OWASP und APEX. As the world is increasingly interconnected, everyone shares the responsibility of securing cyberspace. Wir kümmern uns!

Ähnliche Dokumente
Web Application Security

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH

Warum werden täglich tausende von Webseiten gehackt?

V10 I, Teil 2: Web Application Security

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

am Beispiel - SQL Injection

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

IHK: Web-Hacking-Demo

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

am Beispiel - SQL Injection

Wie steht es um die Sicherheit in Software?

Secure Programming vs. Secure Development

Schwachstellenanalyse 2012

PHP-5-Zertifizierung. Block 12 Security.

Schwachstellenanalyse 2013

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Web 2.0 (In) Security PHPUG Würzburg Björn Schotte

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

Datensicherheit. Vorlesung 7: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

IT-Sicherheit Angriffsziele und -methoden Teil 2

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Sicherheit Web basierter Anwendungen

HISOLUTIONS SCHWACHSTELLENREPORT 2013

OpenWAF Web Application Firewall

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

Datensicherheit. Vorlesung 4: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Oracle APEX 3.2. Peter Raganitsch. Einführung und neue Features

Aktuelle Bedrohungen im Internet

PHP Sicherheit für Administratoren

Zusammenfassung Web-Security-Check ZIELSYSTEM

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

OWASP Top 10 Wat nu? The OWASP Foundation OWASP Stammtisch. GUUG-Treffen. Dirk Wetter

Secure Webcoding for Beginners

HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Web Application Security und der Einsatz von Web Application Firewalls

FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil

HISOLUTIONS - SCHWACHSTELLENREPORT

Frankfurt,

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF

Sicherheit mobiler Apps. Andreas Kurtz

Einführung in Web-Security

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

business.people.technology.

web2py - Web-Framework mit didaktischem Hintergrund Nik Klever Hochschule Augsburg

IT SICHERHEITS-AUDITOREN

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Was ist bei der Entwicklung sicherer Apps zu beachten?

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier,

Sicherheit in Rich Internet Applications

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle

Hacking Day Application Security Audit in Theorie und Praxis. Jan Alsenz & Robert Schneider OneConsult GmbH

OWASP Top 10 Was t/nun? OWASP Nürnberg, The OWASP Foundation Dirk Wetter

IT-Sicherheit auf dem Prüfstand Penetrationstest

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

Magento Application Security. Anna Völkl

Security im E-Commerce

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Anleitung zum Prüfen von WebDAV

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

!"#$"%&'()*$+()',!-+.'/',

IT-Security durch das passende OS. Oracle Solaris 11.2.

APEX: from past to present

Anleitung zur Fleet & Servicemanagement Evatic Schnittstelle

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Money for Nothing... and Bits4free

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen

Netzwerksicherheit Übung 9 Websicherheit

Sicherheitsprobleme bei Webapps. Sichere Software zu programmieren ist doch ganz einfach, oder?

Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen

BSI IT-Grundschutztag, , Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. -

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Advanced Web Hacking. Matthias Luft Security Research

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Identity Propagation in Oracle Fusion Middleware

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller

Was eine WAF (nicht) kann. Ausgabe 2013

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Web 2.0-Hacking Live Vorführung. Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr",

SAP Anwendungen im Visier von Hackern Angriffsszenarien und Schutzkonzepte

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH

Erfahrungen und Erkenntnisse. Klaus Richarz, HBT GmbH

Softwareentwicklung mit Enterprise JAVA Beans

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

Session Management und Cookies

OWASP The OWASP Foundation Ein Entwurf für TOP10 des Datenschutzes

Sicherheit mobiler Apps OWASP The OWASP Foundation Andreas Kurtz

Web Application {Security, Firewall}

Ruby on Rails Sicherheit. Heiko Webers

Jakarta Turbine Ein Open Source Framework fÿr Webanwendungen. KNF Kongre 2001 Henning P. Schmiedehausen

Transkript:

OWASP und APEX Sicherheit, einfach machen As the world is increasingly interconnected, everyone shares the responsibility of securing cyberspace. - Newton Lee, Author and Computer Scientist Wir kümmern uns!

Spitzenleistung heißt, sich auf seine Stärken zu konzentrieren. merlin.zwo Wir machen Oracle - nur Oracle. Aus gutem Grund. Sebastian Wittig merlin.zwo InfoDesign GmbH & Co. KG 76228 Karlsruhe www.merlin-zwo.de Wir kümmern uns!

Motivation https://haveibeenpwned.com/

Motivation https://haveibeenpwned.com/

Architektur einer WebApplikation Client Internet WebServer Datenspeicher

APEX Architektur Client Intranet WebServer DB

APEX Architektur Intranet die Regel, aber! BYOD! Smart Client Devices Intranet WebServer DB! externe Zugriffe! technisch versierte Nutzer! Bequemlichkeit Ausnahmen bestätigen die Regel.

OWASP 2001 gegründet prinzipientreu Informatiker weltweit

OWASP offenes Wiki gelebte Offenheit How-To-Dokumente

OWASP seit 2004 wenige Änderungen Top 10 Projekt zur Zeit 2017-RC2

OWASP Top 10 A2: fehlerhaftes Authentifizierungsund Sessionmanagement A1: Injection A5: fehlkonfigurierte Sicherheit A8: Cross Site Request Forgery A6: Preisgabe kritischer Daten A4: fehlerhafte Zugriffskontrolle A7: ungenügende Angriffserkennung A10: unzureichend geschützte APIs A3: Cross Site Scripting (XSS) A9: Komponenten mit bekannten Sicherheitslücken

A1: Injection Gefährdet, wenn! dynamischer Befehl! Konkatenation Schutz durch! Input validieren! Zeichenfolgen escapen! sichere APIs verwenden APEX bietet mir! Bindevariablen nutzen! keine Ampersandnotation! DBMS_ASSERT

A2: Broken Authentication and Session Management Gefährdet, wenn! schlechtes Passworthandling! Session ID sichtbar! Brute Force Angriffe Schutz durch! Passwörter prüfen! Sessiontimeout! Standardimplementationen APEX bietet mir! erprobte APIs! Standard Timeout! vernünftigtes Sessionhandling

A3: Cross Site Scripting Gefährdet, wenn! Eingabefelder ungeprüft! unsicheres JavaScript! JavaScript durch Upload Schutz durch! Eingaben überprüfen! keine unescapte Darstellung! JavaScript deaktivieren APEX bietet mir! Standard: escapte Wiedergabe! APIs: z.b. APEX_UTIL.ESCAPE! Display Only Items

A4: Broken Access Control Gefährdet, wenn! trivialer numerischer PK! keine Zugriffskontrolle! Execute Public Funktionen Schutz durch! UUID! Hash-Mappings! Anwenderzugriff prüfen APEX bietet mir! Session State Protection! Autorisierungsschemas! feingranulare Zugriffskontrolle

A5: Security Misconfiguration Gefährdet, wenn! veraltete Komponenten! Standardkonfigurationen! Error Stacks sichtbar Schutz durch! Komponenten prüfen! pessimistische Zugangspolitik! Standardimplementierungen APEX bietet mir! aktive Community! Standardfehlermeldungen! DB-Nutzer deaktiviert

Zwischenspiel https://xkcd.com/327

A6: Sensitive Data Exposure Gefährdet, wenn! Daten im Klartext HTTP! veraltete Algorithmen Schutz durch! verschlüsseln HTTPS! Salt & Pepper APEX bietet mir! Standardimplementierungen z.t. veraltet! verschlüsselter Session State

A7: Insufficient Attack Protection Gefährdet, wenn! Angriffsmetriken Erkennung Behandlung Prävention! Tools kennen + nutzen Schutz durch! Analyse der Nutzerdaten Zustände loggen Verhaltensmuster! Reagieren IP blocken deaktivieren APEX bietet mir! Securityanalyse! interne Logs! Wartezeit bei Loginspam! Adminaccount wird deaktiviert

