Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

29. Magento Stammtisch Thema: IT-Sicherheit Gregor Bonney

Veröffentlicht von:Gisela Kaufer Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "29. Magento Stammtisch Thema: IT-Sicherheit Gregor Bonney"—  Präsentation transkript:

1 29. Magento Stammtisch Thema: IT-Sicherheit Gregor Bonney
Penetration Testing 29. Magento Stammtisch Thema: IT-Sicherheit Gregor Bonney

2 Penetration Testing – Was ist das?
Penetrationstest, kurz Pentest, ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Quelle: Wikipedia

3 Was ist ein Pentest? (informell)
Port Scan Schwachstellen Scan Manuelles Testen

4 Was ist ein Pentest? Angriff Teilweise mit Software automatisiert
Komplexere Szenarien werden manuell geprüft Informationen sammeln Einfallsvektoren identifizieren Eindringversuche unternehmen Bericht erstellen

5 Wie funktioniert ein Pentest?
Als Dienstleistung: Begrenzter Zeitrahmen Stichprobenartige Prüfung Nur in Absprache mit allen Beteiligten Abschlussbericht Ziele (u. A.) Schwachstellen proaktiv aufdecken Risiko minimieren Schaden verhinden Compliance  CGI

6 Was kann man alles Pentesten?
Beispiele? Websites Computer/Hosts Netzwerke Menschen (Social Engineering)

7 Penetration Testing – Wie läuft das ab?
Definierte Vorgaben URL Zeitrahmen Webshop ca. 5 Tage Aufteilung der Zeit Tag 1: Shop erkunden Tag 2-4: Pentesten Tag 5: Dokumentieren

8 Penetration Testing – Tools
Generell: Kali Linux Schwerpunkt Webapplikation Das Tool: Burp Suite Pro Fuzzdb Scanner: z. B. Acunetix, IBM AppScan, Nessus Weitere Tools: Nmap SQLmap Dirbuster/dirb

9 Penetration Testing – Tools
Burp Suite Pro Daten werden durch den Burp Proxy gelenkt. Browser Burp Proxy Server

10 Penetration Testing – Typische Schwachstellen

11 Penetration Testing – Typische Schwachstellen
SQL Injection Cross-Site Scripting File Inclusion Command Injection Außerdem External Entity Injection

12 Penetration Testing – Demo
SQL Injection Cross-Site Scripting File Inclusion Command Injection External Entity Injection

13 Magento 2 Sicherheit ist in Standardinstallation „gut“.
.htaccess im webroot definiert viele Security-Einstellungen Optimierungspotenzial: Unverschlüsselte Shops verhindern Strict Transport Security Content-Security-Policy Header sollte implementiert werden

Herunterladen ppt "29. Magento Stammtisch Thema: IT-Sicherheit Gregor Bonney"

Ähnliche Präsentationen

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Warum WordPress Sicherung?

Warum WordPress Sicherung?
Präsentation des Abschlussprojektes Rudolf Berger

Präsentation des Abschlussprojektes Rudolf Berger
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
ASP.NET Tips & Tricks Uwe Baumann

ASP.NET Tips & Tricks Uwe Baumann
Agenda DataAssist e.K. Probleme heutiger Ansätze der Netzwerkdokumentation Management der Netzwerkdokumentation Management von Rechnern Der NetDoc Server.

Agenda DataAssist e.K. Probleme heutiger Ansätze der Netzwerkdokumentation Management der Netzwerkdokumentation Management von Rechnern Der NetDoc Server.
Automatisierte Dokumentation des Netzwerks bei der Gartenheim e.G. mit NetDoc Server Günther Haese, Vorstand Gartenheim e.G.

Automatisierte Dokumentation des Netzwerks bei der Gartenheim e.G. mit NetDoc Server Günther Haese, Vorstand Gartenheim e.G.
Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell
Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com.

Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: / 60850,
Das secologic Projekt im Kurzüberblick - Stand Sept

Das secologic Projekt im Kurzüberblick - Stand Sept
ASAM ODS Daten standardisiert auswerten

ASAM ODS Daten standardisiert auswerten
FTP – File Transfer Protocol

FTP – File Transfer Protocol
Virtual Private Networks

Virtual Private Networks
von Julia Pfander und Katja Holzapfel E 12/2

von Julia Pfander und Katja Holzapfel E 12/2
ECDL M8 IT - Security.

ECDL M8 IT - Security.
Ribbon Benutzeroberfläche / UI SharePoint Workspace SharePoint Mobile Office Client und Office Web App Integration Unterstützung von Standards.

Ribbon Benutzeroberfläche / UI SharePoint Workspace SharePoint Mobile Office Client und Office Web App Integration Unterstützung von Standards.
Security Scanner Design am Beispiel von httprecon

Security Scanner Design am Beispiel von httprecon
Warum brauche ich ein CMS – Content Management System?

Warum brauche ich ein CMS – Content Management System?
Peter Gantenbein Security Consultant

Peter Gantenbein Security Consultant
Arbeitsgruppen-administration

Arbeitsgruppen-administration

Ähnliche Präsentationen

Google-Anzeigen