OWASP und APEX. Eine Einführung. Wir kümmern uns! Sebastian Wittig Systementwickler merlin.zwo InfoDesign GmbH & Co. KG Karlsruhe
|
|
- Leander Böhler
- vor 6 Jahren
- Abrufe
Transkript
1 OWASP und APEX Eine Einführung Sebastian Wittig Systementwickler merlin.zwo InfoDesign GmbH & Co. KG Karlsruhe
2 Spitzenleistung heißt, sich auf seine Stärken zu konzentrieren. merlin.zwo Wir machen Oracle - nur Oracle. Aus gutem Grund.
3 Übersicht Motivation OWASP, was ist das denn? Wie entwickeln sich Risiken? Top 10 Ausprägungen und Gegenmaßnahmen Fazit & Tipps
4 Motivation
5 Motivation Die meisten APEX-Instanzen sehen wie folgt aus: Browser Webserver Appserver Abweichungen im Middle Tier sind möglich APEX- DB
6 Motivation Dieser Ansatz eröffnet viele Möglichkeiten: HTML-Frontend bietet Zugriff auf viele Webtechnologien (CSS, JavaScript, jquery, [ ]) DB-Backend ermöglicht die Nutzung von SQL und PL/SQL Das Middle Tier bietet weitere anbieterabhängige Verwundbarkeiten Durch alle Bereiche entstehen Angriffsoptionen
7 OWASP, was ist das denn?
8 Was ist OWASP? OWASP: Open Web Application Security Project Offenes Gremium aus Informatikern weltweit Vertreten starke, offene Kernwerte und prinzipien Diskutieren intern über Code Richtlinien, Best Practices, [ ] Stellen Anleitungen zur Verfügung Veröffentlichen in regelmäßigen Abständen eine Liste der größten Bedrohungen für Webapplikationen
9 Warum ist diese Offenheit etwas Gutes? Es ist überheblich anzunehmen, dass man selbst jeden möglichen Angriffspunkt zu jedem Zeitpunkt im Blick hat. 100% Sicherheit gibt es nicht. Mitunter schaffen Sicherheitsprodukte ihrerseits Sicherheitslücken. Security through obscurity ist leider Blödsinn.
10 Warum sollte man sich damit befassen?
11 Warum geht mich das an? APEX wird häufig für inhäusige Anwendungen genutzt, die nicht im Netz stehen, aber: Technisch versierte Nutzer können Verwundbarkeiten ausnutzen um unberechtigten Datenzugriff zu erhalten BYOD Geräte können infiziert sein und diese Infektion weitertragen Zugriffe auf das Firmennetz mit Privatgeräten können kompromittiert sein Manche APEX-Anwendungen sind öffentlich zugänglich
12 Wie entwickeln sich diese Risiken?
13 OWASP Top vs 2010
14 OWASP Top vs 2013
15 OWASP Top vs 2017
16 Was könnten wir lernen? Betrachten wir die Listen im Vergleich, dann könnten wir mutmaßen: Sind Entwickler lernresistent? Sind Herausforderungen zur Absicherung nicht handhabbar? Bieten Frameworks zu wenig Unterstützung? Besser: Risiken verhalten sich relativ zeitstabil. => Folglich lohnt sich jede Investition in Sicherheit und Knowhow
17 Top 10 Ausprägungen und Gegenmaßnahmen
18 #1 Injections Injections können offensichtlich sein. Manche sind dagegen schwieriger zu erkennen, wie folgende Folie beweist:
19
20 #1 Injections Wann tritt eine Injection auf? Dynamischer Befehl (SQL, OS, LDAP) Ungeprüftes Konkatenieren von Parametervariablen Wie schütze ich mich? Verwenden Sie Bindevariablen, wann immer es möglich ist Meiden Sie Variablen in der Ampersand-Notation. Diese werden ungeprüft weitergegeben Überprüfen Sie dynamische Parameter mittels DBMS_ASSERT
21 #2 Broken Authentication and Session Management Wann bin ich verwundbar? Unverschlüsselte/schwache Passwörter Einfache Verfahren das Passwort zu überschreiben Session ID innerhalb der URL sichtbar Session ID kann mittels Session Fixation Angriffen attackiert werden Versand der Daten über unverschlüsselte Verbindungen
22 #2 Broken Authentication and Session Management Wie schütze ich mich? Nutzen Sie erprobte Standardverfahren APEX bietet eine breite Auswahl guter Standardimplementierungen Session Handling ist APEX-seitig (trotz sichtbarer Session ID) bereits umgesetzt, z.b. auch Timeouts Versenden Sie Daten über eine SSL-Verschlüsselung Session Hijacking ist durch XSS-Attacken besonders leicht.
