vii Inhaltsverzeichnis 1 Einleitung 1
|
|
- Franz Steinmann
- vor 8 Jahren
- Abrufe
Transkript
1 vii 1 Einleitung Über dieses Buch Was ist Sicherheit? Wichtige Begriffe Sicherheitskonzepte ISO Wie verkaufe ich Sicherheit? Wichtige Informationsquellen Mailinglisten Full Disclosure BugTraq WebAppSec OWASP PHP-Sicherheit.de Informationsgewinnung Grundlagen Webserver erkennen Server-Banner erfragen Webserver-Verhalten interpretieren Tools für Webserver-Fingerprinting Betriebssystem erkennen PHP-Installation erkennen Datenbanksystem erkennen
2 viii 2.6 Datei-Altlasten Temporäre Dateien Include- und Backup-Dateien Dateien von Entwicklungswerkzeugen Vergessene oder»versteckte«php-dateien Temporäre CVS-Dateien Pfade mod_speling robots.txt Standardpfade Pfade verkürzen Kommentare aus HTML-Dateien Applikationen erkennen Das Aussehen/Layout Typische Dateien bekannter Applikationen Header-Felder Bestimmte Pfade Kommentare im Quellcode HTML-Metatags Default-User Google Dork Fazit Parametermanipulation Grundlagen Werkzeuge zur Parametermanipulation Parametermanipulation mit dem Browser Einen Proxy benutzen Angriffsszenarien und Lösungen Fehlererzeugung HTTP Response Splitting Remote Command Execution Angriffe auf Dateisystemfunktionen Angriffe auf Shell-Ebene Cookie Poisoning Manipulation von Formulardaten Vordefinierte PHP-Variablen manipulieren Spam über Mailformulare
3 ix 3.4 Variablen richtig prüfen Auf Datentyp prüfen Datenlänge prüfen Inhalte prüfen Whitelist-Prüfungen Blacklist-Prüfung Clientseitige Validierung register_globals Fazit Cross-Site Scripting Grenzenlose Angriffe Was ist Cross-Site Scripting? Warum XSS gefährlich ist Erhöhte Gefahr dank Browserkomfort Formularvervollständigung verhindern XSS in LANs und WANs XSS einige Beispiele Ein klassisches XSS Angriffspunkte für XSS Angriffe verschleiern XSS Cheat Sheet Einfache Gegenmaßnahmen XSS verbieten, HTML erlauben wie? BBCode HTML-Filter mit XSS-Blacklist Whitelist-Filtern mit»html Purifier« Die Zwischenablage per XSS auslesen XSS-Angriffe über DOM XSS in HTTP-Headern Angriffe der ersten Ordnung mit Headern Second Order XSS per Header Attack API Second Order XSS per RSS
4 x 4.18 Cross-Site Request Forgery (CSRF) CSRF als Firewall-Brecher CSRF in BBCode Ein erster Schutz gegen CSRF CSRF-Schutzmechanismen Formular-Token gegen CSRF Unheilige Allianz: CSRF und XSS SQL-Injection Grundlagen Auffinden von SQL-Injection-Möglichkeiten GET-Parameter POST-Parameter Cookie-Parameter Servervariablen Syntax einer SQL-Injection Sonderzeichen in SQL Schlüsselwörter in SQL Einfache SQL-Injection UNION-Injections Advanced SQL-Injection LOAD_FILE Denial of Service mit SQL-Injection ORDER BY Injection Schutz vor SQL-Injection Sonderzeichen maskieren Ist Schlüsselwort-Filterung ein wirksamer Schutz? Parameter Binding/Prepared Statements Stored Procedures Fazit Authentisierung und Authentifizierung Wichtige Begriffe Authentisierung Authentifizierung Autorisierung
5 xi 6.2 Authentisierungssicherheit SSL Behandlung von Passwörtern Benutzernamen und Kennungen Sichere Passwörter Passwort-Sicherheit bestimmen Vergessene Passwörter Authentifizierungssicherheit Falsche Request-Methode Falsche SQL-Abfrage SQL-Injection XSS Spamvermeidung mit CAPTCHAs Fazit Sessions Grundlagen Permissive oder strikte Session-Systeme Session-Speicherung Schwache Algorithmen zur Session-ID-Generierung Session-Timeout Bruteforcing von Sessions Session Hijacking Session Fixation Zusätzliche Abwehrmethoden Page-Ticket-System Session-Dateien mittels Cronjob löschen Session-ID aus dem Referrer löschen Fazit Upload-Formulare Grundlagen Aufbau eines Upload-Formulars PHP-interne Verarbeitung Speicherung der hochgeladenen Dateien Bildüberprüfung PHP-Code in ein Bild einfügen
