<Insert Picture Here> APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung. Carsten Czarski, ORACLE Deutschland B.V. Co.
|
|
- Anna Franke
- vor 7 Jahren
- Abrufe
Transkript
1 <Insert Picture Here> APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung Carsten Czarski, ORACLE Deutschland B.V. Co. KG
2 Themen Grundsätzliches zur APEX-Architektur Security-Attribute in APEX APEX-Instanz, Workspace, Anwendung Sicherheit in der APEX-Anwendung... Grundsätzliche Dinge: Code-Organisation und mehr... Autorisierung: Was sollte beachtet werden? Session State Protection, SQL Injection, XSS Verwendung von Plugins Das APEX-Dictionary für 'Security-Audits' nutzen
3 Sichere APEX Umgebungen APEX ARCHITEKTUR
4 Application Express: Architektur
5 APEX: Beteiligte Datenbankschemas -I- APEX-Engine: APEX_ Enthält APEX-Engine und Metadaten Hochprovilegiert Sollte stets gesperrt sein SQL> ALTER USER APEX_ IDENTIFIED BY VALUES 'APEX' 2 ACCOUNT LOCK; Connect-User: APEX_PUBLIC_USER Physikalische DB-Verbindung als dieser User Hält nur das CREATE SESSION Privileg Nur für APEX Webserver verwenden Passwort schützen!
6 APEX: Beteiligte Datenbankschemas -II- APEX-Engine: FLOWS_FILES Enthält hochgeladene Dateien Sollte stets gesperrt sein SQL> ALTER USER FLOWS_FILES IDENTIFIED BY VALUES 'APEX' 2 ACCOUNT LOCK; Workspace Schema: SCOTT, USER01,... Hält die Anwendungsobjekte Parsing Schema für Anwendungs-SQL Hält für die Anwendung nötige Privilegien Bei reinem APEX-Betrieb kann der Account gesperrt werden
7 APEX SQL Parsing Vorgehensweise Physikalische Verbindung: APEX_PUBLIC_USER Aufruf der APEX-Engine Bspw. Prozedur "F" APEX_ WWV_FLOW.SHOW Request wird komplett von APEX ausgeführt Ermitteln der Anwendungs-ID aus der URL Abrufen der Anwendungs-Metadaten aus dem Repository Und wie geht das...? Ermitteln des Parsing Schemas aus Metadaten SYS.DBMS_SYS_SQL erlaubt das Ausführen eines SQL mit den Privilegien eines anderen Users. Alle SQL-Kommandos werden ausgeführt... Physikalisch verbunden als APEX_PUBLIC_USER Package ist undokumentiert und nur für Oracle Vorgesehen eigene Nutzung am besten gar nicht. Innerhalb der Prozeduren von APEX_ Mit den Rechten des Parsing Schemas der Anwendung
8 Sichere APEX Umgebungen SICHERHEITS-ATTRIBUTE IN APEX
9 Sicherheit in der APEX-Instanz
10 Sicherheit in der APEX-Instanz
11 Sicherheit in der APEX-Instanz Enable / Disable Admin-Login Enable / Disable Public File Upload Restrict Connection by IP-Address Erzwinge HTTPS-Verbindungen Maximale Dauer einer APEX-Session einstellen Verhalten bei fehlerhaftem Login einrichten Automatisches Account-Locking nach X Fehlversuchen Wartezeiten nach einem Fehlversuch Passwort-Policies einrichten Für APEX-Workspace Für die APEX-Instanz Workspace INTERNAL
12 Sicherheit im APEX Workspace 3 Nutzerklassen Administratoren Entwickler Endbenutzer Workspace-Login nur mit Workspace User möglich Anwendungs-Login anhand Authentifizierungsschema LDAP, SSO, etc... Workspace-User nicht zu empfehlen
13 Sicherheit in der APEX-Anwendung Sicherheitseinstellungen Gemeinsame Komponenten Definition Sicherheit Authentifizierungsschema Deep Linking erlaubt oder nicht? Einstellung des Parsing Schemas Session-Timeout (Instanzwerte überschreiben) Session State Protection (SSP) Browser-Security (Cache, Escaping, IFrame)
14 Beispiel: Browser Security Browser Cache abschalten Einbindung in IFRAMEs verbieten HTML Escaping auch für UTF8-Sonderzeichen
15 Auch Sicherheitsrelevant: Debugging Gemeinsame Komponenten Definition In Produktion: Abschalten!
16 Sichere APEX Umgebungen TIPPS FÜR ENTWICKLER
17 Zunächst: Sicherheit auf allen Ebenen! Auch APEX-Anwendungen sind mehrschichtig 1. Tabellen 2. Views und PL/SQL-Pakete 3. APEX-Applikation Keine Schicht sollte der anderen trauen! Parameter-Prüfung auf allen Ebenen Privilegien-Check nicht nur in APEX, sondern auch in den PL/SQL-Paketen
18 Autorisierungen in APEX - Generelles Bereich Sicherheit in Gemeinsame Komponenten Können an jede Komponente gehängt werden Berichte, Seiten, Prozesse und mehr... Beantwortet die Frage Darf der das? Implementierung ist frei
19 Autorisierungen durchgehend einsetzen Was ist damit gemeint? Die Reiterkarte alleine reicht nicht... Man kann eine Seite auch direkt aufrufen Alle Komponenten schützen!
20 Autorisierungsschemas: Der Code... Es ist wie überall...
21 Autorisierungsschemas: Der Code... Der Code gehört in ein PL/SQL-Paket!
22 APEX Session State Protection Schützt APEX-Urls vor Manipulationen f?p=129:2: ::::p2_deptno:30 ' or 1=1 --
23 APEX Session State Protection Schützt APEX-Urls vor Manipulationen f?p=129:2: ::::p2_deptno:301 Prüfsumme in URL erforderlich APEX-Komponenten generieren diese automatisch Links in APEX-Berichten Erzeugung mit APEX_UTIL.PREPARE_URL
24 APEX Session State Protection SSP hat Grenzen! Schutz nur vor manipulierten URLs Kein Schutz beim Page Submit Eine Browser-UI ist nicht kontrollierbar! Inhalte von Pulldown-Listen können manipuliert werden Java-Script-Checks können umgangen werden Früher mit Browser-Plugins machbar (Firebug) Heute Standardfunktion aller Browser SSP alleine ist kein Schutz! Alle APEX-Items müssen immer geprüft werden! SQL Injection 'Awareness' immer noch nötig
25 SQL Injection und APEX APEX-Elemente: Auf die Syntax kommt es an! Substitution-Syntax (&PX_ITEM.) Die Ersetzung findet vor dem SQL-Parsing statt Bindevariablen-Syntax (:PX_ITEM) Die Ersetzung findet nach dem SQL-Parsing statt Der Zeitpunkt ist wichtig Vor dem SQL-Parsing: Inhalt wird als SQL interpretiert: SQL Injection-Gefahr! Nach dem SQL-Parsing Inhalt wird als Literal ausgefasst: Keine SQL Injection-Gefahr
26 SQL Injection: Ein weiteres Beispiel Ersetzung findet vor dem SQL Parsing statt
27 Cross Site Scripting... Fremder JavaScript-Code wird im Kontext der APEX-Anwendung ausgeführt... Und wie soll das gehen...?
28 Cross Site Scripting... Fremder JavaScript-Code wird im Kontext der APEX-Anwendung ausgeführt... Und wie soll das gehen...?
29 Cross Site Scripting... Fremder JavaScript-Code wird im Kontext der APEX-Anwendung ausgeführt... Und wie soll das gehen...?
30 XSS: Schutz... Im Prinzip einfach: Alle Inhalte vor Verwendung prüfen HTML-Sonderzeichen maskieren APEX-Komponenten richtig einstellen XSS-Gefahr!
31 XSS: Schutz... Im Prinzip einfach: Alle Inhalte vor Verwendung prüfen HTML-Sonderzeichen maskieren APEX-Komponenten richtig einstellen Sicher!
32 XSS: Schutz im PL/SQL Code PL/SQL Funktionen und Packages Funktion HTF.ESCAPE_SC Package APEX_ESCAPE (ab APEX 4.2) Jede Eingabe "behandeln"... SQL> select htf.escape_sc('hallo <b>welt</b>') from dual; HTF.ESCAPE_SC('HALLO<B>WELT</B>') Hallo <b>welt</b> 1 Zeile wurde ausgewählt.
33 APEX Plugins Plugins erweitern die Möglichkeiten von APEX Neue Typen für Formularelemente Neue Regionstypem Dynamic Action Plugins für AJAX-Funktionen Process Type Plugins Authorziation Plugins Authentication Plugins Einige Plugins von Oracle Community-Plugins von apex-plugin.com
34 Community-Plugins
35 Plugins... ist das sicher...? Plugins werden Teil der Anwendung SQL-Ausführung mit Rechten des Parsing Schemas Für den Browser ist das Plugin "die Anwendung" Community-Plugins kommen 'as is' Kein Vertrag - keine Gewährleistung Wer ein Plugin einsetzt, sollte es verstehen! Code Review durchführen "Plugin-Whitelist" im Unternehmen einführen
36 Sichere APEX-Umgebungen DAS APEX-DICTIONARY NUTZEN
37 Das APEX Dictionary nutzen Welche Berichte sind anfällig für XSS..? Welche Anwendungen verwalten ihre Passwörter selbst...? Welche Anwendungen nutzen nicht freigegebene Plugins...? Welche Anwendungen sind anfällig für SQL Injection...? Welche Anwendungen verwenden Session State Protection nicht...?
38 Das APEX Dictionary nutzen Welche Berichte sind anfällig für XSS..? SQL> select application_id, page_id, region_name 2 from apex_application_page_rpt_cols 3 where display_as = 'Standard Report Column' 4 order by 1,2; APPLICATION_ID PAGE_ID REGION_NAME Orders for this Customer Product Image Items for Order #&P29_ORDER_ID Items for Order #&P29_ORDER_ID My Most Recently Edited Meetings Most Recently Edited Meetings Decisions Notes Notes
39 Das APEX Dictionary nutzen Welche Anwendungen verwalten ihre Passwörter selbst...? SQL> select application_id, AUTHENTICATION_SCHEME_TYPE 2 from apex_applications APPLICATION_ID AUTHENTICATION_SCHEME_TYPE Oracle Application Server Single Sign-On 140 Oracle Application Server Single Sign-On 185 No Authentication (using DAD) 178 Oracle Application Server Single Sign-On 195 No Authentication (using DAD) 191 Application Express Accounts 9000 Oracle Application Server Single Sign-On 1801 No Authentication (using DAD) 8 Zeilen ausgewählt.
40 Das APEX Dictionary nutzen Wo werden welche Plugins genutzt...? SQL> select application_id, name from apex_appl_plugins; APPLICATION_ID NAME COM.ORACLE.APEX.MASKED_FIELD 101 COM.ORACLE.APEX.TIMER COM.ORACLE.APEX.TIMER 110 COM.ORACLE.APEX.SIMPLE_CHECKBOX 106 COM.ORACLE.DE.CCZARSKI.DYNAMICQUICKPICKS 112 COM.ORACLE.APEX.TAG_CLOUD 112 COM.ORACLE.APEX.CSS_BAR_CHART 112 COM.ORACLE.APEX.TAGS 112 COM.ORACLE.APEX.SIMPLE_CHECKBOX
41 Weitere Informationen: APEX Community
42
Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?
APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.
MehrAPEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung. Carsten Czarski ORACLE Deutschland B.V. & Co KG München
APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung Carsten Czarski ORACLE Deutschland B.V. & Co KG München Schlüsselworte APEX, Sicherheit Einleitung Mit der zunehmenden Popularität von
Mehr<Insert Picture Here> Security-Basics. Privilegien, Rollen, SQL und PL/SQL - inkl. 12c-Update. Carsten Czarski, ORACLE Deutschland B.V. Co.
Security-Basics Privilegien, Rollen, SQL und PL/SQL - inkl. 12c-Update Carsten Czarski, ORACLE Deutschland B.V. Co. KG Themen Rechte, Rollen und PL/SQL: Grundsätzliches Invokers vs.
MehrOracle APEX 3.2. Peter Raganitsch. Einführung und neue Features 16.04.2009
Oracle APEX 3.2 Einführung und neue Features 16.04.2009 Peter Raganitsch Agenda» Über Competence Center» Was ist Oracle Application Express» Welche Entwickler» Features von Oracle APEX» Architektur» Neue
MehrAPEX: from past to present
APEX: from past to present Neues in APEX 4.2... und nützliche, kaum bekannte Features aus älteren Releases. Carsten Czarski ORACLE Deutschland B.V. & Co KG Anwendungsentwicklung Erwartungen...
MehrModerne Anwendungen und relationale Datenbanken? Natürlich!
Moderne Anwendungen und relationale Datenbanken? Natürlich! Carsten Czarski Consulting Member of technical staff - Oracle Application Express April 2017 Copyright 2016 Oracle and/or its affiliates. All
MehrEin Blick unter die Motorhaube von Oracle APEX. Patrick Wolf, Sphinx IT Consulting DOAG Konferenz Nürnberg, 22.11.2007
Ein Blick unter die Motorhaube von Oracle APEX Patrick Wolf, Sphinx IT Consulting DOAG Konferenz Nürnberg, 22.11.2007 Agenda Architekturübersicht mod_plsql/embedded PL/SQL Gateway Connection Pool Oracle
MehrDatum, Uhrzeit, Kalender & Co und Application Express
Datum, Uhrzeit, Kalender & Co und Application Express Carsten Czarski - @cczarski Consulting Member of technical Staff Oracle Application Express ORACLE Deutschland B.V. & Co KG DATE, TIMESTAMP & Co Was
MehrCarsten Czarski Oracle Deutschland B.V. & Co KG. Keine Angst vor SQL Injection oder Wie man Datenbankzugriffe sicher implementiert
Carsten Czarski Oracle Deutschland B.V. & Co KG Keine Angst vor SQL Injection oder Wie man Datenbankzugriffe sicher implementiert Keine Angst vor SQL Injection oder "Wie man Datenbankzugriffe
MehrAPEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst
APEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst Basel Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien Voraussetzungen Alles hier gezeigte benötigt
MehrOracle Real Application Security (RAS) in APEX5
Oracle Real Application Security (RAS) in APEX5 Pavel Glebov Consultant Development Nikolaus Sperat Consultant Development 1 Agenda Zugriffsbeschränkungen in APEX Kurzer Überblick von RAS Grammatik und
MehrAPEX 5.0 DOAG Mai 2014
APEX 5.0 DOAG Mai 2014 APEX 5.0 16 Jahre MuniQSoft GmbH Tätigkeitsbereiche: Oracle Support Hotline: Mo-Fr 8.00 18.00 Uhr Erweiterung um Rufbereitschaft auch am Wochenende möglich Oracle IT-Consulting &
MehrEin APEX für alle und alle für APEX! Niels de Bruijn, Fachbereichsleiter APEX , DOAG DB Konferenz
Ein APEX für alle und alle für APEX! Niels de Bruijn, Fachbereichsleiter APEX 11.05.2016, DOAG DB Konferenz Agenda Was war APEX nochmal? APEX in meiner Datenbank Was bringt APEX für die Firma? Was ist
MehrApplication Express (APEX) Carsten Czarski Business Unit Database. ORACLE Deutschland B.V. & Co KG
Application Express (APEX) Anwendungen - schnell und einfach. In der Cloud oder On Premise. Carsten Czarski Business Unit Database ORACLE Deutschland B.V. & Co KG Oracle Application Express (Oracle APEX)
MehrWolkig bis heiter. Andreas Wismann WHEN OTHERS. APEX als Drehkreuz für Web Service-Anwendungen
Wolkig bis heiter APEX als Drehkreuz für Web Service-Anwendungen Andreas Wismann WHEN OTHERS Beratung Projektmanagement Coaching rund um Oracle Application Express In APEX Informationen von "woanders"
MehrPHP-5-Zertifizierung. Block 12 Security.
PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies
MehrOracle Forms und APEX
Oracle Forms und APEX Gerd Volberg + Jan Winkels OPITZ CONSULTING Deutschland GmbH Gummersbach Schlüsselworte Oracle Forms, Oracle Application Express, APEX, PL/SQL, JavaScript-API Einleitung APEX wird
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrSQL Developer Unit Tests
Perry Pakull Principal Consultant Trivadis AG BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN 1 @PerryPakull Principal Consultant Trivadis AG in
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrGeodaten und Karten in APEX
Geodaten und Karten in APEX So einfach wie noch nie! Carsten Czarski ORACLE Deutschland B.V. & Co KG Follow me on Twitter: @cczarski Geodaten und Karten in Anwendungen Geodaten in Tabellen: Wie speichert
MehrAPEX Worst Prac-ces. Die schlimmsten Fehler. 18.11.2014 DOAG Jahreskonferenz 2014 Peter Raganitsch
APEX Worst Prac-ces Die schlimmsten Fehler 18.11.2014 DOAG Jahreskonferenz 2014 Peter Raganitsch Peter Raganitsch peter.raganitsch@tryfoexnow.com http://www.oracle-and-apex.com @PeterRaganitsch Best Practice?
Mehr<Insert Picture Here> Das Navi in der Datenbank Oracle11g has NAVTEQ on Board. Carsten Czarski Oracle Deutschland B.V. & Co KG
Das Navi in der Datenbank Oracle11g has NAVTEQ on Board Carsten Czarski Oracle Deutschland B.V. & Co KG Oracle: Die offene Geodatenbank Native Datentypen Vektordaten und Rasterdaten
MehrKobra, übernehmen Sie! Endbenutzer an den Schalthebeln von Apex Ingrid Hayek Universität Innsbruck Innsbruck, Österreich
Kobra, übernehmen Sie! Endbenutzer an den Schalthebeln von Apex Ingrid Hayek Universität Innsbruck Innsbruck, Österreich Schlüsselworte Apex-Applikationen modifizieren, Labels, Hilfetexte ändern, Conditional
MehrÜberblick Felix Naumann. Zugriffsrechte Zugriffsrechte erzeugen Zugriffsrechte prüfen Zugriffsrechte vergeben Zugriffsrechte entziehen
Datenbanksysteme I Zugriffskontrolle (kleiner Einschub) 18.1.2007 Felix Naumann Überblick 2 Zugriffsrechte Zugriffsrechte erzeugen Zugriffsrechte prüfen Zugriffsrechte vergeben Zugriffsrechte entziehen
MehrDas Leben der Anderen
Das Leben der Anderen Twitter-Analyse mit Oracle12c, JSON und APEX Carsten Czarski Business Unit Database Oracle Deutschland B.V. & Co KG About: Carsten Czarski 1973 München Verheiratet zwei Kinder ORACLE
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrAdministration einer APEX-Datenbank: Worauf kommt es an?
Administration einer APEX-Datenbank: Worauf kommt es an? DOAG Datenbank 2017 - Düsseldorf - 30. Mai 2017 Carsten Czarski Consulting Member of technical Staff Oracle Application Express http://blogs.oracle.com/apexcommunity_deutsch
MehrOracle9i Designer. Rainer Willems. Page 1. Leitender Systemberater Server Technology Competence Center Frankfurt Oracle Deutschland GmbH
Oracle9i Designer Rainer Willems Leitender Systemberater Server Technology Competence Center Frankfurt Oracle Deutschland GmbH Page 1 1 Agenda 9i Designer & 9i SCM in 9i DS Design Server Generierung &
MehrDebugging in APEX. Christina Funke Apps Associates GmbH Dortmund
Debugging in APEX Christina Funke Apps Associates GmbH Dortmund Schlüsselworte Oracle Application Express, APEX, Debugging, Debugging Collection, Remote Debugging mit SQL- Developer, Error Handling, benutzerfreundliche
MehrAPEX Security wie sicher sind Ihre APEX Anwendungen? Denes Kubicek DOAG November 2014
APEX Security wie sicher sind Ihre APEX Anwendungen? Denes Kubicek DOAG November 2014 1 Denes Kubicek Um es kurz zu halten: Mein Name ist Denes Kubicek geboren 1965 in Kroatien. Ich bin seit acht Jahren
MehrNew Features Oracle Forms 11g Nichts Neu für Forms?
New Features Oracle Forms 11g Nichts Neu für Forms? Perry Pakull Technology Manager perry.pakull@trivadis.com Zürich, 20.04.2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br.
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrXSS for fun and profit
5. Chemnitzer Linux-Tag 1.-2.- März 2003 XSS for fun and profit Theorie und Praxis von Cross Site Scripting (XSS) Sicherheitslücken, Diebstahl von Cookies, Ausführen von Scripten auf fremden Webservern,
MehrFuzzy-Suche in Application Express
Fuzzy-Suche in Application Express So geht s! Carsten Czarski Consulting Member of technical staff - Oracle Application Express September 2017 Copyright 2016 Oracle and/or its affiliates. All rights reserved.
MehrAPEX URLs Suchmaschienen- und Benutzerfreundlich
APEX URLs Suchmaschienen- und Benutzerfreundlich Christian Rokitta themes4apex Leusden (NL) Schlüsselworte APEX, URL, Parameter, Suchmaschinen, PLSQL, Google Analytics, Restful Services Einleitung Im Vergleich
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrEntwicklungsumgebung für die Laborübung
Entwicklungsumgebung für die Laborübung VL Datenbanksysteme Ingo Feinerer Arbeitsbereich Datenbanken und Artificial Intelligence Institut für Informationssysteme Technische Universität Wien Gliederung
MehrAbsicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10
The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt
MehrDatenschutz: Zugriffsrechte in SQL
12. Datenschutz: Zugriffsrechte in SQL 12-1 12. Datenschutz: Zugriffsrechte in SQL 12-2 Inhalt Datenschutz: Zugriffsrechte in SQL 1. Anforderungen, Allgemeines 2. Die SQL-Befehle GRANT und REVOKE 3. Sichten
MehrDOAG Regio 2015 APEX 5 Neuerungen Highlights. Marco Patzwahl
DOAG Regio 2015 APEX 5 Neuerungen Highlights Marco Patzwahl MuniQSoft GmbH Tätigkeitsbereiche: Oracle Support Hotline: Mo-Fr 8.00 18.00 Uhr Erweiterung um Rufbereitschaft auch am Wochenende möglich Oracle
Mehr<Insert Picture Here> Oracle Spatial für Entwickler Teil 1: Datenmodell und SDO_GEOMETRY. Carsten Czarski ORACLE Deutschland B.V.
Oracle Spatial für Entwickler Teil 1: Datenmodell und SDO_GEOMETRY Carsten Czarski ORACLE Deutschland B.V. & Co KG Arbeitsumgebung Arbeiten Sie am besten mit SQL*Plus oder SQL Developer
MehrFive Finger Death Punch. Oliver Lemm Competence Center Leiter APEX
Five Finger Death Punch Oliver Lemm Competence Center Leiter APEX Nürnberg, 20.11.2014 UNSER PORTFOLIO APPLICATION DEVELOPMENT APEX / ADF JAVA.NET INTEGRATION SERVICES STRATEGIE ARCHITEKTUR SAP HANA IT
Mehr<Insert Picture Here> Application Express: Stand der Dinge und Ausblick auf Version 5.0
Application Express: Stand der Dinge und Ausblick auf Version 5.0 Oliver Zandner ORACLE Deutschland B.V. & Co KG Was erwartet Sie in diesem Vortrag? 1. Was ist APEX? Wozu ist es gut?
MehrMehr Dynamik in Apex mit Javascript und JQuery
Mehr Dynamik in Apex mit Javascript und JQuery Alexander Scholz its-people Frankfurt am Main Schlüsselworte: Javascript und JQuery in Apex einbinden, Elemente dynamisch anzeigen, Selectlisten aktualisieren,
Mehr<Insert Picture Here> Investitionsschutz und Innovationsdruck: Wie muss eine zukunftssichere Plattform aussehen?
Investitionsschutz und Innovationsdruck: Wie muss eine zukunftssichere Plattform aussehen? Jürgen Menge TSBU Middleware Oracle Deutschland GmbH Oracle Forms Heute sehr aktive Kundenbasis
MehrTimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.
Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor
Mehrapex.meinefirma.de Carsten Czarski ORACLE Deutschland B.V. & Co KG APEX Hosting im eigenen Unternehmen Carsten.Czarski@oracle.com
Carsten.Czarski@oracle.com http://tinyurl.com/apexcommunity http://sql-plsql-de.blogspot.com http://oracle-text-de.blogspot.com http://oracle-spatial.blogspot.com http://plsqlexecoscomm.sourceforge.net
Mehr<Insert Picture Here> Schnelle Anwendungen mit Oracle Application Express
Schnelle Anwendungen mit Oracle Application Express IT-Fundstücke... Einzelplatz- und Abteilungslösungen Excel-Spreadsheets PC-Datenbanken (z.b. MS Access) Skripting-Lösungen Abteilung
MehrDatenbank-Services für Entwickler aus der Oracle Cloud: Database Service, Schema Service & mehr
Datenbank-Services für Entwickler aus der Oracle Cloud: Database Service, Schema Service & mehr Carsten Czarski, ORACLE Deutschland B.V. & Co. KG Ob im Unternehmen, auf Konferenzen oder im Web 2.0: Cloud
MehrFunktionen. Überblick über Stored Functions. Syntax zum Schreiben einer Funktion. Schreiben einer Funktion
Überblick über Stored Functions Funktionen Eine Funktion ist ein benannter PL/SQL- Block, der einen Wert zurückgibt. Eine Funktion kann in der Datenbank als Objekt zur wiederholbaren Ausführung gespeichert
MehrUsername and password privileges. Rechteverwaltung. Controlling User Access. Arten von Rechten Vergabe und Entzug von Rechten DBS1 2004
Arten von Rechten Vergabe und Entzug von Rechten Seite 1 Controlling User Access Database administrator Username and password privileges Users Seite 2 Privileges Database security System security Data
MehrNeuerungen in Marco Patzwahl MuniQSoft GmbH Unterhaching
Neuerungen in 12.2 Marco Patzwahl MuniQSoft GmbH Unterhaching Schlüsselworte Neuerungen in 12.2, DBA Einleitung Jede neue Datenbankversion bringt diverse Neuerungen mit. Nur welche sind wichtig und welche
MehrBEDIFFERENT ACE G E R M A N Y. aras.com. Copyright 2012 Aras. All Rights Reserved.
BEDIFFERENT ACE G E R M A N Y Tech Day: ACE Germany Installation eines Aras- Systems mit Demo-Datenbank Rolf Laudenbach Director Aras Community Aras (Europe) Installations-Video auf YouTube Copyright 2012
MehrOracle Virtual Private Database
Oracle Virtual Private Database Rolf Wesp Consultant Application Development Rolf.Wesp@trivadis.com Düsseldorf, September 2008 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrNutzung externer Daten in Application Express
Mehr als "Report on Table": Application Express visualisiert Daten aller Art! Autor: Carsten Czarski, ORACLE Deutschland B.V. & Co KG In nahezu allen Geschäftsanwendungen werden Daten aus relationalen
Mehr<Insert Picture Here> BI Publisher Berichte in eigene Anwendungen integrieren
BI Publisher Berichte in eigene Anwendungen integrieren Jürgen Menge Oracle Deutschland GmbH Oracle BI Publisher Moderne Lösung zur Entwicklung, Erzeugung und Verteilung von Berichten
MehrODBC-Verbindungen in Oracle-Datenbanken nutzen
ODBC-Verbindungen in Oracle-Datenbanken nutzen Bereits in der Vergangenheit haben wir verschiedene Möglichkeiten beschrieben, wie sich Daten aus externen Quellen in AutoCAD Map über die ODBC-Verbindung
MehrWeb Applications Vulnerabilities
Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt
Mehr<Insert Picture Here> Generierung von ADF-Applikationen aus Metadaten des Oracle Designer
Generierung von ADF-Applikationen aus Metadaten des Oracle Designer Jürgen Menge Oracle Deutschland Oracle Designer - Metadaten Investment vieler Anwender liegt in den Metadaten des
MehrAPEX und Drucken Die Schöne und das Biest! Seite 1 von 61
APEX und Drucken Die Schöne und das Biest! Seite 1 von 61 Dieses Dokument ist im Original eine im Browser ablaufende Präsentation. Erstellt wurde sie mit dem JavaScript Framework impress.js. Damit können
MehrSage 200 BI Häufige Fehler & Lösungen. Version 15.10.2014
Sage 200 BI Häufige Fehler & Lösungen Version 15.10.2014 Inhaltverzeichnis Sage 200 BI Häufige Fehler & Lösungen Inhaltverzeichnis 2 1.0 Häufige Probleme & Lösungen 3 1.1 Keine Grafiken in SSRS-Auswertungen
MehrSicherung der Kommunikation zwischen OAM und WebGate
überraschend mehr Möglichkeiten! Sicherung der Kommunikation zwischen OAM und WebGate Mohammad Esad-Djou, Solution Architect OPITZ CONSULTING 2016 Agenda 1 2 3 Grundkonzepte und Komponenten Kommunikation
MehrWeb Hacking - Angriffe und Abwehr
Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum Motivation (1): Für uns Lehrveranstaltung: Techniken
MehrIn diesem Abschnitt wollen wir uns mit der Architektur von Datenbank Managements Systemen beschäftigen.
1 In diesem Abschnitt wollen wir uns mit der Architektur von Datenbank Managements Systemen beschäftigen. Zunächst stellt sich die Frage: Warum soll ich mich mit der Architektur eines DBMS beschäftigen?
MehrPaper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications
Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications Referat von Georg Räß und Kevin Virmani Paper geschrieben von Marco Balduzzi,Carmen Torrano Gimenez,Davide Balzarotti
MehrWebSocket my APEX! Autor: Kai Donato
WebSocket my APEX! Autor: Kai Donato Facts & Figures Hauptsitz Ratingen 240 Beschäftigte Technologie-orientiert Branchen-unabhängig Inhabergeführt Ausbildungsbetrieb 24 Mio. Euro Umsatz Gründung 1994 Zertifizierter
MehrMehr Dynamik in Apex mit Javascript und JQuery. Alexander Scholz its-people
Vortrag zur DOAG Konferenz 2011 Mehr Dynamik in Apex mit und Alexander Scholz its-people 1 Ablauf Thema des Vortragsthemas Motivation Besonderheit des Referenten Alexander Scholz its-people Wie kann in
MehrSecureNet GmbH For personal use only. Distribution not allowed.
1 Die Datenbank als Erfüllungsgehilfe für Datendiebe Eine Kurzeinführung in Injection-Angriffe DOAG Regionaltreffen Südbayern FH München, Raum R 1.046 Ralf Reinhardt, 21.04.2010, 17:30 http://www.securenet.de
MehrAPEX 5.0: neue & überarbeitete Komponenten. Oliver Lemm Berlin,
APEX 5.0: neue & überarbeitete Komponenten Oliver Lemm Berlin, 16.09.2015 Agenda 1. Modale Dialoge 2. mobile Komponenten 3. Aktualisierte Komponenten 2 Modale Dialoge 3 Modaler Dialog (Page) Page Modal
MehrQuick Installation Guide
LevelOne WHG-1000 300Mbps Wireless PoE Hotspot Gateway Quick Installation Guide English Deutsch Table of Contents English... 3 Deutsch... 13 Default Settings IP Address-LAN1 192.168.1.254 IP Address-LAN2
MehrIn diesem Anschnitt geht es um die SQL Anweisungen, mit denen ich den Zugriff auf das Datenbankschema steuern kann.
In diesem Anschnitt geht es um die SQL Anweisungen, mit denen ich den Zugriff auf das Datenbankschema steuern kann. All diese Befehle werden unter dem Begriff SQL DLC Data Control Language zusammengefasst.
MehrDOAG Regional-Konferenz München 09/2007. APEX Neuerungen in 2.2/3.0
DOAG Regional-Konferenz München 09/2007 in 2.2/3.0 Neuerungen ab 2.2: Packaged Application Packaged Application Sie können aus Ihrer Applikation ein Installationsskript mit zusätzlichen Objekten (wie.
Mehr<Insert Picture Here> Oracle Datenbank Einführung Ulrike Schwinn Email: Ulrike.Schwinn@HS-Augsburg.DE
Oracle Datenbank Einführung Ulrike Schwinn Email: Ulrike.Schwinn@HS-Augsburg.DE Oracle Corporation in Zahlen Gegründet 1977 Headquarter in Redwood Shores in Kalifornien 84 000 Angestellte
MehrTypo3 & QFQ. Carsten Rose, I-MATH, University of Zurich, 2017
Typo3 & QFQ Carsten Rose, I-MATH, University of Zurich, 2017 Praktisches Beispiel Formulareditor Report 2 QFQ Offiziell noch 'Alpha' weil wir noch nicht alle Konzepte implementiert haben (Aenderungen moeglich).
MehrFrankfurt, 15.05.2012
DOAG SIG Middleware Frankfurt, 15.05.2012 Jan Peter Timmermann PITSS GmbH 1 Copyright 2011 PITSS GmbH www.pitss.com Agenda Motivation für diesen Vortrag Sicherheitsrisiken im Netz Was war bisher möglich
MehrEchtes Single Sign-On mit APEX DOAG Konferenz 2014. Niels de Bruijn Nürnberg, 19.11.2014
Echtes Single Sign-On mit APEX DOAG Konferenz 2014 1 Niels de Bruijn Nürnberg, 19.11.2014 FACTS & FIGURES GESCHÄFTSFORM HAUPTSITZ INHABERGEFÜHRTE AG RATINGEN GRÜNDUNGSJAHR 1994 BESCHÄFTIGTE BETEILIGUNGEN
MehrInhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling
Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan
MehrJavascript auf dem Server: node.js
Node.js + Oracle-Datenbank = "node-oracledb" = Cool! Autor: Carsten Czarski, ORACLE Deutschland B.V. & Co KG Im Januar 2015 hat Oracle die Early Adopter- Phase des ersten offiziellen Node.js-Treiber node-oracledb
MehrGraphen in Apex von Thomas Hernando. www.syntegris.de
Graphen in Apex von Thomas Hernando www.syntegris.de Einleitung FIRMENINFOS Gründung im Jahre 2000 mit Sitz in Neu-Isenburg bei Frankfurt am Main Mehr als 30 Berater Oracle Gold Partner Schwerpunkte liegen
MehrAgenda. IT-Symposium 2007 19.04.2007. www.hp-user-society.de 1. Secure Enterprise Search. Suchen und finden mit Suchmaschinen. Oracle SES Überblick
Secure Enterprise Search Das Intranet sicher durchsuchen Jürgen Vester, Snr. Manager Sales Consulting Stuttgart Agenda Suchen und finden mit Suchmaschinen Oracle SES Überblick Demo
MehrOracle Application Express 4.2.1
Oracle Application Express 4.2.1 Mobile Web Applications und mehr Andreas Zack Server Technologies Competence Center Database Süd The following is intended to outline our general product direction. It
MehrUnified-E Standard WebHttp Adapter
Unified-E Standard WebHttp Adapter Version: 1.5.0.2 und höher Juli 2017 Inhalt 1 Allgemeines... 2 2 Adapter-Parameter in Unified-E... 2 3 Symbolische Adressierung... 3 3.1 ReadValues-Methode... 4 3.2 WriteValues
MehrVon Oracle Forms nach Oracle APEX Summit Case Study
Von Oracle Forms nach Oracle APEX Summit Case Study Die Migration von Oracle Forms nach Oracle Application Express mit dem PITSS.CON APEX Assistant PITSS.CON 12.3.1 Case Study, Juni 2014 2014 PITSS Von
MehrGoogle Gears Offline Web?
Google Gears ist eine Browsererweiterung, die es in sich hat. Dem Webanwendungsentwickler werden Dienste bereitgestellt, die es ermöglichen, Webanwendungen so zu schreiben, dass eine Offline-Arbeit möglich
MehrSafe Harbor Statement
Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment
MehrOracle9i Reports. Rainer Willems. Page 1. Leitender Systemberater Server Technology Competence Center Frankfurt Oracle Deutschland GmbH
Oracle9i Reports Rainer Willems Leitender Systemberater Server Technology Competence Center Frankfurt Oracle Deutschland GmbH Page 1 1 Agenda Oracle9i Reports Überblick Neuigkeiten in der Entwicklungsumgebung
MehrErweiterte Interaktion mit Trees und Charts in APEX
Erweiterte Interaktion mit Trees und Charts in APEX Dr. Gudrun Pabst Trivadis Gmbh Lehrer-Wirth-Straße 4 81829 München gudrun.pabst@trivadis.com BASEL BERN LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG
MehrZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln 2.10.2009
ZSDGMDZFGW Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden Ben Fuhrmannek #phpug-köln 2.10.2009 Über mich Informatiker Entwickler IT Security 2 TOC Aufbau ZF Problem 1 bis 10 3
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrAgile Softwareentwicklung mit APEX (4.0)
Unternehmensdaten: syntegris Oracle Gold Partner Erfolgreiche Projekte seit mehr als 10 Jahren Sitz in Neu-Isenburg Web: www.syntegris.de Kontakt: info@syntegris.de Referent: 15 Jahre Erfahrung in der
MehrEinführung in Web-Security
Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme
MehrWildFly Application Server Administration
WildFly Application Server Administration Seminarunterlage Version: 1.04 Version 1.04 vom 18. Januar 2017 Dieses Dokument wird durch die veröffentlicht.. Alle Rechte vorbehalten. Alle Produkt- und Dienstleistungs-Bezeichnungen
Mehr<Insert Picture Here> Mehr Ergebnisse: Linguistische und Ähnlichkeitssuche mit SQL Carsten Czarski ORACLE Deutschland B.V. & Co KG
Mehr Ergebnisse: Linguistische und Ähnlichkeitssuche mit SQL Carsten Czarski ORACLE Deutschland B.V. & Co KG Suche im DWH Was wünscht sich der Anwender...? Suche im DWH Suche im DWH
MehrRuby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info
Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends
MehrZusammenfassung Web-Security-Check ZIELSYSTEM
Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt
Mehr