 2.1Verwendete Techniken...5 2.2Vorgehensweise...5 2.3Probleme...6
Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling
Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan
à la Carte KMU - Lösungen im Alltag für Filemaker und das Web
à la Carte KMU - Lösungen im Alltag für Filemaker und das Web Filemaker + Web Zielgruppe: - Kunde: - KMU s - Filemaker-erfahrene Anwender - Ansprüche: Umsetzung individuell, sofort, einfach - IT: - FM,
PHP Code Konventionen Um einen einheitlichen Code zu generieren, der von jedem gelesen werden kann, müssen folgende Konventionen eingehalten werden.
PHP Code Konventionen Um einen einheitlichen Code zu generieren, der von jedem gelesen werden kann, müssen folgende Konventionen eingehalten werden. Allgemein Ein Einzug sollte aus 4 Leerzeichen bestehen.
Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10
The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt
PHP-5-Zertifizierung. Block 12 Security.
PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies
SEMINAR Modifikation für die Nutzung des Community Builders
20.04.2010 SEMINAR Modifikation für die Nutzung des Community Builders Step by Step Anleitung ecktion SEMINAR Modifikation für die Nutzung des Community Builders Step by Step Anleitung Bevor Sie loslegen
Java - Webapplikationen
Java - Webapplikationen Bestandteile (HTTP,, JSP) Aufbau (Model View Controller) Datenverwaltung (Java Beans, Sessions) Entwicklung (Projektstruktur, Sysdeoplugin für Eclipse) 17. Januar 2006 Jan Hatje
XSS for fun and profit
5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,
Hands-on für UI5-Anwendung auf HANA
Hands-on für UI5-Anwendung auf HANA 1. Modell anlegen 1. In Eclipse oder HANA IDE SQL-basierten Calculation View für Customer anlegen und aktivieren: SQL Code: /********* Begin Procedure Script ************/
HERZLICH WILLKOMMEN SHAREPOINT 2013 - DEEP DIVE FOR ADMINS 11.09.2012 IOZ AG 2
11.09.2012 IOZ AG 1 HERZLICH WILLKOMMEN SHAREPOINT 2013 - DEEP DIVE FOR ADMINS 11.09.2012 IOZ AG 2 AGENDA Über mich Architekturänderungen Systemvoraussetzungen Migration Fragen 11.09.2012 IOZ AG 3 ÜBER
ACCOUNTINFO 1.01 VERWENDEN DER ACCOUNTINFO-SCHNITTSTELLE ABFARGE VON ACCOUNT-INFORMATIONEN IN ECHTZEIT 02. MÄRZ 2010
VERWENDEN DER ACCOUNTINFO-SCHNITTSTELLE ABFARGE VON ACCOUNT-INFORMATIONEN IN ECHTZEIT 02. MÄRZ 2010 VERTRIEBLICHE FRAGEN ZUM FITSMS-GATEWAY mpc networks GmbH Abteilung FitSMS Vertrieb tel +49 (0) 7154-17
Sicherheitsprobleme bei Webapps. Sichere Software zu programmieren ist doch ganz einfach, oder?
Sicherheitsprobleme bei Webapps Sichere Software zu programmieren ist doch ganz einfach, oder? Ich bin... Patrick Cornelißen Java und früher PHP Dipl. Informatiker Agile! Selbständig Softwareentwickler
Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische
Rails Ruby on Rails Ajax on Rails. Clemens H. Cap http://wwwiuk.informatik.uni-rostock.de http://www.internet-prof.de
Rails Ruby on Rails Ajax on Rails Who is who? Rails Ziel: Framework für Web (2.0) Anwungen Beschleunigung der Entwicklung Konzept des Agilen Programmierens Ruby Interpretierte Sprache Rails Integrationen
Autocomplete Mutiple http://www.smarttutorials.net/jquery-autocomplete-multiple-fields-using-ajax-php-mysql-example/ Datenbank: Importiere die SQL-Datei mit phpmyadmin. Diese beinhaltet die Länder (countries)
Application Frameworks
Seminar Software Engineering 1 Grundlagen Agenda Spring Framework Dependency Injection Aspektorientierte Programmierung Datenbankanbindung Modell View Controller Sicherheit Spring vs. Java EE Zusammenfassung
sendeffect API www.sendeffect.de
sendeffect API www.sendeffect.de Voraussetzungen Um die sendeffect XML API benutzen zu können benötigen Sie PHP 5.1.2 oder höher. Mögliche Abfragen Dieser Abschnitt beschreibt die verschiedenen Funktionen,
Interaktive Medien Richtlinien für das Codieren Version vom 18. Juni 2014
Interaktive Medien Richtlinien für das Codieren Version vom 18. Juni 2014 Martin Vollenweider Dateinamen im Internet Da wir im Internet in gemischten Hard- und Softwareumgebungen (z.b. Windows, Unix, Macintosh,
Sage 200 BI Häufige Fehler & Lösungen. Version 15.10.2014
Sage 200 BI Häufige Fehler & Lösungen Version 15.10.2014 Inhaltverzeichnis Sage 200 BI Häufige Fehler & Lösungen Inhaltverzeichnis 2 1.0 Häufige Probleme & Lösungen 3 1.1 Keine Grafiken in SSRS-Auswertungen
Infinigate (Schweiz) AG. Secure Guest Access. - Handout -
Infinigate (Schweiz) AG Secure Guest Access - Handout - by Christoph Barreith, Senior Security Engineer 29.05.2012 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 1 2 Secure Guest Access... 2 2.1 Gäste Accounts
Grundlagen der Web-Entwicklung
Grundlagen der Web-Entwicklung Ruby on Rails Thomas Walter 10.01.2011 Version 1.0 aktuelles aktuelle Browserstatistiken Weltweit, Quelle www.netmarketshare.com 2 aktuelles aktuelle Browserstatistiken Europaweit,
Schwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
BillSAFE Payment Layer Integration Guide
BillSAFE Payment Layer Integration Guide letzte Aktualisierung: 10.06.2013 Inhaltsverzeichnis 1 Vorwort...2 1.1 Inhalt...2 1.2 Zielgruppe...2 1.3 Voraussetzungen...2 1.4 Feedback...2 1.5 Versionshistorie...3
BFV Widgets Kurzdokumentation
BFV Widgets Kurzdokumentation Mit Hilfe eines BFV-Widgets lassen sich die neuesten Ergebnisse und die aktuellen Tabellen des BFV auf der eigenen nicht kommerziellen Webseite mit wenig Aufwand einbeten.
Ralf Eggert. Zend Framework 2. Das Praxisbuch
Ralf Eggert Zend Framework 2 Das Praxisbuch 7.4 Ein Anwendungsmodul entwickeln 7.3.7 Weitere Konfigurationen Der Modul-Manager ermöglicht auch die Konfiguration weiterer Elemente, für die entsprechende
Dieses Tutorial gibt eine Übersicht der Form Klassen von Struts, welche Besonderheiten und Unterschiede diese aufweisen.
Übersicht Struts Forms Dieses Tutorial gibt eine Übersicht der Form Klassen von Struts, welche Besonderheiten und Unterschiede diese aufweisen. Allgemeines Autor: Sascha Wolski http://www.laliluna.de/tutorials.html
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
if ($rows == 0) { save_new(); } }
Page 212, Listing index.php There is: Must be: // Prüfen, ob nicht Seite aktualisiert // wurde mit z.b. F5. der gleiche // Eintrag soll nicht mehrmals // gespeichert werden können $sql_check = "SELECT
[netlogon] comment = Network Logon Service path = /home/samba/netlogon guest ok = no writable = no share modes = no browsable = no
![[netlogon] comment = Network Logon Service path = /home/samba/netlogon guest ok = no writable = no share modes = no browsable = no](/thumbs/26/9155204.jpg "[netlogon] comment = Network Logon Service path = /home/samba/netlogon guest ok = no writable = no share modes = no browsable = no")
[global] ## Server Identifikation - so meldet sich der Server im Netzwerk netbios name = referenz-server server string = %h PDC Referenz workgroup = referenz comment = Samba Server %v ## Welche Netzwerkkarte
ICT-Cloud.com XenApp 6.5 Configuration Teil 2
Allgemein Seite 1 ICT-Cloud.com XenApp 6.5 Configuration Teil 2 Montag, 16. April 2012 INFO: Haben Sie schon Ihren "Domain Controller" konfiguriert? Ohne den, geht es im nächsten Teil nicht weiter! ICT-Cloud.com
Informationstechnik & System-Management SQL INJECTION. Selbstgemachte Sicherheitslücken. SQL-Injection ITSB2006 Michael Donabaum
SQL INJECTION Selbstgemachte Sicherheitslücken Beschreibung SQL-Injection SQL-Einschleusung Ausnutzen von Sicherheitslücken in Zusammenspiel mit SQL-Datenbanken Mangelnde Maskierung von Metazeichen \ ;
Datenbanksysteme SS 2007
Datenbanksysteme SS 2007 Frank Köster (Oliver Vornberger) Institut für Informatik Universität Osnabrück Kapitel 9d: Datenbankapplikationen Architektur einer Web-Applikation mit Servlets, JSPs und JavaBeans
Arrays. PHP JavaScript Kapitel 9
Arrays 1 Problem: Volatilitätenbeispiels in der Programmiersprache JavaScript. Der Benutzer unseres Programms soll die Aktienkurse für beliebig viele Tage eingeben können. Dabei soll er zunächst sagen,
Grundlagen der Web-Entwicklung INF3172
Grundlagen der Web-Entwicklung INF3172 Das ZEND-Framework Thomas Walter 28.11.2011 Version 1.0 aktuelles 2 Frameworks Framework: wiederverwertbares Softwaresystem mit bereits implementierter, genereller
Silverstripe CMS und das Sapphire Framework
Silverstripe CMS und das Sapphire Framework kurz über mich... Seit 2002 mit PHP Typo3, Wordpress, Radiant (RoR) reingeschaut: Symfony, Zend Seit 2009 Webentwicklung mit SilverStripe Geschichte von SilverStripe
Zugriff auf Firebird-Datenbanken mit PHP. Daniel de West DB-Campus-Treffen 15. Januar 2004
Zugriff auf Firebird-Datenbanken mit PHP Daniel de West DB-Campus-Treffen 15. Januar 2004 Inhalt PHP und Firebird Die wichtigsten Befehle Verbindungsaufbau Übermitteln von Abfragen Beenden von Verbindungen
SQL-Injection. Seite 1 / 16
SQL-Injection Seite 1 / 16 Allgemein: SQL (Structured Query Language) Datenbanksprache zur Definition von Datenstrukturen in Datenbanken Bearbeiten und Abfragen von Datensätzen Definition: SQL-Injection
Skalierbare Webanwendungen mit Python und Google App Engine
Skalierbare Webanwendungen mit Python und Google App Engine Oliver Albers 03. Juli 2008 1/32 Einführung Worum geht es? Pro und Contra Technik Genereller Aufbau Anwendungskonfiguration Verarbeitung von
Der IBM Websphere Portalserver
Der IBM Websphere Portalserver Ergebnisse aus dem Universitäts-Praxis-Projekt 2001/2002 Vortrag von Il-Hyun Kim und Horst Rechner am 19. Juli 2002 Weiterer Teilnehmer am UPP: Clemens Oertel Betreuer: Dipl.-Phys.
Schwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
Eine Anwendung mit InstantRails 1.7
Eine Anwung mit InstantRails 1.7 Beschrieben wird das Anlegen einer einfachen Rails-Anwung, die ohne Datenbank auskommt. Schwerpunktmäßig wird auf den Zusammenhang von Controllern, Views und der zugehörigen
Dynamische Webseiten mit PHP. Oder: LAMP - The open way
Dynamische Webseiten mit PHP Oder: LAMP - The open way Verbreitung Neben ASP verbreitetste Web-Scripting-Umgebung LAMP (Linux, Apache, mysql, PHP): freie Alternative zu M$ Überblick Dynamische Webseiten
NODELOCKED LIZENZ generieren (ab ST4)
NODELOCKED LIZENZ generieren () Besuchen Sie folgende Webseite support.ugs.com/global/de ( ohne www oder http:// ) Klicken Sie auf Lizenz Verwaltung und dann auf aktuelle Lizenz 1 1. Geben Sie Ihren Webkey
#58. select-liste (deren Werte durch die Auswahl des Benutzers in der ersten Liste bestimmt werden) direkt über dem Button.
Dynamisch eine Auswahlliste in einem Rails-Template generieren #58 HACK #58 Dynamisch eine Auswahlliste in einem Rails-Template generieren Hack Generieren Sie mit Hilfe von Ajax und Ruby on Rails eine
Design Patterns 2. Model-View-Controller in der Praxis
Design Patterns 2 Model-View-Controller in der Praxis Design Patterns Oft Schablonen für eine Klassenstruktur... aber nicht immer! Dahinterliegende Konzepte wichtiger als wörtliche Umsetzung Pattern werden
Struts 2 Das Imperium schlägt zurück?
Struts 2 Das Imperium schlägt zurück? Orientation in Objects GmbH Weinheimer Str. 68 68309 Mannheim Tobias Kieninger www.oio.de info@oio.de Java, XML und Open Source seit 1998 ) Software
Praktikum Datenbanksysteme. Ho Ngoc Duc IFIS - Universität zu Lübeck 01.06.2005
Praktikum Datenbanksysteme Ho Ngoc Duc IFIS - Universität zu Lübeck 01.06.2005 Tomcat-Installation $JAVA_HOME (z.b. /home/dbp00/j2sdk1.4.2) $CATALINA_HOME (/home/dbp00/jakarta-tomcat-4) Skripte zum Start/Stop:
JavaScript in Drupal
JavaScript in Drupal JavaScript JavaScript ist nicht Java JavaScript ist keine reine Web-Sprache JavaScript ist benutzbar Web 1.0 Dreamweaver Mouseover-Scripts Dinge, die dem Cursor nachfliegen Schneeflocken
Typo 3 installieren. Schritt 1: Download von Typo3
Typo 3 installieren Bevor Sie Typo3 installieren, müssen Sie folgende Informationen beachten: Typo3 benötigt eine leere Datenbank. Mit Ihrem Abonnement verfügen Sie über eine einzige Datenbank. Sie können
Tutorial. In diesem Tutorial möchte ich die Möglichkeiten einer mehrspracheigen Web-Site erläutern.
