SlideShare ist ein Scribd-Unternehmen logo

Owasp mobile top 10

Digicomp Academy AG
Digicomp Academy AG
Technologie
1 von 33
Downloaden Sie, um offline zu lesen
Hacking Day 2012 – Future Security OWASP Mobile Top 10 Tobias Ellenberger - COO & Co-Partner - OneConsult GmbH © 2012 OneConsult GmbH 14. Juni 2012 www.oneconsult.com
Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 2 www.oneconsult.com
Vorstellung Über mich → Tobias Ellenberger → Ausbildung als Mediamatiker → Stetige Weiterbildung in den Bereichen Security, Netzwerk, Microsoft → Seit 2002 in den Bereichen Consulting und Engineering tätig → COO & Co-Partner der OneConsult GmbH © 2012 OneConsult GmbH 3 www.oneconsult.com
Vorstellung OneConsult GmbH → IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden ◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ tätig in allen Branchen → Kompetenz ◦ mehr als 500 technische Security Audits (davon 450 OSSTMM konform) ◦ Dutzende konzeptionelle Projekte → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien © 2012 OneConsult GmbH 4 www.oneconsult.com
Vorstellung Unsere Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning → Consulting ◦ Secure Software Development ◦ Strategy & Organisation ◦ Coaching ◦ Policies & Guidelines ◦ Processes & Documentation → Security as a Service ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management © 2012 OneConsult GmbH 5 www.oneconsult.com
Agenda Agenda → Vorstellung → Open Web Application Security Project (OWASP) → Das OWASP Mobile Security Project → Die OWASP Mobile Top 10 in der Praxis → Sicherheit – Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 6 www.oneconsult.com
Open Web Application Security Project Open Web Application Security Project → Gegründet 01.12.2001 in der USA → Unabhängige Non-Profit-Organisation → Fördern von Applikationssicherheit mit ◦ Vorträgen ◦ Veröffentlichungen (OWASP Top 10, Bücher, Guidelines) ◦ Veranstaltungen ◦ Projekten → OWASP in Zahlen ◦ Über 30‘000 Subscribers ◦ Über 140 Projekte ◦ Über 170 „Chapters“ (-> local Chapter Switzerland www.owasp.ch) © 2012 OneConsult GmbH 7 www.oneconsult.com
Open Web Application Security Project Open Web Application Security Project → OWASP Veranstaltungen ◦ Global AppSec Events (z.B Griechenland, USA, Uruguay) ◦ Regionale und Lokale Events (z.B Indien, Neuseeland, Deutschland) ◦ Partner Events (BHack, BlackHat USA, BruCON) → OWASP Bücher ◦ Ruby on Rails Security Guide ◦ Securing WebGoat using Modsecurity ◦ OWASP Backend Security → OWASP Projekte ◦ Protect ◦ Detect ◦ Life Cycle © 2012 OneConsult GmbH 8 www.oneconsult.com
Agenda Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 9 www.oneconsult.com
OWASP Mobile Security Project OWASP Mobile Security Project → Start: im Q3 2010 (Top 10 Release im September 2011) → Grund: eigene und unterschiedliche Risiken zu OWASP Top10 → Ziel: Sicherheit in den Development Life Cycle integrieren → Inhalt: ◦ Mobile Secure Development Guidelines ◦ Top 10 Mobile Risks (Angreifer) ◦ Top 10 Mobile Controls (Verteidiger) ◦ OWASP GetDroid Project (Vulnerability-Testing für Android) ◦ OWASP MobiSec Project (Live Environment) © 2012 OneConsult GmbH 10 www.oneconsult.com
OWASP Mobile Security Project OWASP Mobile Top 10 → Plattform unabhängig → Schwerpunkt sind generelle Risiken nicht einzelne Schwachstellen → Gewichtung anhand der «OWASP Risk Rating» Methode © 2012 OneConsult GmbH 11 www.oneconsult.com
OWASP Mobile Security Project OWASP Mobile Top 10 → M1: Insecure Data Storage → M2: Weak Server Side Controls → M3: Insufficient Transport Layer Protection → M4: Client Side Injection → M5: Poor Authorization And Authentication → M6: Improper Session Handling → M7: Security Decisions Via Untrusted Inputs → M8: Side Channel Data Leakage → M9: Broken Cryptography → M10: Sensitive Information Disclosure © 2012 OneConsult GmbH 12 www.oneconsult.com
Agenda Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 13 www.oneconsult.com
OWASP Mobile Top10 in der Praxis OWASP Mobile Top 10 → M1: Insecure Data Storage → M2: Weak server Side Controls → M3: Insufficient Transport Layer Protection → M4: Client Side Injection → M5: Poor Authorization and Authentication → M6: Improper Session Handling → M7: Security Decisions via untrusted Inputs → M8: Side Channel Data Leakage → M9: Broken Cryptography → M10: Sensitive Information Disclosure © 2012 OneConsult GmbH 14 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M1: Insecure Data Storage → Sensitive Daten werden ungeschützt gespeichert → Kann lokale Daten sowie in der Cloud gespeicherte Daten betreffen → Ursache: ◦ Daten werden nicht oder unzureichend verschlüsselt ◦ Falsch oder nicht gesetzte Berechtigungen ◦ Nichtberücksichtigen von Hersteller Guidelines (Best-Practices) ◦ Cache = Datenspeicher → Auswirkung: ◦ Verlust von vertraulichen Daten ◦ Benutzername und Passwörter können ausgelesen werden © 2012 OneConsult GmbH 15 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M1: Insecure Data Storage → Praxis Beispiel anhand einer iOS App ◦ NSUserDefaults (Schnittstelle) › Zitat Internet: «…mal eben eine Handvoll Daten speichern, ohne sich mit Pfaden, Dateinamen und Verzeichnissen herumärgern zu müssen. Genau das leisten die NSUserDefaults…» › Speichert Einstellungen oder Daten in der Userdefault Datenbank des Betriebssystems. + (void)BEISPIEL-EMAILToDevice:(NSString *)bspEMAIL { [[NSUserDefaults standardUserDefaults] setValue:[BEISPIELMain encrypt:bspNumber] forKey:@«BEISPIEL-EMAIL"]; } + (void)BEISPIEL-PasswordToDevice:(NSString *)bspPassword { [[NSUserDefaults standardUserDefaults] setValue:[BEISPIELMain encrypt:bspPassword] forKey:@«BEISPIEL-Password"]; } © 2012 OneConsult GmbH 16 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M1: Insecure Data Storage → Praxis Beispiel anhand einer iOS App ◦ Die «Verschlüsselung» + (NSString *)encrypt:(NSString *)string { NSString *key = @«XYZzyx+xy&1234xyzyx4321"; return [BEISPIELMain encrypt:string withKey:key]; } … // For each character in data, xor with current value in key for (int x = 0; x < [data length]; x++) {… ◦ Hardcoded Key ◦ XOR text XOR key = ciphertext ciphertext XOR key = text text XOR ciphertext = key © 2012 OneConsult GmbH 17 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M1: Insecure Data Storage → Präventive Massnahmen: ◦ Nur unbedingt benötigte Informationen auf dem Gerät speichern ◦ Wenn möglich keine Verzeichnisse oder Orte zum speichern verwenden die für alle zugängliche sind › ungesicherte SD-Karte › Benutzerstandardverzeichnisse ◦ Sichere API’s und Containers des Betriebssystems verwenden ◦ Zugriffsrechte beachten und wenn immer möglich keine globalen Berechtigungen vergeben (z.B «world readable» – «world writeable»). ◦ Keine selbst programmierten Verschlüsselungstechniken verwenden sondern diejenigen, welche allgemein als sicher gelten. © 2012 OneConsult GmbH 18 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → Betreffen die Backend Systeme → Sind keine «mobile risks» → Ursache: ◦ Den Mobilen Clients (oder der App) wird vertraut ◦ Bestehende Kontrollmechanismen vernachlässigt oder nicht angepasst ◦ Zeitdruck und Fokussierung auf App → Auswirkung: ◦ Keine Integrität der Daten ◦ Verlust von vertraulichem Inhalt ◦ Service Verfügbarkeit © 2012 OneConsult GmbH 19 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → Beispiel einer iPhone und Android App ◦ App macht einfache SOAP Anfrage «Login» ◦ Absender App <-> Empfänger Server ◦ Absender immer App? SOAP Anfrage «Login» <Login xmlns="http://beispiel.url.loginch/"> <var1 xmlns:ns1="http ://beispiel.url.loginch /" xsi:type="ns1:Login" xmlns=""> <pw xsi:type="ns1:Login"> <code>1234</code> </pw> <e-mail xsi:type="ns1:e-mail"> <mail>mail@beispiel.com</mail> </e-mail> </var1> </login> © 2012 OneConsult GmbH 20 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → Beispiel einer iPhone und Android App ◦ Server ist NICHT nur für die App erreichbar ◦ Angreifer macht einfache SOAP Anfrage «Login» SOAP Anfrage «Login 1» SOAP Anfrage «Login 2» SOAP Anfrage «Login 3» SOAP Anfrage «Login 4» SOAP Anfrage «Login X» © 2012 OneConsult GmbH 21 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → BTW: «Server Side Controls» →… © 2012 OneConsult GmbH 22 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → Präventive Massnahmen ◦ Verstehen der zusätzlich entstehenden Risiken ◦ Bestehendes Know-how (Web Security) darf nicht vergessen gehen sondern muss in die «neue» Infrastruktur einfliessen ◦ Bekannte Risiken und Guidelines von Anfang an mit einbeziehen › OWASP Top 10 › OWASP Mobile Top 10 › OWASP Web Services Top 10 › OWASP Cloud Top 10 ◦ Infrastrukturkomponenten Up-to-date halten © 2012 OneConsult GmbH 23 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Daten werden nicht oder nur unzureichend für die Übermittlung verschlüsselt → Schwache Verschlüsselung für die Übermittlung → Ursache: ◦ Zertifikatsprobleme (z.B ignorieren durch Benutzer) ◦ Falsches Error Handling ◦ Weitergabe von Daten an Drittanbietern ◦ Benutzen von GET-Requests für die Übermittlung → Auswirkung: ◦ Man-in-the-Middle Attacken ◦ Verfälschen und/oder abhören von übermittelten Daten ◦ Vertrauensverlust © 2012 OneConsult GmbH 24 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Beispiel einer iPhone App ◦ Benutzername und Passwort senden via GET-Request ◦ Problem: Kann gecached werden oder in Log eingesehen ◦ Eine Verbindung sollte IMMER verschlüsselt sein GET /url/mobile/login.html?=/url/mobile/.acc.html &lang=de&eml=oneconsult&pwd=1234 HTTP/1.1 Host: beispiel.url.ch Accept-Encoding: gzip, deflate Accept-Language: en-us GET /url/mobile/login.html?=/url/mobile/.acc.html &lang=de&firstname=oneconsult& lastname=oneconsult&reference=XYZ HTTP/1.1 Host: beispiel.url.ch © 2012 OneConsult GmbH 25 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Beispiel einer iPhone App ◦ Zertifikatsüberprüfung © 2012 OneConsult GmbH 26 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Beispiel einer iPhone App ◦ Problem: Man-in-the-Middle Attacke host.domäne.ch fake.angriff.com fake.angriff.com?j © 2012 OneConsult GmbH 27 www.oneconsult.com
OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Präventive Massnahmen ◦ Beachten von Warnhinweisen (Zertifikatswarnungen!) insbesondere bei «grossen» Anbietern ◦ Versichern, dass alle Daten die das Gerät verlassen verschlüsselt ist ◦ Die Daten müssen für die Übertragungen auf allen Kanälen verschlüsselt sein › DSL › Wireless › NFC › 3G / UMTS etc. © 2012 OneConsult GmbH 28 www.oneconsult.com
Agenda Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 29 www.oneconsult.com
Sicherheit - Tipps für die sichere Entwicklung von Mobile Apps Sicherheits - Tipps → Hersteller Guidelines → Integrieren der Security Themen in die Entwicklung → Berücksichtigen von bestehendem Know-How → Sicherheitsspezifische Aspekte durch Spezialisten (IT- Abteilung, Security-Abteilung, Externe Partner) beurteilen und ausarbeiten lassen. → Vorsicht bei der Integration vom Code von Drittanbietern (z.B Barcodeleser, Statistikprogramme etc.) → KISS (Keep it Small and Simple) → Aktuell halten  (nicht nur den Inhalt) © 2012 OneConsult GmbH 30 www.oneconsult.com
Kapitel XY Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 31 www.oneconsult.com
Fazit Fazit → Für Mobile Apps gibt es alte (bekannte) und neue Risiken ◦ Backend Services ◦ Datenhaltung (Lokal, Cloud etc.) ◦ Datenübermittlung → Die OWASP Mobile Top 10 Risiken entsprechen den Erfahrungen aus der Praxis → Eine Überprüfung Mobiler Applikationen beinhaltet auch die Überprüfung der Backend Server und deren Services → Den Clients kann man immer noch nicht trauen  © 2012 OneConsult GmbH 32 www.oneconsult.com
© 2012 OneConsult GmbH www.oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Tobias Ellenberger Mediamatiker EFZ, MCITP, OPST & OPSA COO & Co-Partner tobias.ellenberger@oneconsult.com +41 79 314 25 25 Hauptsitz Büro Deutschland Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A 8800 Thalwil 80333 München 1100 Wien Schweiz Deutschland Österreich Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.de info@oneconsult.at © 2012 OneConsult GmbH www.oneconsult.com

Empfohlen

8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxisDigicomp Academy AG
 
Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Incident response
Incident responseIncident response
Incident responseDigicomp Academy AG
 
Measuring The Security Of Web Applications (Owasp Germany 2008)
Measuring The Security Of Web Applications (Owasp Germany 2008)Measuring The Security Of Web Applications (Owasp Germany 2008)
Measuring The Security Of Web Applications (Owasp Germany 2008)sebastianschinzel
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
2014 cba kursuskatalog
2014 cba kursuskatalog2014 cba kursuskatalog
2014 cba kursuskatalog2B1GROUP human innovation ApS
 
Ética Profesional. Comercio y Finanzas Internacional.
Ética Profesional. Comercio y Finanzas Internacional. Ética Profesional. Comercio y Finanzas Internacional.
Ética Profesional. Comercio y Finanzas Internacional. mendezeduar
 
Elige tu propia aventura: El cepo
Elige tu propia aventura: El cepoElige tu propia aventura: El cepo
Elige tu propia aventura: El cepobelisario4
 

Empfohlen

8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxisDigicomp Academy AG
 
Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Incident response
Incident responseIncident response
Incident responseDigicomp Academy AG
 
Measuring The Security Of Web Applications (Owasp Germany 2008)
Measuring The Security Of Web Applications (Owasp Germany 2008)Measuring The Security Of Web Applications (Owasp Germany 2008)
Measuring The Security Of Web Applications (Owasp Germany 2008)sebastianschinzel
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
2014 cba kursuskatalog
2014 cba kursuskatalog2014 cba kursuskatalog
2014 cba kursuskatalog2B1GROUP human innovation ApS
 
Ética Profesional. Comercio y Finanzas Internacional.
Ética Profesional. Comercio y Finanzas Internacional. Ética Profesional. Comercio y Finanzas Internacional.
Ética Profesional. Comercio y Finanzas Internacional. mendezeduar
 
Elige tu propia aventura: El cepo
Elige tu propia aventura: El cepoElige tu propia aventura: El cepo
Elige tu propia aventura: El cepobelisario4
 
Cómo integrar el email marketing en la gestión comercial para invertir tiempo...
Cómo integrar el email marketing en la gestión comercial para invertir tiempo...Cómo integrar el email marketing en la gestión comercial para invertir tiempo...
Cómo integrar el email marketing en la gestión comercial para invertir tiempo...econred
 
La electricidad
La electricidad La electricidad
La electricidad Mary Galvis
 
Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...
Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...
Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...Mundo Contact
 
LAS REDES SOCIALES
LAS REDES SOCIALESLAS REDES SOCIALES
LAS REDES SOCIALESDanielCarbajo98
 
Service agreement nc sc_2013
Service agreement nc sc_2013Service agreement nc sc_2013
Service agreement nc sc_2013Jennifer Pingrey
 
IMGS Local Gov User Group Presentation
IMGS Local Gov User Group PresentationIMGS Local Gov User Group Presentation
IMGS Local Gov User Group PresentationIMGS
 
Taller
TallerTaller
Tallermariialerey
 
Folleto fpb
Folleto fpbFolleto fpb
Folleto fpbMARIA JOSE ALLUE
 
Lectio divinaw
Lectio divinawLectio divinaw
Lectio divinawexsal
 
CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013
CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013
CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013Centro Deportivo Israelita
 
Presentación muñecas de tusa
Presentación muñecas de tusaPresentación muñecas de tusa
Presentación muñecas de tusaIxcoyan-artesanias
 
E l behji el-huli - haxhi dhe umreja
E l behji el-huli - haxhi dhe umrejaE l behji el-huli - haxhi dhe umreja
E l behji el-huli - haxhi dhe umrejaLibra Islame
 
Fin stat 10 12 2010 fr
Fin stat 10 12 2010 frFin stat 10 12 2010 fr
Fin stat 10 12 2010 frFStat
 
Pestaño uruchurtu francisco javier protocolo de tesis definitiva
Pestaño uruchurtu francisco javier protocolo de tesis definitivaPestaño uruchurtu francisco javier protocolo de tesis definitiva
Pestaño uruchurtu francisco javier protocolo de tesis definitivaIPPSON
 
Rayuela slideshare
Rayuela slideshareRayuela slideshare
Rayuela slideshareesanchezpardo
 
Estadística: Chile una plataforma para la internacionalizacion
Estadística: Chile una plataforma para la internacionalizacionEstadística: Chile una plataforma para la internacionalizacion
Estadística: Chile una plataforma para la internacionalizacionAgencia Exportadora®
 
EXPERT TOPIC 1303- SHRIMP
EXPERT TOPIC 1303- SHRIMPEXPERT TOPIC 1303- SHRIMP
EXPERT TOPIC 1303- SHRIMPInternational Aquafeed
 
GGV Capital 2015 Year in Review
GGV Capital 2015 Year in ReviewGGV Capital 2015 Year in Review
GGV Capital 2015 Year in ReviewGGV Capital
 
Libro de jabberes
Libro de jabberesLibro de jabberes
Libro de jabberesliangel2003
 
Folleto de tecnologia naval
Folleto de tecnologia navalFolleto de tecnologia naval
Folleto de tecnologia navalCristhian Parraga
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDigicomp Academy AG
 
Br fra-v1.2
Br fra-v1.2Br fra-v1.2
Br fra-v1.2Bernd Rodler
 

Weitere ähnliche Inhalte

Andere mochten auch

Cómo integrar el email marketing en la gestión comercial para invertir tiempo...
Cómo integrar el email marketing en la gestión comercial para invertir tiempo...Cómo integrar el email marketing en la gestión comercial para invertir tiempo...
Cómo integrar el email marketing en la gestión comercial para invertir tiempo...econred
 
La electricidad
La electricidad La electricidad
La electricidad Mary Galvis
 
Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...
Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...
Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...Mundo Contact
 
Service agreement nc sc_2013
Service agreement nc sc_2013Service agreement nc sc_2013
Service agreement nc sc_2013Jennifer Pingrey
 
IMGS Local Gov User Group Presentation
IMGS Local Gov User Group PresentationIMGS Local Gov User Group Presentation
IMGS Local Gov User Group PresentationIMGS
 
Lectio divinaw
Lectio divinawLectio divinaw
Lectio divinawexsal
 
CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013
CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013
CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013Centro Deportivo Israelita
 
Presentación muñecas de tusa
Presentación muñecas de tusaPresentación muñecas de tusa
Presentación muñecas de tusaIxcoyan-artesanias
 
E l behji el-huli - haxhi dhe umreja
E l behji el-huli - haxhi dhe umrejaE l behji el-huli - haxhi dhe umreja
E l behji el-huli - haxhi dhe umrejaLibra Islame
 
Fin stat 10 12 2010 fr
Fin stat 10 12 2010 frFin stat 10 12 2010 fr
Fin stat 10 12 2010 frFStat
 
Pestaño uruchurtu francisco javier protocolo de tesis definitiva
Pestaño uruchurtu francisco javier protocolo de tesis definitivaPestaño uruchurtu francisco javier protocolo de tesis definitiva
Pestaño uruchurtu francisco javier protocolo de tesis definitivaIPPSON
 
Estadística: Chile una plataforma para la internacionalizacion
Estadística: Chile una plataforma para la internacionalizacionEstadística: Chile una plataforma para la internacionalizacion
Estadística: Chile una plataforma para la internacionalizacionAgencia Exportadora®
 
GGV Capital 2015 Year in Review
GGV Capital 2015 Year in ReviewGGV Capital 2015 Year in Review
GGV Capital 2015 Year in ReviewGGV Capital
 
Libro de jabberes
Libro de jabberesLibro de jabberes
Libro de jabberesliangel2003
 

Andere mochten auch (20)

Cómo integrar el email marketing en la gestión comercial para invertir tiempo...
Cómo integrar el email marketing en la gestión comercial para invertir tiempo...Cómo integrar el email marketing en la gestión comercial para invertir tiempo...
Cómo integrar el email marketing en la gestión comercial para invertir tiempo...
 
La electricidad
La electricidad La electricidad
La electricidad
 
Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...
Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...
Presentación del IDETIC (Instituto de Desarrollo Estratégico de Tecnologías d...
 
LAS REDES SOCIALES
LAS REDES SOCIALESLAS REDES SOCIALES
LAS REDES SOCIALES
 
Service agreement nc sc_2013
Service agreement nc sc_2013Service agreement nc sc_2013
Service agreement nc sc_2013
 
IMGS Local Gov User Group Presentation
IMGS Local Gov User Group PresentationIMGS Local Gov User Group Presentation
IMGS Local Gov User Group Presentation
 
Taller
TallerTaller
Taller
 
Folleto fpb
Folleto fpbFolleto fpb
Folleto fpb
 
Lectio divinaw
Lectio divinawLectio divinaw
Lectio divinaw
 
CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013
CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013
CDINFORMA NÚM. 2622 16 DE JESHVÁN DE 5774 MÉXICO D.F. A 20 DE OCTUBRE DE 2013
 
Presentación muñecas de tusa
Presentación muñecas de tusaPresentación muñecas de tusa
Presentación muñecas de tusa
 
E l behji el-huli - haxhi dhe umreja
E l behji el-huli - haxhi dhe umrejaE l behji el-huli - haxhi dhe umreja
E l behji el-huli - haxhi dhe umreja
 
Fin stat 10 12 2010 fr
Fin stat 10 12 2010 frFin stat 10 12 2010 fr
Fin stat 10 12 2010 fr
 
Pestaño uruchurtu francisco javier protocolo de tesis definitiva
Pestaño uruchurtu francisco javier protocolo de tesis definitivaPestaño uruchurtu francisco javier protocolo de tesis definitiva
Pestaño uruchurtu francisco javier protocolo de tesis definitiva
 
Rayuela slideshare
Rayuela slideshareRayuela slideshare
Rayuela slideshare
 
Estadística: Chile una plataforma para la internacionalizacion
Estadística: Chile una plataforma para la internacionalizacionEstadística: Chile una plataforma para la internacionalizacion
Estadística: Chile una plataforma para la internacionalizacion
 
EXPERT TOPIC 1303- SHRIMP
EXPERT TOPIC 1303- SHRIMPEXPERT TOPIC 1303- SHRIMP
EXPERT TOPIC 1303- SHRIMP
 
GGV Capital 2015 Year in Review
GGV Capital 2015 Year in ReviewGGV Capital 2015 Year in Review
GGV Capital 2015 Year in Review
 
Libro de jabberes
Libro de jabberesLibro de jabberes
Libro de jabberes
 
Folleto de tecnologia naval
Folleto de tecnologia navalFolleto de tecnologia naval
Folleto de tecnologia naval
 

Ähnlich wie Owasp mobile top 10

Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDigicomp Academy AG
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521ihrepartner.ch gmbh
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesSven Bernhardt
 
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...Sabrina Lamberth-Cocca
 
Forms 11g und das iPhone - OPITZ CONSULTING - Gerd Volberg
Forms 11g und das iPhone - OPITZ CONSULTING - Gerd VolbergForms 11g und das iPhone - OPITZ CONSULTING - Gerd Volberg
Forms 11g und das iPhone - OPITZ CONSULTING - Gerd VolbergOPITZ CONSULTING Deutschland
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verifygo4mobile ag
 
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!AFF Group
 
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...OPITZ CONSULTING Deutschland
 
Intranet Implementierung mit Intrexx
Intranet Implementierung mit IntrexxIntranet Implementierung mit Intrexx
Intranet Implementierung mit IntrexxBrigitte Ilsanker
 
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016 „Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016direkt gruppe GmbH
 
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...Matthias Stürmer
 
Innovation Lab as a Service - Ein Erfahrungsbericht
Innovation Lab as a Service - Ein ErfahrungsberichtInnovation Lab as a Service - Ein Erfahrungsbericht
Innovation Lab as a Service - Ein ErfahrungsberichtOPITZ CONSULTING Deutschland
 

Ähnlich wie Owasp mobile top 10 (20)

Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
 
Br fra-v1.2
Br fra-v1.2Br fra-v1.2
Br fra-v1.2
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
 
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
 
Forms 11g und das iPhone - OPITZ CONSULTING - Gerd Volberg
Forms 11g und das iPhone - OPITZ CONSULTING - Gerd VolbergForms 11g und das iPhone - OPITZ CONSULTING - Gerd Volberg
Forms 11g und das iPhone - OPITZ CONSULTING - Gerd Volberg
 
OC|Webcast "Java heute" vom 24.08.2021
OC|Webcast "Java heute" vom 24.08.2021OC|Webcast "Java heute" vom 24.08.2021
OC|Webcast "Java heute" vom 24.08.2021
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 
Präsentation iFred auf Veranstaltung 08.11.2013
Präsentation iFred auf Veranstaltung 08.11.2013Präsentation iFred auf Veranstaltung 08.11.2013
Präsentation iFred auf Veranstaltung 08.11.2013
 
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!
 
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
 
Intranet Implementierung mit Intrexx
Intranet Implementierung mit IntrexxIntranet Implementierung mit Intrexx
Intranet Implementierung mit Intrexx
 
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016 „Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
 
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
 
Microprofile.io
Microprofile.io Microprofile.io
Microprofile.io
 
Innovation Lab as a Service - Ein Erfahrungsbericht
Innovation Lab as a Service - Ein ErfahrungsberichtInnovation Lab as a Service - Ein Erfahrungsbericht
Innovation Lab as a Service - Ein Erfahrungsbericht
 
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Owasp mobile top 10

  • 1. Hacking Day 2012 – Future Security OWASP Mobile Top 10 Tobias Ellenberger - COO & Co-Partner - OneConsult GmbH © 2012 OneConsult GmbH 14. Juni 2012 www.oneconsult.com
  • 2. Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 2 www.oneconsult.com
  • 3. Vorstellung Über mich → Tobias Ellenberger → Ausbildung als Mediamatiker → Stetige Weiterbildung in den Bereichen Security, Netzwerk, Microsoft → Seit 2002 in den Bereichen Consulting und Engineering tätig → COO & Co-Partner der OneConsult GmbH © 2012 OneConsult GmbH 3 www.oneconsult.com
  • 4. Vorstellung OneConsult GmbH → IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden ◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ tätig in allen Branchen → Kompetenz ◦ mehr als 500 technische Security Audits (davon 450 OSSTMM konform) ◦ Dutzende konzeptionelle Projekte → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien © 2012 OneConsult GmbH 4 www.oneconsult.com
  • 5. Vorstellung Unsere Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning → Consulting ◦ Secure Software Development ◦ Strategy & Organisation ◦ Coaching ◦ Policies & Guidelines ◦ Processes & Documentation → Security as a Service ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management © 2012 OneConsult GmbH 5 www.oneconsult.com
  • 6. Agenda Agenda → Vorstellung → Open Web Application Security Project (OWASP) → Das OWASP Mobile Security Project → Die OWASP Mobile Top 10 in der Praxis → Sicherheit – Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 6 www.oneconsult.com
  • 7. Open Web Application Security Project Open Web Application Security Project → Gegründet 01.12.2001 in der USA → Unabhängige Non-Profit-Organisation → Fördern von Applikationssicherheit mit ◦ Vorträgen ◦ Veröffentlichungen (OWASP Top 10, Bücher, Guidelines) ◦ Veranstaltungen ◦ Projekten → OWASP in Zahlen ◦ Über 30‘000 Subscribers ◦ Über 140 Projekte ◦ Über 170 „Chapters“ (-> local Chapter Switzerland www.owasp.ch) © 2012 OneConsult GmbH 7 www.oneconsult.com
  • 8. Open Web Application Security Project Open Web Application Security Project → OWASP Veranstaltungen ◦ Global AppSec Events (z.B Griechenland, USA, Uruguay) ◦ Regionale und Lokale Events (z.B Indien, Neuseeland, Deutschland) ◦ Partner Events (BHack, BlackHat USA, BruCON) → OWASP Bücher ◦ Ruby on Rails Security Guide ◦ Securing WebGoat using Modsecurity ◦ OWASP Backend Security → OWASP Projekte ◦ Protect ◦ Detect ◦ Life Cycle © 2012 OneConsult GmbH 8 www.oneconsult.com
  • 9. Agenda Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 9 www.oneconsult.com
  • 10. OWASP Mobile Security Project OWASP Mobile Security Project → Start: im Q3 2010 (Top 10 Release im September 2011) → Grund: eigene und unterschiedliche Risiken zu OWASP Top10 → Ziel: Sicherheit in den Development Life Cycle integrieren → Inhalt: ◦ Mobile Secure Development Guidelines ◦ Top 10 Mobile Risks (Angreifer) ◦ Top 10 Mobile Controls (Verteidiger) ◦ OWASP GetDroid Project (Vulnerability-Testing für Android) ◦ OWASP MobiSec Project (Live Environment) © 2012 OneConsult GmbH 10 www.oneconsult.com
  • 11. OWASP Mobile Security Project OWASP Mobile Top 10 → Plattform unabhängig → Schwerpunkt sind generelle Risiken nicht einzelne Schwachstellen → Gewichtung anhand der «OWASP Risk Rating» Methode © 2012 OneConsult GmbH 11 www.oneconsult.com
  • 12. OWASP Mobile Security Project OWASP Mobile Top 10 → M1: Insecure Data Storage → M2: Weak Server Side Controls → M3: Insufficient Transport Layer Protection → M4: Client Side Injection → M5: Poor Authorization And Authentication → M6: Improper Session Handling → M7: Security Decisions Via Untrusted Inputs → M8: Side Channel Data Leakage → M9: Broken Cryptography → M10: Sensitive Information Disclosure © 2012 OneConsult GmbH 12 www.oneconsult.com
