19
Sicherheit von Webanwendungen am Beispiel von Wordpress 10. März 2013 / #bcruhr6 Thomas Gemperle / @thomasgemperle

Sicherheit von Webanwendungen

Embed Size (px)

Citation preview

Page 1: Sicherheit von Webanwendungen

Sicherheit von Webanwendungen am Beispiel von Wordpress

10. März 2013 / #bcruhr6Thomas Gemperle / @thomasgemperle

Page 2: Sicherheit von Webanwendungen

Security Themes Wordpress

- Limiting Access- Containment- Preperation and knowledge

http://codex.wordpress.org/Hardening_WordPress

Page 3: Sicherheit von Webanwendungen

Schwachstellen

1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / User

copy

right

by

digi

talg

raph

ixx

(CC

BY

-NC

-ND

2.0

)

Page 4: Sicherheit von Webanwendungen

Schwachstelle Webanwendung

- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken

Page 5: Sicherheit von Webanwendungen

Webanwendung: Sicherheitslücken

Updates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatibilität Plugins --> Staging

Allgemein: Vorsicht mit Plugins

Page 6: Sicherheit von Webanwendungen

Webanwendung: Sicherheitslücken

Page 7: Sicherheit von Webanwendungen

Webanwendung: Features

- Plugins (phpMyAdmin, ...)- define('DISALLOW_FILE_EDIT', true);- File Permissions (auto. Update)

http://codex.wordpress.org/Hardening_WordPress

Page 8: Sicherheit von Webanwendungen

Webanwendung: Brute Force

Plugin: Limit Login Attemps

Page 9: Sicherheit von Webanwendungen

Webanwendung: Kein Username admin

Page 10: Sicherheit von Webanwendungen

Webanwendung: Prävention

- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja, BulletProof Security etc.)

http://www.wpjedi.com/find-security-vulnerabilities-in-wordpress/

Page 11: Sicherheit von Webanwendungen

Schwachstelle Server

- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.

Page 12: Sicherheit von Webanwendungen

Server: Andere Applikationen

- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken) installiert (z.B. Joomla, T3, statische Seiten mit PHP-Code etc.)

Page 13: Sicherheit von Webanwendungen

Server: FTP

- Kein externer FTP-Zugriff - Admin: SFTP oder VPN

Page 14: Sicherheit von Webanwendungen

Server: Monitoring

- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)

Page 15: Sicherheit von Webanwendungen

Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- Weitergegeben

Unsichere Umgebung- WLANs- Phishing (URLs)- Malware, Trojaner, Spyware, Keylogger, ...

copy

right

by

paw

elba

k (C

C B

Y-N

C-N

D 2

.0)

Page 16: Sicherheit von Webanwendungen

Mensch: Passwort Management

- LastPass- Bewusstsein / Verhalten

Page 17: Sicherheit von Webanwendungen

Mensch: Benutzer-Accounts

- Limitierter Zugriff- Passworte- Security-Plugin?

Page 18: Sicherheit von Webanwendungen

Mensch: Unsichere Umgebung

SSL

define('FORCE_SSL_ADMIN', true);define('FORCE_SSL_LOGIN', true);

VPN

LastPass

Page 19: Sicherheit von Webanwendungen

Kontakt

3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/

Bilder (Creative Commons)

[email protected]@thomasgemperlehttps://www.slideshare.net/thomasgemperle


Neue Version und Open- Google - OIO-Die Java-Experten von ... 1 2010_Taboada_GWT.pdf · Ziele: Erstens wird GWT intern für die Entwicklung von Webanwendungen eingesetzt, zweitens

Neue Version und Open- Google - OIO-Die Java-Experten von ... 1 2010_Taboada_GWT.pdf · Ziele: Erstens wird GWT intern für die Entwicklung von Webanwendungen eingesetzt, zweitens

Documents
PROAKTIVE SICHERHEIT PRÄSENTATION VON LUKAS SULZER 1PROAKTIVE SICHERHEIT

PROAKTIVE SICHERHEIT PRÄSENTATION VON LUKAS SULZER 1PROAKTIVE SICHERHEIT

Documents
Sicherheit von Linux-Systemen - uni-muenster.de · Sicherheit von Linux-Systemen Sicherheit von Linux-Systemen Konfiguration von SuSE Linux Professional 9.3 Christian Muck-Lichtenfeld

Sicherheit von Linux-Systemen - uni-muenster.de · Sicherheit von Linux-Systemen Sicherheit von Linux-Systemen Konfiguration von SuSE Linux Professional 9.3 Christian Muck-Lichtenfeld

Documents
Webanwendungen – ASP - Dreamweaver“ · Webanwendungen – ASP - Dreamweaver“ © Mag. Gerhard Buschka – BHAK Wiener Neustadt D:\Daten\HTML\DW\Seminar2\seminar.doc © Mag. Friedrich

Webanwendungen – ASP - Dreamweaver“ · Webanwendungen – ASP - Dreamweaver“ © Mag. Gerhard Buschka – BHAK Wiener Neustadt D:\Daten\HTML\DW\Seminar2\seminar.doc © Mag. Friedrich

Documents
Sicherheit von Kreuzfahrtschiffen

Sicherheit von Kreuzfahrtschiffen

Documents
Bidirektionale Verbindungen für Webanwendungen

Bidirektionale Verbindungen für Webanwendungen

Technology
Absicherung von Webanwendungen - Secodis GmbH...JAX 2014 - Security Day - 15. Mai 2014 Matthias Rohr m.rohr@secodis.com Absicherung von Webanwendungen

Absicherung von Webanwendungen - Secodis GmbH...JAX 2014 - Security Day - 15. Mai 2014 Matthias Rohr [email protected] Absicherung von Webanwendungen

Documents
Funktionale Sicherheit von Maschinen und Anlagen Sicherheit... · EN ISO 13849-1 EN 62061 Safety Integrated Funktionale Sicherheit von Maschinen und Anlagen Europäische Maschinenrichtlinie

Funktionale Sicherheit von Maschinen und Anlagen Sicherheit... · EN ISO 13849-1 EN 62061 Safety Integrated Funktionale Sicherheit von Maschinen und Anlagen Europäische Maschinenrichtlinie

Documents
Webanwendungen mit Selenium testen - alt.java-forum ... fileeinfaches, aber mächtiges Framework Schnelle Erstellung von Oberflächentests Einfache Integration der Fachabteilung möglich

Webanwendungen mit Selenium testen - alt.java-forum ... fileeinfaches, aber mächtiges Framework Schnelle Erstellung von Oberflächentests Einfache Integration der Fachabteilung möglich

Documents
PWA: Portable Webanwendungen statt nativer Apps · 9 © Orientation in Objects GmbH PWA: Portable Webanwendungen statt nativer Apps 17 1.Ladezeiten von 11,91 auf 4,69 Sekunden 2.90

PWA: Portable Webanwendungen statt nativer Apps · 9 © Orientation in Objects GmbH PWA: Portable Webanwendungen statt nativer Apps 17 1.Ladezeiten von 11,91 auf 4,69 Sekunden 2.90

Documents
Serverbasierte Webanwendungen für die Hochschulverwaltung

Serverbasierte Webanwendungen für die Hochschulverwaltung

Documents
HTML5 im Überblick – semantisches HTML, Geolocation, Offline-Webanwendungen, Multimedia, Drag & Drop, Canvas-Element

HTML5 im Überblick – semantisches HTML, Geolocation, Offline-Webanwendungen, Multimedia, Drag & Drop, Canvas-Element

Technology
Java Server Faces 2.0 - Der Standard für moderne und komponentenbasierte Webanwendungen

Java Server Faces 2.0 - Der Standard für moderne und komponentenbasierte Webanwendungen

Technology
Bastian Cramer, Universität Paderborn Entwurfsmuster für Webanwendungen Projektgruppe: Generierung von Webanwendungen aus visuellen Spezifikationen

Bastian Cramer, Universität Paderborn Entwurfsmuster für Webanwendungen Projektgruppe: Generierung von Webanwendungen aus visuellen Spezifikationen

Documents
WebAnwendungen mitJava,TomcatundMySQL –einÜberblick– · 2019-04-04 · Web-Anwendung Entwicklungsumgebung Web Applikation WebAnwendungen mitJava,TomcatundMySQL –einÜberblick–

WebAnwendungen mitJava,TomcatundMySQL –einÜberblick– · 2019-04-04 · Web-Anwendung Entwicklungsumgebung Web Applikation WebAnwendungen mitJava,TomcatundMySQL –einÜberblick–

Documents
Entwicklung von professionellen Webanwendungen mit PHP

Entwicklung von professionellen Webanwendungen mit PHP

Documents
Moderne Webanwendungen mit HTML5 - tschutschu · Moderne Webanwendungen mit HTML5 Studienarbeit an der Fakultät für Informatik und Mathematik der Hochschule München Studiengang:

Moderne Webanwendungen mit HTML5 - tschutschu · Moderne Webanwendungen mit HTML5 Studienarbeit an der Fakultät für Informatik und Mathematik der Hochschule München Studiengang:

Documents
Sichere Webanwendungen auf BSI Basis v10 · 2020-02-12 · ONR 17700 –Sicherheitstechnische Anforderungen an Webapplikationen • Erste Norm im EU-Raum für die Sicherheit von Webanwendungen

Sichere Webanwendungen auf BSI Basis v10 · 2020-02-12 · ONR 17700 –Sicherheitstechnische Anforderungen an Webapplikationen • Erste Norm im EU-Raum für die Sicherheit von Webanwendungen

Documents
Architecture Best Practices für Webanwendungen auf AWS

Architecture Best Practices für Webanwendungen auf AWS

Technology
Insassen-Modellierungmit der Finiten-Elemente-Methode zur ... · Sicherheit von Kraftfahrzeugen Aktive Sicherheit: Vermeidung von Unfällen (z.B. ABS, ESP) Passive Sicherheit: Verringerung

Insassen-Modellierungmit der Finiten-Elemente-Methode zur ... · Sicherheit von Kraftfahrzeugen Aktive Sicherheit: Vermeidung von Unfällen (z.B. ABS, ESP) Passive Sicherheit: Verringerung

Documents
Akzeptanztests Von Webservice Und Webanwendungen Auf Basis Von Apache JMeter

Akzeptanztests Von Webservice Und Webanwendungen Auf Basis Von Apache JMeter

Documents
Sicherheit von Elektrofahrzeugen - TU Chemnitzkolc/16-02-24_Grundlagen... · 2016. 3. 1. · Sicherheit von Elektrofahrzeugen Quelle: R. Seibt (2014): Sicherheit von Rettungs-und

Sicherheit von Elektrofahrzeugen - TU Chemnitzkolc/16-02-24_Grundlagen... · 2016. 3. 1. · Sicherheit von Elektrofahrzeugen Quelle: R. Seibt (2014): Sicherheit von Rettungs-und

Documents
Ein Best-of-Konzept für Sicherheitsanalysen von … · 2020-01-17 · Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen Katharine Brylski iT-Cube Systems AG #18 | OWASP

Ein Best-of-Konzept für Sicherheitsanalysen von … · 2020-01-17 · Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen Katharine Brylski iT-Cube Systems AG #18 | OWASP

Documents
Nutzung von Geodatendiensten - GDI · PDF filedes Geodatendienstes kann in Geoinformationssysteme (GIS) oder Webanwendungen eingebunden werden. Dadurch kann der Nutzer einfach auf

Nutzung von Geodatendiensten - GDI · PDF filedes Geodatendienstes kann in Geoinformationssysteme (GIS) oder Webanwendungen eingebunden werden. Dadurch kann der Nutzer einfach auf

Documents
Monitoring von Java Webanwendungenalt.java-forum-stuttgart.de/jfs/2011/folien/A1.pdf · Monitoring von Java Webanwendungen Peter Roßbach pr@objektpark.de © 2011 Peter Roßbach (pr@objektpark.de)

Monitoring von Java Webanwendungenalt.java-forum-stuttgart.de/jfs/2011/folien/A1.pdf · Monitoring von Java Webanwendungen Peter Roßbach [email protected] © 2011 Peter Roßbach ([email protected])

Documents
Testen von Webanwendungen - mathematik.uni-ulm.de · // setzt Parameter name auf „Fabian“ und ruft neue Antwort ab request.setParameter(„name“, „Fabian“); response = con.getResponse(request);Authors:

Testen von Webanwendungen - mathematik.uni-ulm.de · // setzt Parameter name auf „Fabian“ und ruft neue Antwort ab request.setParameter(„name“, „Fabian“); response = con.getResponse(request);Authors:

Documents
Talk: OWASP Top 10 2017...Talk: OWASP Top 10 –2017 Die 10 kritischsten Sicherheitsrisiken für Webanwendungen-Neuerungen -HintergründeOWASP Stammtisch München (19.02.2019) von

Talk: OWASP Top 10 2017...Talk: OWASP Top 10 –2017 Die 10 kritischsten Sicherheitsrisiken für Webanwendungen-Neuerungen -HintergründeOWASP Stammtisch München (19.02.2019) von

Documents
Webanwendungen mit Apache HBase entwickeln

Webanwendungen mit Apache HBase entwickeln

Technology
Wartbare Javascript-lastige Webanwendungen - W3L · functionNamesLikeThis = Camel-Case ClassNamesLikeThis = Pascal-Case ... Testautomatisierung bei Javascript -lastigen Webanwendungen

Wartbare Javascript-lastige Webanwendungen - W3L · functionNamesLikeThis = Camel-Case ClassNamesLikeThis = Pascal-Case ... Testautomatisierung bei Javascript -lastigen Webanwendungen

Documents
Sicherheit von langlebigen Systemen in Bezug auf ... · Sascha M ucke: Sicherheit von Kommunikationsanlagen 1/ 28 Sicherheit von langlebigen Systemen in Bezug auf Kommunikationsanlagen

Sicherheit von langlebigen Systemen in Bezug auf ... · Sascha M ucke: Sicherheit von Kommunikationsanlagen 1/ 28 Sicherheit von langlebigen Systemen in Bezug auf Kommunikationsanlagen

Documents