Web Application Testing



Ähnliche Dokumente
Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Ist meine Website noch sicher?

Ist meine WebSite noch sicher?

Sicherheit von Webapplikationen aus technischer Sicht

am Beispiel - SQL Injection

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Sicherheit in Webanwendungen CrossSite, Session und SQL

Protect 7 Anti-Malware Service. Dokumentation

Web Application Security

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Schwachstellenanalyse 2012

am Beispiel - SQL Injection

Cross-Site-Scripting führt Liste der gefährlichsten Sicherheitsrisiken an. 3CX-IP-Telefonanlage senkt Kommunikationskosten für Unternehmen

Radius Online-Campus. PC-technische Voraussetzungen

Web 2.0 (In) Security PHPUG Würzburg Björn Schotte

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

So stellen Anfänger eine Website online! Joachim Kirchner Tel.: r

Der Weg zur eigenen Website

OS IDE Webserver Integration des Webservers in die IDE Wireshark Webserver II Dynamisches Webprojekt in Eclipse

secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY Oktober

MANUAL FÜR LEHRPERSONEN. Intranet Moodle. Manual für Lehrpersonen V1.0 1 / 7

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Zentrum für Informationssicherheit

Lokale Installation von DotNetNuke 4 ohne IIS

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

4 Anlegen von Anwendungen, Websitesammlungen und Sites

Vermeiden Sie es sich bei einer deutlich erfahreneren Person "dranzuhängen", Sie sind persönlich verantwortlich für Ihren Lernerfolg.

Clusterportal Interaktiv Text

Schwachstellenanalyse 2013

Installationsanleitung Webhost Linux Compact

Warum werden täglich tausende von Webseiten gehackt?

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

FTP-Leitfaden Inhouse. Benutzerleitfaden

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Installationsanleitung Webserver - Datenkommunikation

Sichere Webapplikationen nach ONR oder Wer liest meine s?

ROFIN App Benutzerhandbuch. Version 1.0

Tutorial/FAQ für die Benutzung der Webseite

Carsten Eilers Pentesters Toolbox

FTP-Leitfaden RZ. Benutzerleitfaden

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Administrator Handbuch

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements

Anlegen eines DLRG Accounts

Installationsvoraussetzungen

Mehr Sicherheit für Unternehmen

Sicherheits-Tipps für Cloud-Worker

Anbindung des eibport an das Internet

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

Security Breakfast: Secure Hosting -

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe

PayPal API Zugang aktivieren und nutzen Version / Datum V 1.5 / a) Aktivierung auf der PayPal Internetseite. 1 von 7

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

Das Starten von Adami Vista CRM

219 Millionen. für das Familienzentrum Goldach

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln,

Sichere Freigabe und Kommunikation

PHP - Projekt Personalverwaltung. Erstellt von James Schüpbach

Kurzübericht der implementierten Funktionen der Fachinformatiker -== Info Datenbank ==-

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Sicher sein, statt in Sicherheit wiegen Sicherheit bei. Web-Anwendungen. Vortrag bei Infotech

ebook Shops im Vergleich User Experience und Usability Test

Aspekte der Datensicherheit bei mobilen Lösungen Mobile im Business, aber sicher!

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Zusammenfassung Web-Security-Check ZIELSYSTEM

Inhaltsverzeichnis. 1. Einrichtung in Mozilla Thunderbird. 1.1 Installation von Mozilla Thunderbird

Einführung in PHP. (mit Aufgaben)

IT-Security Awareness. Schulungen. Stand: September Seite 1 von 11

Um sich zu registrieren, öffnen Sie die Internetseite und wählen Sie dort rechts oben

INHALTSVERZEICHNIS Allgemeine Beschreibung... 3 Verwendung der Webseite... 4 Abbildungsverzeichnis... 12

SSH Authentifizierung über Public Key

Aktuelle Bedrohungen im Internet

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

Anleitung zum Öffnen meiner Fotoalben bei web.de

ISA Server 2004 Einzelner Netzwerkadapater

Website freiburg-bahai.de

Blacksnow Design. Web Hosting. Blacksnow Design Webdesign and more...

HINWEISE ZUR ARBEIT IM LABOR

Free Software Strategy In the Public Administration of South Tyrol. 12. November 2010

Anleitung: Ändern von Seiteninhalten und anlegen eines News Beitrags auf der Homepage des DAV Zorneding

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

LIVE/11 - WEBSPECIAL. Andreas Förthner - Clemens Kalb

ecaros2 - Accountmanager

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Anleitung, WebRecherche

Web Applications Vulnerabilities

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

EIDAMO Webshop-Lösung - White Paper

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

:: Anleitung Hosting Server 1cloud.ch ::

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

Ihre Lizenz ändern. Stand 01/2015

Transkript:

Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße 10 50321 Brühl information (at) pallas.de http://www.pallas.de

Sensibilisierung: Verseuchte Webserver 86 % aller getesteten Websites: gravierende Schwachstellen (WhiteHat Website Security Statistics Report, 05/2013) 85 Millionen verdächtige URLs (McAfee Labs Threats Report, Q3/2013) Jede 35. Website in D ist verseucht (Deutscher IT-Gipfel, 2012) Risk Level of Suspect URLs McAfee, Q3/2013

Verseuchung von Webservern Q1-Q2, 2013 Q1 Q2 2013 Malware Distribution Sites Microsoft Security Intelligence Report, Volume 15: Q1-Q2 2013

Sensibilisierung: Verseuchte Webserver 86 % aller getesteten Websites: gravierende Schwachstellen (WhiteHat Website Security Statistics Report, 05/2013) 85 Millionen verdächtige URLs (McAfee Labs Threats Report, Q3/2013) Jede 35. Website in D ist verseucht (Deutscher IT-Gipfel, 2012) Risk Level of Suspect URLs McAfee, Q3/2013 Hartmut Beuß, CIO des Landes NRW: "Ich empfehle sehr, Online-Angebote einem Penetrationstest zu unterziehen" (cologne IT summit_ 2013, 18.11.2013)

Ein Angriffsbeispiel Suche nach Terrakotta-Hersteller

Google-Link nach Holland löst polnischen Angriff aus

Zahlreiche Angriffsvektoren für Websites XSS WhiteHat Website Security Statistics Report, 06/2012

Ist mein Webserver auch angreifbar? Wahrscheinlich, wenn Sie z.b. folgendes einsetzen: Redaktionssystem (Typo3, Joomla, WordPress, First Spirit, ) Online-Shop Geschützte Bereiche Integration von Back-End-Systeme (Datenbanken, Anbindung Warenwirtschaft wie SAP) Foren, Gästebücher, Bewertungen für Austausch/Feedback Eigenentwicklungen Spezielle SW- Anpassungen Komplexe SW hat Lücken. Nur 10 % der Sicherheitsaufwendungen wird in SW gesteckt. Hier landen aber 75 % der Angriffe.

Web Application Testing Hartmut Beuß, CIO des Landes NRW: "Ich empfehle sehr, Online-Angebote einem Penetrationstest zu unterziehen" Das Web Application Testing nutzt Scanner zur Simulation von Angriffen auf Web-Applikationen, um dort Schwachstellen aufzudecken. Kommerzielle Scanner IBM Rational AppScan Burp Suite Acunetix WVS... Freie / Open Source Scanner SkipFish arachni sqlmap...

Pallas Web Application Testing: Vorgehen Einsatz führender Werkzeuge zur Simulation von Angriffen und zur Aufdeckung potentiell gefährlicher Lücken Typisches Vorgehen Sichtung Webanwendung, Testeinrichtung, Parametrisierung Automatisierter, betreuter Scan, ohne/mit Anmeldungsdaten Manuelle Nachprüfung, Validierung und Bewertung Aufbereitung in Reportform Maßnahmenvorschläge Gegebenenfalls flankierend Code-Überprüfung, Entwicklerworkshop Web Application Firewall Server-Härtung

Web Application Testing: Ergebnisse aus der Pallas Praxis Auswertung unserer letzten 10 Web Application Testing Projekte 9 von 10 Web-Sites hatten Sicherheitslücken, 8 hatten Schwachstellen mit hohem Risiko Ranking der Sicherheitslücken XSS (90%) Anwendungsfehler (60%) Unerwünschte Datenpreisgabe (40%) Datenbankabfragen / -manipulation SQLi (30%) Probleme beim Session Handling (30%)...

Web Application Testing: Konkrete Findings aus der Pallas Praxis Eine per "Cross Site Scripting (XSS)" manipulierte Eingabemaske entlockt dem Benutzer sein Passwort "Blind SQL Injection" ermöglicht freie Manipulation von Einträgen in Mitglieder-Verwaltungssystem Kunde kann aus Kundeninformationssystem Informationen über alle Kunden auslesen Intranet-Portal für WLAN-Geräte macht Userdaten und MAC- Adressen unverschlüsselt zugänglich Inkorrektes Fehlerhandling zeigt ERP-Zugangsdaten auf Standard Tomcat Fehlermelde-Seite Durch "PHP file inclusion" wird für Festplatte eines Webservers komplettes Inhaltsverzeichnis auslesbar

9 Maßnahmen gegen verseuchte Webserver Ein Flyer der eco Kompetenzgruppe Sicherheit

Dr. Kurt Brand Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback