Netzwerksicherheit Übung 9 Websicherheit
|
|
- Jesko Schräder
- vor 8 Jahren
- Abrufe
Transkript
1 Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 1 / 21
2 Hausaufgabe David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 2 / 21
3 Wie werde ich Hacker? David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 3 / 21
4 Google-Hacking Sicherstellen, dass keine kritischen Dateien von außen erreichbar sind. Erst recht nicht von google! filetype:pwd service filetype:bak inurl: config.inc.php filetype:properties inurl:db intext:password VNC Desktop inurl:5800 This file was generated by Nessus David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 4 / 21
5 Wie finden Angreifer ihre Ziele? Ping-Sweeps Port-Scanning TCP-Connect SYN FIN ACK NULL-Scan, UDP-SCAN nmap -st ss sf sa SN <host> Betriebssystem erkennen Stack-Fingerprinting, TCP Fenstergröße, ACK-Werte,... nmap -O <host> Gegenmaßnahmen Keine Wirklichen ICMP blockieren Filtered Ports Port-Scan Detektor David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 5 / 21
6 Wie finden Angreifer ihre Ziele? Banner-Grabbing Services verraten sehr viel über sich oder gar das gesamte System Dies ermöglicht Suche: Horizontal nach einem bestimmten Dienst Vertikal nach irgendeinem verwundbarem Dienst Gegenmaßnahmen Maulkorb für Services Irreführen durch falsche Banner Portscan-Detektor David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 6 / 21
7 Top 10 der Sicherheitslücken Open Web Application Security Project (OWASP) OWASP Top Ten 2010? David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 7 / 21
8 Top 10 der Sicherheitslücken Open Web Application Security Project (OWASP) OWASP Top Ten 2010 David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 7 / 21
9 Informationen und Standardpfade Zu aufschlussreiche Fehlermeldungen geben Informationen preis Standardpfade können bruteforced werden phpinfo phpmyadmin install.php David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 8 / 21
10 PHP: Register_Globals Soll dem Programmierer erlauben anstatt $_GET[ User ] oder $_SESSION[ User ] nur $User zu benutzen Erlaubt das Überschreiben von Variablen über GET oder POST Kann bei Erraten oder Kennen von Code zu erheblichen Sicherheitslücken führen Code, der register_globals benötigt nicht benutzen David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 9 / 21
11 PHP: Register_Globals Macht doch keiner mehr! David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 10 / 21
12 PHP: Register_Globals Macht doch keiner mehr! David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 10 / 21
13 SQL Injections Immer noch Sicherheitslücke Nr. 1 Fehlende Eingabevalidierung in GET und POST requests führt zur Ausführung beliebiger SQL Statements Auch über Cookie-Inhalte möglich David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 11 / 21
14 SQL Injections Immer noch Sicherheitslücke Nr. 1 Fehlende Eingabevalidierung in GET und POST requests führt zur Ausführung beliebiger SQL Statements Auch über Cookie-Inhalte möglich David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 11 / 21
15 Schutz vor SQL Injections Jede Eingabe des Users überprüfen Sonderzeichen in Eingaben escapen Prepared Statements Datenbanksystem bekommt ganzes Statement vor den Parameterwerten SELECT user, password FROM tbl_user WHERE (user=?) Server bereitet Statement zur Ausführung vor Danach werden Parameter einzeln übergeben Sogar deutlich schneller bei wiederholter Ausführung eines Statements David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 12 / 21
16 XSS - Cross-Site-Scripting Nicht-Persistentes Cross-Site-Scripting Einschleussen von Schadcode/Fremdscripten über GET oder POST-Methode Schadcode wird nicht permament auf Seite eingebettet Opfer muss auf einen Link gelockt werden Persistentes Cross-Site-Scripting Schadcode wird permanent in die Seite eingebettet Jeder Besucher der manipulierten Seite ist potentiell angreifbar David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 13 / 21
17 Schutz vor XSS User-Eingaben grundsätzlich für gefährlich halten Genaue Prüfung von Usereingaben HTML-Sonderzeichen codieren/escapen/filtern Als Client: Scripte ausschalten/whitelisten David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 14 / 21
