Wer sind die Angreifer im Netz, was sind Ihre Ziele und gegen welche Arten von Attacken muss ich mich wappnen?
Es gilt immensen Schaden abzuwenden und das Vertrauen der Nutzer in Ihre Plattform zu gewinnen und zu bewahren.
Kryptografie und Zertifikate (Cryptoparty)tschikarski
Eine kurze Einführung in Grundlagen der Verschlüsselung und elektronischen Unterschrift mit anschließendem Workshop zur Nutzung von GnuPG (PGP) bei E-Mail
Webinar 06/11: Mobile Web- Nur wer den Trend versteht, kann zielgerichtet han...kuehlhaus AG
Jetzt anmelden zu dem kostenlosem und spannendem Webinar am 06/11: http://www.kuehlhaus.com/event-Mobile-7.html
Spätestens seit der Einführung des iPhone wird das Mobile Web in Führungsebenen sowie Marketingeinheiten heftig diskutiert. In Zeiten von Smartphones und Apps ergeben sich viele neue Handlungsfelder und kreative Möglichkeiten.
Slides zu meinem Talk beim Entwicklertag 2015 in Karlsruhe.
# Zusammenfassung
Sicherheit von Web-Anwendungen ist ein heißes Thema. Obwohl seit Jahren aktuell, werden die Meldungen über erneute Lücken gefühlt eher schlimmer als besser. Der Trend zu Single-Page-Anwendungen bringt für uns Entwickler eine ganze Reihe neuer Herausforderungen in punkto Sicherheit mit sich, da immer mehr Funktionalität in den Browser verlagert wird und dadurch mehr Code in nicht vertrauenswürdiger Umgebung läuft.
In diesem Talk wir anhand von AngularJS gezeigt auf was man bei SPAs achten muss. Anhand von Code-Beispielen wird natürlich auch gezeigt wie man sich z.B. vor Cross-Site-Scripting, Cross-Site-Request-Forgery und Code-Injection schützt und welche Gefahren sonst noch so lauern.
# Kurz-Bio
Philipp Burgmer studierte an der Hochschule Karlsruhe Informatik und arbeitet als Entwickler, Berater und [Trainer](http://thecodecampus.de) für die [w11k GmbH](http://w11k.de). Er ist Experte für Webtechnologien und beschäftigt sich mit der Gestaltung und Optimierung von Benutzeroberflächen. Privat interessiert er sich für Klettern und DJing.
Softwerkskammer Lübeck
Vortrag zu Cyber Security und dem OWASP Juice Shop
bei checkdomain
--
Die Zeiten, als noch ohne tiefgreifendes Motiv Viren entwickelt wurden, sind lange vorbei. Cybercrime ist heutzutage ein lukratives Geschäft für die Organisierte Kriminalität. Das belegen immer wieder erfolgreiche Angriffe auf Applikationen großer Unternehmen wie Sony, Yahoo, Twitter, Facebook und Co. Cybercrime verursacht jährlich einen Schaden von ca. 350 Mrd. € für die globale Wirtschaft, was 0,5% des Weltbruttosozialprodukts entspricht. Zum Vergleich: Der jährliche Schaden, der durch Drogenhandel entsteht, wird auf 600 Mrd. € geschätzt. Über 250.000 neue Malware-Varianten werden täglich gefunden. Durch die immer weitreichendere digitale Transformation müssen sich immer mehr Branchen mit Cybersecurity befassen.
Interessant ist, dass laut Verizon 71% aller erfolgreichen Cyber-Attacken in Unternehmen mit weniger als 100 Mitarbeitern erfolgen. Hier ist die Innovationskraft besonders groß und gleichzeitig ist Security meist nicht fest in Unternehmensprozesse verankert. 40% aller erfolgreichen Angriffe erfolgen über Webapplikationen.
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
Sicherheit ist leider immer noch eine allzu häufig vernachlässigte nicht-funktionale Eigenschaft heutiger IT-Systeme. Auftraggeber haben oft nur die implizite Erwartung an ein sicheres System. Wir als Entwickler konzipieren und bauen aber genau das, was explizit gefordert wurde. Mit manchmal unangenehmen Konsequenzen.
Das Nachrüsten von Sicherheit in ein bestehendes System ist arbeitsintensiv, zeitaufwändig und teuer. Einfacher ist es, die Sicherheit bereits vom ersten Tag an mit zu berücksichtigen. Hört sich schwierig an? Das muss nicht sein.
Dieser Vortrag präsentiert einfache Regeln, Tools, Technologien und Entwurfsmuster für sichere Systemarchitekturen, die ein sicherheitsorientierter Entwickler oder Architekt definitiv kennen sollte. @heise_devSec @qaware #heisedevsec
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
//heise devSec() 2017, Heidelberg: Vortrag von Mario-Leander Reimer (@LeanderReimer, Cheftechnologe bei QAware) und Simon Bäumler (Softwarearchitekt bei QAware).
Abstract: Sicherheit ist leider immer noch eine allzu häufig vernachlässigte nicht-funktionale Eigenschaft heutiger IT-Systeme. Auftraggeber haben oft nur die implizite Erwartung an ein sicheres System. Wir als Entwickler konzipieren und bauen aber genau das, was explizit gefordert wurde. Mit manchmal unangenehmen Konsequenzen.
Das Nachrüsten von Sicherheit in ein bestehendes System ist arbeitsintensiv, zeitaufwändig und teuer. Einfacher ist es, die Sicherheit bereits vom ersten Tag an mit zu berücksichtigen. Hört sich schwierig an? Das muss nicht sein.
Dieser Vortrag präsentiert einfache Regeln, Tools, Technologien und Entwurfsmuster für sichere Systemarchitekturen, die ein sicherheitsorientierter Entwickler oder Architekt definitiv kennen sollte.
Kryptografie und Zertifikate (Cryptoparty)tschikarski
Eine kurze Einführung in Grundlagen der Verschlüsselung und elektronischen Unterschrift mit anschließendem Workshop zur Nutzung von GnuPG (PGP) bei E-Mail
Webinar 06/11: Mobile Web- Nur wer den Trend versteht, kann zielgerichtet han...kuehlhaus AG
Jetzt anmelden zu dem kostenlosem und spannendem Webinar am 06/11: http://www.kuehlhaus.com/event-Mobile-7.html
Spätestens seit der Einführung des iPhone wird das Mobile Web in Führungsebenen sowie Marketingeinheiten heftig diskutiert. In Zeiten von Smartphones und Apps ergeben sich viele neue Handlungsfelder und kreative Möglichkeiten.
Slides zu meinem Talk beim Entwicklertag 2015 in Karlsruhe.
# Zusammenfassung
Sicherheit von Web-Anwendungen ist ein heißes Thema. Obwohl seit Jahren aktuell, werden die Meldungen über erneute Lücken gefühlt eher schlimmer als besser. Der Trend zu Single-Page-Anwendungen bringt für uns Entwickler eine ganze Reihe neuer Herausforderungen in punkto Sicherheit mit sich, da immer mehr Funktionalität in den Browser verlagert wird und dadurch mehr Code in nicht vertrauenswürdiger Umgebung läuft.
In diesem Talk wir anhand von AngularJS gezeigt auf was man bei SPAs achten muss. Anhand von Code-Beispielen wird natürlich auch gezeigt wie man sich z.B. vor Cross-Site-Scripting, Cross-Site-Request-Forgery und Code-Injection schützt und welche Gefahren sonst noch so lauern.
# Kurz-Bio
Philipp Burgmer studierte an der Hochschule Karlsruhe Informatik und arbeitet als Entwickler, Berater und [Trainer](http://thecodecampus.de) für die [w11k GmbH](http://w11k.de). Er ist Experte für Webtechnologien und beschäftigt sich mit der Gestaltung und Optimierung von Benutzeroberflächen. Privat interessiert er sich für Klettern und DJing.
Softwerkskammer Lübeck
Vortrag zu Cyber Security und dem OWASP Juice Shop
bei checkdomain
--
Die Zeiten, als noch ohne tiefgreifendes Motiv Viren entwickelt wurden, sind lange vorbei. Cybercrime ist heutzutage ein lukratives Geschäft für die Organisierte Kriminalität. Das belegen immer wieder erfolgreiche Angriffe auf Applikationen großer Unternehmen wie Sony, Yahoo, Twitter, Facebook und Co. Cybercrime verursacht jährlich einen Schaden von ca. 350 Mrd. € für die globale Wirtschaft, was 0,5% des Weltbruttosozialprodukts entspricht. Zum Vergleich: Der jährliche Schaden, der durch Drogenhandel entsteht, wird auf 600 Mrd. € geschätzt. Über 250.000 neue Malware-Varianten werden täglich gefunden. Durch die immer weitreichendere digitale Transformation müssen sich immer mehr Branchen mit Cybersecurity befassen.
Interessant ist, dass laut Verizon 71% aller erfolgreichen Cyber-Attacken in Unternehmen mit weniger als 100 Mitarbeitern erfolgen. Hier ist die Innovationskraft besonders groß und gleichzeitig ist Security meist nicht fest in Unternehmensprozesse verankert. 40% aller erfolgreichen Angriffe erfolgen über Webapplikationen.
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
Sicherheit ist leider immer noch eine allzu häufig vernachlässigte nicht-funktionale Eigenschaft heutiger IT-Systeme. Auftraggeber haben oft nur die implizite Erwartung an ein sicheres System. Wir als Entwickler konzipieren und bauen aber genau das, was explizit gefordert wurde. Mit manchmal unangenehmen Konsequenzen.
Das Nachrüsten von Sicherheit in ein bestehendes System ist arbeitsintensiv, zeitaufwändig und teuer. Einfacher ist es, die Sicherheit bereits vom ersten Tag an mit zu berücksichtigen. Hört sich schwierig an? Das muss nicht sein.
Dieser Vortrag präsentiert einfache Regeln, Tools, Technologien und Entwurfsmuster für sichere Systemarchitekturen, die ein sicherheitsorientierter Entwickler oder Architekt definitiv kennen sollte. @heise_devSec @qaware #heisedevsec
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
//heise devSec() 2017, Heidelberg: Vortrag von Mario-Leander Reimer (@LeanderReimer, Cheftechnologe bei QAware) und Simon Bäumler (Softwarearchitekt bei QAware).
Abstract: Sicherheit ist leider immer noch eine allzu häufig vernachlässigte nicht-funktionale Eigenschaft heutiger IT-Systeme. Auftraggeber haben oft nur die implizite Erwartung an ein sicheres System. Wir als Entwickler konzipieren und bauen aber genau das, was explizit gefordert wurde. Mit manchmal unangenehmen Konsequenzen.
Das Nachrüsten von Sicherheit in ein bestehendes System ist arbeitsintensiv, zeitaufwändig und teuer. Einfacher ist es, die Sicherheit bereits vom ersten Tag an mit zu berücksichtigen. Hört sich schwierig an? Das muss nicht sein.
Dieser Vortrag präsentiert einfache Regeln, Tools, Technologien und Entwurfsmuster für sichere Systemarchitekturen, die ein sicherheitsorientierter Entwickler oder Architekt definitiv kennen sollte.
Sie betreiben ausgeklügelte Rechteverwaltung auf Ihrem Domino System, die Daten in den zahlreichen Datenbanken und Anwendungen sind gut abgesichert.
Wirklich? Ist Ihr "Generalschlüssel" für den ID-Vault auch gut geschützt, oder wird die Server-ID unnverschlüsselt verwendet? Können Sie sicher gehen, dass die Gruppendokumente nicht unberechtigt geändert werden? Wie breit sind weitreichende Administrationsrechte z.B. an Support-Kollegen "gestreut"?
Der IBM Domino Server bietet umfangreiche Sicherheitsmechanismen. Die Konfiguration ist jedoch komplex, Sicherheitsprobleme können entstehen. Außerdem werden Protokollierung und Verhinderung von Änderungen aus Sicht der Revision seit der Einführung von Basel II und SOX immer wichtiger. Es geht dabei darum für Transparenz im Change Management von Infrastrukturen zu sorgen.
DominoProtect schließt mögliche Sicherheitslücken, vereinfacht das Konfigurationsmanagement in komplexen Umgebungen und hilft Revisions- und Compliance-Anforderungen zu erfüllen - bewährt in vielen Projekten bei großen und kleinen Organisationen, in zahlreichen deutschen und internationalen Finanzinstituten und bei führenden IT-Dienstleistern.
Die Zahl von unerlaubten Cyber-Aktivitäten hat in den letzten Jahren stark zugenommen. Viele Teilaspekte des täglichen Lebens werden im privaten und beruflichen Umfeld inzwischen überwiegend über Web-Technologien gehandhabt. Angriffsversuche auf diese Anwendungen und die bereitgestellten Informationen finden im Alltag automatisiert statt. Es gibt jedoch einige grundlegende Maßnahmen, um die Verwundbarkeit von Web Applikationen zu reduzieren, welche bereits bei der Konzeption und Entwicklung berücksichtigt werden sollten. Da sich Bedrohungsszenarien ändern und sich die jeweils angewandte Methodik weiterentwickelt, ist der Begriff „Sicherheit“ im Allgemeinen jedoch als fortlaufender Prozess anzusehen.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
JCON 2018, Düsseldorf: Vortrag von Mario-Leander Reimer (@LeanderReimer, Cheftechnologe bei QAware)
Abstract:
Jahrzehnte lang haben wir mehr oder weniger erfolgreich monolithische Enterprise Applikationen gebaut. Leider können diese Systeme und deren Betriebsmodelle den hohen Anforderungen moderner Geschäftsmodelle nur noch schwer genügen. Kurze Release-Zyklen, Antifragilität und Hyperscale scheinen unerreichbar zu sein. Was also tun? Muss man diese Systeme alle neu bauen? Das ist sicherlich kein besonders ökonomischer und sinnvoller Weg. Dieser Vortrag zeigt mögliche Wege der Cloud-nativen Evolution von Bestandssystemen und berichtet aus der Praxis.
Das SlideDeck des Microsoft Cyber Security IT-Camps 2017/2018
Im Slidedeck werden Produkte wie Windows Defender AV, ATP und ApplicationGuard und ExploitGuard behandelt.
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
Security Scanner Design am Beispiel von httpreconMarc Ruef
Am 24. September 2009 hielt Marc Ruef (CTO der scip AG) einen Vortrag an der OpenExpo 2009 in Winterthur. Dieser trug den Titel Security Scanner Design am Beispiel von httprecon und sollte drei Aspekte besprechen:
* Grundlegende Funktionsweise von Security Scanner
* Ideale Umsetzung einer entsprechenden Lösung
* Konkreter Vergleich zum httprecon project mit seinen Vor- und Nachteilen
Link: http://www.scip.ch/?labs.20090925
Offensive Security – Das Metasploit FrameworkQAware GmbH
Pentests für Einsteiger – das Metasploit Framework und andere Tools, Mai 2020, Vortrag von Franz Wimmer (@zalintyre, Software Engineer at QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
Web-Anwendungen sind Programme, die auf einem Server im Internet laufen und über einen Web-Browser bedient werden. Dazu gehören Blogs, Foren, Foto-Gallerien und Redaktionssysteme (CMS).
MongoDB ist eine leistungsstarke NoSQL Datenbank. Dennoch ist die Security per Standard deaktiviert. Dass dies große Auswirkungen hat, zeigen regelmäßige Berichte, dass zahlreiche Firmen Opfer von Hacker-Attacken geworden sind. Sie steigen mit den Grundlagen von MongoDB´s Security ein und werden dann mit den wichtigsten Vorgehensweisen vertraut gemacht. Mit diesen Infos sind Sie gewappnet gegen üble Cyber-Angriffe.
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
User Story Mapping-Hands-On // UX-DAY MASTERCLASSkuehlhaus AG
User story mapping is a technique that arranges user stories into an organized model to foster shared understanding between stakeholders. It supports rich discussions, makes the workflow and relationships between stories visible, and helps identify gaps. A user story map can be used to plan releases by slicing stories based on time, priority, and necessary functionality. Stakeholders like product owners and users should be involved in prioritization and slicing to ensure the planned releases provide value.
Durch Anwenderbeteiligung wirtschaftlich erfolgreich sein!
Das Thema Usability und User-Experience als Erfolgsfaktor für interaktive Produkte ist in aller Munde. Doch in den seltensten Fällen finden die dafür notwendigen Methoden ihre Anwendung.
Das Webinar soll Ihnen unter anderem darlegen, warum es wichtig ist die Zielgruppe von der Zielsetzung über die Strategie und die Umsetzung bis hin zum Betrieb eines Projekts zu involvieren.
Nutzen Sie die Chance von unserem Know-How zu profitieren!
Sie betreiben ausgeklügelte Rechteverwaltung auf Ihrem Domino System, die Daten in den zahlreichen Datenbanken und Anwendungen sind gut abgesichert.
Wirklich? Ist Ihr "Generalschlüssel" für den ID-Vault auch gut geschützt, oder wird die Server-ID unnverschlüsselt verwendet? Können Sie sicher gehen, dass die Gruppendokumente nicht unberechtigt geändert werden? Wie breit sind weitreichende Administrationsrechte z.B. an Support-Kollegen "gestreut"?
Der IBM Domino Server bietet umfangreiche Sicherheitsmechanismen. Die Konfiguration ist jedoch komplex, Sicherheitsprobleme können entstehen. Außerdem werden Protokollierung und Verhinderung von Änderungen aus Sicht der Revision seit der Einführung von Basel II und SOX immer wichtiger. Es geht dabei darum für Transparenz im Change Management von Infrastrukturen zu sorgen.
DominoProtect schließt mögliche Sicherheitslücken, vereinfacht das Konfigurationsmanagement in komplexen Umgebungen und hilft Revisions- und Compliance-Anforderungen zu erfüllen - bewährt in vielen Projekten bei großen und kleinen Organisationen, in zahlreichen deutschen und internationalen Finanzinstituten und bei führenden IT-Dienstleistern.
Die Zahl von unerlaubten Cyber-Aktivitäten hat in den letzten Jahren stark zugenommen. Viele Teilaspekte des täglichen Lebens werden im privaten und beruflichen Umfeld inzwischen überwiegend über Web-Technologien gehandhabt. Angriffsversuche auf diese Anwendungen und die bereitgestellten Informationen finden im Alltag automatisiert statt. Es gibt jedoch einige grundlegende Maßnahmen, um die Verwundbarkeit von Web Applikationen zu reduzieren, welche bereits bei der Konzeption und Entwicklung berücksichtigt werden sollten. Da sich Bedrohungsszenarien ändern und sich die jeweils angewandte Methodik weiterentwickelt, ist der Begriff „Sicherheit“ im Allgemeinen jedoch als fortlaufender Prozess anzusehen.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
JCON 2018, Düsseldorf: Vortrag von Mario-Leander Reimer (@LeanderReimer, Cheftechnologe bei QAware)
Abstract:
Jahrzehnte lang haben wir mehr oder weniger erfolgreich monolithische Enterprise Applikationen gebaut. Leider können diese Systeme und deren Betriebsmodelle den hohen Anforderungen moderner Geschäftsmodelle nur noch schwer genügen. Kurze Release-Zyklen, Antifragilität und Hyperscale scheinen unerreichbar zu sein. Was also tun? Muss man diese Systeme alle neu bauen? Das ist sicherlich kein besonders ökonomischer und sinnvoller Weg. Dieser Vortrag zeigt mögliche Wege der Cloud-nativen Evolution von Bestandssystemen und berichtet aus der Praxis.
Das SlideDeck des Microsoft Cyber Security IT-Camps 2017/2018
Im Slidedeck werden Produkte wie Windows Defender AV, ATP und ApplicationGuard und ExploitGuard behandelt.
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
Security Scanner Design am Beispiel von httpreconMarc Ruef
Am 24. September 2009 hielt Marc Ruef (CTO der scip AG) einen Vortrag an der OpenExpo 2009 in Winterthur. Dieser trug den Titel Security Scanner Design am Beispiel von httprecon und sollte drei Aspekte besprechen:
* Grundlegende Funktionsweise von Security Scanner
* Ideale Umsetzung einer entsprechenden Lösung
* Konkreter Vergleich zum httprecon project mit seinen Vor- und Nachteilen
Link: http://www.scip.ch/?labs.20090925
Offensive Security – Das Metasploit FrameworkQAware GmbH
Pentests für Einsteiger – das Metasploit Framework und andere Tools, Mai 2020, Vortrag von Franz Wimmer (@zalintyre, Software Engineer at QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
Web-Anwendungen sind Programme, die auf einem Server im Internet laufen und über einen Web-Browser bedient werden. Dazu gehören Blogs, Foren, Foto-Gallerien und Redaktionssysteme (CMS).
MongoDB ist eine leistungsstarke NoSQL Datenbank. Dennoch ist die Security per Standard deaktiviert. Dass dies große Auswirkungen hat, zeigen regelmäßige Berichte, dass zahlreiche Firmen Opfer von Hacker-Attacken geworden sind. Sie steigen mit den Grundlagen von MongoDB´s Security ein und werden dann mit den wichtigsten Vorgehensweisen vertraut gemacht. Mit diesen Infos sind Sie gewappnet gegen üble Cyber-Angriffe.
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
User Story Mapping-Hands-On // UX-DAY MASTERCLASSkuehlhaus AG
User story mapping is a technique that arranges user stories into an organized model to foster shared understanding between stakeholders. It supports rich discussions, makes the workflow and relationships between stories visible, and helps identify gaps. A user story map can be used to plan releases by slicing stories based on time, priority, and necessary functionality. Stakeholders like product owners and users should be involved in prioritization and slicing to ensure the planned releases provide value.
Durch Anwenderbeteiligung wirtschaftlich erfolgreich sein!
Das Thema Usability und User-Experience als Erfolgsfaktor für interaktive Produkte ist in aller Munde. Doch in den seltensten Fällen finden die dafür notwendigen Methoden ihre Anwendung.
Das Webinar soll Ihnen unter anderem darlegen, warum es wichtig ist die Zielgruppe von der Zielsetzung über die Strategie und die Umsetzung bis hin zum Betrieb eines Projekts zu involvieren.
Nutzen Sie die Chance von unserem Know-How zu profitieren!
Zukunftssichere Websites für alle Endgeräte entwickeln
Durch die drastische Veränderung der Medienlandschaft und die Vielfalt der Geräte mit denen heutzutage das Internet genutzt wird, ergeben sich neue Anforderungen an moderne Websites. Um diesen Anforderungen gerecht zu werden, reicht die Entwicklung einer klassischen Webpräsenz nicht mehr aus. Smartphones und Tablet-PCs müssen ebenso bedient werden wie Desktop- Rechner mit Widescreen-Monitoren und internetfähige TV-Geräte.
Responsive Design stellt einen neuen, zukunftssicheren Ansatz dar, bei dem verschiedene Endgeräte gleichermaßen berücksichtigt sowie Entwicklungs- und Pflegeaufwand der Website gering gehalten werden können.
Suchmaschinenfreundlich aufgebaute und mit relevantem Content gefüllte Seiten werden bei Google immer hoch im Kurs stehen.
Am 11.10.12 findet das Webinar wieder statt.
Wir zeigen Ihnen einfache Schritte, um Ihre Website suchmaschinenfreundlich zu gestalten und so in den Suchergebnissen bessere Rankings zu erreichen.
Sichern Sie jetzt Ihren Erfolg mit einer gut konzipierten Website!
Webinar: Content UX - Wie Inhalte ihren Internetauftritt beeinflussenkuehlhaus AG
„Content is King“ – ist überall zu lesen und verdeutlicht, wie wichtig gute Inhalte für eine Website sind.
Insbesondere der Content schafft die Brücke zwischen den Bedürfnissen der Nutzer und den wirtschaftlichen Interessen des Unternehmens. Dabei gilt es vor allem das Interesse von Besuchern zu wecken und die Relevanz einer Website für Suchmaschinen zu verdeutlichen, um bessere Rankings zu erreichen.
Webinar: Gamification - Lasset die Spiele beginnenkuehlhaus AG
Gamification ist aktuell wohl eines der heißesten Buzzwords unserer Branche. Mit spielerischen Elementen können Botschaften und Inhalte einer Kampagne auf unterhaltsame Art und Weise vermittelt werden. Der User interagiert mit der Anwendung, hat Spaß, und ganz nebenbei beschäftigt er sich noch mit der Marke und der gewünschten Botschaft. Höheres Engagement und Markenbindung sind nur zwei Aspekte, die in diesem Zusammenhang zu nennen sind.
Webinar: Mit Mental Models Kunden langfristig bindenkuehlhaus AG
Zielgerichtetes Handeln bedarf ein genaues Verständnis der Zielgruppe.
Angefangen bei dem Erstkontakt oder der Nutzung von Services und Mehrwerten bis hin zu Verpackung, Support oder Produktneuheiten sorgt ein positives Erlebnis des Kunden für eine nachhaltige Kundenbindung.
Wie wir das schaffen? Das "Mentale Modell" macht es möglich! Dem interessierten Zuhörer wird die Bedeutung der Themen Service Design und Customer Experience sowie das mentale Model erläutert.
Langfristige Kundenbindung durch zielgerichtetes Handeln – wir erklären Ihnen wie!
16. Top 10 Online Gefahren
Injection
Cross Site Scripting (XSS)
Broken Authentication and Session Management
Insecure Direct Object References
Cross Site Request Forgery (CSRF)
Security Misconfiguration
Insecure Cryptographic Storage
Failure to Restrict URL Access
Insufficient Transport Layer Protection
Unvalidated Redirects and Forwards
17. 10) Unvalidated Redirects and Forwards
In Webapplikationen kommt es h aufig zu Weiterleitungen zu anderen
Webseiten. Oft werden hierbei uber die Url mitgegebene Parameter
genommen um die Zieladresse zu ermitteln.
Gefahr:
Angreifer kann dadurch das Opfer auf Malware- oder Phishing-Seiten
weiterleiten
Umgehung von Authorisierungsmaßnahmen
http://example.org/redirect.php?url=http://evil.org
Maßnahmen:
Möglichst keine Urls aus User Parametern übernehmen
Input Validierug / White-Listing
18. 9) Insufficient Transport Layer Protection
Bei Web Applikationen wird der Netzwerkverkehr nicht mittels Verschlüsselung
geschützt, auch wenn sensible Daten übertragen
werden.
Gefahr:
Angreifer kann vertrauliche Informationen mitlesen oder verändern
(Gesundheitsdaten, Kreditkartennummern, Passwörter, geheime
Firmendaten...)