6 xii 8.7 Andere Dateitypen überprüfen Gefährliche Zip-Archive Fazit Variablenfilter mit ext/filter Überblick Installation Die Filter-API Verfügbare Filter Validierende Filter Reinigende Filter Zahlen prüfen und filtern Boolesche Werte URLs validieren IP-Adressen prüfen Syntaxcheck für -Adressen Reinigende Filter Prüfung externer Daten Callback-Funktionen Fazit PHP intern Fehler in PHP Month of PHP Bugs File-Upload-Bug Unsichere (De-)Serialisierung Verwirrter Speichermanager Speicherproblem dank htmlentities Bewertung Bestandteile eines sicheren Servers Unix oder Windows? Bleiben Sie aktuell! Installation Installation als Apache-Modul CGI suexec
7 xiii 10.7 Safe Mode Einrichtung des Safe Mode safe_mode_exec_dir safe_mode_include_dir Umgebungsvariablen im Safe Mode Safe Mode considered harmful? Weitere PHP-Einstellungen open_basedir disable_functions disable_classes max_execution_time max_input_time memory_limit Upload-Einstellungen allow_url_fopen allow_url_include register_globals Code-Sandboxing mit runkit Externe Ansätze suphp FastCGI Das Apache-Modul mod_suid Rootjail-Lösungen BSD-Rootjails User Mode Linux mod_security mod_chroot Fazit PHP-Hardening Warum PHP härten? Buffer Overflows Schutz vor Pufferüberläufen im Suhosin-Patch Schutz vor Format-String-Schwachstellen Simulationsmodus Include-Schutz gegen Remote-Includes und Nullbytes Funktions- und Evaluationsbeschränkungen Schutz gegen Response Splitting und Mailheader Injection Variablenschutz
8 xiv SQL Intrusion Detection Logging Transparente Cookie- und Session-Verschlüsselung Härtung des Speicherlimits Transparenter phpinfo() Schutz Kryptografische Funktionen Prinzipien hinter Suhosin Installation Installation des Patch Installation der Extension Zusammenarbeit mit anderen Zend-Extensions Konfiguration Generelle Optionen Log-Dateien Alarmskript Transparente Verschlüsselung Variablenfilter Upload-Konfiguration Beispielkonfiguration Fazit und Ausblick Webserver-Filter für Apache Einsatzgebiet von Filtermodulen Blacklist oder Whitelist? mod_security So funktioniert s Gefahren durch mod_security Installation Konfiguration Regelwerk von mod_security Alarmskript für mod_security Rootjail-Umgebungen mit mod_security mod_security mod_parmguard So funktioniert s Installation Webserver-Konfiguration XML-Whitelist manuell erstellen Automatische Erzeugung Fazit
9 xv Anhang 310 A Checkliste für sichere Webapplikationen 311 B Wichtige Optionen in php.ini 315 B.1 variables_order B.2 register_globals B.3 register_long_arrays B.4 register_argc_argv B.5 post_max_size B.6 magic_quotes_gpc B.7 magic_quotes_runtime B.8 always_populate_raw_post_data B.9 allow_url_fopen B.10 allow_url_include C Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung 319 C.1 Cross-Site Scripting C.2 Information Disclosure C.3 Full Path Disclosure C.4 SQL-Injection C.5 HTTP Response Splitting C.6 Cross-Site Request Forgery C.7 Remote Command Execution C.8 Mail-Header Injection D Glossar 323 Stichwortverzeichnis 331
PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska
Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag Inhaltsverzeichnis 1 Einleitung
MehrPHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. von Christopher Kunz, Stefan Esser, Peter Prochaska. überarbeitet
PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren von Christopher Kunz, Stefan Esser, Peter Prochaska überarbeitet PHP-Sicherheit Kunz / Esser / Prochaska schnell und portofrei erhältlich bei
Mehrvii Inhaltsverzeichnis 1 Einleitung 1
vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................
MehrChristopher Kunz Peter Prochaska. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. dpunkt.verlag
Christopher Kunz Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren dpunkt.verlag 1 Einleitung 1 1.1 Über dieses Buch 1 1.2 Was ist Sicherheit? 3 1.3 Wichtige Begriffe 4 1.4 Sicherheitskonzepte
MehrChristopher Kunz. Stefan Esser. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. 3., Oberarbeitete Auflage. dpunkt.
Christopher Kunz Stefan Esser PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 3, Oberarbeitete Auflage dpunktverlag InhaItsverzeichnis 1 Einleitung 11 Dber dieses Buch 1 12 Was ist Sicherheit?
MehrInhaltsverzeichnis. Einleitung... 11
Einleitung................................................. 11 1 Sicherheit im Kontext von PHP und Webanwendungen........... 17 1.1 Historie: PHP............................................. 17 1.2 PHP
MehrTobias Wassermann. Sichere Webanwendungen mit PHP
Tobias Wassermann Sichere Webanwendungen mit PHP Inhaltsverzeichnis Einleitung 11 i Sicherheit im Kontext von PHP und Webanwendungen 17 I.I Historie: PHP 17 i.2 PHP heute 19 1.3 PHP und Apache 20 1.4 PHP
MehrChristopher Kunz Stefan Esser
PHP-Sicherheit Christopher Kunz ist Mitinhaber der Filoo GmbH, die Housting, Housing und Consulting anbietet. Er hat bereits mehrere Dutzend Artikel über allerlei PHP-Themen verfasst und war als Referent
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrPHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27
PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrChristopher Kunz Stefan Esser
320 PHP-Sicherheit Christopher Kunz ist Mitinhaber der Filoo GmbH, die Housting, Housing und Consulting anbietet. Er hat bereits mehrere Dutzend Artikel über allerlei PHP-Themen verfasst und war als Referent
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrPHP-Schwachstellen und deren Ausnutzung
PHP-Schwachstellen und deren Ausnutzung 44. DFN Betriebstagung / 7. Februar 2006 DFN-CERT Services GmbH Jan Kohlrausch / CSIRT Gliederung Grundlagen HTTP und PHP Anatomie typischer Schwachstellen in PHP-Skripten
Mehrsuhosin PHP-Patch und PHP-Security Extension Peter Prochaska - http://www.peter-prochaska.de
suhosin PHP-Patch und PHP-Security Extension Peter Prochaska Freiberuflicher Security-Consultant, PHP- Entwickler, Trainer und Autor. PHP-Entwickler seit 1998 Buchautor: PHP-Sicherheit, dpunkt.verlag Mitentwickler
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrOWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
MehrCarsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier
Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp
MehrSZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht
SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrJoomla!-Sicherheit. von Joomla-Security.de. Jan Erik Zassenhaus & Christian Schmidt. www.joomla-security.de. Seite 1
Joomla!-Sicherheit von Joomla-Security.de Jan Erik Zassenhaus & Christian Schmidt Seite 1 Wollen Sie sowas? Seite 2 PC Passwörter Allgemeines Anti-Viren-Software Firewall Updates des Systems und von der
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
MehrEinführung in die Scriptsprache PHP
Herbst 2014 Einführung in die Scriptsprache PHP Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW - Rainer Telesko / Martin Hüsler 1 Inhalt:
MehrPHP-Sicherheit. Christopher Kunz kunz@rvs.uni-hannover.de. Regionales Rechenzentrum für Niedersachsen
PHP-Sicherheit Christopher Kunz kunz@rvs.uni-hannover.de Vorstellung PHP-Erfahrung seit 1999 Studium (M. Sc. Informatik) in Hannover Mitglied im Hardened-PHP Project URLs http://www.christopher-kunz.de/
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrInhaltsverzeichnis. Hinweise zum Gebrauch des Buches... XIII. Teil I Grundlagen der Web-Programmierung
Inhaltsverzeichnis Hinweise zum Gebrauch des Buches... XIII Teil I Grundlagen der Web-Programmierung 1 Entwicklung der Web-Programmierung... 3 1.1 DerWegzumWorldWideWeb... 3 1.2 Komponenten der frühen
MehrInhaltsverzeichnis. Hinweise zum Gebrauch des Buches... XIII. Teil I Grundlagen der Web-Programmierung
Hinweise zum Gebrauch des Buches... XIII Teil I Grundlagen der Web-Programmierung 1 Entwicklung der Web-Programmierung... 3 1.1 DerWegzumWorldWideWeb... 3 1.2 Komponenten der frühen Technik..... 5 1.3
MehrTimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München
Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar
MehrAktuelle Sicherheitsprobleme im Internet
Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt
MehrInstallation des GeoShop Redirector für Apache (Stand 14.8.2007) ================================================================
Installation des GeoShop Redirector für Apache (Stand 14.8.2007) ================================================================ 0 Überblick ----------- Die Installation des GeoShop Redirector im Apache
MehrBewährte Drupal-Module
Bewährte Drupal-Module Hellmut Hertel Drupal-Erfahrungsaustausch 1 Modul Administration Menu Bietet ein ausklappbares Menü, welches Zugriff auf die meisten administrativen Aufgaben und andere, allgemeine
MehrAktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn
Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische
MehrZusammenfassung Web-Security-Check ZIELSYSTEM
Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt
MehrApache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.
2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei
MehrKONFIGURATION OUTLOOK ANYWHERE
KONFIGURATION OUTLOOK ANYWHERE OUTLOOK ANYWHERE - Liste der benötigten Informationen der Schulen Outlook Anywhere Diese Anleitung zeigt Ihnen Schritt für Schritt die Konfiguration der Applikation Outlook
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrWas eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009
Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:
MehrMultimedia im Netz Wintersemester 2011/12
Multimedia im Netz Wintersemester 2011/12 Übung 01 Betreuer: Verantwortlicher Professor: Sebastian Löhmann Prof. Dr. Heinrich Hussmann Organisatorisches 26.10.2011 MMN Übung 01 2 Inhalte der Übungen Vertiefung
MehrPlanung für Organisation und Technik
Salztorgasse 6, A - 1010 Wien, Austria q Planung für Organisation und Technik MOA-VV Installation Bearbeiter: Version: Dokument: Scheuchl Andreas 19.11.10 MOA-VV Installation.doc MOA-VV Inhaltsverzeichnis
MehrPHP sicher, performant und skalierbar betreiben
PHP sicher, performant und skalierbar betreiben Dipl.-Inform. Dominik Vallendor 26.09.2012 Tralios IT GmbH www.tralios.de Über mich Dominik Vallendor Studium der Informatik in Karlsruhe Seit 1995: Internet
MehrHow-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003
MehrTicketing mit JIRA Kurzanleitung
Bearbeitungs-Datum: 19.01.2015 Version: 2.0 Dokument-Name: Dokument-Status: Klassifizierung: Ersteller: Jira Benutzerhandbuch.docx Freigegeben Standard DV Bern AG DV Bern AG Nussbaumstrasse 21, 3000 Bern
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrSessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1
Sessions mit PHP Annabell Langs 2004 Sessions in PHP - Annabell Langs 1 Sessions» Inhaltsverzeichnis Wozu Sessions? 3 Wie funktionieren Sessions? 5 Wie kann ich die Session-ID übergeben? 8 Sicherheit 9
MehrMail-Server Checkliste Basis
Mail-Server Checkliste Basis Bitte füllen Sie das Formular aus und beantworten die Fragen so präzise wie möglich. Bei Verneinung einer Frage müssen die dazugehörigen Felder nicht ausgefüllt werden! Beachten
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrZentrum für Informationssicherheit
SEMINARE 2016 Zentrum für Informationssicherheit Webanwendungssicherheit-Workshop 15. 17. November 2016, Frankfurt Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de Webanwendungssicherheit
MehrStefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung
1. Remote ISDN Einwahl 1.1 Einleitung Im Folgenden wird die Konfiguration einer Dialup ISDN Verbindungen beschrieben. Sie wählen sich über ISDN von einem Windows Rechner aus in das Firmennetzwerk ein und
MehrKEIL software. Inhaltsverzeichnis UPDATE. 1. Wichtige Informationen 1.1. Welche Änderungen gibt es?