  • 13. Agenda Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 13 www.oneconsult.com
  • 14. OWASP Mobile Top10 in der Praxis OWASP Mobile Top 10 → M1: Insecure Data Storage → M2: Weak server Side Controls → M3: Insufficient Transport Layer Protection → M4: Client Side Injection → M5: Poor Authorization and Authentication → M6: Improper Session Handling → M7: Security Decisions via untrusted Inputs → M8: Side Channel Data Leakage → M9: Broken Cryptography → M10: Sensitive Information Disclosure © 2012 OneConsult GmbH 14 www.oneconsult.com
  • 15. OWASP Mobile Top10 in der Praxis M1: Insecure Data Storage → Sensitive Daten werden ungeschützt gespeichert → Kann lokale Daten sowie in der Cloud gespeicherte Daten betreffen → Ursache: ◦ Daten werden nicht oder unzureichend verschlüsselt ◦ Falsch oder nicht gesetzte Berechtigungen ◦ Nichtberücksichtigen von Hersteller Guidelines (Best-Practices) ◦ Cache = Datenspeicher → Auswirkung: ◦ Verlust von vertraulichen Daten ◦ Benutzername und Passwörter können ausgelesen werden © 2012 OneConsult GmbH 15 www.oneconsult.com
  • 16. OWASP Mobile Top10 in der Praxis M1: Insecure Data Storage → Praxis Beispiel anhand einer iOS App ◦ NSUserDefaults (Schnittstelle) › Zitat Internet: «…mal eben eine Handvoll Daten speichern, ohne sich mit Pfaden, Dateinamen und Verzeichnissen herumärgern zu müssen. Genau das leisten die NSUserDefaults…» › Speichert Einstellungen oder Daten in der Userdefault Datenbank des Betriebssystems. + (void)BEISPIEL-EMAILToDevice:(NSString *)bspEMAIL { [[NSUserDefaults standardUserDefaults] setValue:[BEISPIELMain encrypt:bspNumber] forKey:@«BEISPIEL-EMAIL"]; } + (void)BEISPIEL-PasswordToDevice:(NSString *)bspPassword { [[NSUserDefaults standardUserDefaults] setValue:[BEISPIELMain encrypt:bspPassword] forKey:@«BEISPIEL-Password"]; } © 2012 OneConsult GmbH 16 www.oneconsult.com
  • 17. OWASP Mobile Top10 in der Praxis M1: Insecure Data Storage → Praxis Beispiel anhand einer iOS App ◦ Die «Verschlüsselung» + (NSString *)encrypt:(NSString *)string { NSString *key = @«XYZzyx+xy&1234xyzyx4321"; return [BEISPIELMain encrypt:string withKey:key]; } … // For each character in data, xor with current value in key for (int x = 0; x < [data length]; x++) {… ◦ Hardcoded Key ◦ XOR text XOR key = ciphertext ciphertext XOR key = text text XOR ciphertext = key © 2012 OneConsult GmbH 17 www.oneconsult.com
  • 18. OWASP Mobile Top10 in der Praxis M1: Insecure Data Storage → Präventive Massnahmen: ◦ Nur unbedingt benötigte Informationen auf dem Gerät speichern ◦ Wenn möglich keine Verzeichnisse oder Orte zum speichern verwenden die für alle zugängliche sind › ungesicherte SD-Karte › Benutzerstandardverzeichnisse ◦ Sichere API’s und Containers des Betriebssystems verwenden ◦ Zugriffsrechte beachten und wenn immer möglich keine globalen Berechtigungen vergeben (z.B «world readable» – «world writeable»). ◦ Keine selbst programmierten Verschlüsselungstechniken verwenden sondern diejenigen, welche allgemein als sicher gelten. © 2012 OneConsult GmbH 18 www.oneconsult.com
  • 19. OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → Betreffen die Backend Systeme → Sind keine «mobile risks» → Ursache: ◦ Den Mobilen Clients (oder der App) wird vertraut ◦ Bestehende Kontrollmechanismen vernachlässigt oder nicht angepasst ◦ Zeitdruck und Fokussierung auf App → Auswirkung: ◦ Keine Integrität der Daten ◦ Verlust von vertraulichem Inhalt ◦ Service Verfügbarkeit © 2012 OneConsult GmbH 19 www.oneconsult.com
  • 20. OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → Beispiel einer iPhone und Android App ◦ App macht einfache SOAP Anfrage «Login» ◦ Absender App <-> Empfänger Server ◦ Absender immer App? SOAP Anfrage «Login» <Login xmlns="http://beispiel.url.loginch/"> <var1 xmlns:ns1="http ://beispiel.url.loginch /" xsi:type="ns1:Login" xmlns=""> <pw xsi:type="ns1:Login"> <code>1234</code> </pw> <e-mail xsi:type="ns1:e-mail"> <mail>mail@beispiel.com</mail> </e-mail> </var1> </login> © 2012 OneConsult GmbH 20 www.oneconsult.com
  • 21. OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → Beispiel einer iPhone und Android App ◦ Server ist NICHT nur für die App erreichbar ◦ Angreifer macht einfache SOAP Anfrage «Login» SOAP Anfrage «Login 1» SOAP Anfrage «Login 2» SOAP Anfrage «Login 3» SOAP Anfrage «Login 4» SOAP Anfrage «Login X» © 2012 OneConsult GmbH 21 www.oneconsult.com
  • 22. OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → BTW: «Server Side Controls» →… © 2012 OneConsult GmbH 22 www.oneconsult.com
  • 23. OWASP Mobile Top10 in der Praxis M2: Weak Server Side Controls → Präventive Massnahmen ◦ Verstehen der zusätzlich entstehenden Risiken ◦ Bestehendes Know-how (Web Security) darf nicht vergessen gehen sondern muss in die «neue» Infrastruktur einfliessen ◦ Bekannte Risiken und Guidelines von Anfang an mit einbeziehen › OWASP Top 10 › OWASP Mobile Top 10 › OWASP Web Services Top 10 › OWASP Cloud Top 10 ◦ Infrastrukturkomponenten Up-to-date halten © 2012 OneConsult GmbH 23 www.oneconsult.com
  • 24. OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Daten werden nicht oder nur unzureichend für die Übermittlung verschlüsselt → Schwache Verschlüsselung für die Übermittlung → Ursache: ◦ Zertifikatsprobleme (z.B ignorieren durch Benutzer) ◦ Falsches Error Handling ◦ Weitergabe von Daten an Drittanbietern ◦ Benutzen von GET-Requests für die Übermittlung → Auswirkung: ◦ Man-in-the-Middle Attacken ◦ Verfälschen und/oder abhören von übermittelten Daten ◦ Vertrauensverlust © 2012 OneConsult GmbH 24 www.oneconsult.com
  • 25. OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Beispiel einer iPhone App ◦ Benutzername und Passwort senden via GET-Request ◦ Problem: Kann gecached werden oder in Log eingesehen ◦ Eine Verbindung sollte IMMER verschlüsselt sein GET /url/mobile/login.html?=/url/mobile/.acc.html &lang=de&eml=oneconsult&pwd=1234 HTTP/1.1 Host: beispiel.url.ch Accept-Encoding: gzip, deflate Accept-Language: en-us GET /url/mobile/login.html?=/url/mobile/.acc.html &lang=de&firstname=oneconsult& lastname=oneconsult&reference=XYZ HTTP/1.1 Host: beispiel.url.ch © 2012 OneConsult GmbH 25 www.oneconsult.com
  • 26. OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Beispiel einer iPhone App ◦ Zertifikatsüberprüfung © 2012 OneConsult GmbH 26 www.oneconsult.com
  • 27. OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Beispiel einer iPhone App ◦ Problem: Man-in-the-Middle Attacke host.domäne.ch fake.angriff.com fake.angriff.com?j © 2012 OneConsult GmbH 27 www.oneconsult.com
  • 28. OWASP Mobile Top10 in der Praxis M3: Insufficient Transport Layer Protection → Präventive Massnahmen ◦ Beachten von Warnhinweisen (Zertifikatswarnungen!) insbesondere bei «grossen» Anbietern ◦ Versichern, dass alle Daten die das Gerät verlassen verschlüsselt ist ◦ Die Daten müssen für die Übertragungen auf allen Kanälen verschlüsselt sein › DSL › Wireless › NFC › 3G / UMTS etc. © 2012 OneConsult GmbH 28 www.oneconsult.com
  • 29. Agenda Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 29 www.oneconsult.com
  • 30. Sicherheit - Tipps für die sichere Entwicklung von Mobile Apps Sicherheits - Tipps → Hersteller Guidelines → Integrieren der Security Themen in die Entwicklung → Berücksichtigen von bestehendem Know-How → Sicherheitsspezifische Aspekte durch Spezialisten (IT- Abteilung, Security-Abteilung, Externe Partner) beurteilen und ausarbeiten lassen. → Vorsicht bei der Integration vom Code von Drittanbietern (z.B Barcodeleser, Statistikprogramme etc.) → KISS (Keep it Small and Simple) → Aktuell halten  (nicht nur den Inhalt) © 2012 OneConsult GmbH 30 www.oneconsult.com
  • 31. Kapitel XY Agenda → Vorstellung → Open Web Application Security Project (OWASP) → OWASP Mobile Security Project → OWASP Mobile Top 10 in der Praxis → Tipps für die Entwicklung von Mobile Apps → Fazit © 2012 OneConsult GmbH 31 www.oneconsult.com
  • 32. Fazit Fazit → Für Mobile Apps gibt es alte (bekannte) und neue Risiken ◦ Backend Services ◦ Datenhaltung (Lokal, Cloud etc.) ◦ Datenübermittlung → Die OWASP Mobile Top 10 Risiken entsprechen den Erfahrungen aus der Praxis → Eine Überprüfung Mobiler Applikationen beinhaltet auch die Überprüfung der Backend Server und deren Services → Den Clients kann man immer noch nicht trauen  © 2012 OneConsult GmbH 32 www.oneconsult.com
  • 33. © 2012 OneConsult GmbH www.oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Tobias Ellenberger Mediamatiker EFZ, MCITP, OPST & OPSA COO & Co-Partner tobias.ellenberger@oneconsult.com +41 79 314 25 25 Hauptsitz Büro Deutschland Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A 8800 Thalwil 80333 München 1100 Wien Schweiz Deutschland Österreich Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.de info@oneconsult.at © 2012 OneConsult GmbH www.oneconsult.com