Maßnahmen:
SSL
Verschlüsseln und Signieren der Daten vor der Übertragung
19. 8) Failure to Restrict URL Access
Typische Fehler:
Es werden nur bestimmte Links und Menü-Punkte angezeigt, die anderen
werden versteckt (Security by Obscurity)
Presentation Layer Access Control: Keine Überprüfung am Server
Gefahr:
Angreifer kann Funktionen aufrufen, für die er nicht berechtigt ist
http://www.the-online-bank.com/user/getAccountData
http://www.the-online-bank.com/admin/getAccountData
Maßnahmen:
Für jede Url sicherstellen, dass der User für den Zugriff authorisiert ist
Auf bestimmten Seiten ist überhaupt kein Zugriff möglich
(Config-Files, Log-Files, etc.)
20. 7) Insecure Cryptographic Storage
Das Problem liegt oft darin festzustellen, was sensible Daten sind und wo diese
überall gespeichert sind (Logfiles, Backups...)
Gefahr:
Angreifer hat Zugriff auf sensible Daten und kann diese verändern
Maßnahmen:
Verschlüsselung (Datenbanken, Files ...) mit Standardalgorithmen
Schlüssel schützen
21. 6) Security Misconfiguration
Die Sicherheit der Web Applikation hängt von den darunterliegenden Schichten
ab. Wichtig ist hierbei die Installation der aktuellen Patches.
Gefahr:
Sicherheitslücken ausnutzen, da keine Patches installiert wurden
Standard Passwörter zu Default Accounts
Unautorisierten Zugriff auf Funktionalität durch schlechte
Server Konfiguration#
Maßnahmen:
Hardening Prozess definieren
22. 5) Cross Site Request Forgery (CSRF)
1. Angreifer sendet präparierte URL an Benutzer durch zusätzlichen
Kanal (z.B. E-Mail)
2. Benutzer ruft Seite im Browser auf. Server führt Aktion direkt aus
3. Dieser Punkt ist je nach Angriff optional. Zum Beispiel bei
Passwortänderungen greift der Angreifer mit dieser Information auf den
Server zu. Bei Aktionen ohne weiteren Zugriff des Angreifers (z.B.
Überweisungen) ist dieser Punkt nicht mehr notwendig
23. 5) Cross Site Request Forgery (CSRF)
CSRF: Missbrauch des Vertrauens der Applikation gegen uber Benutzer
Durch untergeschobene präparierte URL kann ein Angreifer einen
Benutzer zu einer Aktion am Server missbrauchen – die Daten für die Authentisierung (Session
Cookie, IP Adresse, SSL Zertifikate des Clients, etc.) werden automatisch mitgeschickt
Gefahr:
Der Angreifer kann alles machen, das der Benutzer auch kann. (Account
löschen, Logout, Überweisung machen etc.)
http://server/changePassword.php?newPassword=angreifer“
Maßnahmen
Ein (zufälliger) geheimer Token, der nicht automatisch übertragen wird, zu allen kritischen Requests
hinzufügen. Dieser Token (SharedSecret) ist nur dem Client und dem Server bekannt. Bei jeder
Anfrage vom Client wird dieser Token dem Server übermittelt.
<i n p u t name=”token ” v a l u e=”134 awe r i o a s d f 1 2 ”
type=”hidden ”/>
Bei unverschlüsselter Kommunikation kann ein Angreifer diesen Token stehlen
Verifizierung der Aktion durch Benutzer anfordern
“Möchten Sie wirklich Ihr ...?”
24. 4) Insecure Direct Object References
Ähnlich zu “Failure to Restrict URL Access”
Typische Fehler:
Es werden nur bestimmte Objekte angezeigt, die anderen werden versteckt
Presentation Layer Access Control: Keine Überprüfung auf Server-Seite
Gefahr:
Angreifer wird ähnliche Nummern ausprobieren:
www.example-bank.com?account=100
www.example-bank.com?account=102
www.example-bank.com?account=104
Maßnahmen:
Keine direkte Referenz auf Objekte - nur ein zufälliger,
Temporärer Mapping-Value
Statt ?account=100 – ?account=8w9e9fgi
Statt ?file=accounting.xls – ?file=119347
Überprüfung der Objekt Referenzen: Formatierung, ob der User die Berechtigung
hat zuzugreifen, etc.
25. 3) Broken Authentication and Session Management
Zur Erinnerung: HTTP ist ein stateless Protokoll
Die SessionID wird verwendet um den Status des Users festzuhalten
Gefahr:
Session Hijacking – Beispiel: Firesheep
User Accounts übernehmen
Aber auch die Funktionen: Passwort ändern, Sicherheitsfrage, Passwort
vergessen, etc.
