Dipl.-Inform. Carsten Eilers

Beschreibung:
Schwachstellen gibt es nicht nur auf dem Server, sondern auch auf dem Client. Je mehr Aufgaben auf den Client ausgelagert werden, desto mehr mögliche Schwachstellen entstehen dort. Und je mehr Daten auf dem Client gespeichert werden, desto interessanter wird er für Angreifer. Alle reden von HTML5 und Co., aber denkt denn niemand an die Sicherheit?

Dateien zum Vortrag

• Präsentation (PDF)

Weiterführende Links

• Allgemein
  • HTML5 Security Cheatsheet Project
  • OWASP HTML5 Security Cheat Sheet ("Work on Progress")
  • HTML5 Security in a Nutshell (Kritik dazu)
  • DEF CON 19, Ming Chow: Abusing HTML5 (Material)
• HTML5 und XSS
  • HTML5 Security Cheatsheet
  • XSS (Cross Site Scripting) Cheat Sheet
  • Gareth Heyes: HTML5 XSS
  • Gareth Heyes: HTML5 NEW XSS VECTORS
  • Thread im sla.ckers.org-Forum
• HTML5 und Speicher, allgemein
  • OWASP Enterprise Security API: Projekt-Seite, owasp-esapi-js
• HTML5 und SQL-Datenbanken
  • HTML5 Security Cheatsheet: Web SQL Database Security
  • Attack and Defense Labs: HTML5 Security Quick Reference Guide with Demos
• HTML5 und Cross Origin Requests
  • HTML5 Security Cheatsheet: Cross Origin Request Security
  • Attack and Defense Labs: HTML5 Security Quick Reference Guide with Demos
  • MDN: HTTP access control
  • scip: Labs: HTML5 Cross Origin Request Sicherheit
  • Cross-Origin Resource Sharing (W3C Working Draft)
• HTML5 und iframe mit sandbox-Attribut
  • sandbox @ The iframe element (HTML5 W3C Working Draft)
  • Chromium Blog: Security in Depth: HTML5's @sandbox
• Clickjacking
  • Clickjacking - Angriffe auf Seiten ohne Schwachstellen
  • Clickjacking - Auch komplizierte Aktionen sind möglich
  • Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe
  • Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
  • Clickjacking - "Likejacking" unter die Haube geguckt
  • Clickjacking - The next Generation
  • Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten
  • Cookiejacking - Keksdiebe im Internet Explorer
  • Likejacking - Facebook im Visier der Cyberkriminellen
  • Clickjacking - Gute und Schlechte Nachrichten
  • Paul Stone, Context: Clickjacking Paper - Black Hat 2010 und Clickjacking Tool
• Schlussbemerkungen
  • Attack and Defense Labs: Chrome and Safari users open to stealth HTML5 AppCache attack
  • BEAST - Ein neuer Angriff auf SSL und TLS 1.0

Sicherheit von Anfang an

Beschreibung:
Die Sicherheit einer Anwendung muss vom Entwurf an berücksichtigt werden. Falsche Entscheidungen in der Entwurfsphase lassen sich später oft nur mühsam korrigieren. Erfahren Sie, welche typischen Fehler es gibt und wie Sie sie vermeiden können, und wie Sie einen individuellen "Security Development Lifecycle" für Ihre Webanwendungen entwickeln.

Dateien zum Vortrag

• Präsentation (PDF)

Weiterführende Links

• Microsofts SDL
  • MS Security Developer Center, Serie "Wie schreibe ich sicheren Code"
    Security Development Lifecycle
    Bedrohungsmodelle - Application Threat Modeling
    
