Präsentationen und Links zu meinen #wtc11-Vorträgen sind online
Ich habe soeben die Präsentationen zu meinen Vorträgen auf der WebTech Conference hochgeladen. Sie finden Sie auf www.ceilers-it.de/konferenzen/ sowie auch hier:
Client Security im Web 2.0 und mit HTML5
Beschreibung:
Schwachstellen gibt es nicht nur auf dem Server, sondern auch auf dem
Client. Je mehr Aufgaben auf den Client ausgelagert werden, desto mehr
mögliche Schwachstellen entstehen dort. Und je mehr Daten auf dem Client
gespeichert werden, desto interessanter wird er für Angreifer. Alle reden
von HTML5 und Co., aber denkt denn niemand an die Sicherheit?
Dateien zum Vortrag
Weiterführende Links
- Allgemein
- HTML5 Security Cheatsheet Project
- OWASP HTML5 Security Cheat Sheet ("Work on Progress")
- HTML5 Security in a Nutshell (Kritik dazu)
- DEF CON 19, Ming Chow: Abusing HTML5 (Material)
- HTML5 und XSS
- HTML5 Security Cheatsheet
- XSS (Cross Site Scripting) Cheat Sheet
- Gareth Heyes: HTML5 XSS
- Gareth Heyes: HTML5 NEW XSS VECTORS
- Thread im sla.ckers.org-Forum
- HTML5 und Speicher, allgemein
- OWASP Enterprise Security API: Projekt-Seite, owasp-esapi-js
- HTML5 und SQL-Datenbanken
- HTML5 Security Cheatsheet: Web SQL Database Security
- Attack and Defense Labs: HTML5 Security Quick Reference Guide with Demos
- HTML5 und Cross Origin Requests
- HTML5 Security Cheatsheet: Cross Origin Request Security
- Attack and Defense Labs: HTML5 Security Quick Reference Guide with Demos
- MDN: HTTP access control
- scip: Labs: HTML5 Cross Origin Request Sicherheit
- Cross-Origin Resource Sharing (W3C Working Draft)
- HTML5 und iframe mit sandbox-Attribut
- sandbox @ The iframe element (HTML5 W3C Working Draft)
- Chromium Blog: Security in Depth: HTML5's @sandbox
- Clickjacking
- Clickjacking - Angriffe auf Seiten ohne Schwachstellen
- Clickjacking - Auch komplizierte Aktionen sind möglich
- Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe
- Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
- Clickjacking - "Likejacking" unter die Haube geguckt
- Clickjacking - The next Generation
- Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten
- Cookiejacking - Keksdiebe im Internet Explorer
- Likejacking - Facebook im Visier der Cyberkriminellen
- Clickjacking - Gute und Schlechte Nachrichten
- Paul Stone, Context: Clickjacking Paper - Black Hat 2010 und Clickjacking Tool
- Schlussbemerkungen
Sicherheit von Anfang an
Beschreibung:
Die Sicherheit einer Anwendung muss vom Entwurf an berücksichtigt
werden. Falsche Entscheidungen in der Entwurfsphase lassen sich später oft
nur mühsam korrigieren. Erfahren Sie, welche typischen Fehler es gibt und
wie Sie sie vermeiden können, und wie Sie einen individuellen "Security
Development Lifecycle" für Ihre Webanwendungen entwickeln.
Dateien zum Vortrag
Weiterführende Links
- Microsofts SDL
- MS Security Developer Center, Serie "Wie schreibe ich
sicheren Code"
Security Development Lifecycle
Bedrohungsmodelle - Application Threat Modeling
- Trainings und Tools zum SDL
Phase 1 bis 3
und
Phase 4 bis 7
(für Webentwickler zum größten Teil irrelevant bzw. unpassend) - Microsoft Security Development Lifecycle Process
- Simplified Implementation of the Microsoft SDL (Download, auch auf deutsch verfügbar)
- How SDL Builds More Secure Software
- Rückblick auf 6 Jahre Security Development Lifecycle (SDL)
- MS Security Developer Center, Serie "Wie schreibe ich
sicheren Code"
- About Security - Übersicht Web-Security
- Einführung
- Sichere Webanwendungen: SQL-Injection
- Sichere Webanwendungen: Cross-Site-Scripting
- Sichere Webanwendungen: Skriptcode einschleusen
- Sichere Webanwendungen: HTTP-Request-Smuggling und HTTP-Response-Splitting
- About Security #17: HTTP-Request-Smuggling
- About Security #18: Spielarten des HTTP-Request-Smuggling, 1
- About Security #19: Spielarten des HTTP-Request-Smuggling, 2
- About Security #20: HTTP-Request-Smuggling erkennen und verhindern
- About Security #21: HTTP-Response-Splitting, 1
- About Security #22: HTTP-Response-Splitting, 2
- About Security #23: Caches vergiften
- About Security #24: Caches indirekt vergiften
- About Security #25: Entführen von Webseiten
- Sichere Webanwendungen: Gefahren für Webanwendungen und -server
- Sichere Webanwendungen: Cross-Site-Request-Forgery
- Sichere Webanwendungen: Cross-Site-Scripting
- About Security #129: Cross-Site-Scripting, reloaded
- About Security #130: DOM-basiertes XSS abwehren
- About Security #131: XSS-Angriffe (1)
- About Security #132: XSS-Angriffe (2)
- About Security #133: XSS-Angriffe (3): JavaScript-Ping & Co.
- About Security #134: XSS-Angriffe (4): JavaScript-Portscan
- About Security #135: XSS-Angriffe (5): JavaScript-Portscan vorbereiten
- About Security #136: XSS-Angriffe (6): DSL-Router ausspähen
- About Security #137: XSS-Angriffe (7): Weitere Ziele
- Sichere Webanwendungen: Web-Würmer
- About Security #138: Web-Würmer (1): Samy, der MySpace-Wurm
- About Security #139: Web-Würmer (2): Samys Ende
- About Security #140: Web-Würmer (3): Yamanner
- About Security #141: Web-Würmer (4): Der Orkut-XSS-Wurm
- About Security #142: Web-Würmer (5): Der gemeine Wurm
- About Security #143: Web-Würmer (6): Wurmkur
- Schwachstellen-Suche in Webanwendungen: Überblick
- Schwachstellen-Suche in Webanwendungen: Informationen sammeln
- About Security #144: Schwachstellen-Suche: Allgemeine Infos sammeln
- About Security #145: Schwachstellen-Suche: Daten auswerten
- About Security #146: Schwachstellen-Suche: Infos im Client sammeln
- About Security #147: Schwachstellen-Suche: Ajax-Clients
- About Security #148: Schwachstellen-Suche: Ajax-Clients (2)
- Schwachstellen-Suche in Webanwendungen: Zustandsbasierte Angriffe
- About Security #149: Schwachstellen-Suche: Zustandsinformationen
- About Security #150: Schwachstellen-Suche: Zustandsinformationen 2
- About Security #151: Schwachstellen-Suche: Cookie-Poisoning
- About Security #152: Schwachstellen-Suche: Contra Cookie-Poisoning
- About Security #153: Schwachstellen-Suche: URL-Jumping
- About Security #154: Schwachstellen-Suche: Der Referer-Header
- About Security #155: Schwachstellen-Suche: Session-Hijacking
- About Security #156: Schwachstellen-Suche: Session Hijacking verhindern
- About Security #157: Schwachstellen-Suche: Session Fixation
- Schwachstellen-Suche in Webanwendungen: Angriffe über vom Benutzer gelieferte Daten
- About Security #158: Schwachstellen-Suche: Einfaches XSS
- About Security #159: Schwachstellen-Suche: XSS trotz Filter
- About Security #160: Schwachstellen-Suche: XSS finden
- About Security #161: Schwachstellen-Suche: XSS verhindern
- About Security #162: Schwachstellen-Suche: Persistentes XSS
- About Security #163: Schwachstellen-Suche: Persistentes XSS (2)
- About Security #164: Schwachstellen-Suche: Persistentes XSS (3)
- About Security #165: Schwachstellen-Suche: DOM-basiertes XSS
- About Security #166: Schwachstellen-Suche: SQL-Injection Grundlagen
- About Security #167: Schwachstellen-Suche: SQL-Injection über Strings
- About Security #168: Schwachstellen-Suche: SQL-Injection statt Zahlen
- About Security #169: Schwachstellen-Suche: SQL-Injection Statements
- About Security #170: Schwachstellen-Suche: SQL-Injection mit UNION
- About Security #171: Schwachstellen-Suche: SQL-Injection mit UNION (2)
- About Security #172: Schwachstellen-Suche: SQL-Injection mit Filter
- About Security #173: Schwachstellen-Suche: SQL-Injection mit Escape
- About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
- About Security #175: Schwachstellen-Suche: Blind SQL-Injection
- About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
- About Security #177: Schwachstellen-Suche: Directory-Traversal
- About Security #178: Schwachstellen-Suche: Directory-Traversal (2)
- About Security #179: Schwachstellen-Suche: Directory-Traversal (3)
- About Security #180: Schwachstellen-Suche: Directory-Traversal (4)
- About Security #181: Schwachstellen-Suche: Directory-Traversal (5)
- About Security #182: Schwachstellen-Suche: Directory-Traversal (6)
- About Security #183: Schwachstellen-Suche: Remote File Inclusion
- About Security #184: Schwachstellen-Suche: OS Command Injection
- About Security #185: Schwachstellen-Suche: OS Command Injection (2)
- About Security #186: Schwachstellen-Suche: OS Command Injection (3)
- About Security #187: Schwachstellen-Suche: Scriptcode Injection
- About Security #188: Schwachstellen-Suche: Scriptcode Injection (2)
- About Security #189: Schwachstellen-Suche: XPath-Injection
- About Security #190: Schwachstellen-Suche: SOAP-Injection
- About Security #191: Schwachstellen-Suche: SOAP-Injection finden