18 Session-Hijacking Ein Angreifer versucht in den aktuellen Kontext einer Verbindung zwischen Opfer und Server einzusteigen und die Identität des Opfers anzunehmen Session fixation Angreifer versucht dem Opfer eine ihm bekannte Session-ID zu geben Session sidejacking Abgreifen des Session-Cookie durch Wireshark oder aehnliches via XSS User schickt ohne Mitwissen sein Session-Cookie an die Seite eines Angreifers Angreifer setzt sein Session-Cookie auf die abgehörte Session-ID David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 15 / 21
19 Schutz vor Session-Hijacking Lösungen auf Server Seite zu suchen Session-IDs nicht ratbar wählen Nicht nur Session-ID als Authentifizierung benutzen Session-IP-Tupel speichern David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 16 / 21
20 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21
21 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: 1 Opfer benutzt Browser um sich bei Website A anzumelden 2 Browser speichert Credentials 3 Angreifer bringt Browser des Opfers dazu, präparierten HTTP-Request an Website A zu schicken 4 Browser verwendet gespeicherte Credentials 5 Website A verarbeitet HTTP-Request Angriffsvektoren: David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21
22 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: 1 Opfer benutzt Browser um sich bei Website A anzumelden 2 Browser speichert Credentials 3 Angreifer bringt Browser des Opfers dazu, präparierten HTTP-Request an Website A zu schicken 4 Browser verwendet gespeicherte Credentials 5 Website A verarbeitet HTTP-Request Angriffsvektoren: <a href=" David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21
23 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: 1 Opfer benutzt Browser um sich bei Website A anzumelden 2 Browser speichert Credentials 3 Angreifer bringt Browser des Opfers dazu, präparierten HTTP-Request an Website A zu schicken 4 Browser verwendet gespeicherte Credentials 5 Website A verarbeitet HTTP-Request Angriffsvektoren: <a href=" <img src=" David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21
24 Cross-Site Request Forgery (CSRF) aka Session Riding Problem: Browser sendet manche Credentials automatisch Ablauf: 1 Opfer benutzt Browser um sich bei Website A anzumelden 2 Browser speichert Credentials 3 Angreifer bringt Browser des Opfers dazu, präparierten HTTP-Request an Website A zu schicken 4 Browser verwendet gespeicherte Credentials 5 Website A verarbeitet HTTP-Request Angriffsvektoren: <a href=" <img src=" <form action=" ><input type="hidden"... David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 17 / 21
25 Schutz vor CSRF nicht (nur) auf automatisch übertragene Credentials verlassen (z.b. durch Tokens in allen Links) nochmalige Eingabe des Passworts vor gefährlichen Aktionen David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 18 / 21
26 Insecure Direct Object References Server lädt Ressourcen nach ohne ihre Validität zu prüfen Erlaubt Angreifer u.u. beliebige Scripte nachzuladen Führt oftmals zur totalen Komprimittierung des Systems David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 19 / 21
27 Insecure Direct Object References Server lädt Ressourcen nach ohne ihre Validität zu prüfen Erlaubt Angreifer u.u. beliebige Scripte nachzuladen Führt oftmals zur totalen Komprimittierung des Systems Gegenmaßnahme: Programmieren lernen David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 19 / 21
28 A7,A9,A10 Failure to Restrict URL Access User kann Webseite direkt aufrufen, umgeht u.u. authentication code, z.b.: User kann auf Konfigurationsdateien und andere kritische Dateien zugreifen Insufficient Transport Layer Security TLS wird nicht für jede kritische Kommunikation zur Webseite verwendet Session-Hijacking durch Abhören von Traffic Firesheep Unvalidated Redirect Forwards User kann von einer vertrauenswürdigen Seite auf eine andere, nicht vertrauenswürdige umgeleitet werden David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 20 / 21
29 Quellen S. McClure et al., Das Anti-Hacker-Buch, bhv, minutes David Eckhoff, Tobias Limmer, Christoph Sommer: Netzwerksicherheit Übung 9 Websicherheit 21 / 21
Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrWarum werden täglich tausende von Webseiten gehackt? 16.10.2012
Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
MehrOWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12
OWASP Top 10 im Kontext von Magento 1 Ich Fabian Blechschmidt (@Fabian_ikono) blechschmidt@fabianblechschmidt.de PHP seit 2004 Freelancer seit 2008 Magento seit 2011 Certified Magento Developer spielt
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrDie aktuelle Version des SPIEGEL-Bestseller-Widgets können Sie auf unserer Website unter Entwicklertools herunterladen.
Technische Dokumentation Hier finden Sie die technische Dokumentation für die Einbindung des Bestseller-Widgets. Die Dokumentation soll als Hilfestellung dienen und kann keinen Anspruch auf Vollständigkeit
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
Mehritsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com
itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
MehrPraktikum IT-Sicherheit
Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Bevor ein Angreifer in ein System eindringen kann, muss er sich Informationen über dieses System beschaffen. Er muss wissen, welche Ports offen sind,
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrWie funktioniert das WWW? Sicher im WWW
Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrLehrveranstaltung Grundlagen von Datenbanken
Verbindungsanleitung mit der Datenbank Um sich mit der Datenbank für die Übung zu verbinden, gibt es mehrere Möglichkeiten. Zum einen ist die Datenbank aus dem Netz des Informatikums direkt erreichbar.
MehrSecure Programming vs. Secure Development
Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg
MehrÜbersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software
FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi
MehrAktuelle Sicherheitsprobleme im Internet
Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt
MehrZugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:
Anleitung zur Installation der Exchange Mail Lösung auf Android 2.3.5 Voraussetzung für die Einrichtung ist ein vorliegender Passwortbrief. Wenn in der folgenden Anleitung vom Extranet gesprochen wird
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrSage 200 BI Häufige Fehler & Lösungen. Version 15.10.2014
Sage 200 BI Häufige Fehler & Lösungen Version 15.10.2014 Inhaltverzeichnis Sage 200 BI Häufige Fehler & Lösungen Inhaltverzeichnis 2 1.0 Häufige Probleme & Lösungen 3 1.1 Keine Grafiken in SSRS-Auswertungen
MehrITF2XML. Transferservice. Version 1.1. Tel.: 044 / 350 10 10 Fax: 044 / 350 10 19. CH-8005 Zürich
GmbH Technoparkstrasse 1 Informationssysteme Engineering & Consulting CH-8005 Zürich Tel.: 044 / 350 10 10 Fax: 044 / 350 10 19 ITF2XML Transferservice Version 1.1 infogrips GmbH, 2001-2014 06.01.2014
MehrSSO-Schnittstelle. Inhalt: Beschreibung der Single Sign-On (SSO) Schnittstelle. NetSlave GmbH Simon-Dach-Straße 12 D-10245 Berlin
SSO-Schnittstelle Inhalt: Beschreibung der Single Sign-On (SSO) Schnittstelle NetSlave GmbH Simon-Dach-Straße 12 D-10245 Berlin Telefon +49 (0)30-94408-730 Telefax +49 (0)30-96083-706 E-Mail mail@netslave.de
MehrSessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1
Sessions mit PHP Annabell Langs 2004 Sessions in PHP - Annabell Langs 1 Sessions» Inhaltsverzeichnis Wozu Sessions? 3 Wie funktionieren Sessions? 5 Wie kann ich die Session-ID übergeben? 8 Sicherheit 9
MehrMan liest sich: POP3/IMAP
Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und
MehrDatenbank-Verschlüsselung mit DbDefence und Webanwendungen.
Datenbank-Verschlüsselung mit DbDefence und Webanwendungen. In diesem Artikel werden wir Ihnen zeigen, wie Sie eine Datenbank verschlüsseln können, um den Zugriff einzuschränken, aber trotzdem noch eine
MehrKleines Handbuch zur Fotogalerie der Pixel AG
1 1. Anmelden an der Galerie Um mit der Galerie arbeiten zu können muss man sich zuerst anmelden. Aufrufen der Galerie entweder über die Homepage (www.pixel-ag-bottwartal.de) oder über den direkten Link
MehrAnleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH
Amt für Informatik Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH Anleitung vom 12. September 2009 Version: 1.0 Ersteller: Ressort Sicherheit Zielgruppe: Benutzer von SSLVPN.TG.CH Kurzbeschreib:
Mehrsslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff
sslstrip und sslstrip und sslstrip und -Header - Syntax -Header - Details Preloaded Sites OWASP Stammtisch München, 18. Februar 2014 - sslstrip und Inhaltsverzeichnis sslstrip und -Header - Syntax -Header
MehrTCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen
TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt
MehrWhen your browser turns against you Stealing local files
Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt
MehrITF2XML. Transferservice. Version 1.0. infogrips GmbH, Zürich client10.doc, Revision 1.1. Tel.: 01 / 350 10 10 Fax: 01 / 350 10 19.
GmbH Obstgartenstrasse 7 Informationssysteme Engineering & Consulting CH-8035 Zürich Tel.: 01 / 350 10 10 Fax: 01 / 350 10 19 ITF2XML Transferservice Version 1.0 infogrips GmbH, Zürich client10.doc, Revision
MehrFamily Safety (Kinderschutz) einrichten unter Windows 8
Family Safety (Kinderschutz) einrichten unter Windows 8 Family Safety ist eine Gratissoftware von Microsoft, welche es ermöglicht, dem Kind Vorgaben bei der Nutzung des Computer zu machen und die Nutzung
MehrInhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3
Inhalt: Ihre persönliche Sedcard..... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3 Passwort ändern... 3 email ändern... 4 Sedcard-Daten bearbeiten... 4 Logout... 7 Ich kann die Sedcard
MehrAnleitung Login Web-Treuhand
Anleitung Login Web-Treuhand Version 15.08.2014 5600 Lenzburg, 20.05.2015-rh I N H A L T S V E R Z E I C H N I S 1 Login Web-Treuhand... 2 2 Token Modelle für die SuisseID... 2 3 SwissStick... 3 3.1 Login
MehrAuthentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL
Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste
MehrAktuelle Bedrohungen im Internet
Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung
MehrASV-Betrieb für die Coburger Schulen. Einbindung externer Schulen via RemoteApp
ASV-Betrieb für die Coburger Schulen Einbindung externer Schulen Agenda Coburger Schulen Vernetzung der Schulen Externe Schulen an zentralen ASV-Server Forderung von Schulleitern einer Möglichkeit zur
MehrEinführung in Web-Security
Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme
MehrBenutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.
Benutzerhandbuch Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer. 1 Startseite Wenn Sie die Anwendung starten, können Sie zwischen zwei Möglichkeiten wählen 1) Sie können eine Datei für
MehrSSH Authentifizierung über Public Key
SSH Authentifizierung über Public Key Diese Dokumentation beschreibt die Vorgehensweise, wie man den Zugang zu einem SSH Server mit der Authentifizierung über öffentliche Schlüssel realisiert. Wer einen
Mehrwww.computeria-olten.ch Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies
www.computeria-olten.ch Monatstreff für Menschen ab 50 Merkblatt 42 Temporäre Dateien / Browserverlauf löschen / Cookies Im Internet-Explorer Extras / Browserverlauf löschen Jetzt entscheiden, was man
MehrPraktikum IT-Sicherheit
IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Angriffstechniken In diesem Versuch werden verschiedene Angriffstechniken anhand von Beispielen vorgestellt. Die Ausarbeitung der Übungen
MehrACCOUNTINFO 1.01 VERWENDEN DER ACCOUNTINFO-SCHNITTSTELLE ABFARGE VON ACCOUNT-INFORMATIONEN IN ECHTZEIT 02. MÄRZ 2010
VERWENDEN DER ACCOUNTINFO-SCHNITTSTELLE ABFARGE VON ACCOUNT-INFORMATIONEN IN ECHTZEIT 02. MÄRZ 2010 VERTRIEBLICHE FRAGEN ZUM FITSMS-GATEWAY mpc networks GmbH Abteilung FitSMS Vertrieb tel +49 (0) 7154-17
MehrInstallation des GeoShop Redirector für Apache (Stand 14.8.2007) ================================================================
Installation des GeoShop Redirector für Apache (Stand 14.8.2007) ================================================================ 0 Überblick ----------- Die Installation des GeoShop Redirector im Apache
MehrAbsicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10
The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt
MehrSwisscom TV Medien Assistent
Swisscom TV Medien Assistent Mithilfe dieses Assistenten können Sie Fotos und Musik, die Sie auf Ihrem Computer freigegeben haben, auf Swisscom TV geniessen. Diese Bedienungsanleitung richtet sich an die
Mehrmysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank
mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank In den ersten beiden Abschnitten (rbanken1.pdf und rbanken2.pdf) haben wir uns mit am Ende mysql beschäftigt und kennengelernt, wie man
MehrScharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?
Port Forwarding via PuTTY und SSH Was ist Port forwarding? Eine Portweiterleitung (englisch Port Forwarding) ist die Weiterleitung einer Verbindung, die über ein Rechnernetz auf einen bestimmten Port eingeht,
MehrInstallation eblvd (Fernwartung)
Installation eblvd (Fernwartung) Anleitung zur Installation des eblvd Remote Desktop für die Fernwartung Die bisher eingesetzte Fernwartungssoftware Netviewer wird bei der Firma Cardis Reynolds in Kürze
MehrWeb Application Security
Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von
MehrDieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren.
CLIENT INSTALLATION DES ENIQ ACCESSMANAGEMENTS Dieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren. Ein Client kann in drei
MehrOperator Guide. Operator-Guide 1 / 7 V1.01 / jul.12
Operator Guide Einleitung Diese Guide vermittelt ihnen das Operator Know How für die Gästbox. Was müssen Sie wissen bevor Sie sich an die Arbeit machen. Von welchem PC aus kann ich die Gästbox bedienen.
Mehrwww.flatbooster.com FILEZILLA HANDBUCH
www.flatbooster.com FILEZILLA HANDBUCH deutsche Auflage Datum: 12.03.2011 Version: 1.0.2 Download: http://flatbooster.com/support Inhaltsverzeichnis 1 Filezilla FTP Programm 1 1.1 Filezilla installieren.................................
MehrMH3 D2/3 DB/4. Name: Matr.-Nr. Seite: 3. Aufgabe 1. (6 Punkte) a) Gegeben sei eine kryptographische Hashfunktion h^o,!}* mit Hashwert h^mo) = 4.
Aufgabe 1 a) Gegeben sei eine kryptographische Hashfunktion h^o,!} mit Hashwert h^mo) = 4. (14 Punkte) {0,2,4} sowie eine Nachricht M 0 Wie hoch ist die Wahrscheinlichkeit, dass bei einerweiteren Nachricht
MehrHinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2
Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2 Installationsvoraussetzungen: Die Update-Routine benötigt das DotNet-Framework 4.0 Client Profile, das normalerweise über
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrMoney for Nothing... and Bits4free
Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom
MehrErste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?
Erste Hilfe «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Cache Einstellungen Im Internet Explorer von Microsoft wie auch in anderen Browsern (zum Beispiel Firefox) gibt
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrStecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.
Sinus 154 DSL SE File-Server Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE. Konfigurieren Sie die Parameter des File Servers. Es muss der File-Server
MehrOAuth Ein offener Standard für die sichere Autentifizierung in APIs
OAuth Ein offener Standard für die sichere Autentifizierung in APIs Max Horváth, Andre Zayarni, Bastian Hofmann 1 Vorstellung der Speaker 2 Was ist OAuth?? 3 Was ist OAuth? OAuth ermöglicht dem Endnutzer
MehrIBM Software Demos Tivoli Provisioning Manager for OS Deployment
Für viele Unternehmen steht ein Wechsel zu Microsoft Windows Vista an. Doch auch für gut vorbereitete Unternehmen ist der Übergang zu einem neuen Betriebssystem stets ein Wagnis. ist eine benutzerfreundliche,
MehrRadius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106
Radius Server Bericht im Studiengang Computerengineering an der HS-Furtwangen Student: Alphonse Nana Hoessi Martikelnr.:227106 Student: Daniel Lukac Martikelnr.: 227244 Student: Dominik Bacher Martikelnr.:
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten
MehrTREND SEARCH VISUALISIERUNG. von Ricardo Gantschew btk Berlin Dozent / Till Nagel
von Ricardo Gantschew btk Berlin Dozent / Till Nagel 01 IDEE Einige kennen vielleicht GoogleTrends. Hierbei handelt es sich um eine Anwendung, bei der man verschiedenste Begriffe auf die Häufigkeit ihrer
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrAbbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.
Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich
MehrFTP Tutorial. Das File Transfer Protocol dient dem Webmaster dazu eigene Dateien wie z.b. die geschriebene Webseite auf den Webserver zu laden.
FTP Tutorial Das File Transfer Protocol dient dem Webmaster dazu eigene Dateien wie z.b. die geschriebene Webseite auf den Webserver zu laden. Um eine solche Verbindung aufzubauen werden einerseits die
MehrFallstudie: Deaktivierung von Endpoint-Protection-Software auf nicht autorisierte Weise
Fallstudie: Deaktivierung von Endpoint-Protection-Software auf nicht autorisierte Weise Wie man die Passwort-basierte Authentizierung für das Entladen von Trend Micro OceScan umgeht Dipl.-Inform. Matthias
MehrErstellung botoptimierter Partnerlinks
Erstellung botoptimierter Partnerlinks Um bestimmte Aktionen und deren Rückläufer übersichtlich tracken zu können, bietet das RedSYS Partnerprogramm in Verbindung mit den botoptimierten RedSYS-Links, die
MehrFAQ s für die Exchange Migration
FAQ s für die Exchange Migration Inhalt Wie stelle ich fest dass ich bereits in die neuen Domäne migriert bin?... 2 Ich bekomme Mails als unzustellbar zurück... 3 Wie sind die technischen Parameter für
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrDB2 Kurzeinführung (Windows)
DB2 Kurzeinführung (Windows) Michaelsen c 25. Mai 2010 1 1 Komponenten von DB2 DB2 bietet zahlreiche graphische Oberflächen für die Verwaltung der verschiedenen Komponenten und Anwendungen. Die wichtigsten
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrAnleitung zum Login. über die Mediteam- Homepage und zur Pflege von Praxisnachrichten
Anleitung zum Login über die Mediteam- Homepage und zur Pflege von Praxisnachrichten Stand: 18.Dezember 2013 1. Was ist der Mediteam-Login? Alle Mediteam-Mitglieder können kostenfrei einen Login beantragen.
MehrInfinigate (Schweiz) AG. Secure Guest Access. - Handout -
Infinigate (Schweiz) AG Secure Guest Access - Handout - by Christoph Barreith, Senior Security Engineer 29.05.2012 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 1 2 Secure Guest Access... 2 2.1 Gäste Accounts
MehrANLEITUNG NETZEWERK INSTALATION
ANLEITUNG NETZEWERK INSTALATION Sehr geehrter Kunde, vielen Dank, dass Sie sich für RED CAD entschieden haben. Mit dieser Anleitung möchten wir Sie bei der Installation unterstützen. Die Netzwerkinstallation
MehrHandbuch. timecard Connector 1.0.0. Version: 1.0.0. REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen
Handbuch timecard Connector 1.0.0 Version: 1.0.0 REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen Furtwangen, den 18.11.2011 Inhaltsverzeichnis Seite 1 Einführung... 3 2 Systemvoraussetzungen...
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,
MehrAnleitung zur Einrichtung des WDS / WDS with AP Modus
Anleitung zur Einrichtung des WDS / WDS with AP Modus Inhaltsverzeichnis Seite 2 Einführung Seite 3 Aufbau des Netzwerkes Seite 4 Einrichtung des 1. DAP-2553 Seite 5 Einrichtung des 1. DAP-2553 (2) Seite
MehrInhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER
AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER Inhalt 1 Einleitung... 1 2 Einrichtung der Aufgabe für die automatische Sicherung... 2 2.1 Die Aufgabenplanung... 2 2.2 Der erste Testlauf... 9 3 Problembehebung...
MehrE-Banking Kurzanleitung
Diese Kurzanleitung macht Sie auf einfache Weise mit dem E-Banking der Zuger Kantonalbank vertraut. Loginseite öffnen Starten Sie den Internet-Browser und geben Sie www.zugerkb.ch ein. Klicken Sie rechts
MehrAGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b
AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität
MehrAnleitung zum Prüfen von WebDAV
Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des
MehrOpenWAF Web Application Firewall
OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang
Mehrhttp://superadmin.biz
Basis für unser kindersicheres WLAN ist ein kostengünstiger (oder vorhandener) WLAN- Accesspoint oder Router dessen Hersteller-Firmware durch frei Software ersetzt wird, die umfangreichere Möglichkeiten
MehrDie Installation des GeoShop Redirector für IIS (Internet Information Server, Version 4.0, 5.0 und 6.0) umfasst folgende Teilschritte:
Installation des GeoShop Redirector für IIS (Stand 24.8.2007) ============================================================= 0 Überblick ----------- Die Installation des GeoShop Redirector für IIS (Internet
MehrStep by Step Remotedesktopfreigabe unter Windows Server 2003. von Christian Bartl
Step by Step Remotedesktopfreigabe unter Windows Server 2003 von Remotedesktopfreigabe unter Windows Server 2003 Um die Remotedesktopfreigabe zu nutzen muss diese am Server aktiviert werden. Außerdem ist
MehrSecure Webcoding for Beginners
Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer
Mehr