A8: Cross Site Request Forgery Gefährdet, wenn! fehleranfällige Tokens! Browserinformationen für Autorisierung Authentifizierung Schutz durch! Tokenhandling validiert Aktionen wird mitübertragen ist zufällig APEX bietet mir! beendet Session sofort! Session State Protection! Packages zur Linkerzeugung

A9: Using Components with Known Security Vulnerabilities Gefährdet, wenn! JS-Bibliotheken! Betriebssystem! Datenbank! restliche Infrastruktur Schutz durch! Patches! Informationen sammeln APEX bietet mir! aktive Community! CPUs

A10: Underprotected APIs Gefährdet, wenn! (externe) Schnittstellen! exotische Formate keine Standards keine Frameworks Schutz durch! HTTPS! Schnittstellen testen! API autorisieren + authentifizieren APEX bietet mir! Wallets für SSL! RESTful Services

OWASP Top 10 2017 RC1 vs RC2 OWASP Top 10 2017 RC1 Veränderung OWASP Top 10 2017 final A1 Injection A2 Broken Authentication and Session Management A1 Injection A2 Broken Authentication and Session Management A3 Cross Site Scripting - A3 Sensitive Data Exposure A4 Broken Access Control (Merged) - A4 XML External Entity (NEW) A5 Security Misconfiguration - A5 Broken Access Control A6 Sensitive Data Exposure + A6 Security Misconfiguration A7 Insufficient Attack Protection (NEW) A8 Cross Site Request Forgery (CSRF) A9 Using Components with known Vulnerabilities A10 Underprotected APIs (NEW) A7 Cross Site Scripting A8 Insecure Deserialization (NEW) A9 Using Components with known Vulnerabilities A10 Insufficient Logging & Monitoring (NEW)

Zwischenspiel

APEX: Pro & Kontra Implementierungsaufwand gering Session State Protection Session Handling Standardauthentifizierungen Basiert auf Oracle DB vervielfacht Sicherheitsoptionen verstärkt APEX-Lücken APEX stützt Sicherheit umfangreiches Logging Standardauswertungen verfügbar Sicherheitsoptionen oft aktiviert Implementierungsaufwand später hoch Einarbeitungsaufwand Verständnis wichtig Wissenslücken abhängige JS-Bibliotheken Sicherheitsoptionen z.t. umgehen z.t. veraltete Verschlüsselungsverfahren Kein reiner Entwicklerfokus Serverkonfiguration DB-Konfiguration

OWASP DVWA / XAMPP Schneier on Security heise security APEX-Blogs Twitter #orclapex

Fazit und Tips: Informationen und Karte Bruce Schneier zur Security Sicherheit verargumentieren Regulärer Text! Ebene 1 Ebene 2 Ebene 3 Hervorgehobener Text Codefragment Zweite Variante Hervorhebung Security is a process, not a product. - Bruce Schneier

Fragen? merlin.zwo Wirkümmern uns! Vorträge von merlin.zwo: Mi, 16:00 Uhr, Prag: Oracle VM: Der Ausweg aus dem Virtualisierung-Dilemma (J. Kutscheruk) Mi, 17:00 Uhr, Shanghai: Service, please! (J. Kutscheruk) merlin.zwo InfoDesign GmbH & Co. KG Sebastian Wittig Elsa-Brändström-Straße 14 76228 Karlsruhe Tel. 0721 132 096 0 sebastian.wittig@merlin-zwo.de http://www.merlin-zwo.de Wir kümmernuns!

Letzte Worte https://xkcd.com/528/

Offenheit

APEX-Architektur

A4-RC2: XML External Entity (XEE Injection) Gefährdet, wenn! Schnittstellen im Internet! Trusted CallerPrinzip Schutz durch! HTTPS / Wallet! API autorisieren + authentifizieren APEX bietet mir! Wallets für SSL! Standard RESTful Services

A8-RC2: Insecure Deserialization Gefährdet, wenn! Daten und! exotische Formate keine Standards keine Frameworks Schutz durch! HTTPS! Schnittstellen testen! API autorisieren + authentifizieren APEX bietet mir! Wallets für SSL! RESTful Services

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback