Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: 06173 / 60850, www.eurosec.com.

Slides:



Advertisements
Ähnliche Präsentationen
Die Informatik als Dienstleister im Unternehmen
Advertisements

der betrieblichen Projektarbeit im Rahmen der Abschlussprüfung
SQL Injection – Funktionsweise und Gegenmaßnahmen
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Be.as WEB Technologie
Sicherheitsaspekte bei der C-Programmierung
aktiver Waldperlacher Selbstständiger und Gewerbetreibender
Präsentation des Abschlussprojektes Rudolf Berger
Was gibt´s neues im Bereich Sicherheit
Sichere Anbindung kleiner Netze ans Internet
SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.
:33 Architektur Moderner Internet Applikationen – Prolog Copyright ©2003 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.
:33 Internet Applikationen – Hard und Softwareplattform Copyright ©2003, 2004 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.
Systemverwaltung wie es Ihnen gefällt.
Java Security im Überblick
Wesentliche Designmerkmale Sicherer Software
PHP-Programmierung: Sicherheitsaspekte EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: / 60850, © EUROSEC GmbH Chiffriertechnik &
Das secologic Projekt im Kurzüberblick - Stand Sept
Hinweise und Anregungen zum Anfertigen von
Bernd Oberknapp, UB Freiburg
Konzeption und prototypische Implementierung eines zentralen Informationssystems für Systemmanagement Motivation Oft wird es schwierig, die benötigten.
Erschließen von semantischen Referenzen mit Ontology-Reasoning-Werkzeugen Das Ziel dieser Masterarbeit war die Erweiterung des ORBI Systems um ein Inferenz-System.
Passwörter.
ATHOS Benutzertreffen 12. November Auswerteserver Glashütten, 12. November 2008 HighQSoft GmbH, Andreas Hofmann
ASAM ODS Daten standardisiert auswerten
Technik Gestaltung Navigation Daten. Übersicht Client Webbrowser InternetServer.
Professionelles Projektmanagement in der Praxis, © 2006 Dr. Harald Wehnes Universität Würzburg, FB Informatik, Prof. Dr. P.Tran-Gia 1 Professionelles Projektmanagement.
Uwe Habermann Venelina Jordanova dFPUG – Silverlight Wizard.
Visual Extend Weitere Features deutschsprachige FoxPro User Group Uwe Habermann VFX 25 D.
Entwicklung von Prüfungen und Prüfungssystem
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
- Materna Information & Communications -
1 Nutzen Sie diese Powerpoint-Präsentation beim Selbstlernen oder in Veranstaltungen zur Einführung in das jeweilige Thema. Einführung Lernmodul Nutzungsbedingungen:
Copyright 2008 by conact. All rights reserved. Folie Nr.: 1 Eine Software für den Nephrologen.
Kommunikation im Team verbessern mit Mindjet MindManager
© it & tel – E-Werk Wels AG 1 Das Problem. © it & tel – E-Werk Wels AG 2 Ausbreitung von Malware Sanfte Migration von nach Web Vector Web.
ProFM Helpdesk Effective Web Based Maintenance Management System.
Weltweite Kommunikation mit Exchange Server über das Internet
Präsentation von: Tamara Nadine Elisa
Rechtssicherheit und aktuelle Fachkunde für Datenschutzbeauftragte! Ich bin dabei !
Cloud-Computing Tomic Josip.
© 2005, informations-broker.netinformations-broker.net© 2005, informations-broker.netinformations-broker.net Folie-Nr Basel II: Rating verbessern.
Folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection reto ambühler
Titelfolie14 Dec 2006 Piloten und Partner Publication Management – weitere Einbindung Pilotentreffen Publication Management Berlin, 14. Dezember 2006.
Was Benutzer wollen – mehr als Metadaten Anette Seiler 98. Deutscher Bibliothekartag, Erfurt, 5. Juni 2009.
Video- und Webkonferenzen als Arbeitsmittel und Forschungsgegenstand Gregor Erbach, FR Computerlinguistik Universität des Saarlandes, Saarbrücken.
Präsentation von Lukas Sulzer
Wie man Webanwendungen vor Angriffen schützen kann
Quelle WISO Copyright 2002 Seminar Personalumfragen 18. September 2002, Zürich Referat von Rolf Schoch, WI.SO DR. SCHOCH + PARTNER WIRTSCHAFTS -UND SOZIALFORSCHUNG.
Hacking InfoPoint Jörg Wüthrich Infopoint - Hacking - Jörg Wüthrich 2/26 Inhalte Rund um das Thema Hacking Angriffs-Techniken Session.
DI Ramin Sabet Seite Mobile Signatur 06. Okt 2009.
SiG Vorgehensmodell und Schwerpunkte für den Finance-Bereich Version 0.1 Dienstag, , Achat Plaza Hotel in Offenbach Workshop Identity.
Das Unternehmen.
Dipl.-Inform. (FH) Mike Bach Unterschiedliche Anwendungen im Unternehmen – Warum, Wer und Wie Best-of-Breed vs. Alles aus einer Hand Dipl.-Inform. Mike.
Zentrale Authentifizierungsplattform mit Open Text Website Management bei Thieme.
Best Practices der sicheren Programmierung mit.NET Andrea Janes.
Positionspapier Arbeitsgruppe Software-Wartung Diane König.
Jeder Benutzer definiert seine eigenen Privatgespräche Aufwandreduzierung für die zentrale Erstellung von Auswertungen Wahlweiser Zugang über Intranet.
BBS2 WG 05 d Zeynep Ögütcü, Lili Jagel, Tatjana.
Oracle Portal think fast. think simple. think smart. Dieter Lorenz, Christian Witt.
© Rau 2010.
Der Umgang mit Betäubungsmitteln im Pflegeheim
IT-Dienstleistungen E-Learning Systeme Content Management 1 Fallbeispiel ILIAS: Das Repository-Objekt-Plugin „Centra“
Betriebswirtschaftliche Projekte Management-Systeme Zertifizierungen ISO 9001, ISO 14001, ISO und weitere Sicherheit und Gesundheitsschutz am Arbeitsplatz.
Das Wiki System der Freien Universität Berlin. Vorstellungsrunde Bitte stellen Sie sich kurz vor! Wer sind Sie? Haben Sie Erfahrungen in der Nutzung.
29. Magento Stammtisch Thema: IT-Sicherheit Gregor Bonney
• Projektdialog paralleler Plagiatschutz- projekte
 Präsentation transkript:

