In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Hacker-Methoden in der IT- Sicherheitsausbildung

Werbung 
Hacker-Methoden in der ITSicherheitsausbildung
Dr. Martin Mink
Hacker-Angriffe
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 2
Typische Angriffe auf WebAnwendungen
 SQL Injection
 Cross Site Scripting
 ungenügende Überprüfung von Benutzereingaben
 Zugriff auf E-Mail-Adressen, Passwörter, Kreditkartendaten, die
unverschlüsselt gespeichert werden
 ungenügender Schutz von sensiblen Daten
 Zugriff auf geschützte Verzeichnisse des Servers
 Fehlkonfigurationen
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 3
SQL Injection
 SQL ist die Abfragesprache in Datenbanken (DB)
 DB besteht aus Tabellen, jede Tabelle aus Spalten und Zeilen
 Beispiele für SQL-Abfragen:
 SELECT * FROM kunden;
 gibt den gesamten Inhalt der Tabelle 'kunden' aus
 SELECT name FROM kunden WHERE betrag > 1000;
 gibt die Namen der Kunden aus, die für mehr als 1000 € eingekauft
haben
 Angriff:
 mittels SQL Injection wird eine vorhandene Abfrage verändert
 Inhalt der DB anzeigen, verändern, löschen, ...
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 4
SQL Injection: Beispiel
 Für Login auf Webseite Eingabe von Benutzername + Passwort
 Benutzername ist Eingabe1, Passwort ist Eingabe2
 SELECT * FROM benutzer WHERE name='Eingabe1' AND
passwort='Eingabe2';
 Angreifer gibt ein:
 für Eingabe1: (keine Eingabe)
 für Eingabe2: ' OR 1=1;--
 Resultat:
 SELECT * FROM benutzer WHERE name='' AND passwort='' OR
1=1;--';
 ausgeführt wird:
 SELECT * FROM benutzer WHERE 1=1;
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 5
SQL Injection:
Schutzmaßnahmen
 Benutzereingaben überprüfen
 nur bestimmte Zeichen zulassen („Whitelist“)
 bestimmte Zeichen nicht erlauben („Blacklist“)
 besser: spezielle Funktionen der DB nutzen
 bewirken, dass der Inhalt einer Benutzereingabe nicht als Teil der
SQL-Anfrage interpretiert wird
 sog. „Stored Prodedures“ oder „Prepared Statements“
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 6
Cross Site Scripting (XSS)
 Angreifer manipuliert eine Web-Anwendung so, dass sie
schädlichen Skriptcode in die dem Besucher angezeigte Seite
einbettet
 Browser verarbeitet den eingeschmuggelten Code so, als sei es
ein legitimer Inhalt der Web-Seite
 mit allen entsprechenden Sicherheitsfreigaben
 Mit XSS kann ein Angreifer u.a.
 die Identität eine anderen Benutzers annehmen
 den Benutzer auf eine bösartige Webseite leiten
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 7
XSS: Schutzmaßnahmen
 Benutzereingaben überprüfen
 nur bestimmte Zeichen zulassen („Whitelist“)
 bestimmte Zeichen nicht erlauben („Blacklist“)
 Skriptausführung im Browser deaktivieren
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 8
Know Your Enemy
 Erfahrung mit Angreifermethoden ist wichtig
 um sich der Möglichkeiten eines Angreifers bewusst zu werden
 für ein besseres Verständnis von Sicherheitsproblemen
 denn nur wer die Methoden der Angreifer kennt, kann sich effizient
verteidigen
 denn Angreifer sind immer einen Schritt voraus
 Bedarf an Sicherheitsexperten mit Hacker-Erfahrung ist da
 für Penetrationstests, den Entwurf sicherer Systeme,
Strafverfolgungsbehörden, Geheimdienste, ...
 Nachfrage durch Industrie und Staat
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 9
Praktikum „Hacker Contest“
 Seit 1999 an der TU Darmstadt angeboten
 Erprobung von Angriff und Verteidigung in einem geschlossenen
Netzwerk
 Praktische Erfahrungen in einer Umgebung, die normalerweise
nicht legal möglich
 Idee: „know your enemy“
 Kennenlernen der Methoden der Angreifer, um sich effizient vor
Angriffen schützen zu können
 12 Studenten arbeiten in Teams
 Teil des neuen Masterstudiengangs „IT Security“
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 10
Ziele des Hacker Contests
 IT-Sicherheit praktisch erfahren
 Die Methoden der Angreifer kennenlernen
 Studierende für die Gefahren im Netzwerk sensibilisieren sowie
ausbilden, die Gefahren zu erkennen und abzuwehren
 Kritische Auseinandersetzung mit den Grundsätzen des
"Hackens" und den prinzipiellen Angriffskonzepten
 Lernen, wie man ein System sicher macht
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 11
Hacker Contest für Unternehmen
 Weiterbildungsveranstaltung für Mitarbeiter
 Vermittlung von
 Wissen in ausgewählten Bereichen der IT-Sicherheit
 Einblicken in die Methoden und Denkweisen von Hackern
 Techniken zur Abwehr von Angriffen
 praktischen Erfahrungen
 5-tägige Veranstaltung
 geplant ab Frühjahr 2011
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 12
Zum selbst ausprobieren
 WebGoat (von OWASP)
 zur Demonstration von häufig auftretenden Sicherheitslücken
 http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
 Damn Vulnerable Linux (DVL)
 Live-CD mit angreifbaren Anwendungen
 http://www.damnvulnerablelinux.org/
 Gruyere (ehemals Jarlsberg) (von Google code)
 Lernanwendung für Webentwickler
 http://google-gruyere.appspot.com/
 Hacme Bank, Hacme Book, Hacme Casino, Hacme Travel, …
 nachgebildete Webapplikationen, die Lücken enthalten
 http://www.foundstone.com/us/resources-free-tools.asp
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 13
Hacking-Demo
 Vorführung: (Un-)sicherheit von Web-Shops
 Hacme Bank
 Nachbildung einer Online-Bank
 Hacme Book
 Nachbildung eines Online-Buchladens
 vorgeführt von
 Tobias Lange
 Patrick Neugebauer
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 14
Kontakt
 Dr. Martin Mink
 http://www.seceng.informatik.tu-darmstadt.de/mink/
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 15
Zugehörige Unterlagen
Jugendseite Dezember 2012
Jugendseite Dezember 2012
Schonender Transport durch sensible Fasern
Schonender Transport durch sensible Fasern
Hack that Website!
Hack that Website!
WEB SECURITY IM SELBSTVERSUCH
WEB SECURITY IM SELBSTVERSUCH
Verbindung zur IO10G auf Auror
Verbindung zur IO10G auf Auror
Unser Unternehmen gehört im Bereich IT-Services/Help
Unser Unternehmen gehört im Bereich IT-Services/Help
Web-Applikationen: Angriffe – und wie Sie sich dagegen verteidigen
Web-Applikationen: Angriffe – und wie Sie sich dagegen verteidigen
EPS004: SQL Grundlagen Einfach mal die
EPS004: SQL Grundlagen Einfach mal die
Rechnen mit SQL
Rechnen mit SQL
IT Mitarbeiter – Business Systems/E-Commerce
IT Mitarbeiter – Business Systems/E-Commerce
- Softwarepark Hagenberg
- Softwarepark Hagenberg
Um eine erfolgreiche SQL-Abfrage mit dem Dirscanner durchführen
Um eine erfolgreiche SQL-Abfrage mit dem Dirscanner durchführen
IBM Services Center - Otto-von-Guericke
IBM Services Center - Otto-von-Guericke
Präsentation zu den Aggregatsfunktionen
Präsentation zu den Aggregatsfunktionen
STELLENAUSSCHREIBUNG: .NET, C#, SQL Entwickler (M/W)
STELLENAUSSCHREIBUNG: .NET, C#, SQL Entwickler (M/W)
eine/n Datenbank-Entwickler/in in Vollzeit! - Econ-Tec
eine/n Datenbank-Entwickler/in in Vollzeit! - Econ-Tec
Arbeitsplan IV File
Arbeitsplan IV File
Developer SQL und Java (m/w, OE 3214)
Developer SQL und Java (m/w, OE 3214)
C#/PHP - Entwickler (m/w)
C#/PHP - Entwickler (m/w)
Manuelle Sicherung mit SQL Server 2005_2008
Manuelle Sicherung mit SQL Server 2005_2008
Flyer Vortrag Fortbildung Zahnärzte Zahntechniker Straubing
Flyer Vortrag Fortbildung Zahnärzte Zahntechniker Straubing
Herunterladen
Werbung