  • Trainings und Tools zum SDL Phase 1 bis 3 und Phase 4 bis 7
    (für Webentwickler zum größten Teil irrelevant bzw. unpassend)
  • Microsoft Security Development Lifecycle Process
  • Simplified Implementation of the Microsoft SDL (Download, auch auf deutsch verfügbar)
  • How SDL Builds More Secure Software
  • Rückblick auf 6 Jahre Security Development Lifecycle (SDL)
• About Security - Übersicht Web-Security
  • Einführung
    • About Security #1: IT-Sicherheit - Was ist das eigentlich?
    • About Security #2: Angriffsszenarien
    • About Security #3: Eindringlinge abwehren
    • About Security #4: Gefährdung aus der Peripherie
  • Sichere Webanwendungen: SQL-Injection
    • About Security #11: SQL-Injection
    • About Security #12: SQL-Injection verhindern
    • About Security #13: Mit Stored Procedures gegen SQL-Injection
  • Sichere Webanwendungen: Cross-Site-Scripting
    • About Security #14: Cross-Site-Scripting
    • About Security #15: Cross-Site-Scripting verhindern
  • Sichere Webanwendungen: Skriptcode einschleusen
    • About Security #16: Skriptcode einschleusen
  • Sichere Webanwendungen: HTTP-Request-Smuggling und HTTP-Response-Splitting
    • About Security #17: HTTP-Request-Smuggling
    • About Security #18: Spielarten des HTTP-Request-Smuggling, 1
    • About Security #19: Spielarten des HTTP-Request-Smuggling, 2
    • About Security #20: HTTP-Request-Smuggling erkennen und verhindern
    • About Security #21: HTTP-Response-Splitting, 1
    • About Security #22: HTTP-Response-Splitting, 2
    • About Security #23: Caches vergiften
    • About Security #24: Caches indirekt vergiften
    • About Security #25: Entführen von Webseiten
  • Sichere Webanwendungen: Gefahren für Webanwendungen und -server
    • About Security #26: Gefahren für Webanwendungen
    • About Security #27: Gefahren für Webserver
    • About Security #28: Standorte für Webserver
  • Sichere Webanwendungen: Cross-Site-Request-Forgery
    • About Security #127: Cross-Site-Request-Forgery: Einführung
    • About Security #128: CSRF: Ausnutzung und Gegenmaßnahmen
  • Sichere Webanwendungen: Cross-Site-Scripting
    • About Security #129: Cross-Site-Scripting, reloaded
    • About Security #130: DOM-basiertes XSS abwehren
    • About Security #131: XSS-Angriffe (1)
    • About Security #132: XSS-Angriffe (2)
    • About Security #133: XSS-Angriffe (3): JavaScript-Ping & Co.
    • About Security #134: XSS-Angriffe (4): JavaScript-Portscan
    • About Security #135: XSS-Angriffe (5): JavaScript-Portscan vorbereiten
    • About Security #136: XSS-Angriffe (6): DSL-Router ausspähen
    • About Security #137: XSS-Angriffe (7): Weitere Ziele
  • Sichere Webanwendungen: Web-Würmer
    • About Security #138: Web-Würmer (1): Samy, der MySpace-Wurm
    • About Security #139: Web-Würmer (2): Samys Ende
    • About Security #140: Web-Würmer (3): Yamanner
    • About Security #141: Web-Würmer (4): Der Orkut-XSS-Wurm
    • About Security #142: Web-Würmer (5): Der gemeine Wurm
    • About Security #143: Web-Würmer (6): Wurmkur
  • Schwachstellen-Suche in Webanwendungen: Überblick
    • About Security #248: Schwachstellen-Suche im Überblick
    • About Security #249: Schwachstellen-Suche im Überblick (2)
    • About Security #251: Schwachstellen-Suche im Überblick (3)
    • About Security #252: Schwachstellen-Suche im Überblick (4)
    • About Security #253: Schwachstellen-Suche im Überblick (5)
  • Schwachstellen-Suche in Webanwendungen: Informationen sammeln
    • About Security #144: Schwachstellen-Suche: Allgemeine Infos sammeln
    • About Security #145: Schwachstellen-Suche: Daten auswerten
    • About Security #146: Schwachstellen-Suche: Infos im Client sammeln
    • About Security #147: Schwachstellen-Suche: Ajax-Clients
    • About Security #148: Schwachstellen-Suche: Ajax-Clients (2)
  • Schwachstellen-Suche in Webanwendungen: Zustandsbasierte Angriffe
    • About Security #149: Schwachstellen-Suche: Zustandsinformationen
    • About Security #150: Schwachstellen-Suche: Zustandsinformationen 2
    • About Security #151: Schwachstellen-Suche: Cookie-Poisoning
    • About Security #152: Schwachstellen-Suche: Contra Cookie-Poisoning
    • About Security #153: Schwachstellen-Suche: URL-Jumping
    • About Security #154: Schwachstellen-Suche: Der Referer-Header
    • About Security #155: Schwachstellen-Suche: Session-Hijacking
    • About Security #156: Schwachstellen-Suche: Session Hijacking verhindern
    • About Security #157: Schwachstellen-Suche: Session Fixation
  • Schwachstellen-Suche in Webanwendungen: Angriffe über vom Benutzer gelieferte Daten
    • About Security #158: Schwachstellen-Suche: Einfaches XSS
    • About Security #159: Schwachstellen-Suche: XSS trotz Filter
    • About Security #160: Schwachstellen-Suche: XSS finden
    • About Security #161: Schwachstellen-Suche: XSS verhindern
    • About Security #162: Schwachstellen-Suche: Persistentes XSS
    • About Security #163: Schwachstellen-Suche: Persistentes XSS (2)
    • About Security #164: Schwachstellen-Suche: Persistentes XSS (3)
    • About Security #165: Schwachstellen-Suche: DOM-basiertes XSS
    • About Security #166: Schwachstellen-Suche: SQL-Injection Grundlagen
    • About Security #167: Schwachstellen-Suche: SQL-Injection über Strings
    • About Security #168: Schwachstellen-Suche: SQL-Injection statt Zahlen
    • About Security #169: Schwachstellen-Suche: SQL-Injection Statements
    • About Security #170: Schwachstellen-Suche: SQL-Injection mit UNION
    • About Security #171: Schwachstellen-Suche: SQL-Injection mit UNION (2)
    • About Security #172: Schwachstellen-Suche: SQL-Injection mit Filter
    • About Security #173: Schwachstellen-Suche: SQL-Injection mit Escape
    • About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
    • About Security #175: Schwachstellen-Suche: Blind SQL-Injection
    • About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
    • About Security #177: Schwachstellen-Suche: Directory-Traversal
    • About Security #178: Schwachstellen-Suche: Directory-Traversal (2)
    • About Security #179: Schwachstellen-Suche: Directory-Traversal (3)
    • About Security #180: Schwachstellen-Suche: Directory-Traversal (4)
    • About Security #181: Schwachstellen-Suche: Directory-Traversal (5)
    • About Security #182: Schwachstellen-Suche: Directory-Traversal (6)
    • About Security #183: Schwachstellen-Suche: Remote File Inclusion
    • About Security #184: Schwachstellen-Suche: OS Command Injection
    • About Security #185: Schwachstellen-Suche: OS Command Injection (2)
    • About Security #186: Schwachstellen-Suche: OS Command Injection (3)
    • About Security #187: Schwachstellen-Suche: Scriptcode Injection
    • About Security #188: Schwachstellen-Suche: Scriptcode Injection (2)
    • About Security #189: Schwachstellen-Suche: XPath-Injection
    • About Security #190: Schwachstellen-Suche: SOAP-Injection
    • About Security #191: Schwachstellen-Suche: SOAP-Injection finden
    • About Security #192: Schwachstellen-Suche: SMTP-Header-Injection
    • About Security #193: Schwachstellen-Suche: SMTP-Command-Injection
    • About Security #194: Schwachstellen-Suche: LDAP-Injection
    • About Security #195: Schwachstellen-Suche: LDAP-Injection verhindern
    • About Security #196: Schwachstellen-Suche: Pufferüberläufe finden
    • About Security #197: Schwachstellen-Suche: Pufferüberläufe verhindern
    • About Security #198: Schwachstellen-Suche: Integer-Schwachstellen
    • About Security #199: Schwachstellen-Suche: Formatstrings
  • Schwachstellen-Suche in Webanwendungen: Angriffe auf die Architektur der Webanwendung
    • About Security #201: Schwachstellen-Suche: Vertrauensbeziehungen ausnutzen
    • About Security #202: Schwachstellen-Suche: Schichtenarchitekturen angreifen
    • About Security #203: Schwachstellen-Suche: Shared Environments
    • About Security #204: Schwachstellen-Suche: Shared Environments (2)
    • About Security #205: Schwachstellen-Suche: Shared Environments (3)
  • Schwachstellen-Suche in Webanwendungen: Angriffe auf den Webserver
    • About Security #206: Schwachstellen-Suche: Webserver identifizieren
    • About Security #207: Schwachstellen-Suche: Webserver angreifen
    • About Security #208: Schwachstellen-Suche: Webserver schützen
    • About Security #209: Schwachstellen-Suche: Webserver untersuchen
    • About Security #210: Schwachstellen-Suche: Webserver-Konfiguration
    • About Security #211: Schwachstellen-Suche: Gefährliche HTTP-Methoden
    • About Security #212: Schwachstellen-Suche: Proxy-Server
    • About Security #213: Schwachstellen-Suche: Webserver konfigurieren
  • Schwachstellen-Suche in Webanwendungen: Angriffe auf die Authentifizierung
    • About Security #214: Schwachstellen-Suche: Authentifizierung - Grundlagen
    • About Security #215: Schwachstellen-Suche: Authentifizierung - Brute Force
    • About Security #216: Schwachstellen-Suche: Authentifizierung - Namen finden
    • About Security #217: Schwachstellen-Suche: Authentifizierung - Ein Angriff
    • About Security #218: Schwachstellen-Suche: Authentifizierung - Die Übertragung
    • About Security #219: Schwachstellen-Suche: Authentifizierung - Verschlüsselung
    • About Security #220: Schwachstellen-Suche: Authentifizierung - Unsichere Kryptographie
    • About Security #221: Schwachstellen-Suche: Authentifizierung - Passwort ändern
    • About Security #222: Schwachstellen-Suche: Authentifizierung - Passwort-Reset
    • About Security #223: Schwachstellen-Suche: Authentifizierung - Passwort-Reset (2)
    • About Security #224: Schwachstellen-Suche: Authentifizierung - "Remember me"
    • About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
    • About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
    • About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
    • About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
    • About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
    • About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
    • About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
    • About Security #232: Schwachstellen-Suche: Sichere Authentifizierung
    • About Security #233: Schwachstellen-Suche: Sichere Authentifizierung (2)
    • About Security #234: Schwachstellen-Suche: Sichere Authentifizierung (3)
    • About Security #235: Schwachstellen-Suche: Sichere Authentifizierung (4)
    • About Security #236: Schwachstellen-Suche: Sichere Authentifizierung (5)
    • About Security #237: Schwachstellen-Suche: Sichere Authentifizierung (6)
    • About Security #238: Schwachstellen-Suche: Sichere Authentifizierung (7)
  • Schwachstellen-Suche in Webanwendungen: DoS-Angriffe
    • About Security #239: Schwachstellen-Suche: Denial of Service
    • About Security #240: Schwachstellen-Suche: Denial of Service (2)
    • About Security #241: Schwachstellen-Suche: Denial of Service (3)
    • About Security #242: Schwachstellen-Suche: DoS verhindern
    • About Security #243: Schwachstellen-Suche: DoS verhindern (2)
    • About Security #244: Schwachstellen-Suche: DoS verhindern (3)
  • Schwachstellen-Suche in Webanwendungen: "Dies und das"
    • About Security #245: Schwachstellen-Suche: Session-Token
    • About Security #246: Schwachstellen-Suche: Session-Token (2)
    • About Security #247: Schwachstellen-Suche: Session-Token (3)

Carsten Eilers