The OWASP Foundation Mirko Richter OWASP German Chapter 1. Stammtisch Dresden 20.06.2013.

Slides:



Advertisements
Ähnliche Präsentationen
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Advertisements

Vernetzung von Repositorien : DRIVER Guidelines Dr Dale Peters, SUB Goettingen 4. Helmholtz Open Access Workshop Potsdam, 17 Juni 2008.
© Copyright 2010 ecsec GmbH, All Rights Reserved. © 2013 Open eCard Team Neuigkeiten aus dem Open eCard Projekt
Präsentation des Abschlussprojektes Rudolf Berger
Transaction Synchronization for XML Data in Client Server Web Applications Stefan Böttcher & Adelhard Türling Universität Paderborn.
INFSO-RI Enabling Grids for E-sciencE CrossGrid Migrating-Desktop Marcus Hardt Forschungszentrum Karlsruhe GmbH An Induction to.
Web-Entwicklung mit ASP.NET 2.0 und Visual Studio 2005 Uwe Baumann Marketing Manager Developer Tools Microsoft Deutschland GmbH Oliver Scheer Developer.
Entwicklung und Einsatz von Smart Client-Anwendungen Jens Häupel Developer Evangelist Microsoft Deutschland GmbH Dirk Primbs.
Windows Vista für Entwickler
Neue Mobilität Frank Prengel Developer Evangelist Developer Platform & Strategy Group Microsoft Deutschland GmbH
Was sind die Länder 1-7 auf Deutsch? Ö ©MFL Sunderland 2007 ELA
Die SkIDentity-Referenzarchitektur für die starke Authentisierung in der Cloud Dr. Detlef Hühnlein (ecsec GmbH)
HCI.
DissOnline / Digitale Dissertationen Dr. P. Schirmbacher Offene Standards und internationale / nationale Abstimmung Gliederung: 1.Open Archive.
Camil Bartkowiak Serhat Cinar Leonardo Di Lella Jan Finsel
Seminar Web-Engineering Nina Aschenbrenner / Ruben Jubeh 1 FG Software Engineering Software Engineering Seminar Web Engineering Seminar des Fachgebiet.
Proxy Pattern Vorlesung Design Patterns Sieglinde Heinrich
.NET – Quo Vadis? Dariusz Parys Developer Group Microsoft GmbH.
Visual Extend Features für Entwickler deutschsprachige FoxPro User Group Uwe Habermann VFX 05 D.
WebCast: Managed Smart Tags mit VSTO Jens Häupel.NET Technologieberater Microsoft Deutschland GmbH
CTS2 based Terminology Server – Overview – Project eBPG
Divide and Conquer Eclipse RCP und Spring in verteilten Anwendungen Stefan Reichert | Lufthansa Systems Benjamin Pasero | IBM Rational.
YouTube5 .0 Projektpräsentation
©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice 1 Stefan Schmid – Manager Central.
Formatvorlage des Untertitelmasters durch Klicken bearbeiten Platin-Partner: Gold-Partner: Veranstaltungs-Partner: Medien-Partner: Web Content Management.
Microsoft Office Forms Server
PHILIPP-SCHAFFNER.COM DrupalCamp Essen.
Automated Software Testing
© 2004 – 2005 The Project Group GmbH Slide 1 Microsoft Office Project 2007Die neuen Möglichkeiten derIntegration in unternehmensweite ProzessePMI Chapter.
BAS5SE | Fachhochschule Hagenberg | Daniel Khan | S SPR5 MVC Plugin Development SPR6P.
Traildevils Mobile Web-App X-Platform Stefan Oderbolz Jürg Hunziker 16. Dezember 2011.
© All rights reserved. Zend Technologies, Inc. Jan Burkl System Engineer, Zend Technologies Zend Server im Cluster.
Open Access Activities within Fraunhofer-Gesellschaft Status Report, Berlin 3 Open Access Southampton, 28 Feb/01 Mar 2005 Dr. Michael Erben-Russ Information.
The free XML Editor for Windows COOKTOP Semistrukturierte Daten 1 Vortrag Semistrukturierte Daten 1 COOKTOP The free XML-Editor for Windows
RateMe Slides. Ablauf Präsentation des Konzepts (5-10 min) Demonstration der laufenden Software (5-10 min) Fazit der gesammelten Erkenntnisse.
RateMe Slides. Ablauf Präsentation des Konzepts (5-10 min) Demonstration der laufenden Software (5-10 min) Fazit der gesammelten Erkenntnisse.
Jan Hentschel Microsoft Expert Student Partner Windows Azure Windows Azure Windows Azure Mobile Services.
| Basel Developing apps for SharePoint 2013 using Visual Studio 2013 René Modery, Office 365 MVP, 1stQuad Solutions.
HandsOn Cloud, Infrastruktur, Architektur, Solution Design SharePoint for Internet Sites: Erfahrung aus der Praxis.
Cooperation unlimited © Zühlke August 2008 Hansjörg Scherer Folie 1 Cooperation unlimited TFS als BackEnd für Visual Studio und Eclipse.
Agenda 13: Begrüßung & Einführung in das Thema
PresenterCompanyContact Windows Azure ASP.NET Web-Anwendungen schnell und zuverlässig bereitstellen.
2 Software Management SCRUM, Project Management, Quality Management, Business Analysis Innovation and Technology Management, Coaching, R&D Processes Quality.
XML IV: Cocoon 2.
Template v5 October 12, Copyright © Infor. All Rights Reserved.
Univ.-Lektor Dipl.-Ing. Dr. Markus Schranz staatlich befugter und beeideter Ingenieurkonsulent für Informatik Web Application Engineering & Content Management.
Präsentation von Lukas Sulzer
Wie man Webanwendungen vor Angriffen schützen kann
Office Business Anwendungen mit SharePoint 2010 Fabian Moritz SharePoint MVP.
BASIS - Balanced Scorecards and Strategic Management Information Systems for Public Administrations Björn Niehaves European Research Center for Information.
Office Business Anwendungen mit SharePoint Fabian Moritz | MVP Office SharePoint Server.
Digital Dashboard Toolkit 2001 SharePoint Portal Server released targeting portal market SharePoint Team Services (STS) released as free add-
Informations-Forum: SAP Interoperabilität
1 von 10 ViS:AT Abteilung IT/3, IT – Systeme für Unterrichtszwecke ViS:AT Österreichische Bildung auf Europaniveau BM:UKK Apple.
Die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH) dCache T1 admins and experts Welcome to FZK.
Torque in Turbine Team 3 Alexander Mittermair Michael Wesinger.
Hacking InfoPoint Jörg Wüthrich Infopoint - Hacking - Jörg Wüthrich 2/26 Inhalte Rund um das Thema Hacking Angriffs-Techniken Session.
Ciiema CITEM - Dr. Siegl VU Dr. Manfred Siegl ENTWURF, ERRICHTUNG, BETRIEB VON DATENNETZEN VU Dr. Manfred Siegl
Gtn gmbh Jedesmal, wenn du alle Antworten gelernt hast, wechseln sie alle Fragen. Oliver Otis Howard ( )
RateMe Slides. Ablauf Präsentation des Konzepts (5-10 min) Demonstration der laufenden Software (5-10 min) Fazit der gesammelten Erkenntnisse.
SharePoint Portal Server
SQL Server 2005 CLR Integration Sebastian Weber Microsoft Deutschland GmbH
EN/FAD Ericsson GmbH EDD/ Information im 21. Jahrundert muss Erwünscht Relevant Erreichbar Schnell Kostenlos!?
ITIXI Version 2.0 Architektur VersionDatumAuthorStatusKommentar Martin JonasseIn ArbeitInitial-Dokument Martin JonasseIn ArbeitFahrgast.
An Approach to standardize a Service Life Cycle Management
Sicherheit in CONTENTSERV ab CS11 Frank Ipfelkofer
1.6.3 Test auf Verlustfreiheit (Verbundtreue) (4|10)
11 Zugriffskontrolle (Access Control) Ziele Privilegien Rollen GRANT und REVOKE Befehl Privilegien Rollen GRANT und REVOKE Befehl.
J.GehlenDept. of Medical Informatics 1 Department of Medical Informatics, Uniklinik RWTH Aachen, Germany Sichere Mobile Datenerfassung.
Game Studies User & Datenmanagement
 Präsentation transkript:

The OWASP Foundation Mirko Richter OWASP German Chapter 1. Stammtisch Dresden

Mirko Richter OWASP German Chapter Was ist OWASP? Prinzipien Frei und Offen Getrieben durch Konsens und funktionierenden Code Ausgerichtet an Werten Non-profit Nicht von kommerziellen Interessen getrieben Risiko basierte Ansätze

Mirko Richter OWASP German Chapter Was ist OWASP? Organisationsstruktur Board Chapter Mitglieder

Mirko Richter OWASP German Chapter Für wen ist OWASP? Das Open Web Application Security Project hilft: Entwicklern Entscheidern QA-Spezialisten Penetrationstestern

Mirko Richter OWASP German Chapter Bekannteste Projekte OWASP Top 10 (2004, 2007, 2010, 2013) OWASP Development Guide OWASP Code Review Guide OWASP Testing Guide OWASP Zed Attack Proxy (ZAP) OWASP WebGoat OWASP ModSecurity Core Rule Set Project

Mirko Richter OWASP German Chapter Noch mehr Projekte Viele, viele, viele Projekte (Stand 05/13) Flagship (4 Code, 3 Tools, 8 Doku) Labs (26 Tools, 8 Doku) Incubator (19 Code, 39 Tools, 41 Doku)

Mirko Richter OWASP German Chapter Das deutsche Chapter Derzeit ein Chapter in Deutschland Aktuell 6 Personen im Board Regelmäßige lokale Stammtische in München Frankfurt Stuttgart Köln Hamburg Karlsruhe Nürnberg (Neustart?) Berlin (Neustart?) Dresden (im Aufbau)

Mirko Richter OWASP German Chapter Die Zukunft Basis der Stammtische verbreitern Mehr Projekte und Projekteilnehmer Höhere Reichweite, insbesondere Neulinge und Studenten (Zeit ) Weitere Aspekte von Anwendungssicherheit (Mobility) Mehr Mitglieder Firmen Personen

Mirko Richter OWASP German Chapter OWASP Top * A1 – Injection A2 – Broken Authentication and Session Management A3 – Cross-Site Scripting (XSS) A4 – Insecure Direct Object References A5 – Security Misconfiguration A6 – Sensitive Data Exposure A7 – Missing Function Level Access Control A8 – Cross-Site Request Forgery (CSRF) A9 – Using Known Vulnerable Components A10 – Unvalidated Redirects and Forwards 9 * Neu:

Mirko Richter OWASP German Chapter A1 - Injection 10 Angriffe: SQL – Injection Command Injection XPath – Injection Heilung: Trennung zwischen Daten- und Ausführungskontext (sichere API) Optional: Input Validation Ausnutzung ungenügender Datenvalidierung

Mirko Richter OWASP German Chapter A2 – Broken Authentication and Session Management 11 Angriffe: Session Fixation Enumeration (Login, Password etc.) Session-Hijacking Heilung: Cookie nach Login erneuern httpOnly/secure-Flag setzen Logische Fehler bei der Authentisierung und Autorisierung

Mirko Richter OWASP German Chapter A3 – Cross-Site Scripting (XSS) Angriffe: Session Hijacking Website Spoofing Fernsteuerung des Browsers Heilung: Kontextabhängige Datenenkodierung Optional: Input Validation 12 Missbrauch des Vertrauensverhältnisses vom Browser zum Serverinhalt (zusätzlicher ungewollter Inhalt)

Mirko Richter OWASP German Chapter A4 – Insecure Direct Object References 13 Angriffe: Privilege Escalation Heilung: Zugriffskontrolle (Access Controls) Indirekt Objekt-Referenzen (per Session/User(Application) Zugriff auf Daten, die nicht für den aktuellen Nutzer gedacht sind

Mirko Richter OWASP German Chapter A5 – Security Misconfiguration 14 Angriffe: Versteckte Funktionen Bekannte Schwachstellen Ausnutzen von unnötigen Informationen (z.B. Exception) Heilung: Regelmäßige Patches / Updates Information Hiding Nicht ausreichend gehärteter Applikationsstack

Mirko Richter OWASP German Chapter A6 – Sensitive Data Exposure 15 Angriffe: Datendiebstahl (Passwörter, Kreditkarten etc.) Man-in-the-Middle Zurückrechnen von Passwörtern Heilung: Modellierung der Bedrohungen Starke Algorithmen Transportverschlüsselung Datenabfluss wegen fehlendem/defektem Schutz

Mirko Richter OWASP German Chapter A7 – Missing Function Level Access Control 16 Angriffe: Datendiebstahl Missbrauch der AW-Funktionalität Heilung: Ausreichende Prüfungen (Bereich, Funktion etc.) Antipattern: Hartkodierung Unautorisierte Zugriffspfade zu Funktionen, Daten etc.

Mirko Richter OWASP German Chapter A8 – Cross-Site Request Forgery (CSRF) 17 Angriffe: CSRF Heilung: Geheimer Token für zustandsändernde Operationen => CSRF Guard Missbrauch des Vertrauensverhältnisses vom Server zur Bowseranfrage (Ausnutzung fremder Rechte)

Mirko Richter OWASP German Chapter A9 – Using Known Vulnerable Components 18 Angriffe: Ausnutzung bekannter Schwachstellen Skript-Kiddies Heilung: Überblick über Versionen behalten Patch-Management Einsatz bekanntermaßen unsicherer Technologie

Mirko Richter OWASP German Chapter A10 – Unvalidated Redirects and Forwards 19 Angriffe: Spoofing Malware-Verteilung Heilung: Wenn es geht, Redirect/Forward vermeiden Keine Parameter für Berechnung von R/F verwenden Hinweis für Nutzer (Sie verlassen jetzt …) Missbrauch vom Nutzervertrauen

Mirko Richter OWASP German Chapter Kontakt und Informationen owasp-germany (eintragen!) Mirko Richter

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.