Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

A5- SECURITY MISCONFIGURATION

No description
by

Taulant Ramadani

on 12 September 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of A5- SECURITY MISCONFIGURATION

A5- SECURITY MISCONFIGURATION
Inhaltsverzeichnis
Die Bedrohung & Die Folgen
SCHWACHSTELLE
Normalfall liefert Webserver Fehlermeldung
Es kann sein das verzeichnisstruktur angezeigt wird
Massnahmen
Konfiguration des Apache-Servers anpassen
<Directory "/var/www">
Options –Indexes
Order allow,deny
Allow from all
</Directory>
Indexdateien erstellen
.htacces-Datei erstellen
Options -Indexes
Quellen + Unterlagen
Klassische Beispiele von Security Misconfiguration hier
http://www.funpiper.com/blog/220/classic-example-of-owasp-security-misconfiguration-on-o2-money-website/
Anleitung zum Security Check
http://www.troyhunt.com/2013/06/dynamic-security-misconfiguration.html
Anderer Link zum Security Check
https://www.websiteprotection.com/
Quellenangabe
Hilfe zur Schilderung der Massnahme
http://ppfeufer.de/apache-verzeichnisinhalte-vom-webserver-nicht-anzeigen-lassen/
Hilfe zur Schilderung der Massnahme
http://www.sysadminslife.com/linux/apache-webserver-directory-listing-verzeichnisauflistung-deaktivieren-aktivieren/
Die Bedrohung und mögliche Folgen
Massnahmen
Konkrete Beispiele
Resultate & Erkenntnisse
Quellen, Unterlagen & Tutorien
MÖGLICHES SZENARIO
Verzeichnisauflistung auf Ihrem Server ist deaktiviert. Angreifer können einfach Verzeichnisse und beliebige Dateien finden. Angreifer könnte kompilierten Java-Klassen runterladen um alle Ihre benutzerdefinierten Code zu erhalten.
WIE IST MAN BEDROHT?
Angreifer greifen standardmäßig Konten, unbenutzte Seiten, nicht gepatchte Schwachstellen, ungeschützte Dateien und Verzeichnissen, etc. an, um unbefugten Zugriff oder Kenntnisse über das System zu erlangen.
WO KÖNNEN FEHLEINSTELLUNGEN GEMACHT WERDEN?
Fehlkonfiguration der Sicherheitseinstellungen kann auf jeder Ebene einer Applikation passieren, einschließlich der Plattform, Web-Server, Applikations-Server, Datenbank-Framework und auf benutzerdefinierte Code.
TECHNISCHE UND GESCHÄFTLICHE FOLGEN
Das System könnte ganz ohne dass Sie es wissen beeinträchtigt werden. Alle Ihre Daten könnten gestohlen oder langsam im Laufe der Zeit geändert werden.
Full transcript