[HGI-News-de] Vortrag: "Side Channel Vulnerabilities on the Web - Detection and Prevention" - Sebastian Schinzel, Virtual Forge - Mittwoch, 24. November 2010

Newsletter des Horst Görtz Instituts hgi-news-deutschland at lists.ruhr-uni-bochum.de
Fr Nov 19 18:03:53 CET 2010 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Sehr geehrte Damen und Herren,

im Rahmen des HGI-Kolloquiums und des "Hackerpraktikums", organisiert
vom Lehrstuhl für Netz- und Datensicherheit (NDS), wird Sebastian
Schinzel, Virtual Forge GmbH, am kommenden Mittwoch den 24. November
2010 über "Side Channel Vulnerabilities on the Web - Detection and
Prevention" referieren.

Der Vortrag beginnt um 16.00 Uhr c.t. im ID 03/401. Zu diesem und
sämtlichen weiteren Vorträgen im Rahmen des Hackerpraktikums sind alle
Studierende und Interessierte herzlich eingeladen! Eine Voranmeldung ist
nicht erforderlich!

Weitere Informationen gibt es auf folgender Webseite:
https://www.nds.rub.de/chair/lectures/471/

Abstract:
Seitenkanalschwachstellen erlauben es Angreifern anhand des Verhaltens
einer anfälligen Anwendung auf sensible Informationen zu schließen. So
kann der Angreifer anhand kleiner Unterschiede in der Server-Response
Rückschlüsse auf sensible Informationen ziehen (Storage-Seitenkanal). In
einem weiteren Szenario kann der Angreifer beispielsweise anhand der
Antwortszeit der Web-Anwendung auf die Existenz einzelner Datensätze
oder sogar auf die Anzahl der vorhanden Informationen schließen
(Timing-Seitenkanal). In dieser Präsentation stelle ich meine bisherigen
Ergebnisse zur Erforschung von Seitenkanalschwachstellen in
netzwerkbasierten Softwareanwendungen vor und gebe einen Ausblick auf
die künftigen Herausforderungen.

Security Bugs in SAP Systems
Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr
hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar
sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung
von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers
(WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP
zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide
Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die
Entwicklung. In diesem Vortrag stelle ich vor, wie man sichere
Web-Anwendungen mit BSP entwickelt. Ich zeige weiterhin, wie Entwickler
gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting,
SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen
verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man
die Schwachstellen im Laufe eines Code Audits entdecken kann.

Über den Re­fe­rent:
Sebastian Schinzel ist seit mehr als sieben Jahren Entwickler und
Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und
sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge
führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch,
berät SAP-Kunden zu sicherer Softwareentwicklung und ist Co-Autor des
Buches "Sichere ABAP-Programmierung" (SAP-Press 2009). Weiterhin forscht
er an der University Erlangen zum Thema Seitenkanalangriffe im Web.

Beste Grüße


Dominik Birk


- -- 
| Dominik Birk               Wissenschaftlicher Mitarbeiter	    |
| Ruhr-Universität Bochum    Horst Görtz Institut für IT-Sicherheit |
| Tel.: 0234-32-26740        Gebäude IC 4/052		            |
| Mail: dominik.birk at rub.de  44780 Bochum            		    |
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkzmrfkACgkQSMABFNCY+g79ZwCgz4XOlEvwZsjU/ozrTeFLrPXB
jFAAnA2lSxmJNHMGpvw7VPZvufoGsJtw
=Q1Js
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste Hgi-News-Deutschland