Die 20 beliebtesten Versäumnisse hinsichtlich Sicherheit in der Softwareentwicklung EUROSEC GmbH Chiffriertechnik & Sicherheit Tel: / 60850, © EUROSEC GmbH Chiffriertechnik & Sicherheit, 2005

(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 2 Die 20 beliebtesten Versäumnisse ungenügende (Security-) Anforderungsspezifikation ungenügende (Security-) Designspezifikation kein Abgleich zwischen Anforderungs- und Designspezifikation keine Richtlinien zur sicheren Softwareentwicklung Security Reviews wahlweise gar nicht, oder nur vor oder nur nach dem Erstellungsprozess Implementierung eigener (i.d.R. zu schwacher) Schutzmechanismen und Kryptofunktionen

(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 3 Parameterprüfung DAS Problem Nr. 1 in Web-Anwendungen Resultat mangelhafter Überprüfung der Eingaben: –Cross-Site Scripting –SQL-Injection –Directory Traversal –Command Injection –Code Injection –Cookie Poisoning –Buffer Overflows –Format String Attacken

(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 4 Die 20 beliebtesten Versäumnisse Unkenntnis der Entwickler bzgl. der häufigsten Hackermethoden (z.B. SQL Injection, Cross-Site Scripting, u.v.m.) zu generische Anforderungskataloge, die vom Entwickler erst mühsam interpretiert werden müssten ungenügende Prüfung auf Einhaltung existierender Sicherheitsvorgaben, bestenfalls Selbstauskunft durch Entwicklungsverantwortliche keine Schwachstellenanalyse des Prototyps durch unabhängige Spezialisten

(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 5 Die 20 beliebtesten Versäumnisse allmächtiger technischer Benutzer für Datenzugriffe Schützen durch bloßes Verstecken (z.B. von Funktionsaufrufen, URLs, Parametern, etc.) Ungenügender Schreib-/Leseschutz von Programmdateien Keine Input-Validierung / Filterung von User Input fehlende Planung zum Schutz der Backendsysteme, insbesondere für Datenbanken keine adäquate Protokollierung

(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 6 Die 20 beliebtesten Versäumnisse Benutzer- und Rechteverwaltung schlecht konzipiert, zu seltener Gebrauch vorhandener (externer) Funktionalität mangelhafte Dokumentation vorhandener Sicherheitsmechanismen und erforderlicher Konfigurationsanpassungen Unkenntnis oder mangelnde Berücksichtigung von Kundenanforderungen später erforderliche Nachbesserungen scheitern an zu vielen Abwärtskompatibilitätsanforderungen, die häufig durch bessere Planung hätten vermieden werden können

(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 7 Weitere beliebte Schwächen in Anwendungsservern Alte Softwareversionen installiert (auch Betriebssystem etc.) Konfigurationsfehler auf allen Ebenen Standardinhalte, Beispielanwendungen wurden nicht entfernt Dateisystemberechtigungen nicht restriktiv genug Administrationsbenutzer = Laufzeitbenutzer Betreffen meist alle installierten Web-Anwendungen und oft das Server-Betriebssystem Resultat: Zugriff auf Server hinter der Firewall

(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 8 Warum dieser Vortrag von uns? - Unsere Erfahrung: mehrere Personenjahre in Forschungsprojekten zur sicheren Softwareentwicklung; derzeit gemeinsam mit Partnern wie SAP, Commerzbank, Universitäten,... zahlreiche Schwachstellenanalysen für Softwarehersteller, nebst intensiver Feedbackzyklen mit den Entwicklern Erstellung von Anforderungs- und Designspezifikationen in mehreren großen Entwicklungsprojekten Erstellung von Guidelines zur sicheren Softwareentwicklung, mit Schwerpunkten Banking & Finance, sowie Webapplikationen Reverse Engineering und Gutachten von Sicherheitsfunktionen und Kryptomechanismen Implementierung von Sicherheitsfunktionen im Auftrag

(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 9 Abschlussbemerkung die vorliegende Dokumentation wurde von EUROSEC erstellt im Rahmen des secologic Forschungsprojekts, Laufzeit 2005 und 2006, nähere Informationen unter wir bedanken uns beim Bundesministerium für Wirtschaft für die Förderung dieses Projektes Anregungen und Feedback sind jederzeit willkommen, ebenso Anfragen zu Sicherheitsaspekten, die hier nicht behandelt werden konnten.

(c) 2005, EUROSEC GmbH Chiffriertechnik & Sicherheit 10 Copyright Hinweis Diese Folien wurden von EUROSEC erstellt und dienen der Durchführung von Schulungen oder Seminaren zum Thema Sichere Anwendungsentwicklung, mit Fokus Webapplikationen. Wir haben diese Folien veröffentlicht, um die Entwicklung besserer Softwareprodukte zu unterstützen. Die Folien dürfen gerne von Ihnen für eigene Zwecke im eigenen Unternehmen verwendet werden, unter Beibehaltung eines Herkunfts-Hinweises auf EUROSEC. Eine kommerzielle Verwertung, insbesondere durch Schulungs- oder Beratungsunternehmen, wie beispielsweise Verkauf an Dritte oder ähnliches ist jedoch nicht gestattet.

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2025 SlidePlayer.org Inc. All rights reserved.