Maßnahmen:
Verwendung von SSL und Sicherstellung, dass die SessionID immer durch
SSL geschützt ist
Sicherstellen, dass ein logout wirklich die Session zerstört
26. 2) Cross-Site Scripting (XSS)
Unvalidierter Benutzerinput wird genommen und ausgegeben
<s c r i p t >a l e r t (” x s s ”);</ s c r i p t >
Ausführung des Codes durch vertrauenswürdigen Server. Zertifikate und
Verschlüsselung der Kommunikation zwischen Server und Benutzer bieten
keinen Schutz.
Der eingeschleuste Code wird direkt von der vertrauten Domäne
ausgeführt.
Arten:
Reflected XSS
Stored XSS
27. 2) Cross Site Scripting (XSS)
”Reflected“
HEISE Security - News vom 22.3.2012
XSS Angriff durchgeführt auf https://www.paypal.com
28. 2) Cross-Site Scripting (XSS)
Gefahr:
Session Hijacking
Teile der Web Page überschreiben und User zu anderer Seite
weiterleiten
Maßnahmen:
Keinen Input des Users auf der Webseite anzeigen.
Falls das nicht geht: Encoding!
Validierung des User-Inputs; White-Lists
29. 1) Injection
Injection bedeutet, dass an einen Interpreter Commandos geschickt und diese
ausgeführt werden in einer Art und Weise wie es eigentlich nicht vorgesehen
ist.
Sql-Injection, OS Shell Injection, Buffer Overflows etc.
Gefahr:
Datenbankeinträge können manipuliert, ausgelesen oder gelöscht werden
Betriebssystem Zugriffe
…
30. 1) Injection - SQL Injection
Jede Eingabe MUSS validiert werden. Es ist nicht ausreichend nur
Formularfelder zu validieren. Injection ist auch zum Beispiel durch HTTP
Header-Felder möglich.
Ausfiltern von speziellen Datenbankzeichen wie zum Beispiel einfache
Hochkomma -> Blacklist Filtering
Zu bevorzugen ist eine Prüfung der Eingaben auf gültige Zeichen ->
Whitelist Filtering
Precompiled Statements verwenden. Das Statement wird in der Datenbank mit
Platzhaltern kompiliert. Spätere Manipulation des Statements durch Eingaben
nicht mehr möglich.
Minimierung der notwendigen Rechte in der Datenbank -> Principle
of „Least Privilege“. Verhindert SQL Injection nicht, verkleinert jedoch den
Schaden durch einen Angriff.
31. 1) Injection - Command Injection - Maßnahmen
Validierung der Eingaben (siehe auch SQL Injection)
Verwenden der Funktionen von Programmiersprachen zum Lesen von Dateien
Beschränken der Zugriffsrechte auf Dateien durch Rechtevergabe oder
Verwendung von chroot Umgebungen
Minimieren der möglichen ausführbaren Dateien
Berücksichtigen der System-Konfigurationen (z.B. sichere PHP Konfiguration)
32. …und immer an sichere Passworte denken!
Wie schnell kann Ihres gehackt werden?
Sample Passwords Class of Attack
Pwd Combinations Dual Core PC
darren 308.9 Million Instant
Land3rz 3.5 Trillion 58 Mins
B33r&Mug 7.2 Quadrillion 83½ Days
34. Zertifizierungen
kuehlhaus Web-Developer sind zertifiziert in
Development
allen wichtigen Basis-Technologien und Frameworks
Die zertifizierten kuehlhaus Experten sichern
Gesteigerte Budgetzuverlässigkeit*
Effizienteres Zeitmanagement und gesteigerte
Produktivität durch den sicheren Umgang mit
Produkten und Technologien*
Detaillierte Security Tests
Entwicklung unter Security-Gesichtspunkten
… und die Zertifizierung belegt, dass das Entwicklerteam
in Bezug auf diese Technologien auf dem neuesten Stand ist
* Quelle: Burlington Consultants, Value of Training and Certification study 2003
35. kuehlhaus AG
N7 5-6
D-68161 Mannheim
Dr. Nico Berndt
Head of Development
Telefon +49.621.496083-0
E-Mail info@kuehlhaus.com
Internet www.kuehlhaus.com
Die Inhalte dieser Präsentation sind das geistige Eigentum unseres
Unternehmens. Jede weitere Verwendung sowie Weitergabe an Dritte im
Original, als Kopie, in Auszügen, elektronischer Form oder durch
inhaltsähnliche Darstellung bedürfen der Zustimmung der kuehlhaus AG.