Tutorial In diesem Tutorial möchte ich die Möglichkeiten einer mehrspracheigen Web-Site erläutern. Zu Beginn müssen wir uns über die gewünschten Sprachen Gedanken machen. Zum einem, da eine professionelle
<Insert Picture Here> Ohne Fenster-zur-Welt SSO mit ios-apps und Oracle Access Manager
Ohne Fenster-zur-Welt SSO mit ios-apps und Oracle Access Manager Dr Steffo Weber DOAG-2012 Oracle Hamburg Übersicht Klassisches Browser SSO und Federation Warum funktioniert es? Warum
Web-basierte Anwendungssysteme PHP Teil 2
Web-basierte Anwendungssysteme PHP Teil 2 Prof. Dr. Armin Lehmann (lehmann@e-technik.org) Fachbereich 2 Informatik und Ingenieurwissenschaften Wissen durch Praxis stärkt Seite 1 Prof. Dr. Armin Lehmann
Play Framework, MySQL, JPA, HQL, HTML, jquery,
Play Framework, MySQL, JPA, HQL, HTML, jquery, Wer Mit wem Resultat 1.Kunde Schalter: Bibliothekarin Bestimmt,welcher Archivar die Zeitschrift holen geht 2. Schalter: Bibliothekarin Archivar Kontrollübergabe
Programmieren von Webinformationssystemen
Programmieren von Webinformationssystemen Wolfgang Gassler Databases and Information Systems (DBIS) Institute of Computer Science University of Innsbruck dbis-informatik.uibk.ac.at 1 HTML Hypertext Markup
Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?
Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
18 Softwaresicherheit
18 Softwaresicherheit Beispiel: Heartbleed Verö entlicht am 7.4.14: responsible disclosure. TLS heartbeat: Verbindung o en halten, ohne Daten auf Applikationsschicht zu senden. Definiert in RFC 6520 Kann
Dr. Christian Senger DB & IS II, SS15 09.05.2015
Übung MVC Dr. Christian Senger DB & IS II, SS15 09.05.2015 0) Allgemeine Hinweise: In den folgenden Lektionen soll die Realisierung einer objektrelationalen Abbildungsschicht gezeigt werden. Die Realisierung
Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren
Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren patrick.hof@redteam-pentesting.de http://www.redteam-pentesting.de netzwerk recherche 01./02.
JSP vs. PHP. Ein persönlicher Vergleich. EQUIcon Software GmbH Jena, Jörg Spilling Frankfurter Treffen 2004. Agenda
JSP vs. PHP Ein persönlicher Vergleich Agenda JSP-Ursprung Warum dann noch PHP ansehen? Der erste Eindruck Ein Beispiel in JSP & PHP: mein Flugbuch Der Versuch eines Vergleichs Fazit Bemerkung alles persönliche
Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
Axis Zertifizierungsprogramm Wie melde ich mich bei Prometric für die Axis Zertifizierungsprüfung an?
Axis Zertifizierungsprogramm Wie melde ich mich bei Prometric für die Axis Zertifizierungsprüfung an? 1. Wählen Sie auf der Seite www.axis.com den Bereich Training aus. 2. Ganz unten auf der Seite finden
Bitte führen Sie die Installation in der hier beschriebene Reihenfolge aus!
Installation von 12check für XT-Commerce Bitte führen Sie die Installation in der hier beschriebene Reihenfolge aus! Bitte beachten Sie: in der zip-datei befinden sich zwei Ordner: "xtcommerce" beinhaltet
Einführung Responsive Webdesign
Einführung Responsive Webdesign Aktuelle Situation Desktop Webseiten Umsetzungen auch heute noch in den meisten Fällen Pixelbasiert JavaScript schafft Dynamik CSS schafft Trennung von Inhalt und Layout
Secure Programming vs. Secure Development
Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg
Hackerpraktikum SS 202
Hackerpraktikum SS 202 Philipp Schwarte, Lars Fischer Universität Siegen April 17, 2012 Philipp Schwarte, Lars Fischer 1/18 Organisation wöchentliche Übung mit Vorlesungsanteil alle zwei Wochen neue Aufgaben
Mul$media im Netz (Online Mul$media) Wintersemester 2014/15. Übung 02 (Nebenfach)
Mul$media im Netz (Online Mul$media) Wintersemester 2014/15 Übung 02 (Nebenfach) Mul=media im Netz WS 2014/15 - Übung 2-1 Organiza$on: Language Mul=ple requests for English Slides Tutorial s=ll held in