Hier finden Sie die Präsentationen und weiterführende
Informationen zu Vorträgen, die ich auf Konferenzen gehalten habe.
WebTech Conference 2011
Vom 9. bis 12. Oktober fand in Mainz die
WebTech Conference
2011 statt. Ein Track war der "Web Security Day", auf dem ich
zwei Sessions gehalten habe:
"Client Security im Web 2.0 und mit HTML5"
und
"Sicherheit von Anfang an".
Client Security im Web 2.0 und mit HTML5
Beschreibung:
Schwachstellen gibt es nicht nur auf dem Server, sondern auch auf dem
Client. Je mehr Aufgaben auf den Client ausgelagert werden, desto mehr
mögliche Schwachstellen entstehen dort. Und je mehr Daten auf dem Client
gespeichert werden, desto interessanter wird er für Angreifer. Alle reden
von HTML5 und Co., aber denkt denn niemand an die Sicherheit?
Dateien zum Vortrag
Weiterführende Links
- Allgemein
- HTML5 und XSS
- HTML5 und Speicher, allgemein
- HTML5 und SQL-Datenbanken
- HTML5 und Cross Origin Requests
- HTML5 und iframe mit sandbox-Attribut
- Clickjacking
- Schlussbemerkungen
Sicherheit von Anfang an
Beschreibung:
Die Sicherheit einer Anwendung muss vom Entwurf an berücksichtigt
werden. Falsche Entscheidungen in der Entwurfsphase lassen sich später oft
nur mühsam korrigieren. Erfahren Sie, welche typischen Fehler es gibt und
wie Sie sie vermeiden können, und wie Sie einen individuellen "Security
Development Lifecycle" für Ihre Webanwendungen entwickeln.
Dateien zum Vortrag
Weiterführende Links
- Microsofts SDL
- About Security - Übersicht Web-Security
- Einführung
- Sichere Webanwendungen: SQL-Injection
- Sichere Webanwendungen: Cross-Site-Scripting
- Sichere Webanwendungen: Skriptcode einschleusen
- Sichere Webanwendungen: HTTP-Request-Smuggling und HTTP-Response-Splitting
- Sichere Webanwendungen: Gefahren für Webanwendungen und -server
- Sichere Webanwendungen: Cross-Site-Request-Forgery
- Sichere Webanwendungen: Cross-Site-Scripting
- Sichere Webanwendungen: Web-Würmer
- Schwachstellen-Suche in Webanwendungen: Überblick
- Schwachstellen-Suche in Webanwendungen: Informationen sammeln
- Schwachstellen-Suche in Webanwendungen: Zustandsbasierte Angriffe
- Schwachstellen-Suche in Webanwendungen: Angriffe über vom Benutzer gelieferte Daten
- Schwachstellen-Suche in Webanwendungen: Angriffe auf die Architektur der Webanwendung
- Schwachstellen-Suche in Webanwendungen: Angriffe auf den Webserver
- Schwachstellen-Suche in Webanwendungen: Angriffe auf die Authentifizierung
- Schwachstellen-Suche in Webanwendungen: DoS-Angriffe
- Schwachstellen-Suche in Webanwendungen: "Dies und das"