Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?

Ähnliche Dokumente
APEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst

<Insert Picture Here> APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung. Carsten Czarski, ORACLE Deutschland B.V. Co.

Beratung Messbar / Transparent / Reproduzierbar

PHP-5-Zertifizierung. Block 12 Security.

Oracle APEX 3.2. Peter Raganitsch. Einführung und neue Features

Social Data Analyse mit Oracle Endeca

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Bedrohungen im Internet

Einführung in Web-Security

Secure Programming vs. Secure Development

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

SQL Developer Unit Tests


Unterstützt oder beschäftigt Ihr CRM- System die Mitarbeiter bei Ihrer täglichen Arbeit?

Sicherheit in Webanwendungen CrossSite, Session und SQL

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

PL/SQL Unit Tests mit SQL Developer

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

O-BIEE Einführung mit Beispielen aus der Praxis

Zeitlich abhängig von OWB?

New Features Oracle Forms 11g Nichts Neu für Forms?

Komplexe Netzwerke mit Oracle VM Server SPARC

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

HERZLICH WILLKOMMEN. BI Publisher Integration über Oracle Datenbanken. Perry Pakull DOAG Development 2013 Bonn

APEX 5.0 DOAG Mai 2014

Zusammenfassung Web-Security-Check ZIELSYSTEM

Modellierung agiler Data Warehouses mit Data Vault Dani Schnider, Trivadis AG DOAG Konferenz 2015

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

CI mit Forms im Weblogic Umfeld: CI mit Forms geht das

Control Templates. Thomas Claudius Huber

Schwachstellenanalyse 2012

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH

Sicherheit Web basierter Anwendungen

Session Management und Cookies

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Performance Tuning

Web 2.0 (In) Security PHPUG Würzburg Björn Schotte

Ein Blick unter die Motorhaube von Oracle APEX. Patrick Wolf, Sphinx IT Consulting DOAG Konferenz Nürnberg,

Schwachstellenanalyse 2013

IHK: Web-Hacking-Demo

Programmieren lernen in ASP.NET mit C#

Wolkig bis heiter. Andreas Wismann WHEN OTHERS. APEX als Drehkreuz für Web Service-Anwendungen

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.

ColdFusion Konfiguration für den Betrieb mit hyscore. ColdFusion Administrator. Notwendige Konfiguration für hyscore. PDF-Dokument: config_cf10.

Web Hacking - Angriffe und Abwehr


TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

Baustein Webanwendungen. Stephan Klein, Jan Seebens

am Beispiel - SQL Injection

XSS for fun and profit

HowTo: Konfigurieren von Caching in SharePoint 2007

Anleitung zum Prüfen von WebDAV

Advanced Web Hacking. Matthias Luft Security Research

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Kontrollstrukturen MySQL Funktionen. MySQL 4, 5. Kapitel 20a: PHP Teil 2. Marcel Noe

V10 I, Teil 2: Web Application Security

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

am Beispiel - SQL Injection

In diesem Anschnitt geht es um die SQL Anweisungen, mit denen ich den Zugriff auf das Datenbankschema steuern kann.

Jens Ferner. Profikurs PHP-Nuke

SQL Developer als DBA-Tool Christian Gohmann

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Aktuelle Sicherheitsprobleme im Internet

Sicherheit in Webanwendungen

APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung. Carsten Czarski ORACLE Deutschland B.V. & Co KG München

Sind Cloud Apps der nächste Hype?

Web Applications Vulnerabilities

APEX-Print-Master [free]

WCF RIA Services Datengetriebene Apps. Thomas Claudius Huber Senior Consultant Trivadis AG

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Typo3 - Schutz und Sicherheit

TYPO3 Einführung für Redakteure. Astrid Tessmer

Angreifbarkeit von Webapplikationen

Die S.O.L.I.D-Prinzipien für C# Entwickler Thomas Claudius

SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT. Novell Security Konferenz, Wien 3. April 2008

Durch einen kleinen Geldbetrag kann mehr Speicher dazu gekauft werden. Eines der Systeme mit guten Referenzen ist mydrive.

Oracle Unified Auditing Migration der Audit-Konfiguration Stefan Oehrli

Einrichtung Secure-FTP

Oracle Forms und APEX

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Konfigurationsbeispiel ZyWALL USG

Wie die Mobimo AG aus einzelnen Fachapplikationen eine prozess- und kundenorientierte Immobilienlösung realisierte

1 Konfigurationsanleitung Hosted Exchange

Sage 200 BI Häufige Fehler & Lösungen. Version

SQL-Injection in the news Stand: :00

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation

Audit von Authentifizierungsverfahren


Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

WildFly Application Server Administration

Mehr Dynamik in Apex mit Javascript und JQuery. Alexander Scholz its-people

Installationsanleitung MS SQL Server für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installation Forms/Reports 11g auf Windows 64bit

Transkript:

APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN

BASEL BERN LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN

Unser Unternehmen. Trivadis ist führend bei der IT-Beratung, der Systemintegration und der Erbringung von IT-Services mit Fokussierung auf -Technologien im D-A-CH-Raum. - und Unsere Leistungen erbringen wir aus den strategischen Geschäftsfeldern: B E T R I E B Trivadis Services übernimmt den korrespondierenden Betrieb Ihrer IT Systeme.

Mit über 600 IT- und Fachexperten bei Ihnen vor Ort. KOPENHAGEN 14 Trivadis Niederlassungen mit über 600 Mitarbeitenden. HAMBURG Über 200 Service Level Agreements. Mehr als 4'000 Trainingsteilnehmer. GENF BASEL DÜSSELDORF BERN LAUSANNE FRANKFURT FREIBURG BRUGG ZÜRICH STUTTGART MÜNCHEN WIEN Forschungs- und Entwicklungsbudget: CHF 5.0 Mio. / EUR 4.0 Mio. Finanziell unabhängig und nachhaltig profitabel. Erfahrung aus mehr als 1'900 Projekten pro Jahr bei über 800 Kunden.

AGENDA 1. Einleitung 2. APEX Instanz 3. Maßnahmen für den individuellen Apex-Workspace 4. Maßnahmen für die Applikationen 5. Angriffsszenarien auf Anwendungen

Einleitung

Einleitung Eine sichere Umgebung für vertrauliche oder geheime Daten erfordert, dass alle Komponeneten die Security-Anforderungen erfüllen: Webserver Datenbank-Server Datenbank APEX Instanz (=Workspace internal) Individueller APEX Workspace Die APEX Anwendung

APEX Instanz

APEX Instanz (=Workspace Internal) Passwort-Policy einstellen Ausreichende Passwortlänge und -komplexität Session Timeout einstellen Workspace Login Control einstellen Passwort lifetime Maximale Anzahl von fehlerhaften logins

APEX Instanz (=Workspace Internal) Apex-HTTPS Einstellungen (Aufruf von APEX nur über HTTPS) Nur die DBAs kennen das Passwort vom Apex-Instance Administrator RESTful Access ausschalten Automatisches Erstellen der Demo-Objekte abschalten Erstellung von Websheet Objects abschalten

APEX Instanz (=Workspace Internal) Application Activity Logging einschalten Enable Service Requests abschalten Set Workspace Cookie abschalten Allow Public File Upload No Provisioning Status manual

Individueller Workspace

Maßnahmen für den individuellen Workspace Workspace Administrator personell von Entwicklern trennen Starke Passwörter verwenden Abgelaufene Accounts löschen Workspace Login Control einstellen Passwort lifetime Maximale Anzahl von fehlerhaften logins Enable RESTful Services auf No stellen Zugriff auf fremde Schemata Ggf. Transfer Schema erstellen nur benötige Zugriffsrechte

Maßnahmen für die Applikation

Maßnahmen für die Applikation Authentifizierung Autorisierung Verwaltung über Berechtigungsschemata Session Timeout einstellen Maximum Session Length Maximum Session Idle Time Sensible Informationen: Clear Cache Werte des Session Status verschlüsselt speichern

Maßnahmen für die Applikation Session State Protection konfigurieren und aktivieren Für Passwörter Password Items verwenden Settings : Session Status nicht gespeichert Security: Session State Protection einstellen Does not save state auf Yes setzen Session Cookie Attributes -> Secure auf Yes setzen (Cookie wird nicht gesetzt wenn http verwendet wird)

Angriffsszenarien auf Anwendungen

Angriffsszenarien auf Anwendungen SQL Injection Cross Site Scripting Reflexiver Angriff Persistenter Angriff Gegenmaßnahmen gegen XSS

Angriffsszenarien auf Anwendungen SQL Injection ein Stück SQL-Code wird in ein Formular einfügt -> SQL-Anweisung wird verändert Beispiel: - Dynamisches SQL: SQL-Befehle werden dynamisch durch Concatenating zusammengesetzt - Angreifer gibt SQL- oder PL/SQL-Codestücke ein -> Anderes Statement wird ausgeführt

SQL Injection Demo

SQL Injection SQL Injection mit dynamischem SQL Statement wird concateniert z.b.: l_sql := l_sql ' WHERE deptno = ' :P1_DEPTNO; Das Statement mit dem Schadcode wird zusammengefügt bevor der PL/SQL Block geparsed wird Wenn ein Angreifer bestimmte Zeichenketten eingibt (z.b. 50 or 1=1) -> alle Datensätze werden angezeigt Gegenmaßnahme: Variable in der Bind-Variablen Syntax in die Zeichenkette einbinden z.b.: l_sql := l_sql ' WHERE deptno = :P1_DEPTNO';

SQL Injection - Gegenmaßnahme Demo

SQL Injection Praxistipp SQL-Statement in einem Item anzeigen lassen Debug-Ansicht

Angriffsszenarien auf Anwendungen Cross Site Scripting (=XSS) Ausführung von JavaScript ist Ziel des Angriffs Reflexiver Angriff - Schadcode wird vom Browser ausgeführt -> ein User ist betroffen Persistenter Angriff - Schadcode wird in der DB gespeichert -> wird bei jedem Aufruf ausgeführt Verteidigung: ausgegebene Zeichen maskieren

Cross Site Scripting (XSS) - reflexiv Demo (Weine)

Cross Site Scripting (XSS) - persistent Demo

Gegenmaßnahmen gegen XSS APEX_ESCAPE verwenden Bei PL/SQL-Regionen

Bilder anzeigen in Berichtsspalten Gegenmaßnahmen Attribut Standard Report Column muss verwendet werden In der Abfrage kein HTML verwenden Bei den Report Attributes HTML Expression eintragen

Fragen und Antworten... Carola Berzl Carola.berzl@trivadis.com BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback