Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Ähnliche Dokumente
am Beispiel - SQL Injection

Web Application Security

am Beispiel - SQL Injection

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

OpenWAF Web Application Firewall

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH

Secure Programming vs. Secure Development

Was ist bei der Entwicklung sicherer Apps zu beachten?

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Lokale Installation von DotNetNuke 4 ohne IIS

Netzwerksicherheit Übung 9 Websicherheit

Anleitung zur Online-Schulung

Softwaren Engineering I

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Die Wirtschaftskrise aus Sicht der Kinder

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Webalizer HOWTO. Stand:

Oracle APEX Installer

So empfangen Sie eine verschlüsselte von Wüstenrot

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Anleitung für IQES-Verantwortliche Persönliche Konten verwalten

Das Stationsportal der DB Station&Service AG - Das Rollenkonzept. DB Station&Service AG Vertrieb Stationsportal Berlin, Juli 2015

Geld Verdienen im Internet leicht gemacht

Installation der kostenlosen Testversion

Installation & Konfiguration AddOn AD-Password Changer

VPN/WLAN an der Universität Freiburg

ICS-Addin. Benutzerhandbuch. Version: 1.0

Zeit lässt sich nicht wie Geld für schlechte Zeiten zur Seite legen. Die Zeit vergeht egal, ob genutzt oder ungenutzt.

ERSTE SCHRITTE.

Zielgruppenansprache von Baumärkten

Lizenzen auschecken. Was ist zu tun?

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0

Anleitung: Confixx auf virtuellem Server installieren

Installation von NetBeans inkl. Glassfish Anwendungs-Server

Die Anmeldung zum Prüfungsvorbereitungsportal von Westermann in fünf einfachen Schritten:

ISA Server 2004 Einzelner Netzwerkadapater

einrichten in Microsoft Outlook Express 6

Übersicht Die Übersicht zeigt die Zusammenfassung der wichtigsten Daten.

Windows wird nicht mehr unterstützt Was bedeutet das? Was muss unternommen werden? Compi-Treff vom 9. Mai 2014 Thomas Sigg

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe

Adressen der BA Leipzig

PING e.v. Heimvernetzung und Sicherheit im Internet. HobbyTronic Nächster Vortrag: 12:15 Uhr. PING e.v. Weiterbildung -

Avira Browser-Schutz (Erkennungen) Kurzanleitung

Adminer: Installationsanleitung

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Wissenschaftspreis der Kooperationen 2012 Bewerbungsbogen

e-books aus der EBL-Datenbank

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Clientkonfiguration für Hosted Exchange 2010

Wärmebildkamera. Arbeitszeit: 15 Minuten

Erkennungen im WebGuard

Verwendung des IDS Backup Systems unter Windows 2000

Installieren Sie den Janaserver auf dem Schulserver oder dem Lehrerrechner.

teamsync Kurzanleitung

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

Online-Fanclub-Verwaltung

SyMobile Installationsanleitung

Pflegende Angehörige Online Ihre Plattform im Internet

Informationen zum Ambulant Betreuten Wohnen in leichter Sprache

Sie finden im Folgenden drei Anleitungen, wie Sie sich mit dem Server der Schule verbinden können:

TechNote: Exchange Journaling aktivieren

Lehrveranstaltung Grundlagen von Datenbanken

praktischarzt - die Stellenbörse für Ärzte und Medizinstudenten Preisliste Stand November 2015

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Risikomanagement bei PPP Projekten: Erfahrungen aus Deutschland

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Ihren Kundendienst effektiver machen

Installation von horizont 4 bei Verwendung mehrerer Datenbanken

Virtual Private Network

Anleitung OpenCms 8 Webformular Auswertung

Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)

fãéçêíáéêéå=éáåéë=`äáéåíjwéêíáñáâ~íë= áå=çéå=_êçïëéê=

Kurzleitfaden für Schüler

ITT WEB-Service DEMO. Kurzbedienungsanleitung

Inhaltsverzeichnis. 1. Einrichtung in Mozilla Thunderbird. 1.1 Installation von Mozilla Thunderbird

Internationales Altkatholisches Laienforum

Business-Master Unternehmer-Training

Konfiguration eines DNS-Servers

UserManual. Handbuch zur Konfiguration einer FRITZ!Box. Autor: Version: Hansruedi Steiner 2.0, November 2014

KONFIGURATION livecrm 4.0

COMPUTER MULTIMEDIA SERVICE

Benutzerhandbuch MedHQ-App

Eine Anwendung mit InstantRails 1.7

Aufruf der Buchungssystems über die Homepage des TC-Bamberg

Hosted Exchange. Konfigurationsanleitung Outlook 2007

Arbeiten mit dem neuen WU Fileshare unter Windows 7

Tutorial. Wie kann ich meinen Kontostand von meinen Tauschpartnern in. übernehmen? Zoe.works - Ihre neue Ladungsträgerverwaltung

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Transkript:

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information Security Awareness 2

Wer greift an?

Angreifergruppen Skript Kiddies Just4fun, ohne Bewusstsein für Konsequenzen 4

Angreifergruppen Skript Kiddies Just4fun, ohne Bewusstsein für Konsequenzen Aktivisten Handeln aus Geltungsdrang, Überzeugung 4

Angreifergruppen Skript Kiddies Just4fun, ohne Bewusstsein für Konsequenzen Aktivisten Handeln aus Geltungsdrang, Überzeugung Kriminelle Wollen Geld verdienen 4

Script-Kiddies Kein Hintergrundwissen 5

Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken 5

Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken Einfache Defacements 5

Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken Einfache Defacements Neue Lücken nur, wenn diese einfach auszunutzen sind 5

Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken Einfache Defacements Neue Lücken nur, wenn diese einfach auszunutzen sind 5

Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken Einfache Defacements Neue Lücken nur, wenn diese einfach auszunutzen sind 5

Aktivisten Handeln aus Geltungsdrang, Überzeugung 6

Aktivisten Handeln aus Geltungsdrang, Überzeugung Wollen möglichst hohe Wirkung = Schaden Veröffentlichung geheimer Daten Störung des Betriebs 6

Aktivisten Handeln aus Geltungsdrang, Überzeugung Wollen möglichst hohe Wirkung = Schaden Veröffentlichung geheimer Daten Störung des Betriebs Auswahl der Ziele: Unternehmenstätigkeit Unterstützung der Gegner 6

Aktivisten Handeln aus Geltungsdrang, Überzeugung Wollen möglichst hohe Wirkung = Schaden Veröffentlichung geheimer Daten Störung des Betriebs Auswahl der Ziele: Unternehmenstätigkeit Unterstützung der Gegner 6

Kriminelle Einzeltäter oder organisiert, arbeitsteilig 7

Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen 7

Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen Wege: 7

Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen Wege: Zugriff aufs Unternehmensnetz über Webserver 7

Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen Wege: Zugriff aufs Unternehmensnetz über Webserver Installation von Malware auf Webseite 7

Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen Wege: Zugriff aufs Unternehmensnetz über Webserver Installation von Malware auf Webseite Verkauf der Zugangsdaten zu Webservern 7

Welche Lücken?

Sicherheitslücken OWASP Top 10 1. Injection 2. Cross-Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross-Site Request Forgery (CSRF) 6. Security Misconfiguration 7. Insecure Cryptographic Storage 8. Failure to Restrict URL Access 9. Insufficient Transport Layer Protection 10.Unvalidated Redirects and Forwards 9

Ursachen der Lücken

Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht 11

Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht Sie wird deshalb bei Ausschreibungen selten nachgefragt und auch bezahlt 11

Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht Sie wird deshalb bei Ausschreibungen selten nachgefragt und auch bezahlt Qualitativ schlechte Add-Ons zu Frameworks 11

Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht Sie wird deshalb bei Ausschreibungen selten nachgefragt und auch bezahlt Qualitativ schlechte Add-Ons zu Frameworks Zuständigkeitslücken und Fehler im Übergang von der Entwicklungs- in die Produktivphase 11

Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht Sie wird deshalb bei Ausschreibungen selten nachgefragt und auch bezahlt Qualitativ schlechte Add-Ons zu Frameworks Zuständigkeitslücken und Fehler im Übergang von der Entwicklungs- in die Produktivphase Schreibkontrolle im Browser statt im Server 11

Zusammenfassung Welche Gefahren drohen? 12

Zusammenfassung Welche Gefahren drohen? Ausspähen und Manipulation von Daten Einbruch in internes Netz bei eigenen Webservern Verteilung von Schadprogrammen Haftungsansprüche 12

Zusammenfassung Welche Gefahren drohen? Ausspähen und Manipulation von Daten Einbruch in internes Netz bei eigenen Webservern Verteilung von Schadprogrammen Haftungsansprüche Wie kann davor geschützt werden? 12

Zusammenfassung Welche Gefahren drohen? Ausspähen und Manipulation von Daten Einbruch in internes Netz bei eigenen Webservern Verteilung von Schadprogrammen Haftungsansprüche Risikomanagement Überwachung Penetrationstests Wie kann davor geschützt werden? 12

Vielen Dank für Ihre Aufmerksamkeit! Für Fragen stehe ich Ihnen gerne nach dem Vortrag an unserem Stand 12-514, Halle 12, zur Verfügung Tobias Rühle E-Mail: tobias.ruehle@8com.de Tel.: +49 (0)6321 / 48 446-0 Internet: http://www.8com.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback