Web Application Security



Ähnliche Dokumente
Informationsblatt zu den Seminaren am Lehrstuhl. für Transportsysteme und -logistik

Praktikum IT-Sicherheit SS Einführungsveranstaltung

Inhaltsverzeichnis. Beschreibung. Hintergrund

Übungen zur Softwaretechnik

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Softwaretechnologie -Wintersemester 2013/ Dr. Günter Kniesel

eduvote Ein Umfragesystem für Lehrveranstaltungen - PowerPoint Add-In -

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

IT-Security Herausforderung für KMU s

Support-Ticket-System. - Anleitung zur Benutzung -

Apple Mail, ical und Adressbuch

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Leitfaden für die ersten Schritte im INIT-eCampus. mailto:

Schwachstellenanalyse 2012

Man liest sich: POP3/IMAP

Studiengang Versicherung

Empirisches Seminar Soziale Netzwerkanalyse

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Aufgabe GBIS (TPCW-Benchmark)

ACDSee Pro 3-Tutorials: Versenden von Bilder an eine FTP-Site

Leichte-Sprache-Bilder

Einrichtung Weiterleitung via.forward -Datei im Home-Verzeichnis

ADNP/9200 mit E2U/ESL1: Web Interface Beispiele

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Leitfaden zum Vorgehen bei Studien- & Abschlussarbeiten, inkl. Themenspeicher

virtuos Leitfaden für die virtuelle Lehre

Anleitung für Lehramtsstudierende. Anmeldung von Abschlussarbeiten

Handbuch - Mail-Sheriff Verwaltung

Websites mit Dreamweaver MX und SSH ins Internet bringen

Lübecker Ewiger -Account (LEA)

LANiS Mailversender ( Version 1.2 September 2006)

Ergebnis der Kundenumfrage zum ArticleSpinningWizard2

Informationsveranstaltung Bachelor-Studium

Einführung in die Informatik II

Wichtige Information zur Verwendung von CS-TING Version 9 für Microsoft Word 2000 (und höher)

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

NTT DATA Helpdesk Benutzerhandbuch

Lösungsvorschlag für Übungsblatt 4 Software Engineering 1 (WS 2012/13)

Übungsblatt 4: Requirements Engineering (2) (für die Übungswoche )

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0

Organisatorisches. Ökonometrie I Michael Hauser WS15/16

BACHER Informatik - we do IT Alte Gasse 1, CH-6390 Engelberg Telefon info@hostdomain.ch

Sichern des Home-Pools-Verzeichnisses via SFTP

Um über FTP Dateien auf Ihren Public Space Server - Zugang laden zu können benötigen Sie folgende Angaben:

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

ASP Dokumentation Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

0. Wo finde ich detaillierte Informationen zum Fach Chemie für Human- und Zahnmediziner?

Einfache und effiziente Zusammenarbeit in der Cloud. EASY-PM Office Add-Ins Handbuch

Bedarfsmeldungen für Studentische Hilfskräfte und Tutoren erstellen und ändern

Wie richten Sie Ihr Web Paket bei Netpage24 ein

datenfabrik. Validieren von -Adressen 1

SJ OFFICE - Update 3.0

Handbuch Offline-Abgleich

DURCH VIDA ERZEUGTE PROTOKOLLDATEIEN 1 EINFÜHRUNG

Abwesenheitsnotiz im Exchangeserver 2010

Leseauszug DGQ-Band 14-26

ASB - Automatische Software-Bewertung

Microsoft PowerPoint 2013 Folien gemeinsam nutzen

Installation Hardlockserver-Dongle

GeODin 7 Installationsanleitung

Eine Anwendung mit InstantRails 1.7

Herzlich Willkommen bei der nfon GmbH

Ausgewählte Versicherungsbeispiele*

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren

Part Anomaly Analysis PAA Aktivieren und Einstellen

Auswertung zu 5510P MES-Praktikum

THEMA: "SAS STORED PROCESSES - SCHNELL GEZAUBERT" HELENE SCHMITZ

Automatisches Beantworten von - Nachrichten mit einem Exchange Server-Konto

Präsentation: Google-Kalender. Walli Ruedi Knupp Urdorf

UpToNet Workflow Workflow-Designer und WebClient Anwendung

Schriftliche Vordiplomprüfung Betriebsökonomie FH Serie C

Abwesenheitsnotiz im Exchange Server 2010

Protonet SOUL USE CASE - Rechtsanwalt

Fallbeispiel. Auswahl und Evaluierung eines Software- Lokalisierungstools. Tekom Herbsttagung 2004 Angelika Zerfaß

Kommunikation als kreativer Prozess: Im Dialog mit dem Kunden

Inhaltsverzeichnis. Anleitung für den Umgang mit SHB im Forum:

HISPRO ein Service-Angebot von HIS

Anleitung mtan (SMS-Authentisierung) mit Cisco IPSec VPN

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

ASV-Betrieb für die Coburger Schulen. Einbindung externer Schulen via RemoteApp

INHALTSVERZEICHNIS Allgemeine Beschreibung... 3 Verwendung der Webseite... 4 Abbildungsverzeichnis... 12

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Installationsbeschreibung Flottenmanager 7.1

Installation von horizont 4 bei Verwendung mehrerer Datenbanken

Fragebogen zur Masterarbeit Betriebliche Beurteilungspraxis von Auszubildenden. 1. Welcher Gruppe von Kreditinstituten gehören Sie an?

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

RT Request Tracker. Benutzerhandbuch V2.0. Inhalte

Ihr Benutzerhandbuch für das IntelliWebs - Redaktionssystem

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

SCHULUNG MIT SYSTEM: E-LEARNING VON RAUM21

KURZANLEITUNG MSDAS DMS SYSTEM - SILVERDAT II SCHNITTSTELLE

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Transkript:

Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 1 / 21

Übersicht 1 Inhalt des Praktikums 2 Ablauf 3 Infrastruktur 4 Bewertung S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 2 / 21

Outline 1 Inhalt des Praktikums Ziel des Praktikums Themenübersicht 2 Ablauf 3 Infrastruktur 4 Bewertung S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 3 / 21

Inhalt des Praktikums Ziel des Praktikums Exploiten von Sicherheitslücken in Web Applikationen Erstellung sicherer Webanwendungen S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 4 / 21

Inhalt des Praktikums Themenübersicht Injection-Schwachstellen Cross-Site-Scripting (XSS) Cross-Site-Request-Forgery Include-Schwachstellen Upload-Schwachstellen S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 5 / 21

Outline 1 Inhalt des Praktikums 2 Ablauf Phase I Phase II 3 Infrastruktur 4 Bewertung S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 6 / 21

Ablauf Arbeit in Zweierteams S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 7 / 21

Ablauf Phase I (9 Wochen): Einarbeitung in neue Themengebiete Aufgabenblätter (insgesamt 9) Phase II (5 Wochen): Abschlussprojekt S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 8 / 21

Ablauf Phase I Diskussion des aktuellen Aufgabenblattes Diskussion eines Lösungsansatzes Vorschlag zur Beseitigung der Schwachstelle Vorstellung durch ein zufällig gewähltes Team Einführung in das neue Themengebiet Herausgabe des neuen Aufgabenblattes Abgabe Die darauffolgende Woche vor Beginn des Praktikums S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 9 / 21

Ablauf Phase II Abschlussprojekt Erstellung einer verwundbaren Webapplikation Erstellung eines Exploits das die Schwachstelle/n in der Applikation ausnützt Schriftliche Ausarbeitung (ca. 5 Seiten) Präsentation der Applikation und des Exploits (letzte Woche) Angriff der Applikation durch die anderen Teams (vorletzte Woche) Details folgen im Laufe des Praktikums S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 10 / 21

Outline 1 Inhalt des Praktikums 2 Ablauf 3 Infrastruktur Server SSH-Login Mailingliste 4 Bewertung S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 11 / 21

Infrastruktur Server Praktikumsserver 1 hacky1 (Aufgaben) 2 hacky2 (Development) Die Server sind von außen nicht zugänglich sondern nur über praksrv@sec.in.tum.de erreichbar. S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 12 / 21

Infrastruktur SSH-Login Praktikumsraum http://hacky<nr>/ ssh team<nr>@hacky2 Von zu Hause ssh -D <port> team<nr>@praksrv.sec.in.tum.de (Socks) ssh -f -N -L <port>:hacky2:22 team<nr>@praksrv.sec.in.tum.de ssh -p <port> team<nr>@localhost (SSH) S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 13 / 21

Infrastruktur Mailingliste websec@sec.in.tum.de S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 14 / 21

Outline 1 Inhalt des Praktikums 2 Ablauf 3 Infrastruktur 4 Bewertung Generelle Regeln Übersicht Abgaben Richtlinien für die Abgabe von Aufgaben Richtlinien für die Abgabe von Aufgabenblättern S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 15 / 21

Bewertung Generelle Regeln 1 Jeder Angriff auf das System der nicht im Zusammenhang mit dem Praktikum steht ist verboten 2 Der Zugriff auf die Dateien anderer Studenten ist verboten 3 Angriffe auf andere Systeme sind verboten Der Verstoß gegen eine dieser Regeln kann zu einem Nichtbestehen des Praktikums führen. S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 16 / 21

Bewertung Übersicht Aufgabenblätter (72%, 8% pro Übungsblatt) 100 Punkte pro Aufgabenblatt Vorträge Abschlussprojekt (28%) Angreifbares Programm und Exploit (10%) Schriftliche Ausarbeitung (4%) Präsentation (4%) Angriffe auf andere Teams (10%) Erhält ein Teilnehmer 0 Punkte auf ein Übungsblatt oder einen Teil des Abschlussprojektes, wird das gesamte Praktikum mit 0 Punkten bewertet! S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 17 / 21

Bewertung Abgaben 1 Richtlinien für die Abgabe von Aufgaben 2 Richtlinien für die Abgabe von Aufgabenblättern S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 18 / 21

Bewertung Richtlinien für die Abgabe von Aufgaben Exploit Es wird grundsätzlich immer ein Exploit für eine Schwachstelle abgegeben Ausführung auf hacky2 Makefile exploit_aufgabe_<nr>.x Sonstiges Vorschlag für die Beseitigung der Schwachstelle Gecrackte Passwörter oder andere Informationen Anmerkungen zum Exploit loesung_aufgabe_<nr>.txt. S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 19 / 21

Bewertung Richtlinien für die Abgabe von Aufgabenblättern Abgabe per E-Mail an vogls@sec.in.tum.de Abgabe vor Beginn des Praktikums Einzelnes Tar-Archiv das alle Dateien (siehe vorherige Folie) eines Aufgabenblattes enthält (team<nr>_aufgabenblatt_<nr>.tar) S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 20 / 21

Fragen? S. Vogl, C. von Pentz (Lehrstuhl I20, TUM) Web Application Security - WS 14/15 07.10.2014 21 / 21

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback