3. Der Kahlkopf vorne
Johann-Peter Hartmann
Entwickler & Consultant
Mit Stefan Esser Gründer der SektionEins GmbH,
CTo und Hausmeister bei Mayflower GmbH
Verantwortlich für die Entwicklung eines Web
Application Security Scanners mit einem beknackten
Namen
6. Agenda
Kein Talk „Wie vermeide ich XSS“
Wie sieht der Status von Web Application Security aus?
7. Agenda
Kein Talk „Wie vermeide ich XSS“
Wie sieht der Status von Web Application Security aus?
Microsofts Security Development Lifecycle
8. Agenda
Kein Talk „Wie vermeide ich XSS“
Wie sieht der Status von Web Application Security aus?
Microsofts Security Development Lifecycle
Der SDL für Web Applikations Companies
9. Agenda
Kein Talk „Wie vermeide ich XSS“
Wie sieht der Status von Web Application Security aus?
Microsofts Security Development Lifecycle
Der SDL für Web Applikations Companies
Fazit
12. Warum werden Web-
Applikationen angegriffen?
Profit Fun
Source: Breach 2007
13. Warum werden Web-
Applikationen angegriffen?
67 %
Profit Fun
Source: Breach 2007
14. Warum werden Web-
Applikationen angegriffen?
33 %
67 %
Profit Fun
Source: Breach 2007
15. Motive im Detail Informationsdiebstahl
Defacement
Malware
Unbekannt
Betrug
Erpressung
Link Spam
Würmer
Phishing
Information Warfare
Source: Breach 2007
16. Motive im Detail Informationsdiebstahl
Defacement
Malware
Unbekannt
Betrug
Erpressung
Link Spam
Würmer
Phishing
42 % Information Warfare
Source: Breach 2007
17. Motive im Detail Informationsdiebstahl
Defacement
Malware
Unbekannt
Betrug
Erpressung
Link Spam
Würmer
Phishing
42 % Information Warfare
23 %
Source: Breach 2007
18. Motive im Detail Informationsdiebstahl
Defacement
Malware
Unbekannt
Betrug
Erpressung
Link Spam
Würmer
Phishing
42 % Information Warfare
15 %
23 %
Source: Breach 2007
19. Motive im Detail Informationsdiebstahl
Defacement
Malware
Unbekannt
Betrug
Erpressung
Link Spam
Würmer
8 %
Phishing
42 % Information Warfare
15 %
23 %
Source: Breach 2007
20. Motive im Detail Informationsdiebstahl
Defacement
Malware
Unbekannt
Betrug
Erpressung
3 % Link Spam
Würmer
8 %
Phishing
42 % Information Warfare
15 %
23 %
Source: Breach 2007
21. Motive im Detail Informationsdiebstahl
Defacement
Malware
Unbekannt
Betrug
3 % Erpressung
3 % Link Spam
Würmer
8 %
Phishing
42 % Information Warfare
15 %
23 %
Source: Breach 2007
22. Motive im Detail Informationsdiebstahl
Defacement
Malware
3 % Unbekannt
Betrug
3 % Erpressung
3 % Link Spam
Würmer
8 %
Phishing
42 % Information Warfare
15 %
23 %
Source: Breach 2007
23. Motive im Detail Informationsdiebstahl
Defacement
Malware
3 % Unbekannt
Betrug
3 % 1 % Erpressung
3 % Link Spam
Würmer
8 %
Phishing
42 % Information Warfare
15 %
23 %
Source: Breach 2007
24. Motive im Detail Informationsdiebstahl
Defacement
Malware
3 % Unbekannt
Betrug
3 % 1 %
1 % Erpressung
3 % Link Spam
Würmer
8 %
Phishing
42 % Information Warfare
15 %
23 %
Source: Breach 2007
25. Motive im Detail Informationsdiebstahl
Defacement
Malware
3 % Unbekannt
Betrug
3 % 1 %
1 % Erpressung
3 % Link Spam
Würmer
8 %
Phishing
42 % Information Warfare
15 %
23 %
Source: Breach 2007
26. Wege zum Einbruch
SQL Injection
Information Disclosure
Bekannte Lücken
XSS
Fehlende Zugangskontrolle
Raten von Zugangsdaten/Session
OS Code Execution
Fehlkonfiguration
Fehlende Anti-Automation
Denial Of Service
Redirect
Mangelhafter Session-Timeout
CSRF
Source: NSI 2006
27. Wege zum Einbruch
SQL Injection
20 % Information Disclosure
Bekannte Lücken
XSS
Fehlende Zugangskontrolle
Raten von Zugangsdaten/Session
OS Code Execution
Fehlkonfiguration
Fehlende Anti-Automation
Denial Of Service
Redirect
Mangelhafter Session-Timeout
CSRF
Source: NSI 2006
28. Wege zum Einbruch
SQL Injection
20 % Information Disclosure
Bekannte Lücken
XSS
Fehlende Zugangskontrolle
Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
Fehlende Anti-Automation
Denial Of Service
Redirect
Mangelhafter Session-Timeout
CSRF
Source: NSI 2006
29. Wege zum Einbruch
SQL Injection
20 % Information Disclosure
Bekannte Lücken
XSS
Fehlende Zugangskontrolle
Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
Fehlende Anti-Automation
Denial Of Service
Redirect
Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
30. Wege zum Einbruch
SQL Injection
20 % Information Disclosure
Bekannte Lücken
XSS
Fehlende Zugangskontrolle
Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
31. Wege zum Einbruch
SQL Injection
20 % Information Disclosure
Bekannte Lücken
XSS
Fehlende Zugangskontrolle
Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
10 % Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
32. Wege zum Einbruch
SQL Injection
20 % Information Disclosure
Bekannte Lücken
XSS
Fehlende Zugangskontrolle
8 % Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
10 % Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
33. Wege zum Einbruch
SQL Injection
20 % Information Disclosure
Bekannte Lücken
3 % XSS
Fehlende Zugangskontrolle
8 % Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
10 % Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
34. Wege zum Einbruch
SQL Injection
20 % Information Disclosure
Bekannte Lücken
3 %
3 % XSS
Fehlende Zugangskontrolle
8 % Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
10 % Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
35. Wege zum Einbruch
SQL Injection
3 % 20 % Information Disclosure
Bekannte Lücken
3 %
3 % XSS
Fehlende Zugangskontrolle
8 % Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
10 % Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
36. Wege zum Einbruch
3 % SQL Injection
3 % 20 % Information Disclosure
Bekannte Lücken
3 %
3 % XSS
Fehlende Zugangskontrolle
8 % Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
10 % Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
37. Wege zum Einbruch
3 % SQL Injection
2 % 20 % Information Disclosure
3 %
Bekannte Lücken
3 %
3 % XSS
Fehlende Zugangskontrolle
8 % Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
10 % Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
38. Wege zum Einbruch
2 %
3 % SQL Injection
2 % 20 % Information Disclosure
3 %
Bekannte Lücken
3 %
3 % XSS
Fehlende Zugangskontrolle
8 % Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
10 % Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
39. Wege zum Einbruch
2 %
3 % 2 % SQL Injection
2 % 20 % Information Disclosure
3 %
Bekannte Lücken
3 %
3 % XSS
Fehlende Zugangskontrolle
8 % Raten von Zugangsdaten/Session
OS Code Execution
17 % Fehlkonfiguration
10 % Fehlende Anti-Automation
Denial Of Service
Redirect
12 % Mangelhafter Session-Timeout
15 % CSRF
Source: NSI 2006
40. XSS ist das häufigste,
aber nicht das wichtigste
Problem
44. Dumm gelaufen 1:
Angriffsfläche Web
Die Applikation ist 24/7 angreifbar
Jeder weiß, wo und wie sie zu finden ist
Alle Nutzer, auch unbekannte, haben Zugriff
45. Dumm gelaufen 1:
Angriffsfläche Web
Die Applikation ist 24/7 angreifbar
Jeder weiß, wo und wie sie zu finden ist
Alle Nutzer, auch unbekannte, haben Zugriff
Das Kommunikationsprotokoll ist nicht
vertrauenswürdig
47. Dumm gelaufen 2:
Code Qualität
Web Applikationen sind Spielfeld von Agenturen und
Heimanwendern
48. Dumm gelaufen 2:
Code Qualität
Web Applikationen sind Spielfeld von Agenturen und
Heimanwendern
... und das kann man dem Code ansehen
49. Dumm gelaufen 2:
Code Qualität
Web Applikationen sind Spielfeld von Agenturen und
Heimanwendern
... und das kann man dem Code ansehen
geringe Modularität
50. Dumm gelaufen 2:
Code Qualität
Web Applikationen sind Spielfeld von Agenturen und
Heimanwendern
... und das kann man dem Code ansehen
geringe Modularität
geringe Separation von Daten
51. Dumm gelaufen 2:
Code Qualität
Web Applikationen sind Spielfeld von Agenturen und
Heimanwendern
... und das kann man dem Code ansehen
geringe Modularität
geringe Separation von Daten
Im Normalfall nicht in einer Sandbox
55. Dumm gelaufen 3:
Applikationslandschaft
es gibt noch Code-Teile von 2001
(als niemand XSS und CSRF kannte)
Hoher Code Churn, viele Änderungen und Autoren
irgendwo zwischen wenig und keinen Tests
56. Dumm gelaufen 3:
Applikationslandschaft
es gibt noch Code-Teile von 2001
(als niemand XSS und CSRF kannte)
Hoher Code Churn, viele Änderungen und Autoren
irgendwo zwischen wenig und keinen Tests
Es gibt keine Entwicklungssicherheitsinfrastruktur
(nein, eine Firewall zählt nicht)
59. Dumm gelaufen 4:
Developer und Security
„Das wird niemals jemand ausprobieren.“
„Warum sollte jemand das machen?“
60. Dumm gelaufen 4:
Developer und Security
„Das wird niemals jemand ausprobieren.“
„Warum sollte jemand das machen?“
„Unsere Applikationen wurde noch nie angegriffen.“
61. Dumm gelaufen 4:
Developer und Security
„Das wird niemals jemand ausprobieren.“
„Warum sollte jemand das machen?“
„Unsere Applikationen wurde noch nie angegriffen.“
„Wir sind sicher, denn wir haben eine Firewall.“
62. Dumm gelaufen 4:
Developer und Security
„Das wird niemals jemand ausprobieren.“
„Warum sollte jemand das machen?“
„Unsere Applikationen wurde noch nie angegriffen.“
„Wir sind sicher, denn wir haben eine Firewall.“
„Wir haben unseren Code geaudited, es gibt keine
Fehler mehr.“
63. Dumm gelaufen 4:
Developer und Security
„Das wird niemals jemand ausprobieren.“
„Warum sollte jemand das machen?“
„Unsere Applikationen wurde noch nie angegriffen.“
„Wir sind sicher, denn wir haben eine Firewall.“
„Wir haben unseren Code geaudited, es gibt keine
Fehler mehr.“
„Es ist zwar ein Fehler, aber nicht ausnutzbar.“
64. Dumm gelaufen 4:
Developer und Security
„Das wird niemals jemand ausprobieren.“
„Warum sollte jemand das machen?“
„Unsere Applikationen wurde noch nie angegriffen.“
„Wir sind sicher, denn wir haben eine Firewall.“
„Wir haben unseren Code geaudited, es gibt keine
Fehler mehr.“
„Es ist zwar ein Fehler, aber nicht ausnutzbar.“
„Aber die Option ist normalerweise nicht aktiv.“
76. Der Security Development
Lifecycle
Entwickelt von Microsoft im Rahmen der Trustworthy
Computing Kampagne 2002
Trotzdem eine gute Sache
Keine neue Erfindung, sonder Sammlung
funktionierender bekannter Ideen
77. Der Security Development
Lifecycle
Entwickelt von Microsoft im Rahmen der Trustworthy
Computing Kampagne 2002
Trotzdem eine gute Sache
Keine neue Erfindung, sonder Sammlung
funktionierender bekannter Ideen
Für existierende und neue Projekte
78. Der Security Development
Lifecycle
Entwickelt von Microsoft im Rahmen der Trustworthy
Computing Kampagne 2002
Trotzdem eine gute Sache
Keine neue Erfindung, sonder Sammlung
funktionierender bekannter Ideen
Für existierende und neue Projekte
Resultat: 50-60% weniger Post-Release Bugs
82. Bestandteile von SDL
Schulung von Entwicklung und Management
Sicherheit als Bestandteil des Software Lebenzyklus
Feststellung von Risiken
83. Bestandteile von SDL
Schulung von Entwicklung und Management
Sicherheit als Bestandteil des Software Lebenzyklus
Feststellung von Risiken
Risikoanalyse
84. Bestandteile von SDL
Schulung von Entwicklung und Management
Sicherheit als Bestandteil des Software Lebenzyklus
Feststellung von Risiken
Risikoanalyse
Best Practices und Code Reviews
85. Bestandteile von SDL
Schulung von Entwicklung und Management
Sicherheit als Bestandteil des Software Lebenzyklus
Feststellung von Risiken
Risikoanalyse
Best Practices und Code Reviews
Security Maintenance Infrastructure
86. Bestandteile von SDL
Schulung von Entwicklung und Management
Sicherheit als Bestandteil des Software Lebenzyklus
Feststellung von Risiken
Risikoanalyse
Best Practices und Code Reviews
Security Maintenance Infrastructure
94. Entwickler, aber sicher
Mindestens eine Sicherheitsschulung pro Jahr
Web Applikationssicherheit ist schnelllebig
95. Entwickler, aber sicher
Mindestens eine Sicherheitsschulung pro Jahr
Web Applikationssicherheit ist schnelllebig
Benennung von Security Trainern
96. Entwickler, aber sicher
Mindestens eine Sicherheitsschulung pro Jahr
Web Applikationssicherheit ist schnelllebig
Benennung von Security Trainern
Sicherheitsdokumentation erstellen
105. Reduktion der Angriffsfläche
Jedes Feature prüfen
wird dieses Feature von allen Nutzern benötigt?
kann dieses Feature von überall erreicht werden?
106. Reduktion der Angriffsfläche
Jedes Feature prüfen
wird dieses Feature von allen Nutzern benötigt?
kann dieses Feature von überall erreicht werden?
wird dieses Feature von unauthorisierten Nutzern
benötigt?
107. Reduktion der Angriffsfläche
Jedes Feature prüfen
wird dieses Feature von allen Nutzern benötigt?
kann dieses Feature von überall erreicht werden?
wird dieses Feature von unauthorisierten Nutzern
benötigt?
Beispiel: sind Admin-URLs auch vom Internet aus
erreichbar?
126. Risk Analysis:
Determine risks
Jedes gefundene Risiko mit DREAD analysieren
Damage Potential
Reproducability
Exploitablitity
Affected Users
Discoverability
Bug Bar: ab wann ein Risiko behandelt werden muss
127. Risk Analysis:
Determine risks
Jedes gefundene Risiko mit DREAD analysieren
Damage Potential
Reproducability
Exploitablitity
Affected Users
Discoverability
Bug Bar: ab wann ein Risiko behandelt werden muss
132. Risikoanalyse:
Risikominderungen planen
Für jedes Risiko, das oberhalb der Risikoschwelle (Bug
Bar) ist
Risikominderungen können applikationsweit sein
Parameterbindung und SQL-Injections
erzwungenes Ausgabeescaping
133. Risikoanalyse:
Risikominderungen planen
Für jedes Risiko, das oberhalb der Risikoschwelle (Bug
Bar) ist
Risikominderungen können applikationsweit sein
Parameterbindung und SQL-Injections
erzwungenes Ausgabeescaping
Die Vollständigkeit des Einsatzes muss geprüft werden
139. Werkzeuge zur
Verbesserung der Sicherheit
Komplexitäts- und Coding-Style analyse
Checkstyle, Codesniffer, PMD
Statische Source Code Analyse
Fortify
diverse OpenSource-Tools
141. Coding Standards
Einige Beispiele:
Fixe Libraries und Regeln für
Input Validierung
Variablensäuberung
Ausgabeescaping
Parameter Binding für Datenbankzugriffe
Liste verbotener Klassen und Methoden
147. Der „Security Push“
jeder Entwickler wurde vorher geschult
es stehen Tools für die Tests zur Verfügung
die Risikoanalyse wird danach aktualisiert
die Sicherheitsdokumentation wird aktualisiert
149. Finaler Sicherheitsreview
Code Review
Unmittelbar vor der Herausgabe(!)
Durchgeführt vom internen Security Coach oder einem
externen Auditor
Prüfung der SDL Dokumente (Datenflussdiagramme,
Risikoanalyse, Sicherheitsdokumentation)
Prüfung der ungefixten Bugs
151. Security Response
Infrastructure
Es existiert ein offizieller Security(@company.tld)
Kontakt
Es gibt einen definierten Workflow für gemeldete
Probleme
Es gibt einen Workflow für Advisories
Es gibt einen Workflow für Updates und Bugfixes
153. Security Response auf eine
Meldung
Verwundbarkeit, Risiko und Ausnutzbarkeit analysieren
154. Security Response auf eine
Meldung
Verwundbarkeit, Risiko und Ausnutzbarkeit analysieren
Fehler korrigieren
155. Security Response auf eine
Meldung
Verwundbarkeit, Risiko und Ausnutzbarkeit analysieren
Fehler korrigieren
Korrektur prüfen
156. Security Response auf eine
Meldung
Verwundbarkeit, Risiko und Ausnutzbarkeit analysieren
Fehler korrigieren
Korrektur prüfen
Regressionstest für Fehler implementieren
157. Security Response auf eine
Meldung
Verwundbarkeit, Risiko und Ausnutzbarkeit analysieren
Fehler korrigieren
Korrektur prüfen
Regressionstest für Fehler implementieren
Update zur Fehlerbehebung und Advisory
veröffentlichen
158. Security Response auf eine
Meldung
Verwundbarkeit, Risiko und Ausnutzbarkeit analysieren
Fehler korrigieren
Korrektur prüfen
Regressionstest für Fehler implementieren
Update zur Fehlerbehebung und Advisory
veröffentlichen
Testdokumentation und -werkzeuge aktualisieren
160. Start
Die Bibel: „The Security Development Lifecycle“ von
Michael Howard und Steve Lipner
161. Start
Die Bibel: „The Security Development Lifecycle“ von
Michael Howard und Steve Lipner
ISBN 978-0-7356-2214-2
162. Start
Die Bibel: „The Security Development Lifecycle“ von
Michael Howard und Steve Lipner
ISBN 978-0-7356-2214-2
http://blogs.msdn.com/threatmodeling/
163. Start
Die Bibel: „The Security Development Lifecycle“ von
Michael Howard und Steve Lipner
ISBN 978-0-7356-2214-2
http://blogs.msdn.com/threatmodeling/
„Security in the Software Lifecycle“ - Department of
Homeland Security
166. Fazit
1.Awareness: Web Applikation sind risikobehaftet
2.SDL ist ein Weg, Sicherheit als Bestandteil des
Entwicklungsprozesses zu gewährleisten
167. Fazit
1.Awareness: Web Applikation sind risikobehaftet
2.SDL ist ein Weg, Sicherheit als Bestandteil des
Entwicklungsprozesses zu gewährleisten
3.Die Einführung bedeutet die Integration eines Sets von
Werkzeugen und Prozessen
168. Fazit
1.Awareness: Web Applikation sind risikobehaftet
2.SDL ist ein Weg, Sicherheit als Bestandteil des
Entwicklungsprozesses zu gewährleisten
3.Die Einführung bedeutet die Integration eines Sets von
Werkzeugen und Prozessen
4.SDL ist kein Silver Bullet: Anwendung des Toolsets liegt
beim Entwickler, der Erfolg auch.
174. Ausblick
Agile Entwicklungsprozesse und Sicherheit
Security Stakeholder als Kunden
Security Requirements
Security Tests
Security Expert als Sonderrolle im Team
175. Ausblick
Agile Entwicklungsprozesse und Sicherheit
Security Stakeholder als Kunden
Security Requirements
Security Tests
Security Expert als Sonderrolle im Team
Es gibt für MDA Ansätze wie CORAS, UMLsec und
SecureUML
177. Fragen?
Einfach per E-Mail:
johann-peter.hartmann@sektioneins.de
Hinweis der Redaktion
\n
OpenSource! OpenSource! OpenSource! Ja, wir haben GPL-Software im Angebot, und nein, ich bin kein Microsoft-Fan. Ok, C# und Dotnet ist cool. \n
Es gibt noch andere Ansätze als SDL, aber SDL ist der am besten dokumentiert - und der am einfachsten adaptierbare - Ansatz. \n
Es gibt noch andere Ansätze als SDL, aber SDL ist der am besten dokumentiert - und der am einfachsten adaptierbare - Ansatz. \n
Es gibt noch andere Ansätze als SDL, aber SDL ist der am besten dokumentiert - und der am einfachsten adaptierbare - Ansatz. \n
Es gibt noch andere Ansätze als SDL, aber SDL ist der am besten dokumentiert - und der am einfachsten adaptierbare - Ansatz. \n
Es gibt noch andere Ansätze als SDL, aber SDL ist der am besten dokumentiert - und der am einfachsten adaptierbare - Ansatz. \n
Glücklicherweise war ich in der Lage ein Foto des verantwortlichen Webapplikationssicherheitsbeauftragten zu bekommen. \n
Der Angreifer ist also keineswegs mehr der Amateur zuhause, sondern Dienstleister in einem funktionierenden Markt. „Für 40.000 Euro bekommt man die Daten jeder Firma“\n
Der Angreifer ist also keineswegs mehr der Amateur zuhause, sondern Dienstleister in einem funktionierenden Markt. „Für 40.000 Euro bekommt man die Daten jeder Firma“\n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
Hauptmotivation ist Informationsdiebstahl, dh. der Diebstahl von sensiblen Daten. Aus diesem Grund wird dieses Thema auch explizit behandelt. \n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
Sowohl in der Auditorenstatistik von OWASP der bei Audits gefundenen Probleme wie auch in der Vulnerability Enumeration der Mitre Organisation führt XSS - in der Praxis sind aber andere Probleme massgeblich. Ursache ist, dass XSS nur schwer für kriminielle Ziele exploitbar ist.\n
Desktopentwickler haben es einfacher: Die Applikation läuft nur wenn sie angeschaltet wurde, nur der lokale Nutzer hat Zugriff und dieser ist schon vom OS authentifiziert und authorisiert. Erst durch die Vernetzung und permanente Verfügbarkeit - wie etwa bei Outlook oder Webservern - explodiert die Angreifbarkeit.\n
Desktopentwickler haben es einfacher: Die Applikation läuft nur wenn sie angeschaltet wurde, nur der lokale Nutzer hat Zugriff und dieser ist schon vom OS authentifiziert und authorisiert. Erst durch die Vernetzung und permanente Verfügbarkeit - wie etwa bei Outlook oder Webservern - explodiert die Angreifbarkeit.\n
Desktopentwickler haben es einfacher: Die Applikation läuft nur wenn sie angeschaltet wurde, nur der lokale Nutzer hat Zugriff und dieser ist schon vom OS authentifiziert und authorisiert. Erst durch die Vernetzung und permanente Verfügbarkeit - wie etwa bei Outlook oder Webservern - explodiert die Angreifbarkeit.\n
Desktopentwickler haben es einfacher: Die Applikation läuft nur wenn sie angeschaltet wurde, nur der lokale Nutzer hat Zugriff und dieser ist schon vom OS authentifiziert und authorisiert. Erst durch die Vernetzung und permanente Verfügbarkeit - wie etwa bei Outlook oder Webservern - explodiert die Angreifbarkeit.\n
Beispiel: PHP, ASP - einfache Sprachen. Das Basic von heute ist die Clan-Seite, das veröffentlichte Programm in der 64er ist die Opensource-Software auf Sourceforge. \n
Beispiel: PHP, ASP - einfache Sprachen. Das Basic von heute ist die Clan-Seite, das veröffentlichte Programm in der 64er ist die Opensource-Software auf Sourceforge. \n
Beispiel: PHP, ASP - einfache Sprachen. Das Basic von heute ist die Clan-Seite, das veröffentlichte Programm in der 64er ist die Opensource-Software auf Sourceforge. \n
Beispiel: PHP, ASP - einfache Sprachen. Das Basic von heute ist die Clan-Seite, das veröffentlichte Programm in der 64er ist die Opensource-Software auf Sourceforge. \n
Beispiel: PHP, ASP - einfache Sprachen. Das Basic von heute ist die Clan-Seite, das veröffentlichte Programm in der 64er ist die Opensource-Software auf Sourceforge. \n
Es gibt auch noch Code von 1998. Der ist noch viel schlimmer. \n
Es gibt auch noch Code von 1998. Der ist noch viel schlimmer. \n
Es gibt auch noch Code von 1998. Der ist noch viel schlimmer. \n
Es gibt auch noch Code von 1998. Der ist noch viel schlimmer. \n
Es ist ein Irrtum, dass der Developer alles notwendige über Web Security wissen kann. Der Bereich ist zu komplex und entwickelt sich zu schnell, als dass das möglich wäre. \n
Es ist ein Irrtum, dass der Developer alles notwendige über Web Security wissen kann. Der Bereich ist zu komplex und entwickelt sich zu schnell, als dass das möglich wäre. \n
Es ist ein Irrtum, dass der Developer alles notwendige über Web Security wissen kann. Der Bereich ist zu komplex und entwickelt sich zu schnell, als dass das möglich wäre. \n
Es ist ein Irrtum, dass der Developer alles notwendige über Web Security wissen kann. Der Bereich ist zu komplex und entwickelt sich zu schnell, als dass das möglich wäre. \n
Es ist ein Irrtum, dass der Developer alles notwendige über Web Security wissen kann. Der Bereich ist zu komplex und entwickelt sich zu schnell, als dass das möglich wäre. \n
Es ist ein Irrtum, dass der Developer alles notwendige über Web Security wissen kann. Der Bereich ist zu komplex und entwickelt sich zu schnell, als dass das möglich wäre. \n
Es ist ein Irrtum, dass der Developer alles notwendige über Web Security wissen kann. Der Bereich ist zu komplex und entwickelt sich zu schnell, als dass das möglich wäre. \n
\n
Vielleicht sollte man sich nach ganz anderen Sachen umschauen ...\n
Wir haben ja viele Microsoft-Entwickler hier. Wenn mich nicht alles täuscht, ist Bill Gates nicht in Rente - offensichtlich haben die Jungs eine Lösung gefunden.\n
Wir haben ja viele Microsoft-Entwickler hier. Wenn mich nicht alles täuscht, ist Bill Gates nicht in Rente - offensichtlich haben die Jungs eine Lösung gefunden.\n
Wir haben ja viele Microsoft-Entwickler hier. Wenn mich nicht alles täuscht, ist Bill Gates nicht in Rente - offensichtlich haben die Jungs eine Lösung gefunden.\n
Wir haben ja viele Microsoft-Entwickler hier. Wenn mich nicht alles täuscht, ist Bill Gates nicht in Rente - offensichtlich haben die Jungs eine Lösung gefunden.\n
Wir haben ja viele Microsoft-Entwickler hier. Wenn mich nicht alles täuscht, ist Bill Gates nicht in Rente - offensichtlich haben die Jungs eine Lösung gefunden.\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
Bei den Kosten für Sichere Software werden sicherlich manche gerne darauf verzichten wollen :-) \n
Bei den Kosten für Sichere Software werden sicherlich manche gerne darauf verzichten wollen :-) \n
Bei den Kosten für Sichere Software werden sicherlich manche gerne darauf verzichten wollen :-) \n
Bei den Kosten für Sichere Software werden sicherlich manche gerne darauf verzichten wollen :-) \n
Ein gut geschulter Entwickler ist 60% der Miete, nicht mehr und nicht weniger.\n
Ein gut geschulter Entwickler ist 60% der Miete, nicht mehr und nicht weniger.\n
Ein gut geschulter Entwickler ist 60% der Miete, nicht mehr und nicht weniger.\n
Ein gut geschulter Entwickler ist 60% der Miete, nicht mehr und nicht weniger.\n
\n
\n
\n
Webanwendungen enden meistens rechts oben. Das ist der schlechteste Platz.\n
Gerade bei Webapplikationen werden viele mögliche Einschränkungen der Angriffsfläche übersehen. \n
Gerade bei Webapplikationen werden viele mögliche Einschränkungen der Angriffsfläche übersehen. \n
Gerade bei Webapplikationen werden viele mögliche Einschränkungen der Angriffsfläche übersehen. \n
Gerade bei Webapplikationen werden viele mögliche Einschränkungen der Angriffsfläche übersehen. \n
Gerade bei Webapplikationen werden viele mögliche Einschränkungen der Angriffsfläche übersehen. \n
In den Zeiten von Schäuble und Web 2.0 vermutlich kein Thema mehr :-) \n
In den Zeiten von Schäuble und Web 2.0 vermutlich kein Thema mehr :-) \n
Annahmen: i expect every user to come from the internet. i expect the ntlm-based authentication to work\n
Some say: chance of attack multiplied with damage potential\n
Some say: chance of attack multiplied with damage potential\n
Some say: chance of attack multiplied with damage potential\n
Some say: chance of attack multiplied with damage potential\n
Some say: chance of attack multiplied with damage potential\n
Some say: chance of attack multiplied with damage potential\n
Some say: chance of attack multiplied with damage potential\n
Some say: chance of attack multiplied with damage potential\n
Bug bar: not some fancy place to get a beer for a bug, but a risk that is ok to stay with until it‘s time to fix it.\n
Bug bar: not some fancy place to get a beer for a bug, but a risk that is ok to stay with until it‘s time to fix it.\n
Bug bar: not some fancy place to get a beer for a bug, but a risk that is ok to stay with until it‘s time to fix it.\n
Bug bar: not some fancy place to get a beer for a bug, but a risk that is ok to stay with until it‘s time to fix it.\n
Bug bar: not some fancy place to get a beer for a bug, but a risk that is ok to stay with until it‘s time to fix it.\n
It takes a whole lot of time, but it‘s less time to use the tool then to use n tool \n
\n
Complex code is a major reason for security problems. A cyclomatic complexity > 50 almost sure contains a security problem.\nOf course you should use tools like web application security scanners as well. currently it‘s hard to integrate them into the development circle, but this will happen in future. \n
there are a lot more, see the several security guidelines for php \n
\n
\n
\n
\n
This can be done less official if you got a small company or a small install base. nevertheless you need the responsiblity assigned to certain people and the workflow to handle security issues. \n
Ziemlich oft soll die Antwort auf eine Sicherheitslücke sehr schnell erfolgen, mit dem Resultat, dass der Bugfix unvollständig ist oder neue Lücken aufreisst. \n
Ziemlich oft soll die Antwort auf eine Sicherheitslücke sehr schnell erfolgen, mit dem Resultat, dass der Bugfix unvollständig ist oder neue Lücken aufreisst. \n
Ziemlich oft soll die Antwort auf eine Sicherheitslücke sehr schnell erfolgen, mit dem Resultat, dass der Bugfix unvollständig ist oder neue Lücken aufreisst. \n
Ziemlich oft soll die Antwort auf eine Sicherheitslücke sehr schnell erfolgen, mit dem Resultat, dass der Bugfix unvollständig ist oder neue Lücken aufreisst. \n
Ziemlich oft soll die Antwort auf eine Sicherheitslücke sehr schnell erfolgen, mit dem Resultat, dass der Bugfix unvollständig ist oder neue Lücken aufreisst. \n
Ziemlich oft soll die Antwort auf eine Sicherheitslücke sehr schnell erfolgen, mit dem Resultat, dass der Bugfix unvollständig ist oder neue Lücken aufreisst. \n