23 #3 Cross Site Scripting (XSS) Wie werde ich verwundbar? Eingegebene Texter werden nicht geprüft Der Text wird anschließend unescaped dargestellt Unsicheres JavaScript durch eingebundene Bibliotheken Durch Dateiupload eingefügtes JS
24 #3 Cross Site Scripting (XSS) Wie schütze ich mich? Escapen von eingegebenen und wiedergegebenen Textfeldern z.b. mit apex_util.escape_html Rückgriff auf die APEX-eigenen Optionen zum Escapen von Steuerungszeichen Display Only Items
25 #4 Broken Access Control Kombiniert die bisherigen Punkte Datenzugriffe und unsichere Objektreferenzen. Wann bin ich verwundbar? Master-Detail Ansichten mit numerisch aufsteigendem Primary Key Public Functions, die innerhalb von APEX zur Verfügung gestellt werden
26 #4 Broken Access Control Wie schütze ich mich? Rückgriff auf Mapping oder UUID Prüfsummen per Session State Protection aktivieren Autorisierungsschemata definieren und innerhalb der Anwendung großzügig verwenden Keine Funktionen zur Verfügung stellen, die den Status des Anwenders nicht überprüfen
27 #5 Security Misconfiguration Wann bin ich verwundbar? Veraltete Architekturkomponenten Standardkonfigurationen werden ungeprüft übernommen Default Accounts nicht deaktiviert (siehe Mongo DB) Error Stacks mit sensiblen Informationen für den Anwender sichtbar
28 #5 Security Misconfiguration Wie schütze ich mich? Datenbankschemata nur die nötigsten Berechtigungen geben Deaktivieren aller nicht benötigten Accounts keine Stack Traces nach außen gelangen lassen Session Timeouts Patchen
29 #6 Sensitive Data Exposure Dieser Punkt gewinnt vor allem vor den neuen Datenschutzregelungen an Relevanz: Sensible Daten im Klartext vorhanden Sind diese nötig? Gibt es Möglichkeiten diese verschlüsselt zu nutzen? Unverschlüsselte Übertragung über das WWW Veraltete Verschlüsselungsalgorithmen Werden alle nötigen Headerinformationen übertragen?
30 #6 Sensitive Data Exposure Wie schütze ich mich? Kommunikation verschlüsseln Authentifizierung Übertragene Daten Standardalgorithmen vor Eigenentwicklungen Schlüsselablage sinnvoll organisieren Salt & Pepper implementieren Daten im Session State verschlüsseln
31 #7 Insufficient Attack Protection Wie äußert sich die Verwundbarkeit? Keine Implementierung für den Angriffsfall Erkennung Behandlung Blockierung Manuell oder automatisiert durch Tools testen Außerdem sollte man die Grenzen dieser Tools kennen
32 #7 Insufficient Attack Protection Wie schütze ich mich? Erkennen von Angriffen Beobachten von ungültigen Zuständen Verhaltensmuster analysieren und bewerten Auf Angriffe reagieren Blocken von Requests, IP Adressen oder IP Bereichen Deaktivieren auffälliger Accounts Zeitnah patchen, insbesondere wenn Verwundbarkeiten bekannt werden
33 #8 Cross-Site Request Forgery (CSRF) Wann bin ich verwundbar? Schlechtes und unsicheres Tokenhandling Vorhersehbare Token Rückgriff auf mit dem Browser versendete Informationen (IP- Adresse, Session Cookies), da diese nicht fälschungssicher sind Ermöglicht das Einbetten von Requests in dritten, manipulierten Seiten Diese Requests greifen die ungenügend gesicherte Session auf und manipulieren im Namen des Nutzers Daten
34 #8 Cross-Site Request Forgery (CSRF) Wie schütze ich mich? Tokenhandling implementieren Prüfsummen per Session State Protection aktivieren Packages liefern Möglichkeiten eigene Links zu erzeugen Ohne korrekten Token wird ein Fehler geworfen
35 #9 Using Components with Known Vulnerabilities Wann bin ich verwundbar? Schwierig festzustellen, da viele Leaks erst mal unbekannt sind Manche werden stillschweigend gefixt Wie schütze ich mich? Alle Komponenten möglichst auf dem neuesten Stand halten. Also APEX, JS, Plugins Überwachung entsprechender Mailinglisten und Datenbanken
36 #10 Underprotected APIs Wann bin ich verwundbar? Rückgriff auf Schnittstellen, insbesondere externe Exotische, nicht gut dokumentierte und standardisierte Formate, diese bieten selten Frameworks Wie schütze ich mich? Kommunikation verschlüsseln Authentifizierung und Autorisierung für APIs Berücksichtigen Sie Schnittstellen in den Tests
37 Fazit & Tipps
38 Fazit Prinzipiell können einige, viele oder alle dieser Punkte zutreffen. Analysieren Sie, welche Angriffsszenarien für Ihre Anwendung relevant sind Beurteilen Sie diese Szenarien mit einer Risikogewichtung Lernen Sie die Thematik kennen, Einstiegspunkte sind bspw.: OWASP Developer Guide OWASP Cheat Sheets Beschäftigen Sie sich mit Tools: APEX-spezifisch: ApexSec
39 Tipps Implementieren Sie Security frühzeitig Schaffen Sie Regeln für Fälle, in denen Sie nicht den sicheren Weg gehen können Nutzen Sie Standardalgorithmen, wo immer es geht Verschlüsseln Sie die Kommunikation mittles HTTPS Patchen Sie Ihre Systeme Hören Sie nicht bei der Top 10 auf
40 Fragen und Antworten??? Haben Sie noch Fragen???? merlin.zwo InfoDesign GmbH & Co. KG Sebastian Wittig
41 merlin.zwo merlin.zwo InfoDesign GmbH & Co. KG Sebastian Wittig Elsa-Brändström-Straße Karlsruhe Tel
OWASP und APEX. Sebastian Wittig merlin.zwo InfoDesign GmbH & Co. KG Karlsruhe
Schlüsselworte Sicherheit, WebApplikation, APEX, Entwicklung Einleitung OWASP und APEX Sebastian Wittig merlin.zwo InfoDesign GmbH & Co. KG Karlsruhe APEX besitzt ein HTML Frontend. Dies ist sehr praktisch,
MehrOWASP und APEX. As the world is increasingly interconnected, everyone shares the responsibility of securing cyberspace. Wir kümmern uns!
OWASP und APEX Sicherheit, einfach machen As the world is increasingly interconnected, everyone shares the responsibility of securing cyberspace. - Newton Lee, Author and Computer Scientist Wir kümmern
MehrWie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?
APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
MehrThema PHP-Sicherheits-Training-System. vorgelegt von Timo Pagel
Thema PHP-Sicherheits-Training-System vorgelegt von Timo Pagel Hamburg, den 29.04.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 24 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
Mehritsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com
itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der
MehrIHK: Web-Hacking-Demo
sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web
MehrV10 I, Teil 2: Web Application Security
IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrThema PHP-Sicherheits-Training-System. Timo Pagel
Thema PHP-Sicherheits-Training-System Timo Pagel Hamburg, den 13.05.2014 Agenda 1 PHP-Sicherheit 2 Erstellung 3 Evaluation 4 Fazit 1 / 27 Agenda 1 PHP-Sicherheit Motivation OWASP Top 10 Demonstration einer
Mehr<Insert Picture Here> APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung. Carsten Czarski, ORACLE Deutschland B.V. Co.
APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung Carsten Czarski, ORACLE Deutschland B.V. Co. KG Themen Grundsätzliches zur APEX-Architektur Security-Attribute in
MehrSichere Software. Vermeidung von Angriffspunkten bei der Software-Entwicklung. Andreas Vombach
Sichere Software Vermeidung von Angriffspunkten bei der Software-Entwicklung Andreas Vombach Einleitung Mein Hintergrund Von der Hardware- zur Softwareentwicklung Software im Banking Bereich Erlebnisse
MehrWie steht es um die Sicherheit in Software?
Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die
MehrDSGVO: Konkrete Hilfe bei der Umsetzung. Was bei der Verarbeitung von personenbezogenen Daten in Web-Anwendungen zu beachten ist
DSGVO: Konkrete Hilfe bei der Umsetzung Was bei der Verarbeitung von personenbezogenen Daten in Web-Anwendungen zu beachten ist Agenda Einführung DSGVO Risikobewusstsein und -minimierung unter der DSGVO
MehrBaustein Webanwendungen. Stephan Klein, Jan Seebens
Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische
MehrPHP-5-Zertifizierung. Block 12 Security.
PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies
MehrWALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN
WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN Die 7 häufigsten Fehler im IT-Security- Management bei Webanwendungen (nach OWASP) München, 11.10.2011 c1 Folie 3 c1 Ich habe
MehrOWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
MehrZusammenfassung Web-Security-Check ZIELSYSTEM
Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt
MehrPortal zur Verwaltung von Wohngemeinschaftsfinanzen mit dem Web-Framework Django
Portal zur Verwaltung von Wohngemeinschaftsfinanzen mit dem Web-Framework Django 29. Januar 2018 Yannick Linke 2018 Yannick Linke/FH Aachen Portal zur Verwaltung von Wohngemeinschaftsfinanzen mit Django
MehrSecure Webcoding for Beginners
Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer
MehrSichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus?
Sichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus? Ziel dieses Vortrags Thema Sicherheit von Webanwendungen greifbar machen Praxisorientierte Einführung in aktuelle/zukünftige
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrSchönes neues Internet
Schönes neues Internet Markus de Brün Bundesamt für Sicherheit in der Informationstechnik AK Sicherheit, 7. Oktober 2009 Markus de Brün 7. Oktober 2009 Folie 1 Agenda Gefahr aus dem Web aktuelle Lage &
MehrOWASP Top 10 Schulung. April 18
OWASP Top 10 Schulung April 18 Agenda - Übersicht - A1:2017 Injection - A2:2017 Broken Authentication - A3:2017 Sensitive Data Exposure - A4:2017 XML External Entities (XXE) - A5:2017 Broken Access Control
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrIT-Sicherheit Angriffsziele und -methoden Teil 2
Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird
MehrWEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet
WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS Trügerische Sicherheit im Internet HERZLICH WILLKOMMEN Die Moderatoren Andreas Krenz Client Relationship Manager Fragen über Chat Frank Pöhler Senior Consultant
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
MehrWebsecurity. Hochschule Darmstadt, Fachbereich Informatik, Sommersemester Christopher Dörge, Thomas Sauer, David Müller
Websecurity Hochschule Darmstadt, Fachbereich Informatik, Sommersemester 2017 Christopher Dörge, Thomas Sauer, David Müller Vorab ein Disclaimer Websecurity ist ein Dauerthema. Ständig werden neue Angriffspatterns
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrChristopher Kunz Peter Prochaska. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. dpunkt.verlag
Christopher Kunz Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren dpunkt.verlag 1 Einleitung 1 1.1 Über dieses Buch 1 1.2 Was ist Sicherheit? 3 1.3 Wichtige Begriffe 4 1.4 Sicherheitskonzepte
MehrSecure Programming vs. Secure Development
Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg
MehrIT-Sicherheit. Sicherheit von Webanwendungen 7. Januar 2011
IT-Sicherheit Sicherheit von Webanwendungen 7. Januar 2011 Prof. Dr. Matthew Smith Hergen Harnisch smith@rrzn.uni-hannover.de harnisch@rrzn.uni-hannover.de M.Smith/H.Harnisch, LÜ IT-Sicherheit, 7. Januar
MehrAbbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich
MehrAbsicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10
The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt
MehrOracle APEX 3.2. Peter Raganitsch. Einführung und neue Features 16.04.2009
Oracle APEX 3.2 Einführung und neue Features 16.04.2009 Peter Raganitsch Agenda» Über Competence Center» Was ist Oracle Application Express» Welche Entwickler» Features von Oracle APEX» Architektur» Neue
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrHACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH
HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert
MehrToken statt Cookies dank JWT
Token statt Cookies dank JWT Markus Schlichting Senior Software Engineer Basel, Schweiz Hackergarten Basel markus.schlichting@canoo.com @madmas Sessions & Cookies Sessions & Cookies Credentials validieren,
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrWebapplikationssicherheit (inkl. Livehack) TUGA 15
Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich
Mehr[14-04] Huseby, Sverry: Sicherheitsrisiko Web-Anwendung. dpunkt, 2004
Literatur I [14-01] Power, Richard: Attacken im Web. Markt+Technik, 2001 [14-02] Kunz, Christopher; Esser, Stefan: PHP-Sicherheit. dpunkt, 3. Auflage, 2008 [14-03] Ziegler, Paul Sebastian: Cross-Site Scripting.
MehrDOAG 2016 Oracle APEX Security
Für die Restricted Einstellung sind nur folgende Items vorgesehen: Display as Text (escape special characters, does not save state) Display as Text (does not save state) Display as Text (based on LOV,
MehrOnline-Portale 2.0: Security ist auch ein Web-Design-Thema
Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers
MehrBSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.
1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrFileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona
Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:
MehrWeb Application Security: SQL-injection, Cross Site Scripting -- w3af
Web Application Security: SQL-injection, Cross Site Scripting -- w3af 1 Web 2.0 Application und Angriffspunkte Grundlagen: SQL SQL-injection Cross Site Scripting Web Application Scans mit w3af 2 Eine Web
MehrEclipse BIRT als Report Tool
Eclipse BIRT als Report Tool Integration in Oracle-Anwendungen und Apex Jochen Kutscheruk Oracle Certified Master merlin.zwo InfoDesign GmbH & Co. KG 76228 Karlsruhe Spitzenleistung heißt, sich auf seine
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrSichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen
Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für
MehrTop 10 Datenschutz-Risiken in Web-Applikationen
.consulting.solutions.partnership OWASP Top 10 Privacy Risks Project Top 10 Datenschutz-Risiken in Web-Applikationen Florian Stahl Über mich Florian Stahl Abteilungsleiter im Bereich Information Security
MehrSichere Programmierung. Klaus Kusche
Sichere Programmierung Klaus Kusche Typische Ursachen für Lücken Große Mehrheit aller Lücken: Speicherüberschreiber Fehlende Input-Filterung ==> Jeweils eigener Foliensatz Restliche Lücken: Mehrere verschiedene
MehrSicherheit Web basierter Anwendungen
Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche
MehrVon der Steinzeit ins neue Jahrhundert. Migration von APEX 4.2 auf 18.1 in die Cloud & Open ID Anbindung (Erfahrungsbericht)
All rights reserved Seite 1 Von der Steinzeit ins neue Jahrhundert Migration von APEX 4.2 auf 18.1 in die Cloud & Open ID Anbindung (Erfahrungsbericht) Christian Haag, DATA MART Consulting Oracle DWH Team
MehrIT-Sicherheit auf dem Prüfstand Penetrationstest
IT-Sicherheit auf dem Prüfstand Penetrationstest Penetrationstest IT-Sicherheit auf dem Prüfstand Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten
MehrHochschule Darmstadt Fachbereich Informatik
Hochschule Darmstadt Fachbereich Informatik Entwicklung webbasierter Anwendungen 1 Entwicklung webbasierter Anwendungen, WS2015/2016, Christopher Dörge / David Müller 11.01.2016 Hochschule Darmstadt Fachbereich
MehrSichere Webanwendungen mit Java - wie fange ich an?
Sichere Webanwendungen mit Java - wie fange ich an? Dominik Schadow BridgingIT GmbH Stuttgart Schlüsselworte Java Web Security, sichere Webanwendungen, Cross-Site Scripting, Cross-Site Request Forgery
MehrHACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH
HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert
MehrVAADIN, SPRING BOOT & REST
VAADIN, SPRING BOOT & REST Ein Einstieg für Domino Entwickler Stephan Kopp 1 STEPHAN KOPP Software & Solutions Development Tel.: +49 6182 7869420 Mobil: +49 173 3089806 E-Mail: stephan.kopp@axians.de 2
MehrÜber mich über die Veranstaltung Web Applikation OWASP OWASP Top 10 Zusammenfassung Tipps Ende. OWASP Top 10. Andre Fritsche. Hochschule Oenburg
Top 10 Top 10 Angrie auf Web Anwendungen Andre Fritsche Hochschule Oenburg 16. Mai 2015 A. Fritsche Top 10 Inhaltsverzeichnis Top 10 1 2 3 Denition Details 4 Denition Übersicht 5 Top 10 6 7 8 A. Fritsche
MehrJust-In-Time Security: Sicherheit im Entwicklungsprozess
Just-In-Time Security: Sicherheit im Entwicklungsprozess Mike Wiesner SpringSource Germany Über mich Senior Consultant bei SpringSource Germany Spring-/Security-Consulting Trainings IT-Security Consulting
MehrOracle JET Charts in APEX: Verwendung der JavaScript API zur (nachträglichen) Anpassung von Diagrammen
Oracle JET Charts in APEX: Verwendung der JavaScript API zur (nachträglichen) Anpassung von Diagrammen Sven Jagic merlin.zwo InfoDesign GmbH & Co. KG Karlsruhe Schlüsselworte Oracle, Entwicklung, APEX,
MehrOpenWAF Web Application Firewall
OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang
MehrInformationssicherheit und Datenschutz
Informationssicherheit und Datenschutz Henning Bergmann Datenschutzbeauftragter IT Security Manager Asklepios Kliniken Hamburg GmbH Sylt Barmbek (Hamburg) Falkenstein Ini Hannover Bad Griesbach Inhalt
MehrAdvanced Web Hacking. Matthias Luft Security Research mluft@ernw.de
Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld
MehrHochschule Darmstadt Fachbereich Informatik. Entwicklung webbasierter Anwendungen
Hochschule Darmstadt Fachbereich Informatik Entwicklung webbasierter Anwendungen 1 Entwicklung webbasierter Anwendungen, SS2016, Stefan Zander / Maximilian Madl/ Thomas Sauer 14.06.2016 Hochschule Darmstadt
MehrAktuelle Bedrohungen im Internet
Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung
MehrCyber Security. OWASP Juice Shop - how to hack an intentionally insecure webshop
Cyber Security OWASP Juice Shop - how to hack an intentionally insecure webshop 1 Basics (30 min) Cyber Security, Cyber Crime, Zahlen & Fakten, OWASP Top 10 2 Cyber Security im Unternehmen (30 min) Einblick
MehrJanotta und Partner. Projekt DEFENSE
Janotta und Partner Cybersicherheit Sicherheit Projekt DEFENSE Heutzutage existiert eine Vielzahl von Methoden zur Erkennung von Angriffen. So arbeiten viele Systeme heute nach dem Prinzip. Datenpakete
MehrAPEX Datenverwaltung Wo sind die Daten gerade?
APEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst Trivadis GmbH München Schlüsselworte: APEX, Sessionverwaltung, Dynamic Actions Einleitung Eine APEX-Anwendung wird erst durch zusätzliche
MehrSicherheitsanalyse der Private Cloud Interfaces von
Sicherheitsanalyse der Private Cloud Interfaces von Emanuel Durmaz Ruhr-Universität Bochum 1 Emanuel Durmaz 10/16: Bachelor of Science IT-Sicherheit, Ruhr-Universität Bochum Thesis: Sicherheitsanalyse
MehrAPEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst
APEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst Basel Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien Voraussetzungen Alles hier gezeigte benötigt
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrAnleitung zur Fleet & Servicemanagement Evatic Schnittstelle
Anleitung zur Fleet & Servicemanagement Evatic Schnittstelle Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Hinweise zur Verbindungseinrichtung zum Evatic Server... 3 3 Konfiguration der docuform
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrOracle Application Express: Web-Entwicklung schnell und einfach
Oracle Application Express: Web-Entwicklung schnell und einfach Norman Sibbing Sstemberatung ORACLE Deutschland GmbH IT-Fundstücke... Excel-Spreadsheets als Datenbanken PC-Datenbanken als Einzelplatzlösung
MehrOracle9i Designer. Rainer Willems. Page 1. Leitender Systemberater Server Technology Competence Center Frankfurt Oracle Deutschland GmbH
Oracle9i Designer Rainer Willems Leitender Systemberater Server Technology Competence Center Frankfurt Oracle Deutschland GmbH Page 1 1 Agenda 9i Designer & 9i SCM in 9i DS Design Server Generierung &
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrInformatik 2017 Keys4All-Workshop , Chemnitz
Informatik 2017 Keys4All-Workshop 26.09.2017, Chemnitz Gefördert vom Motivation Das Auffinden von Zertifikaten für die E-Mail-Verschlüsselung ist schwierig. Nutzer sind mit der Frage überfordert, ob der
MehrOWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke
OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse
MehrBenchmark: Sicherheitslücken & Compliance-
Peter Werner TITEL bearbeiten Dr. Markus Schumacher Benchmark: Sicherheitslücken & Compliance- Risiken Click to im edit ABAP-Code Master text styles von SAP-Anwendungen 2011 2012 Virtual Forge GmbH www.virtualforge.com
MehrTYPO3 Security. Jochen Weiland TYPO3camp Berlin 2016
TYPO3 Security Jochen Weiland TYPO3camp Berlin 2016 Kennt ihr Belarus? Kennt ihr Belarus? Minsk 1100 km Testen von Extensions auf SQL Injection /index.php? filterinvolved=&id=826¬e=note6&filtertyp=1&filternote
MehrFehlende Input-Filterung. Klaus Kusche
Fehlende Input-Filterung Klaus Kusche Grund-Problem Benutzer-Eingaben (= meist Eingaben in Web-Formularen, aber auch Commandline- oder Dialog-Inputs, Dateien und Netz-Requests,...) werden nicht gefiltert
MehrDOAG München Layout und dynamische Elemente für APEX Anwendungen
DOAG München 2012 Layout und dynamische Elemente für APEX Anwendungen MuniQSoft GmbH Gegründet: 1998 Tätigkeitsbereiche: Oracle Datenbanken IT Consulting & Services Oracle Schulungen (SQL, PL/SQL, DBA,
MehrWeb Application Security und der Einsatz von Web Application Firewalls
Web Application Security und der Einsatz von Web Application Firewalls Philipp Etschel, BSc opennetworks.at fhstp.ac.at 2 Agenda: Warum überhaupt eine WAF einsetzen? Funktionsweise einer WAF Welche Web-
MehrDatenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke
Datenschutztag Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke 1. Website Security Gliederung 2. Viren, Trojaner & Antivirensoftware 3. Phishing & Gefahren des World Wide
MehrChristopher Kunz. Stefan Esser. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. 3., Oberarbeitete Auflage. dpunkt.
Christopher Kunz Stefan Esser PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 3, Oberarbeitete Auflage dpunktverlag InhaItsverzeichnis 1 Einleitung 11 Dber dieses Buch 1 12 Was ist Sicherheit?
MehrGrundlagen Internet-Technologien INF3171
Fachbereich Informatik Informationsdienste Grundlagen Internet-Technologien INF3171 Cookies & Sessions Version 1.0 20.06.2016 aktuelles 2 Erweiterungen wir betrachten zwei Erweiterungen: Personalisierung
MehrSicherheit bei IoT. DOAG 2015 Andreas Chatziantoniou - Foxglove-IT BV
Sicherheit bei IoT DOAG 2015 Andreas Chatziantoniou - Foxglove-IT BV Bio Andreas Chatziantoniou Freelance Oracle Fusion Middleware Consultant 17 Jahre Oracle Erfahrung/27 Jahre IT (Unix/C) Oracle ACE andreas@foxglove-it.nl
MehrSicherheit in Webanwendungen
Beckmann & Partner CONSULT Artikel vom 8. Januar 2016 Sicherheit in Webanwendungen Das Thema Sicherheit ist heute wichtiger als je zuvor und sollte bei einem Softwareprojekt bereits von Anfang an bedacht
Mehrweb2py - Web-Framework mit didaktischem Hintergrund Nik Klever Hochschule Augsburg
web2py - Web-Framework mit didaktischem Hintergrund Nik Klever Hochschule Augsburg web2py ein modernes Python-Application-Framework, dessen Ausrichtung ursprünglich auf die Ausbildung von Studierenden
MehrAgenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF
Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis
MehrKlaus Eckstein, Daniel Hillinger Cloud Control - hochverfügbar von Kopf bis Fuß
Klaus Eckstein, Daniel Hillinger Cloud Control - hochverfügbar von Kopf bis Fuß Page 0 of 20 Value Transformation Services 1.September 2013 gegründet Joint Venture zwischen IBM und Unicredit 1000 Mitarbeiter
MehrÜberblick über APEX Carolin Hagemann
Carolin Hagemann BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH Vorstellung Oracle APEX PL/SQL-Entwicklung Carolin Hagemann Applikationsmodernisierung
MehrBeratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG
Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software
Mehr