- About Security #192: Schwachstellen-Suche: SMTP-Header-Injection
- About Security #193: Schwachstellen-Suche: SMTP-Command-Injection
- About Security #194: Schwachstellen-Suche: LDAP-Injection
- About Security #195: Schwachstellen-Suche: LDAP-Injection verhindern
- About Security #196: Schwachstellen-Suche: Pufferüberläufe finden
- About Security #197: Schwachstellen-Suche: Pufferüberläufe verhindern
- About Security #198: Schwachstellen-Suche: Integer-Schwachstellen
- About Security #199: Schwachstellen-Suche: Formatstrings
- Schwachstellen-Suche in Webanwendungen: Angriffe auf die Architektur der Webanwendung
- About Security #201: Schwachstellen-Suche: Vertrauensbeziehungen ausnutzen
- About Security #202: Schwachstellen-Suche: Schichtenarchitekturen angreifen
- About Security #203: Schwachstellen-Suche: Shared Environments
- About Security #204: Schwachstellen-Suche: Shared Environments (2)
- About Security #205: Schwachstellen-Suche: Shared Environments (3)
- Schwachstellen-Suche in Webanwendungen: Angriffe auf den Webserver
- About Security #206: Schwachstellen-Suche: Webserver identifizieren
- About Security #207: Schwachstellen-Suche: Webserver angreifen
- About Security #208: Schwachstellen-Suche: Webserver schützen
- About Security #209: Schwachstellen-Suche: Webserver untersuchen
- About Security #210: Schwachstellen-Suche: Webserver-Konfiguration
- About Security #211: Schwachstellen-Suche: Gefährliche HTTP-Methoden
- About Security #212: Schwachstellen-Suche: Proxy-Server
- About Security #213: Schwachstellen-Suche: Webserver konfigurieren
- Schwachstellen-Suche in Webanwendungen: Angriffe auf die Authentifizierung
- About Security #214: Schwachstellen-Suche: Authentifizierung - Grundlagen
- About Security #215: Schwachstellen-Suche: Authentifizierung - Brute Force
- About Security #216: Schwachstellen-Suche: Authentifizierung - Namen finden
- About Security #217: Schwachstellen-Suche: Authentifizierung - Ein Angriff
- About Security #218: Schwachstellen-Suche: Authentifizierung - Die Übertragung
- About Security #219: Schwachstellen-Suche: Authentifizierung - Verschlüsselung
- About Security #220: Schwachstellen-Suche: Authentifizierung - Unsichere Kryptographie
- About Security #221: Schwachstellen-Suche: Authentifizierung - Passwort ändern
- About Security #222: Schwachstellen-Suche: Authentifizierung - Passwort-Reset
- About Security #223: Schwachstellen-Suche: Authentifizierung - Passwort-Reset (2)
- About Security #224: Schwachstellen-Suche: Authentifizierung - "Remember me"
- About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
- About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
- About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
- About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
- About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
- About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
- About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
- About Security #232: Schwachstellen-Suche: Sichere Authentifizierung
- About Security #233: Schwachstellen-Suche: Sichere Authentifizierung (2)
- About Security #234: Schwachstellen-Suche: Sichere Authentifizierung (3)
- About Security #235: Schwachstellen-Suche: Sichere Authentifizierung (4)
- About Security #236: Schwachstellen-Suche: Sichere Authentifizierung (5)
- About Security #237: Schwachstellen-Suche: Sichere Authentifizierung (6)
- About Security #238: Schwachstellen-Suche: Sichere Authentifizierung (7)
- Schwachstellen-Suche in Webanwendungen: DoS-Angriffe
- About Security #239: Schwachstellen-Suche: Denial of Service
- About Security #240: Schwachstellen-Suche: Denial of Service (2)
- About Security #241: Schwachstellen-Suche: Denial of Service (3)
- About Security #242: Schwachstellen-Suche: DoS verhindern
- About Security #243: Schwachstellen-Suche: DoS verhindern (2)
- About Security #244: Schwachstellen-Suche: DoS verhindern (3)
- Schwachstellen-Suche in Webanwendungen: "Dies und das"
Trackbacks