Inhaltsverzeichnis 1. Wichtige Informationen 1.1. Welche Änderungen gibt es? 2. Update 2.1. Einstellungen und Daten sichern 2.2. FTP Upload 2.3. Rechte setzen 2.4. Update durchführen 3. Mögliche Probleme
MehrOWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke
OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse
MehrInhalt. Vorwort 15. 1.4 Zusammenfassung 48
Vorwort 15 1.1 TCP/IP 21 1.1.1 Das Internet-Schichtenmodell 22 1.1.2 Das Internet Protocol (IP) 24 1.1.3 Transportprotokolle 30 1.2 Das Domain Name System (DNS) 32 1.2.1 Das DNS-Konzept 33 1.2.2 Der DNS-Server
MehrDOKUMENTATION ky2help V 3.6 Servertests
DOKUMENTATION ky2help V 3.6 Servertests Version: 1.1 Autor: Colin Frick Letzte Änderung: 01.02.2012 Status: Final Fürst-Franz-Josef-Strasse 5 9490 Vaduz Fürstentum Liechtenstein Fon +423 / 238 22 22 Fax
MehrESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise
ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2
MehrPHP-5-Zertifizierung. Block 12 Security.
PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies
MehrOutLook 2003 Konfiguration
OutLook 2003 Konfiguration Version: V0.1 Datum: 16.10.06 Ablage: ftp://ftp.clinch.ch/doku/outlook2003.pdf Autor: Manuel Magnin Änderungen: 16.10.06 MM.. Inhaltsverzeichnis: 1. OutLook 2003 Konfiguration
MehrMH3 D2/3 DB/4. Name: Matr.-Nr. Seite: 3. Aufgabe 1. (6 Punkte) a) Gegeben sei eine kryptographische Hashfunktion h^o,!}* mit Hashwert h^mo) = 4.
Aufgabe 1 a) Gegeben sei eine kryptographische Hashfunktion h^o,!} mit Hashwert h^mo) = 4. (14 Punkte) {0,2,4} sowie eine Nachricht M 0 Wie hoch ist die Wahrscheinlichkeit, dass bei einerweiteren Nachricht
MehrAbbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich
MehrInhaltsverzeichnis Inhaltsverzeichnis
Inhaltsverzeichnis Inhaltsverzeichnis Einrichtung des WLAN... 3 Voraussetzungen für Drahtlosnetzwerk (WLAN) an der Hochschule Albstadt-Sigmaringen... 4 Einrichtung des WLAN unter Windows 7... 4 Einrichtung
Mehr1 Einführung... 25. 2 Die Grundlagen... 55. 3 Praxis 1 das Kassenbuch (zentraler CouchDB-Server)... 139. 4 Praxis 2 das Kassenbuch als CouchApp...
Auf einen Blick 1 Einführung... 25 2 Die Grundlagen... 55 3 Praxis 1 das Kassenbuch (zentraler CouchDB-Server)... 139 4 Praxis 2 das Kassenbuch als CouchApp... 161 5 CouchDB-Administration... 199 6 Bestehende
MehrThemen. Apache Webserver Konfiguration. Verzeichnisse für Web-Applikationen. Server Side Includes
Themen Apache Webserver Konfiguration Verzeichnisse für Web-Applikationen Server Side Includes Apache Webserver Konfiguration des Apache Webservers Server-Einstellungen in der httpd.conf-datei Einteilung
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten
MehrAdministrator Handbuch
SPTools Extension Keys: sptools_fal_base sptools_fal_driver SPTools Version: 1 Extension Version: 1.0.2 Inhaltsverzeichnis... 1 1. Einleitung... 2 2. Systemanforderungen... 3 3. SPTools FAL Installation...
MehrTypo3 - Schutz und Sicherheit - 07.11.07
Typo3 - Schutz und Sicherheit - 07.11.07 1 Angriffe auf Web-Anwendungen wie CMS oder Shop- Systeme durch zum Beispiel SQL Injection haben sich in den letzten Monaten zu einem Kernthema im Bereich IT- Sicherheit
MehrPHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.
Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim Tim Weber 9. November 2006 Übersicht 1. Die Sprache PHP 2. Sicherheitslücken und Angriffsszenarien
MehrLösungen zur Lernzielkontrolle Internet
Lösungen zur Lernzielkontrolle Internet 18 Fragen 1. Was ist das Internet im Vergleich zum WWW? 2. Ein ISP ist WWW ist ein Dienst des Internets ein Anbieter von Internetdiensten 3. Was ist bei der Adresse
MehrDie Installation des GeoShop Redirector für IIS (Internet Information Server, Version 4.0, 5.0 und 6.0) umfasst folgende Teilschritte:
Installation des GeoShop Redirector für IIS (Stand 24.8.2007) ============================================================= 0 Überblick ----------- Die Installation des GeoShop Redirector für IIS (Internet
Mehr1 Konto neu in Mailprogramm einrichten
1 1 Konto neu in Mailprogramm einrichten 1.1 Mozilla Thunderbird Extras Konten Konto hinzufügen E-Mail-Konto 1. Identität eingeben: Name und mitgeteilte Mail-Adresse 2. Typ des Posteingangs-Server: POP3
MehrGeorg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.
Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck
Mehr.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage
.htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess
MehrWeb Application Security Testing
Lehrstuhl für Rechnernetze und Internet Wilhelm-Schickard-Institut für Informatik Universität Tübingen Web Application Security Testing Carl-Daniel Hailfinger Betreuer: Pavel Laskov Ziele des Vortrags
MehrAnleitung Team-Space Einladung Annehmen. by DSwiss AG, Zurich, Switzerland V. 1.1-2015-04-22
Anleitung Team-Space Einladung Annehmen by DSwiss AG, Zurich, Switzerland V. 1.1-2015-04-22 TEAM-SPACE EINLADUNG ANNEHMEN MIT BESTEHENDEM ODER OHNE BESTEHENDES KONTO 1. EMPFANG DER EINLADUNGSINFORMATIONEN
MehrHorstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung
1. HorstBox Konfiguration 1.1 Einleitung Im Folgenden wird die Voice over IP Konfiguration in der HorstBox beschrieben. Sie werden einen Internet Zugang über DSL zu Ihrem Provider konfigurieren und für
MehrE-Mailprogramm Einrichten
E-Mailprogramm Einrichten Inhaltsverzeichnis Benutzername / Posteingang / Postausgang... 2 Ports: Posteingangs- / Postausgangsserver... 2 Empfang/Posteingang:... 2 Maximale Grösse pro E-Mail... 2 Unterschied
MehrLive Update (Auto Update)
Live Update (Auto Update) Mit der Version 44.20.00 wurde moveit@iss+ um die Funktion des Live Updates (in anderen Programmen auch als Auto Update bekannt) für Programm Updates erweitert. Damit Sie auch
MehrHÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014
HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,
MehrDHL Online Retoure - Magento Extension zur Erstellung der Retouren-Labels durch den Kunden im Frontend
DHL Online Retoure - Magento Extension zur Erstellung der Retouren-Labels durch den Kunden im Frontend Stand: 19/08/2014 1/11 DHL Online Retoure - Endbenutzer-Dokumentation 1 Voraussetzungen 3 1.1 Magento
MehrNach der Installation des FolderShare-Satellits wird Ihr persönliches FolderShare -Konto erstellt.
FolderShare Installation & Konfiguration Installation Eine kostenlose Version von FolderShare kann unter http://www.foldershare.com/download/ heruntergeladen werden. Sollte die Installation nicht automatisch
Mehrmygesuad Download: http://www.collector.ch/mygesuad Wamp/Lamp Systemumgebungen: http://www.apachefriends.org/en/xampp-windows.html
ÅçööÉÅíçêKÅÜ ÄΩêÉêëÉãáçëóëöçÄÉêÉïÉáÇOMöÅÜJQNORêáÉÜÉåöáåÑç]ÅçääÉÅíçêKÅÜöMMQNSNSQNNVNO mygesuad Open Source Gesuchsverwaltung version 0.9, Stefan Bürer, Riehen, 2004-2005 mygesuad wurde von bürer semiosys
MehrFTP-Server einrichten mit automatischem Datenupload für SolarView@Fritzbox
FTP-Server einrichten mit automatischem Datenupload für SolarView@Fritzbox Bitte beachten: Der im folgenden beschriebene Provider "www.cwcity.de" dient lediglich als Beispiel. Cwcity.de blendet recht häufig
MehrUniversität Zürich Informatikdienste. SpamAssassin. Spam Assassin. 25.04.06 Go Koordinatorenmeeting 27. April 2006 1
Spam Assassin 25.04.06 Go Koordinatorenmeeting 27. April 2006 1 Ausgangslage Pro Tag empfangen die zentralen Mail-Gateways der Universität ca. 200 000 E-Mails Davon werden über 70% als SPAM erkannt 25.04.06
MehrAufgabe 2.2. Folgende Schritte sollen durchgeführt werden:
Aufgabe 2.2 Damit Sie Anwendungsprogramme mit der Scriptsprache PHP entwickeln können, benötigen Sie entweder einen Server, der PHP unterstützt oder Sie richten einen lokalen Server auf Ihrem Computer
MehrPraktikum IT-Sicherheit SS 2015. Einführungsveranstaltung
Praktikum IT-Sicherheit SS 2015 Einführungsveranstaltung Allgemeines Webseite: http://www.nm.ifi.lmu.de/secp Alle Informationen zum Praktikum -Per Email -Auf der Webseite Mailinglisten: -Organisatorisches:
MehrSecurity. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung
4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie
MehrBS-Anzeigen 3. Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder
BS-Anzeigen 3 Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder Inhaltsverzeichnis Anwendungsbereich... 3 Betroffene Softwareversion... 3 Anzeigenschleuder.com... 3 Anmeldung...
MehrInstallieren Sie den Janaserver auf dem Schulserver oder dem Lehrerrechner.
1. Download und Installation Laden Sie aktuelle Version von www.janaserver.de herunter. Installieren Sie den Janaserver auf dem Schulserver oder dem Lehrerrechner. 2. Öffnen der Administrationsoberfläche
Mehrwww.flatbooster.com FILEZILLA HANDBUCH
www.flatbooster.com FILEZILLA HANDBUCH deutsche Auflage Datum: 12.03.2011 Version: 1.0.2 Download: http://flatbooster.com/support Inhaltsverzeichnis 1 Filezilla FTP Programm 1 1.1 Filezilla installieren.................................
MehrKonfiguration des Novell GroupWise Connectors
Konfiguration des Novell GroupWise Connectors Installation und Konfiguration Version 2013 Spring Release Status: 09. März 2013 Copyright Mindbreeze Software GmbH, A-4020 Linz, 2013. Alle Rechte vorbehalten.
Mehr1. PHPMyAdmin: Sicherung der DB
Es gibt viele Möglichkeiten eine MySQL Datenbank unter Linux zu sichern. Ich möchte im Folgenden auf die Möglichkeiten per Browser mit PHPMyAdmin und per Konsole mit mysqldumb näher eingehen. Eine 3rd
MehrLiteratur und Links. Webtechnologien SS 2015 Teil 1/Entwicklung
Literatur und Links [1-1] Seidler, Kai; Vogelsang, Kay: Das XAMPP Handbuch. Addison-Wesley, 2006 [1-2] http://www.apachefriends.org/download.html http://sourceforge.net/projects/xampp/files/ [1-3] http://aktuell.de.selfhtml.org/extras/download.shtml
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
Mehrmy.green.ch... 2 Domänenübersicht... 4
my.green.ch... 2 Domänenadministrator... 2 Kundenadministrator... 3 Standard Benutzer... 3 Domänenübersicht... 4 Domänen... 5 Benutzer und E-Mail... 5 Liste der Benutzer... 5 Hosted Exchange... 7 Mail
MehrUm DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:
1. Konfiguration von DynDNS 1.1 Einleitung Im Folgenden wird die Konfiguration von DynDNS beschrieben. Sie erstellen einen Eintrag für den DynDNS Provider no-ip und konfigurieren Ihren DynDNS Namen bintec.no-ip.com.
MehrInhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER
AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER Inhalt 1 Einleitung... 1 2 Einrichtung der Aufgabe für die automatische Sicherung... 2 2.1 Die Aufgabenplanung... 2 2.2 Der erste Testlauf... 9 3 Problembehebung...
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
Mehr