Hackerpraktikum SS 202



Ähnliche Dokumente
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Zusammenfassung Web-Security-Check ZIELSYSTEM

Sicherheit von Webapplikationen Sichere Web-Anwendungen

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH

V10 I, Teil 2: Web Application Security

DIAMETER Base Protocol (RFC3588)

Einführung. Internet vs. WWW

ZSDGMDZFGW... Zehn Sicherheitsprobleme, die gerne mit dem ZendFramework gebaut werden. Ben Fuhrmannek #phpug-köln

Sicherheit in Software

am Beispiel - SQL Injection

Dirk von der Weiden, Olaf Meyer C1 SetCon. REST in the Enterprise

am Beispiel - SQL Injection

Implementation von WAP-Diensten für die SGI/CRAY T3E des ZIB

Secure Programming vs. Secure Development

Java Tools JDK. IDEs. Downloads. Eclipse. IntelliJ. NetBeans. Java SE 8 Java SE 8 Documentation

OOSE4 Testen mit BlueJ/JUnit 4

Klausur IA12.0/ Rechnernetze am

Datensicherheit. Vorlesung 7: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Themen. Anwendungsschicht DNS HTTP. Stefan Szalowski Rechnernetze Anwendungsschicht

Unified-E Standard WebHttp Adapter

Seitenkanalangriffe im Web

Datensicherheit. Vorlesung 4: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Sicherheit Web basierter Anwendungen

Seminar: Software Engineering verteilter Systeme

SAP-Daten per HTML anzeigen

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL

Introduction to Python. Introduction. First Steps in Python. pseudo random numbers. May 2016

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

BUSINESSMAIL X.400 WEB SERVICE API MAILBOX STATUS V1.0

2. WWW-Protokolle und -Formate

Automatisierung und Integration von Request Tracker Systemen mittels REST-Schnittstelle. Stefan Hornburg. Perlworkshop 2008

Architektur von REST basierten Webservices

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

OOSE_02E Testen mit BlueJ/JUnit 4

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Implementierung von Web Services: Teil I: Einleitung / SOAP

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Webanwendungen mit Java und JavaServerPages

Verteilte Administration mit STAF (Software Testing Automation Framework)

Python VS Perl. Storage Monitoring per API statt SNMP. Björn Müller Marcel Denia. comnet GmbH

Web Services Die Definition von Web Services in der Theorie und FNT-Command als Web Service in der Praxis

Praktikum Einführung


Grundlagen Internet-Technologien INF3171

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

NEWSLETTER. FileDirector Version 2.5 Novelties. Filing system designer. Filing system in WinClient

Techniken und Werkzeuge für die IT-Sicherheit im Cloud-Computing und in verteilten Systemen

Presentation of a diagnostic tool for hybrid and module testing

Web Hacking - Angriffe und Abwehr

Installation/setup notes

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Baustein Webanwendungen. Stephan Klein, Jan Seebens

AsciiDoctor. Dokumentation schreiben kann Spass machen!

TMF projects on IT infrastructure for clinical research

Seminararbeit. Konzept einer Schnittstelle zur Benutzerverwaltung in RiskShield-Server. Christoph Laufs INFORM GmbH INFORM GmbH 1

php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick Parameterübergabe...

Programmentwicklung ohne BlueJ

SQL-INJECTIONS. N E T D E V E L O P E R S G R O U P B E R L I N B R A N D E N B U R G,

Augsburg, Cyber-Sicherheits-Tag Audit-Methodik für Installationen von Industrial Control Systems (ICS)

Cameraserver mini. commissioning. Ihre Vision ist unsere Aufgabe

Web-Konzepte für das Internet der Dinge Ein Überblick

Availability Manager Overview

RIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI Deutscher IT-Sicherheitskongress

Technologische Entwicklung von GIS und Internet der letzten Jahre


Proseminar Website-Management-Systeme ZOPE/CMF. Andreas M. Weiner

Browser- gestützte Visualisierung komplexer Datensätze: Das ROAD System

TIA Portal V13 Kommunikation mit S7-1500

RESTful Web. Representational State Transfer

Session Management und Cookies

VoiceXML 3.0. Jan Pit Wagner Fachbereich Informatik Seminar Moderne Webtechnologien 25. November 2009

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1

Transport Layer Security Nachtrag Angriffe

4. Servlets Ein kleiner Einstieg. Kurze Java Historie. Erinnerung: Internet Anwendungen. Konzept eines Seitenaufrufs

Web-basierte Anwendungssysteme PHP Teil 2

Webdesign mit HTML und CSS Einführungsabend

Intrusion Detection & Response

Nerdball Ein automatischer IRC Image Collector

IHK: Web-Hacking-Demo

VPN-Client Apple macos El Capitan (10.11)

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

Aktuelle Technologien zur Entwicklung verteilter Anwendungen RESTful Web Services mit JAX-RS

Web Applications Vulnerabilities

Transkript:

Hackerpraktikum SS 202 Philipp Schwarte, Lars Fischer Universität Siegen April 17, 2012 Philipp Schwarte, Lars Fischer 1/18

Organisation wöchentliche Übung mit Vorlesungsanteil alle zwei Wochen neue Aufgaben Abgabe der Aufgaben ist verpflichtender Teil Schein: Ausarbeitung über einen Teilbereich nach Absprache Kurzvortrag darüber in letzter Übung Philipp Schwarte, Lars Fischer 2/18

Introduction Philipp Schwarte Dr. Lars Fischer fischer@wiwi.usi... Studium: Uni Bremen Rechnernetze Betriebssysteme Syntaktische Bilderzeugung Promotion: TU-Darmstadt Verkettbarkeitsmetriken IT-Sicherheit Hackerpraktika IT-Sec Berater Philipp Schwarte, Lars Fischer 3/18

Contents of Lecture (vorläufig) 1. Web 2. Code Injection 3. Network Discovery 4. Network Games 5. Rootkits/Bots 6. Scripten und Coden Philipp Schwarte, Lars Fischer 4/18

Literature Howard, LeBlanc, Viega: 24 deadly sins of software security Gary McGraw: Software Security Information Systems Security Framework (ISSAF) Open Source Testing Security Testing Methodology Manual (OSSTM 3) http://phrack.com https://www.owasp.org The Internet Philipp Schwarte, Lars Fischer 5/18

Werkzeugkiste Shell, Script & Code z.b. Bash, Ruby, Python, Erlang, C Editor (Code, Hex, low level... ) Disassembler (Ida, ndisasm, objdump) nc, nmap, tcpdump, curl, john... Browser-Erweiterungen Frameworks burpsuite, metasploit Backtrack Philipp Schwarte, Lars Fischer 6/18

Overview Lesson 01 Organisation Remember the WWW Philipp Schwarte, Lars Fischer 7/18

Network Stack ISO/OSI: 7. Application 6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical Philipp Schwarte, Lars Fischer 8/18

HTTP Request Client-Server GET, POST, PUT, DELETE, OPTIONS,... Dokumente Header GET / l o g i n HTTP/ 1.1 Name : Wert Body Philipp Schwarte, Lars Fischer 9/18

HTTP Response Response Codes (200, 404,... ) Header (z.b. Cookie) HTTP/1.1 200 OK Set Cookie : K e k s s c h a c h t e l <html><body></body></html> Philipp Schwarte, Lars Fischer 10/18

Main Web Follies Missing Output Validation Philipp Schwarte, Lars Fischer 11/18

Main Web Follies Missing Output Validation Cross-Side-Script (XSS) Session-Fixation User-determined Input Cross-Side-Request-Forgery (CSRF) Path Vulnerability Logical Errors Range/Type Errors Code Injection... Philipp Schwarte, Lars Fischer 12/18

Input Validation Which Input is expected? Whitelisting What is the input used for? Typecasting Philipp Schwarte, Lars Fischer 13/18

HTML Hypertext Markup Language brought us links logical markup <html> <head><s c r i p t s r c =./ s c r i p t. j s /></head> <body>some Text </body> </html> Philipp Schwarte, Lars Fischer 14/18

Example: XSS Write script somewhere Executed if displayed by other Philipp Schwarte, Lars Fischer 15/18

Session-Fixation predictable/prepared Session Id attacker fixes Id before Authentication URL-ID special link Hidden-Form Field special Form Philipp Schwarte, Lars Fischer 16/18

Injection Methodology 1. break out (e.g. parantheses) 2. insert commands 3. clean finish (e.g. comment) HTML-Injection Server-Side Code User defined variable close mark, insert stuff, clean up SQL-Injection... Philipp Schwarte, Lars Fischer 17/18

Today s Assignment Email writing Setup Virtual Box Setup VPN-Keys WWW-beginnings Philipp Schwarte, Lars Fischer 18/18

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback