Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung

Ähnliche Dokumente
SQL Injection Funktionsweise und Gegenmaßnahmen

Webapplikationssicherheit (inkl. Livehack) TUGA 15

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Java Security im Überblick

Schwachstellenanalyse 2012

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

PHP-Programmierung: Sicherheitsaspekte

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Techniken und Werkzeuge für die IT-Sicherheit im Cloud-Computing und in verteilten Systemen

am Beispiel - SQL Injection

Wesentliche Designmerkmale Sicherer Software

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Schwachstellenanalyse 2013

Aktuelle Bedrohungen im Internet

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Web Applications Vulnerabilities

am Beispiel - SQL Injection

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Web 2.0 (In) Security PHPUG Würzburg Björn Schotte

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.

PHP-5-Zertifizierung. Block 12 Security.

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T F team@csnc.ch

Werkzeugunterstützung für sichere Software

Zusammenfassung Web-Security-Check ZIELSYSTEM

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day Dr. Amir Alsbih CISO Haufe Gruppe

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Sicherheit Web basierter Anwendungen

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle

Grundschutzbaustein Sichere System-Entwicklung

Wie steht es um die Sicherheit in Software?

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004

Audit von Authentifizierungsverfahren

Sicherheit in Webanwendungen CrossSite, Session und SQL

Web Application Testing

Janotta und Partner Cybersicherheit. Sicherheit. Web-Engineering

Mehr Schwung im Business

Top Findings bei Security Audits. DI (FH) Wolfgang Köppl

Neue Trends IT-Grundschutzhandbuch

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

Moderner Schutz gegen aktuelle Bedrohungen

Angreifbarkeit von Webapplikationen

Software Engineering. Dokumentation. Wintersemester 2005/06. Kapitel 21. Universität Zürich Institut für Informatik

Secure Network Communications (BC-SEC-SNC)

REGIX: Die neue Firmenrecherche

FlüSchmiede: Einführung in die SoftwareEntwicklung für Handys , P.Möbius, S.Ohm

Mehr Schwung im Business

Norton Internet Security

Der Weg zu einem sicheren SAP System

RIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI Deutscher IT-Sicherheitskongress

BSI IT-Grundschutztag, , Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. -

Typo3 - Schutz und Sicherheit

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

Dokumentation. Facebook Gruppe B (Kurs: SQL2) SS Teilnehmer: Andreas Faschnig Harald Wiesinger Jakob Woblistin Stefan Nafra Thomas Pascher

Neues aus dem DFN-CERT. 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT

Mehr Schwung im Business

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

Schutz vor Manipulationen an digitalen Grundaufzeichnungen. Fachgespräch im Bundesministerium der Finanzen

Sicherheit von Open Source Software

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

IT-Sicherheit Angriffsziele und -methoden Teil 2

INNOTask, INNOCount, INNORent, INNOSpace, INNOCar Installationsanforderungen

OWASP The OWASP Foundation Ein Entwurf für TOP10 des Datenschutzes

Seminarvorbesprechung

secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY Oktober

Aktuelle Sicherheitsprobleme im Internet

Deployment. Arthur Zaczek

Jens Ferner. Profikurs PHP-Nuke

Avoiding the bad guys

Virtual Forge CodeProfiler for HANA

Konzept eines Datenbankprototypen Folie 1 Daniel Gander / Gerhard Schrotter

Homepage mit einem WCMS: Typo3

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln,

Web Application Security Testing

Web Application Security und der Einsatz von Web Application Firewalls

Testing for and fixing common security issues

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Datenbank-basierte Webserver

Sicherheitsaspekte bei der C-Programmierung

System Ausbildungen Übersicht

Money for Nothing... and Bits4free

Das mobile Dokumentations- und Analyse-System. AC-STB Technische-Voraussetzungen. Akkaya Consulting GmbH. Robert-Perthel-Straße 3.

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

IT - Sicherheit und Firewalls

Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications

Web Application {Security, Firewall}

Im Business holen wir die Kränze.

Softwaren Engineering I

meeting2015 Aktuelle Stunde IT-Sicherheit Ransom Angriffe

Secure Programming vs. Secure Development

für wen die richtige Lösung?

Sichere Webapplikationen nach ONR oder Wer liest meine s?

Upgrade auf Microsoft Dynamics CRM 2013

Sicherheit in Software

Reporting Lösungen für APEX wähle Deine Waffen weise

Transkript:

Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005

Die 20 beliebtesten Versäumnisse ungenügende (Security-) Anforderungsspezifikation ungenügende (Security-) Designspezifikation kein Abgleich zwischen Anforderungs- und Designspezifikation keine Richtlinien zur sicheren Softwareentwicklung Security Reviews wahlweise gar nicht, oder nur vor oder nur nach dem Erstellungsprozess Implementierung eigener (i.d.r. zu schwacher) Schutzmechanismen und Kryptofunktionen (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 2

Parameterprüfung DAS Problem Nr. 1 in Web-Anwendungen Resultat mangelhafter Überprüfung der Eingaben: Cross-Site Scripting SQL-Injection Directory Traversal Command Injection Code Injection Cookie Poisoning Buffer Overflows Format String Attacken (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 3

Die 20 beliebtesten Versäumnisse Unkenntnis der Entwickler bzgl. der häufigsten Hackermethoden (z.b. SQL Injection, Cross-Site Scripting, u.v.m.) zu generische Anforderungskataloge, die vom Entwickler erst mühsam interpretiert werden müssten ungenügende Prüfung auf Einhaltung existierender Sicherheitsvorgaben, bestenfalls Selbstauskunft durch Entwicklungsverantwortliche keine Schwachstellenanalyse des Prototyps durch unabhängige Spezialisten (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 4

Die 20 beliebtesten Versäumnisse allmächtiger technischer Benutzer für Datenzugriffe Schützen durch bloßes Verstecken (z.b. von Funktionsaufrufen, URLs, Parametern, etc.) Ungenügender Schreib-/Leseschutz von Programmdateien Keine Input-Validierung / Filterung von User Input fehlende Planung zum Schutz der Backendsysteme, insbesondere für Datenbanken keine adäquate Protokollierung (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 5

Die 20 beliebtesten Versäumnisse Benutzer- und Rechteverwaltung schlecht konzipiert, zu seltener Gebrauch vorhandener (externer) Funktionalität mangelhafte Dokumentation vorhandener Sicherheitsmechanismen und erforderlicher Konfigurationsanpassungen Unkenntnis oder mangelnde Berücksichtigung von Kundenanforderungen später erforderliche Nachbesserungen scheitern an zu vielen Abwärtskompatibilitätsanforderungen, die häufig durch bessere Planung hätten vermieden werden können (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 6

Weitere beliebte Schwächen in Anwendungsservern Alte Softwareversionen installiert (auch Betriebssystem etc.) Konfigurationsfehler auf allen Ebenen Standardinhalte, Beispielanwendungen wurden nicht entfernt Dateisystemberechtigungen nicht restriktiv genug Administrationsbenutzer = Laufzeitbenutzer Betreffen meist alle installierten Web-Anwendungen und oft das Server-Betriebssystem Resultat: Zugriff auf Server hinter der Firewall (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 7

Warum dieser Vortrag von uns? - Unsere Erfahrung: mehrere Personenjahre in Forschungsprojekten zur sicheren Softwareentwicklung; derzeit gemeinsam mit Partnern wie SAP, Commerzbank, Universitäten,... zahlreiche Schwachstellenanalysen für Softwarehersteller, nebst intensiver Feedbackzyklen mit den Entwicklern Erstellung von Anforderungs- und Designspezifikationen in mehreren großen Entwicklungsprojekten Erstellung von Guidelines zur sicheren Softwareentwicklung, mit Schwerpunkten Banking & Finance, sowie Webapplikationen Reverse Engineering und Gutachten von Sicherheitsfunktionen und Kryptomechanismen Implementierung von Sicherheitsfunktionen im Auftrag (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 8

Abschlussbemerkung die vorliegende Dokumentation wurde von EUROSEC erstellt im Rahmen des secologic Forschungsprojekts, Laufzeit 2005 und 2006, nähere Informationen unter www.secologic.org wir bedanken uns beim Bundesministerium für Wirtschaft für die Förderung dieses Projektes Anregungen und Feedback sind jederzeit willkommen, ebenso Anfragen zu Sicherheitsaspekten, die hier nicht behandelt werden konnten. (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 9

Copyright Hinweis Diese Folien wurden von EUROSEC erstellt und dienen der Durchführung von Schulungen oder Seminaren zum Thema Sichere Anwendungsentwicklung, mit Fokus Webapplikationen. Wir haben diese Folien veröffentlicht, um die Entwicklung besserer Softwareprodukte zu unterstützen. Die Folien dürfen gerne von Ihnen für eigene Zwecke im eigenen Unternehmen verwendet werden, unter Beibehaltung eines Herkunfts-Hinweises auf EUROSEC. Eine kommerzielle Verwertung, insbesondere durch Schulungs- oder Beratungsunternehmen, wie beispielsweise Verkauf an Dritte oder ähnliches ist jedoch nicht gestattet. (c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback