WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN

Ähnliche Dokumente
OWASP The OWASP Foundation Ein Entwurf für TOP10 des Datenschutzes

am Beispiel - SQL Injection

Warum werden täglich tausende von Webseiten gehackt?

am Beispiel - SQL Injection

Schutz von Datenbanken vor fehlerhaften Webanwendungen

Mediennutzung am Arbeitsplatz WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN

Sicherheit von Webanwendungen. mit IBM Rational AppScan

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke

Apache HTTP Server Administration

OpenWAF Web Application Firewall

IT-Sicherheit auf dem Prüfstand Penetrationstest

Datenbanken und Netzanbindung

Sicherheit Web basierter Anwendungen

Über mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn

Eine Untersuchung der Funktionen des Apache Wicket Webframeworks

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Informationsrisikomanagement

SIWECOS KMU Webseiten-Check 2018

Web Application Security

Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung

Endpoint Web Control Übersichtsanleitung

V10 I, Teil 2: Web Application Security

Sophos Enterprise Console

TimeMachine. Time CGI. Version 1.5. Stand Dokument: time.odt. Berger EDV Service Tulbeckstr München

Über mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Dortmund

Was ist bei der Entwicklung sicherer Apps zu beachten?

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Sicherheitsanalyse der Private Cloud Interfaces von

Baustein Webanwendungen. Stephan Klein, Jan Seebens

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Best Practices Firebox - Host Header Redirection ermöglicht flexible Webserver-Veröffentlichung auch bei einzelner public IP

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Architektur von REST basierten Webservices

Firewall - Techniken & Architekturen

Moderne APT-Erkennung: Die Tricks der Angreifer

BIW Wahlpflichtmodul. Einführung in Solr, Pipeline und REST. Philipp Schaer, TH Köln (University of Applied Sciences), Cologne, Germany

SIWECOS auf der sicheren Seite. Peter Meyer, eco e.v. Marcus Niemietz, RUB/Hackmanit David Jardin, CMS-Garden e.v.

Janotta und Partner. Projekt DEFENSE

Bin ich wirklich der Benutzer für den Sie mich halten? 7. Oktober 2014 // Christian Doppelhofer

VAADIN, SPRING BOOT & REST

Web Application Security: SQL-injection, Cross Site Scripting -- w3af

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?

APEX und Drucken Die Schöne und das Biest! Seite 1 von 61

Apache HTTP Server Administration

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH

Sicherheit bei IoT. DOAG 2015 Andreas Chatziantoniou - Foxglove-IT BV

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier,

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

Schwachstellenanalyse 2012

Sichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus?

Wie steht es um die Sicherheit in Software?

IRF2000 Application Note Port - Weiterleitung

Problem erkannt, Problem gebannt? Mit SFX Parsern die Verlinkungsqualität verbessern. Inga Overkamp, MPDL

PHP-5-Zertifizierung. Block 12 Security.

HTTP. Arthur Zaczek. Aug 2015

Technische Verfahren zur anonymen Nutzung des Internet und deren Folgen für Strafverfolgung

Web 2.0 (In) Security PHPUG Würzburg Björn Schotte

IT - Sicherheit und Firewalls

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Zusammenfassung Web-Security-Check ZIELSYSTEM

Risiken für Unternehmen durch zunehmende Vernetzung und Digitalisierung. Dennis Schröder, M. Sc.

Janotta und Partner. Projekt DEFENSE

Digitale Implantate Steuerung, Programmierung und Monitoring über die Cloud ETHICS AND CYBERSECURITY IN HEALTH CARE

it-sa Sicherheit SAP HANA Konstantin Gork IBS Schreiber GmbH

WebLogic goes Security!

Ist meine WebSite noch sicher?

Datensicherheit. Vorlesung 7: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter

Secure Webcoding for Beginners

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Daniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH

Einfallstor Webseite Risiken und Lösungen für Webseitenbetreiber IT-Trends Sicherheit 2018

voith.com Damit auch Ihre IIoT-Umgebung in Zukunft sicher bleibt Industrial Cyber Security

DIAMETER Base Protocol (RFC3588)

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

MyCoRe > V1.0: Technische Weiterentwicklung

Datenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke

Fachbereich Medienproduktion

Nutzung der Webanwendung IPA-KON durch überwachende Behörden

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

Web Application Security und der Einsatz von Web Application Firewalls

BUSINESSMAIL X.400 WEB SERVICE API MAILBOX STATUS V1.0

datenlink-schnittstelle Version 1.0

Google Gears Offline Web?

PENETRATIONSTESTS UND TECHNISCHE AUDITS. Delivering Transformation. Together.

When your browser turns against you Stealing local files

Web Application {Security, Firewall}

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

Hacking und die rechtlichen Folgen für die Geschäftsleitung

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

CeBIT CARMAO GmbH

Perl-Praxis. CGI-Skripte. Madis Rumming, Jan Krüger.

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

Netzwerksicherheit Übung 9 Websicherheit

Hackerangriffe und Cyber Security im Jahr 2015

JiveSoftware Jive Connector

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009

Transkript:

WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN

Die 7 häufigsten Fehler im IT-Security- Management bei Webanwendungen (nach OWASP) München, 11.10.2011

c1

Folie 3 c1 Ich habe die Grafik etwas zurechtgeschnitten. computer; 09.10.2011

Fehler 1: Zugriffsrechte-Management Mögliche Ursachen versehentliches Löschen von Schutzmechanismen Unkenntnis der Sicherheitslage ("Security-by-Obscurity ) fehlende oder unklare Regeln, Zuständigkeiten und Rechte für die Publikation von Dokumenten oder Daten Management-Fehler Fehlerhaft konfigurierte Content-Management-Systeme (CMS) Fehlende Kontrollmechanismen bei Veröffentlichungen Keine/nicht ausreichende Sicherheitsrichtlinien

Fehler 2: Unzureichend abgesicherte Datenbanken Datenbanken sind nicht ausreichend gegen Hackerangriffe gesichert, siehe Auszug aus OWASP Open Web Application Security Project(nächste Folie) Management-Fehler Nicht ausreichende Absicherung Weiterverarbeitung von externen Parametern ohne vorherige Validierung, z.b. SQL- Injection

LÖSUNG für Fehler 2 Risiko-Management-Prozess Erfassung Analyse der Schwachstellen Risikobewertung (Eintrittswahrscheinlichkeit-Schaden) entsprechend der Risikobewertung: Steuerung Kontrolle Vgl. auch ISO 27005, BSI 100-3

Fehler 3: Unverschlüsselte oder unzureichend verschlüsselte Datenbankendaten Insecure Cryptographic Storage Daten, die nicht oder unzureichend verschlüsselt wurden, obwohl sie ohne/nur geringen für die Funktionalität der Anwendungen verschlüsselt werden könnten Usability versus Sicherheit

Fehler 4: Unautorisierter direkter Zugriff auf Daten mittels Parameter-Manipulation Insecure Direct Object Reference Änderung von Request-Parametern, dadurch Zugriff auf personenbezogene Daten Dritter (Identitäts-Diebstahl)

Fehler 5: Fehlerhafte Authentifizierungs- Mechanismen Authentication and Session Management LÖSUNG für Fehler 5 -Management: Ausreichende Authentifizierungsmaßnahmen

Fehler 6: Email Missmanagement Fehler bei der Zustellung von emails - über Website-Formulare - automatisierte Backend-Webapplikationen -Newsletter-Systeme LÖSUNG für Fehler 6 -Management: Ausreichendes Emailzustellungssystem

Fehler 7: Unzureichender Schutz gegen Data-Mining - Data-Mining: Erkennung von Mustern in komplexen Datenstrukturen - Identifikation und Persönlichkeitsprofile einzelner Personen möglich (auch bei anonymen/pseudonymen Anwendungen) LÖSUNG für Fehler 7 -Management: Hackerschutzmaßnahmen

Management bei kritischen Webanwendungen Wie finden Sie heraus, wie sicher Ihre Seite ist?? - Whitebox Testing der Quellcode wird durch speziell geschulte IT Spezialisten analysiert. - Blackbox Testing der legale Hacker kennt keine Insider Informationen über sein Ziel. Blackbox Testing machen professionelle Penetration Tester (sehr teuer). Günstiger und umfassendere Tests durch viele legale Hacker über Hatforce.com.

Heise Security News-Meldung vom 06.10.2011 12:25 Apache-Lücke erlaubt Angreifern Zugriff auf interne Server Die Sicherheitsexperten von Context haben eine Lücke im Apache-Webserver entdeckt, durch die Angreifer aus der Ferne auf interne Server zugreifen können. Die Rewrite-Engine mod_rewrite sorgt dafür, dass Anfragen anhand definierbarer Regeln auf verschiedene Server verteilt werden; Diese Konfiguration bezeichnet man auch als Reverse Proxy. Unter bestimmten Umständen führt ein @-Zeichen in der Anfrage dazu, dass die Rewrite-Regeln zu einer falschen Umschreibung der URL führen und der Angreifer einen beliebigen Host angeben kann. Beispiel: So bildet mod_rewrite aus der HTTP-Anfrage GET @InternalNotAccessibleServer/console HTTP/1.0 die URL http://internalserver:80@internalnotaccessibleserver/console Durch das @ wird der Part mit dem eigentlichen Host als HTTP-Authentification interpretiert und die Anfrage auf einen vom Angreifer wählbaren Server (NotAccessibleServer) umgeleitet, der sich im lokalen Netz des Apache-Servers befinden kann. Einzige Voraussetzung ist, dass der Angreifer den lokalen Hostnamen oder die lokale IP des Servers kennt, auf den er zugreifen will. An diese Information kann er jedoch etwa mittels Brute Force gelangen. Betroffen sind Apache 1.3 und der 2er-Versionszweig bis 2.2.20. Die Apache Foundation hat bereits einen Patch auf Version 2.2.21 veröffentlicht, der dieses Problem beseitigt. URL dieses Artikels: http://www.heise.de/security/meldung/apache-luecke-erlaubt-angreifern-zugriff-auf-interne-server-1355778.html

Resultat der Lücke: Zugriff auf Server, die eigentlich nicht angesprochen werden sollten.

Natalie Wall Fachanwältin für Informationstechnologierecht www.wall-legal.de Rechtsanwältin Natalie Wall Karlsplatz 7 80335 München FON 089 30 90 589-0 FAX 089 30 90 589-11 MOB 0173-3582228 wall@wall-legal.de www.wall-legal.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback