Web Application Security



Ähnliche Dokumente
Warum werden täglich tausende von Webseiten gehackt?

am Beispiel - SQL Injection

am Beispiel - SQL Injection

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH

Wie steht es um die Sicherheit in Software?

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

Was ist bei der Entwicklung sicherer Apps zu beachten?

IHK: Web-Hacking-Demo

Datensicherheit. Vorlesung 7: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Secure Programming vs. Secure Development

OpenWAF Web Application Firewall

SWAT PRODUKTBROSCHÜRE

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

ebook Shops im Vergleich User Experience und Usability Test

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Protect 7 Anti-Malware Service. Dokumentation

FUTURE NETWORK REQUIREMENTS ENGINEERING

Sichere Webapplikationen nach ONR oder Wer liest meine s?

Studieren- Erklärungen und Tipps

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Checkliste zur Planung einer Webseite

Erfahrungen mit Hartz IV- Empfängern

L i e f t d en oci l a M d e i di G a uid id l e i lines Dr. Jan Janzen

Bernadette Büsgen HR-Consulting

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Die richtigen Partner finden, Ressourcen finden und zusammenführen

Diese Ansicht erhalten Sie nach der erfolgreichen Anmeldung bei Wordpress.

DIGITALKONSULAT DK. Unsere Leistungen

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Die Post hat eine Umfrage gemacht

Webseiten sind keine Gemälde. Webstandards für ein besseres Web. Webstandards für ein besseres Web

THEMA: "SAS STORED PROCESSES - SCHNELL GEZAUBERT" HELENE SCHMITZ

Was meinen die Leute eigentlich mit: Grexit?

Kombinierte Attacke auf Mobile Geräte

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Das Projekt wird durchgeführt von den Bezirksregierungen in Nordrhein- Westfalen in ihrer Funktion als Fachstelle für die öffentlichen Bibliotheken

Application Lifecycle Management als strategischer Innovationsmotor für den CIO

icloud nicht neu, aber doch irgendwie anders

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook 2003

Mobile Fundraising. Praxisbeispiele. Katja Prescher Fundraiserin, Marketing- und Kommunikationsexpertin. Mobile Fundraising Katja Prescher

Outlook Vorlagen/Templates

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

mobile Responsive Design Lässt Ihre Anwendungen und Inhalte auf jedem Gerät einfach gut aussehen

Eigene Formatvorlagen

Die Industrie- und Handelskammer arbeitet dafür, dass Menschen überall mit machen können

Workshop: Wie ich mein Handikap verbessere erfolgreich Leben mit Multiple Sklerose!

Selbsttest Prozessmanagement

FRONT CRAFT.

Pressemitteilung. Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung

Reporting Services und SharePoint 2010 Teil 1

Web Application Security

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

SSI WHITE PAPER Design einer mobilen App in wenigen Stunden

Einleitung: Frontend Backend

V10 I, Teil 2: Web Application Security

Affiliate Marketing Schnellstart Seite 1

HISOLUTIONS - SCHWACHSTELLENREPORT

Erfolgsfaktoren im Projektmanagement

Marketing Funnel INSIDERWISSEN INSIDERWISSEN: MARKETING FUNNEL

Der Wunschkunden- Test

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

4.1 Wie bediene ich das Webportal?

SEO Suchmaschinen-Trends

Tipps und Tricks zu Netop Vision und Vision Pro

Anwendungsbeispiele. Neuerungen in den s. Webling ist ein Produkt der Firma:

Effiziente Prozesse. Die Formel 1 und die Druckindustrie

Es ist nicht genug zu wissen, man muss es auch anwenden. Es ist nicht genug zu wollen, man muss es auch tun.

, dadurch wird der andere Modus eingestellt, also es sieht dann so aus

Grundlagen zur Erstellung und dem Relaunch einer Homepage. Julius Hoyer Osnabrück März 2015

Filmzitate - CMS System Joomla Dokumentation. Samuel Weibel 10. Dezember 2013 Kantonsschule am Brühl

Top 10 Datenschutz-Risiken in Web-Applikationen

Wärmebildkamera. Arbeitszeit: 15 Minuten

Wie oft soll ich essen?

WLAN "Hack" Disclaimer:

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Mehr Geld verdienen! Lesen Sie... Peter von Karst. Ihre Leseprobe. der schlüssel zum leben. So gehen Sie konkret vor!

Liebe Interessierte an technischen Lösungen für die Sicherheit zu Hause,

Second Steps in eport 2.0 So ordern Sie Credits und Berichte

Managed on-premise Cloud for SAP Solutions

Arbeitshilfe "Tipps für Gespräche mit Vorgesetzten und KollegInnen" Was gilt für mich?

Auswertung der Teilnehmerumfrage zum. vom November 2010

Ihren Kundendienst effektiver machen

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Informationen zum Ambulant Betreuten Wohnen in leichter Sprache

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

2.1 Präsentieren wozu eigentlich?

Es gibt nur eine Bilanz die zählt: Ihre Zufriedenheit.

Anwendungsbeispiele Buchhaltung

Transkript:

Web Application Security Was kann schon schiefgehen.

Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung

Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung Repräsentation Soziale Netze Suchmaschinen

Risiken

www.holisticsec.com

OWASP Top Ten A1: Injection A2: Broken Authentication and Session Management A3: Cross-Site Scripting (XSS) A4: Insecure Direct Object References A5: Security Misconfiguration A6: Sensitive Data Exposure A7: Missing Function Level Access Control A8: Cross-Site Request Forgery (CSRF) A9: Using Components with Known Vulnerabilities A10: Unvalidated Redirects and Forwards

Dann setze ich eine WAF ein! Damit passiert mir doch eh nichts mehr!

Eine WAF schützt www.holisticsec.com Aber eine WAF sollte nur ein Baustein in einem Sicherheitskonzept sein. Manipulierte Requests Implementierungsfehler Protokollfehler Unbekannte Schwachstellen & Exploits (Zero-Days) Designschwächen & Logikfehler WAF-Schwachstellen

Eine WAF kann nur so gut sein wie sie konfiguriert wurde.

Bedrohungsübersicht www.holisticsec.com Bedrohungen für Betreiber von Webapplikationen Fehlerhafte Eingaben Skript-Kiddies HACKER Applikationsfehler Unvorhergesehenes Verhalten NUTZER DEFEKTE Black-Hats Opfer Gezielte Angriffe Infrastruktur NUTZER HACKER Nutzer sind jene, die die Applikation aktiv nutzen. Häufig wird Es gibt verschiedene Kategorien von Hackern. Die große Masse bilden dabei die Skriptdas zu erwartete Nutzerverhalten im Vorfeld auf Funktionalität Kiddies, welche durch die Verwendung von ihnen unbekannten oder nur teilweise getestet. Jeder Entwickler und Betreiber sollte sich aber fragen, bekannten Tools Angriffe durchführen und somit Sicherheitsprobleme verursachen. was passiert wenn der Nutzer von diesem Verhalten abweicht? Ein Holistic weiterer Security Aspekt Consulting ist Frage, GmbH ob es - sich Holistic bei allen Security Nutzer Confidential um Official Weitere use Bedrohungen only sind gezielte Angriffe aufgrund von Spionage, krimineller Motivation oder Begeisterung an der Thematik. legitime Anwender handelt. DEFEKTE Probleme können auch durch Fehler innerhalb der Applikation entstehen und zu Abstürzen, Information-Disclosure oder Unzufriedenheit bei den Nutzern führen. Die Probleme liegen dabei aber nicht zwingend innerhalb der Applikation sondern können auch auf Infrastruktur-Ebene liegen.

Prävention www.holisticsec.com Was kann getan werden! Secure Development Lifecycle & Secure-Coding Guidelines Penetration-Tests & Analysen Lasttests durchführen Business-Logik testen Infrastruktur

Sicherheit bei Webapplikationen www.holisticsec.com Was sollte getan werden. SCHRITT 1 SCHRITT 2 SCHRITT 3 SECURITY BEI REQUIREMENTS ENGINEERING UND DESIGN- PHASE SOWIE IMPLEMENTIERUNG PENETRATION-TESTS, LASTTESTS UND FUNKTIONALE TESTS DURCHFÜHREN REGELMÄSSIGE UPDATES UND UMSETZEN VON ABGELEITETEN MASSNAHMEN

Tipps www.holisticsec.com Einfache Maßnahmen Benutzereingaben validieren Serverseitige Invalidierung von Authentifizierungsparametern Whitelisting vs. Blacklisting Rechte- und Sessionmanagement Webserverkonfiguration

Warum sollte ich in Sicherheit investieren? Mir passiert doch eh nichts!

Kontakt Erik Rusek Managing Director & Security Consultant Tel. +43 732 997088 Mobil +43 699 1337 0043 Mail erik.rusek@holisticsec.com

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback