am Beispiel - SQL Injection

Ähnliche Dokumente
am Beispiel - SQL Injection

Wie steht es um die Sicherheit in Software?

Warum werden täglich tausende von Webseiten gehackt?

Web Application Security

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

Was ist bei der Entwicklung sicherer Apps zu beachten?

OpenWAF Web Application Firewall

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln,

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Secure Programming vs. Secure Development

Datensicherheit. Vorlesung 7: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

business.people.technology.

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

Web 2.0 (In) Security PHPUG Würzburg Björn Schotte

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

bwsecurity day

Secure Webcoding for Beginners

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

CeBIT CARMAO GmbH

Softwaren Engineering I

Lokale Installation von DotNetNuke 4 ohne IIS

IHK: Web-Hacking-Demo

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services

Netzwerksicherheit Übung 9 Websicherheit

Installationsanleitung SSL Zertifikat

THEMA: "SAS STORED PROCESSES - SCHNELL GEZAUBERT" HELENE SCHMITZ

HERZLICH WILLKOMMEN SHAREPOINT DEEP DIVE FOR ADMINS IOZ AG 2

FIREBIRD BETRIEB DER SAFESCAN TA UND TA+ SOFTWARE AUF MEHR ALS EINEM COMPUTER

Was ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO

Datensicherheit. Vorlesung 5: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Web Application Security

Frankfurt,

An integrated total solution for automatic job scheduling without user interaction

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

OWASP Top 10 Was t/nun? OWASP Nürnberg, The OWASP Foundation Dirk Wetter

Home-Router als Einfallstor ins Firmennetzwerk?

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Installationsanleitung dateiagent Pro

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Session Management und Cookies

OWASP Top 10 Was t/nun? OWASP Nürnberg, The OWASP Foundation AppSec Germany Dirk Wetter

Wie richten Sie Ihr Web Paket bei Netpage24 ein

V10 I, Teil 2: Web Application Security

How-to: Webserver NAT. Securepoint Security System Version 2007nx

IT-Security Portfolio

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Hilfe zur Konfiguration der Software Smart-eShop & Smart-Admin-Bereich

a.sign Client Lotus Notes Konfiguration

Workflow, Business Process Management, 4.Teil

Home-Router als Hintertürchen ins Geschäftsnetzwerk?

ISA Server 2004 Einzelner Netzwerkadapater

Von ODBC zu OLE DB. Neue Möglichkeiten der Datenintegration. Harald Gladytz, Team Vertrieb ESRI Niederlassung Leipzig

Sichere Freigabe und Kommunikation

1 Application Compatibility Toolkit (ACT) 5.6

Web Application Testing

OP-LOG

SWAT PRODUKTBROSCHÜRE

Upgrade-Leitfaden. Apparo Fast Edit. Wechsel von Version 2 auf Version oder Wechsel von Version auf Version 3.0.

OWASP Top 10 Wat nu? The OWASP Foundation OWASP Stammtisch. GUUG-Treffen. Dirk Wetter

teamsync Kurzanleitung

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools

Upgrade-Leitfaden. Apparo Fast Edit 1 / 7

Softwarequalität im Datenbankumfeld Datenbankstammtisch am 06. Mai 2015

WARENWIRT- SCHAFT UND ERP BERATUNG Mehr Sicherheit für Ihre Entscheidung

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Schwachstellenanalyse 2012

Einreichung zum Call for Papers

Zusammenfassung Web-Security-Check ZIELSYSTEM

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation. 7 Key Features.

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2012 Express with management tools

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

Beruflichen Schule in Nidda

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Reporting Services und SharePoint 2010 Teil 1

Microsoft Update Windows Update

Sichere Webapplikationen nach ONR oder Wer liest meine s?

Schwachstellenanalyse 2013

Secure Network Communications (BC-SEC-SNC)

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2014 Express with management tools

Kompatibilitätsmodus und UAC

EXCHANGE Neuerungen und Praxis

AnNoText. AnNoText Online-Update. Copyright Wolters Kluwer Deutschland GmbH

Transkript:

am Beispiel - SQL Injection

Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten oder dem System Massnahmen zur Förderung der Sicherheit in Software Sicherheit im Software Lifecycle Web Application Firewall Penetration Test

Protect7 ist spezialisiert auf Sicherheitsanalysen, Beratung für die Absicherung von Applikationen, sowie sicheres Software-Engineering. Wir unterstützen unsere Kunden bei der Entwicklung und Implementierung von Applikationen (Lösungen) und sorgen für einen zuverlässigen Schutz vor Missbrauch und Datendiebstahl.

Warum braucht es sichere Software?

Oft ist es gar nicht möglich, Business zu tätigen ohne Software. Software würde wiederum nicht existieren ohne Business. Das Unternehmen lebt von seinen Geschäften Software unterstützt das Geschäft oder macht es erst möglich Software zeichnet sich grundsätzlich durch seine Funktionalität aus Korrekt funktionierende Software ist für ein Unternehmen sehr wichtig «Software ist ein Bestandteil vom Business Risiko»

Viele Schwachstellen und die Angriffe um diese auszunutzen, sind auf dem Application Layer. Heutige Massnahmen wirken jedoch nicht auf diesem Layer. Nichttechnische Ebene ISO2700x Security und Social Engineering Sensibilisierung Projektbetreuung Applikationsebene Betriebssystemebene Netzwerkebene Physikalische Ebene Sicheres Entwickeln Web Application Firewall Penetration Tests, Source Code Review Hardening (OS, Applikationen) Benutzerkonten Berechtigungen Layer2 Verschlüsselung 802.1x Firewall, IDS,... Abschirmung Dark Fiber...

Sicherheitsvorfälle und Trends

Quelle: IBM Internet Security Systems X-Force 2012 Trend und Risk Report

Quelle: IBM Internet Security Systems X-Force 2014 Trend und Risk Report

Lockheed USAF F22 China s J20

Zunahme der Schwachstellen, sowie der Verteilung der Schwachstellen auf (Web-)Applikationen und andere Bereiche (ohne Custom-Applikationen). Im Schnitt 150 neue Schwachstellen pro Woche. Quelle: IBM Internet Security Systems X-Force 2012 Trend und Risk Report

Die meisten Applikationen, welche gegen die OWASP Top 10 geprüft werden, bestehen die Prüfung nicht Viele der Applikationen fallen auch im zweiten Versuch durch Quelle: Veracode

Schwachstellen in Prozent der geprüften Applikationen Quelle: Veracode - state-of-software-security-report-volume5.pdf

OWASP Top 10

A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management SQL- und SSI Injection Format String Attack LDAP Injection Cross-site Scripting Content Spoofing Cross-site Request Forgery Insufficient Authorization Credential/Session Prediction Insufficient Session Expiration OS Commanding XPATH Injection A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) Direct without access control check to object references File, directory, or database key Directory Indexing Information Leakage Path Traversal

A6: Security Misconfiguration A7: Insecure Cryptographic Storage Secure configuration for frameworks, application and webserver defined and deployed Frequently update the software Protect sensitive data, such as credit cards, access information with sufficient encryption A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards Forceful browsing URL guessing Access control for every requst Insecure encryption Correct server certificate Manipulated redirects and forwards

Hackers choice - SQL Injection

Mögliche Massnahmen

Durch die Planung und Umsetzung eines Secure Development Lifecycle (SDL), ist die Sicherheit ein klarer Bestandteil jeder Software Lösung und dient dazu, die Anzahl der Sicherheitsschwachstellen zu reduzieren. Quelle: Microsoft SDL

Quelle: Ergon

Bei einem Penetration Test wird ein realistischer Angriff eines Hackers simuliert. Manuelles Application Penetration Testing

Besten Dank für Ihre Aufmerksamkeit

Bei Fragen kontaktieren Sie bitte: Roger Caspar E-Mail: roger.caspar@protect7.com oder Telefon: +41 44 515 68 68 Herzlichen Dank für Ihre Aufmerksamkeit! Protect7 GmbH Franklinstrasse 7 CH-8050 Zürich www.protect7.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback