Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Maat: px
Weergave met pagina beginnen:

Download "Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop"

Transcriptie

1 Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop 1

2 Agenda Injection Cross Site Scripting Session Hijacking Cross Site Request Forgery #1 OWASP #2 top 10 #3 #5 Bezoek voor meer informatie. 3

3 Injection Injecteren commando s in invoer parameters "select * from User where name = '" + name + "'" Hans 4

4 Injection Injecteren commando s in invoer parameters "select * from User where name = '" + name + "'" Hans' or '1'='1 Injection is niet alleen SQL XML, XPath, LDAP, dynamic code eval, 5

5 Demo 1: Injection 6

6 Injection Voorkomen Parameter binding API s Java: NamedQueries in JPA, PreparedStatement PHP: PDO PDOStatement::bindParam.NET: SqlCommand met binding parameters Escaping Indien binding niet mogelijk is Invoer validatie Extra laag van verdediging 7

7 Agenda Injection Cross Site Scripting Session Hijacking Cross Site Request Forgery 8

8 Cross Site Scripting (XSS) Hoe werkt het? Aanvaller plaatst eigen HTML/JS op site Slachtoffer bezoekt site Aanvaller heeft controle over site en de browser. 9

9 Reflected XSS Aanvaller laat script via slachtoffer en server reflecteren. value=""><script>..</script>.. Aanvaller lokt slachtoffer met link, redirect, frame, url shortener,.. 10

10 Demo 2: Cross Site Scripting 11

11 Stored XSS POST name="><script>..</script> Bezoekers krijgen opgeslagen script. 12

12 Cross Site Scripting (XSS) HTML5 features maken meer mogelijk Bijv. XSS triggeren via autofocus Voorkomen Escapen voor renderen Voor juiste context escapen HTML, JavaScript, CSS, URL Invoer validatie White listing, strong typing, limiteren lengte 13

13 Agenda Injection Cross Site Scripting Session Hijacking Cross Site Request Forgery 14

14 Hoe werken HTTP Sessions HTTP GET HTTP OK HTTP Protocol = Stateless protocol 15

15 Hoe werken HTTP Sessions HTTP Protocol = Stateless protocol 16

16 Hoe werken HTTP Sessions IRL Moeten we communiceren met meerdere clients 17

17 Hoe werken HTTP Sessions Client sessies krijgen ieder een uniek cookie/id. 18

18 Hoe werken HTTP Sessions Wat is een cookie eigenlijk? Een cookie is een HTTP server Header: HTTP/ OK Content-type: text/html Set-Cookie: name=value Set-Cookie: JSESSIONID=5A53044AA6CB36363D3; Expires=Wed, 09 Jun :18:14 GMT De client stuurt deze data bij ieder verzoek mee: GET /spec.html HTTP/1.1 Host: Cookie: JSESSIONID=5A53044AA6CB36363D3; name=value Een cookie is dus plain text data. 19

19 Wat is een cookie nu eigenlijk? Een cookie is een HTTP Header vanaf de server: HTTP/ OK Content-type: text/html Set-Cookie: name=value Plain text HTTP verkeer kan je sniffen! Set-Cookie: JSESSIONID=5A53044AA6CB36363D3; Expires=Wed, 09 Jun :18:14 GMT De client stuurt deze data bij ieder verzoek mee: GET /spec.html HTTP/1.1 Host: Cookie: SESSIONID=5A53044AA6CB36363D3; name=value Een cookie is dus plain text data. 20

20 Demo 4: Session Hijacking 21

21 Hoe raak je cookies kwijt? Onbeveiligd HTTP verkeer. Bv. FireSheep. Via XSS en Javascript: document.cookie. Via Trojans en Virussen die specifiek jacht maken op actieve sessions. Social Engineering. Andere optie: Session Fixation. Aanvaller lokt slachtoffer met URL rewriting: 22

22 Hoe helpt het HTTP protocol? Moderne browers helpen met nieuwe opties voor cookies: HttpOnly schermt het cookie af van Javascript. Secure alleen meegestuurd met SSL verbindingen. HTTP/ OK Content-type: text/html Set-Cookie: JSESSIONID=5A53044AA6CB36363D3; Secure; HttpOnly 23

23 Session Hijacking: Wat kan je zelf doen? 1. Bescherm je session altijd met HTTPS. 2. Bescherm je session met HttpOnly en Secure. 3. Geef je session cookie een andere naam. 4. Schakel URL rewriting uit met tracking mode. 5. Reset je Session bij iedere inlog poging. Gebruik je nog oude technologie? Geen nood. De middleware kan je ook helpen. Bijvoorbeeld: Tomcat ondersteunt Secure en HttpOnly al vanaf versie 5.5 in de context.xml. 24

24 Agenda Injection Cross Site Scripting Session Hijacking Cross Site Request Forgery 25

25 Hoe werkt Cross Site Request Forgery? + server peter ********** 26

26 Hoe werkt Cross Site Request Forgery? + server 27

27 Hoe werkt Cross Site Request Forgery? evilsite.org + server 28

28 Demo 5: CSRF 29

29 Demo 5: CSRF Hoe werkte deze aanval? In de HTML: <img src="https://loc...sie/uitschrijven.do?cursistid=7&cursusid=2" /> Openen van de pagina trigger het ophalen van het image en daarmee de aanval. Een CSRF aanval kan overal verstop zijn: In een iframe. Een eigen hidden HTML form. Etc etc.. 30

30 CSRF Aanval Een CSRF aanval kan overal vandaan komen: Een HTML bestand van de lokale disk. Een . Goede combinatie met XSS. XSS in de doel website. XSS in een willekeurige andere site. Bekend voorbeeld is de Sammy Worm 31

31 CSRF Voorkomen De oplossing is simpel: Autoriseer niet de browser, maar de pagina om verzoeken te versturen. Geef ieder request een random token. Controleer het token bij ieder verzoek. Gebruik hiervoor b.v. ServletFilter. 32

32 Technologie helpt! Example: ASP.net: AntiForgeryToken PHP: Niet out of the box, optie OWASP CSRFGuard Java: Niet out of the box, afhankelijk framework of libraries zoals OWASP CSRFGuard 33

33 Tot slot Bedankt! bevat veel informatie over deze en andere aanvallen. Voor vragen: 34

Dynamische Websites. Week 3. donderdag 3 oktober 13

Dynamische Websites. Week 3. donderdag 3 oktober 13 Dynamische Websites Week 3 AGENDA Herhaling Cookies Sessions voorbeeld.php Zuiver PHP: initialisatie variabelen instructies HTML minimum PHP nooit HTML in PHP FORM URL HTTP Methode Parameters Verstuurt

Nadere informatie

Webapplication Security

Webapplication Security Webapplication Security Over mijzelf 7 jaar in websecurity Oprichter van VirtuaX security Cfr. Bugtraq Recente hacks hak5.org wina.ugent.be vtk.ugent.be... Aantal vulnerable websites Types vulnerable

Nadere informatie

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest DEMO PENTEST VOOR EDUCATIEVE DOELEINDE. HET GAAT HIER OM EEN FICTIEF BEDRIJF. 'Inet Veilingen' Security Pentest 18 Januari 2016 Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Nadere informatie

WEBSECURITY INFORMATICA STUDENTENWERKING. Gemaakt door Bryan De Houwer en Yuri Moens

WEBSECURITY INFORMATICA STUDENTENWERKING. Gemaakt door Bryan De Houwer en Yuri Moens WEBSECURITY INFORMATICA STUDENTENWERKING Gemaakt door Bryan De Houwer en Yuri Moens ISW Informatica studentenwerking voor en door studenten Wat bieden wij aan: Workshops Shell accounts Altijd bereikbaar

Nadere informatie

Back to the Future. Marinus Kuivenhoven Sogeti

Back to the Future. Marinus Kuivenhoven Sogeti Back to the Future Marinus Kuivenhoven Sogeti 1 Commodore 64 2 Commodore 1541 floppy drive 3 Assymetrisch gedrag Een operatie die voor een overgang zorgt.. Waarbij heen minder kost dan terug 4 Assymetrisch

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

Geautomatiseerd Website Vulnerability Management. PFCongres/ 17 april 2010

Geautomatiseerd Website Vulnerability Management. PFCongres/ 17 april 2010 Geautomatiseerd Website Vulnerability Management Ing. Sijmen Ruwhof (ZCE) PFCongres/ 17 april 2010 Even voorstellen: Sijmen Ruwhof Afgestudeerd Information Engineer, met informatiebeveiliging als specialisatie

Nadere informatie

Web Security. Is echt alles kapot? SDN Event 2 September 2016

Web Security. Is echt alles kapot? SDN Event 2 September 2016 Web Security Is echt alles kapot? SDN Event 2 September 2016 Agenda Wie ben ik? Hoe staat de software- en security industrie ervoor? Wat is het probleem? Wat kunnen we er aan doen? 2 Wie ben ik? Niels

Nadere informatie

Security assessments. het voor- en natraject. David Vaartjes

Security assessments. het voor- en natraject. David Vaartjes Security assessments het voor- en natraject David Vaartjes Security engineer Voorstellen 7 jaar actief binnen IT security Hoofdzakelijk financiële en telecom-sector Werkzaam bij ITsec

Nadere informatie

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Testnet Presentatie Websecurity Testen Hack Me, Test Me 1 Testnet Voorjaarsevenement 05 April 2006 Hack Me, Test Me Websecurity test onmisbaar voor testanalist en testmanager Edwin van Vliet Yacht Test Expertise Center Hack me, Test me Websecurity test, onmisbaar

Nadere informatie

Thinking of development

Thinking of development Thinking of development Netwerken en APIs Arjan Scherpenisse HKU / Miraclethings Thinking of Development, semester II 2012/2013 Agenda voor vandaag Netwerken Protocollen API's Opdracht Thinking of Development,

Nadere informatie

Verslag Informatiebeveiliging

Verslag Informatiebeveiliging Verslag Informatiebeveiliging Onderwerp: Cross Site Scripting Auteurs: Marijn marijn at net-force.nl Tha Potterrr Website: http://www.net-force.nl Versie: Versie: 1.1 Datum: 2004-10-14 Inhoudsopgave 1.0

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

UWV Security SSD Instructies

UWV Security SSD Instructies UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele

Nadere informatie

Dynamische Websites. Week 2

Dynamische Websites. Week 2 Dynamische Websites Week 2 AGENDA Labo 1 GET, POST Navigatie, etc Varia 1 2

Nadere informatie

Deny nothing. Doubt everything.

Deny nothing. Doubt everything. Deny nothing. Doubt everything. Hack to the Future Marinus Kuivenhoven Sr. Security Specialist Houten, 23 juni 2015 marinus.kuivenhoven@sogeti.com 2 Het valt op Wij leren niet van het verleden Zekerheid

Nadere informatie

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering Browser security Wouter van Dongen RP1 Project OS3 System and Network Engineering Februari 4, 2009 1 Introductie Onderzoeksvraag Situatie van de meest populaire browsers Client-side browser assets vs.

Nadere informatie

Gebruik van cryptografie voor veilige jquery/rest webapplicaties. Frans van Buul Inter Access

Gebruik van cryptografie voor veilige jquery/rest webapplicaties. Frans van Buul Inter Access Gebruik van cryptografie voor veilige jquery/rest webapplicaties Frans van Buul Inter Access 1 Frans van Buul frans.van.buul@interaccess.nl 2 De Uitdaging Rijke en veilige webapplicaties Een onveilig en

Nadere informatie

INHOUDSOPGAVE 3. 3.5 Het Boekenwinkeltje... 90 3.5.1 Registreer.aspx... 90 3.6 Opgaven... 97

INHOUDSOPGAVE 3. 3.5 Het Boekenwinkeltje... 90 3.5.1 Registreer.aspx... 90 3.6 Opgaven... 97 Inhoudsopgave 1 Inleiding 8 1.1 Het.Net Framework................................ 8 1.1.1 Het.Net Ontwikkelingsmodel....................... 8 1.1.2 Compilatie en Uitvoering in.net.....................

Nadere informatie

Server Side Scripting

Server Side Scripting Server Side Scripting Formulieren & beveiliging Vakopzet C 1 2 3 4 5 6 7 8 9 WC TOETS Lessen Lesweek 1 (47) Vakoverzicht en introductie Lesweek 2 (48) Doornemen Ch3 (40p) Lesweek 3 (49) Deeltoets 1, Doornemen

Nadere informatie

9. MYSQL. Daarin zien we het administratie paneel van mysql.

9. MYSQL. Daarin zien we het administratie paneel van mysql. 9. MYSQL We kunnen ook in dit systeem gebruik maken van de gekende ACCESS databanken. Zolang het maar relationale databanjken zijn kunnen we er gebruik van maken. In PHP echter maakt men meestal gebruik

Nadere informatie

The OSI Reference Model

The OSI Reference Model Telematica Applicatielaag Hoofdstuk 16, 17 Applicatielaag 4Bevat alle toepassingen die van het netwerk gebruik maken n E-mail n Elektronisch nieuws n WWW n EDI (Electronic Data Interchange) n Napster,

Nadere informatie

Transport Layer Security. Presentatie Security Tom Rijnbeek

Transport Layer Security. Presentatie Security Tom Rijnbeek Transport Layer Security Presentatie Security Tom Rijnbeek World Wide Web Eerste webpagina: 30 april 1993 Tegenwoordig: E-mail Internetbankieren Overheidszaken (DigiD) World Wide Web Probleem: World Wide

Nadere informatie

APEX en JasperReports

APEX en JasperReports APEX en JasperReports een Dream Team! Spreker(s) : Datum : E-mail : Vincent Deelen 28 mei 2013 vincent.deelen@transfer-solutions.com WWW.TRANSFER-SOLUTIONS.COM Outline APEX en rapporten Oracle BI publisher

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

Puntjes op de I. Baris Firat

Puntjes op de I. Baris Firat Puntjes op de I Baris Firat 1 Functies en kritieke onderdelen in code (onderdelen die niet in één oogopslag te verklaren zijn) zijn voorzien van comments. Hierbij wordt er gebruikt gemaakt van geldende

Nadere informatie

Statistieken op je Joomla! website. Presentatie 1 december 2015 Joomla! Heerenveen

Statistieken op je Joomla! website. Presentatie 1 december 2015 Joomla! Heerenveen Statistieken op je Joomla! website Presentatie 1 december 2015 Joomla! Heerenveen Waarom statistieken? Website statistieken kun je omschrijven als het meten, analyseren en rapporteren van het gedrag van

Nadere informatie

AJAX niet meer weg te denken

AJAX niet meer weg te denken Techniek AJAX niet meer weg te denken In dit artikel laten we de niet-overtuigde ontwikkelaar zien dat het gebruik van JavaScript en AJAX de moeite waard is en zeer veel toegevoegde waarde biedt. Met als

Nadere informatie

Web building gevorderden: CSS & JavaScript. Karel Nijs 2008/11

Web building gevorderden: CSS & JavaScript. Karel Nijs 2008/11 Web building gevorderden: CSS & JavaScript Karel Nijs 2008/11 Webbuilding gevorderden les 3 JavaScript intro JavaScript invoegen JavaScript statements JavaScript popup berichten JavaScript functies JavaScript

Nadere informatie

Gestart als demo/research voor cloud-oplossing. Een Afslagveiling

Gestart als demo/research voor cloud-oplossing. Een Afslagveiling WAZUG BCC Veiling Concept Gestart als demo/research voor cloud-oplossing Een Afslagveiling Afslag variant Prijsdump variant Windows Azure CMS: Orchard Admin app: dynamic data Auction Manager Proces: worker

Nadere informatie

Is APEX a worthy substitute for Oracle Forms?

Is APEX a worthy substitute for Oracle Forms? your oracle solu+ons partner Is APEX a worthy substitute for Oracle Forms? APEX for mission critical applications: the Groupm business-case By Ronny Boeykens & Stijn Van Raes iadvise o Opgericht in 2004

Nadere informatie

Serious Request. Michaël Hompus & Michiel Lankamp

Serious Request. Michaël Hompus & Michiel Lankamp Serious Request Michaël Hompus & Michiel Lankamp De agenda voor deze sessie Introductie De aanleiding De opzet De applicaties De lessen en tips De aanleiding Het Nederlandse Rode Kruis Sp@rk Microsoft

Nadere informatie

Maximo Tips and Tricks

Maximo Tips and Tricks Maximo Tips and Tricks Agenda Tips & Tricks 1. Scherm lay-out on demand 2. Koppelen Excel en Maximo 3. Foto s toevoegen aan records 4. Type ahead functie 5. Scripting voor calculaties en validaties 6.

Nadere informatie

Client Applicaties (Browser+Desktop) http/https. Apache Webserver. http proxy. WMS WFS Adm SLD Tomcat. Tomcat. GeoServer. PostGIS

Client Applicaties (Browser+Desktop) http/https. Apache Webserver. http proxy. WMS WFS Adm SLD Tomcat. Tomcat. GeoServer. PostGIS WMS voor Kadastrale kaart Limburg GEORZ-lab Datum: 17 juli 2009 Auteur: GEORZ-lab, Just van den Broecke Versie: 2 Contact: Ebrahim Hemmatnia (Adviseur PPI GEO, Kadaster), tel. 088 183 22 16. Inleiding

Nadere informatie

Tutorial voor FTP, STMP en Telnet

Tutorial voor FTP, STMP en Telnet Tutorial voor FTP, STMP en Telnet Created by Benny Wouters on December 26, 2003 (1) Telnet commando s 1.1 Tabel met telnet commando s TELNET [host [port]] Open host [port] telnet sessie opstarten Maak

Nadere informatie

THE ORTHO COMPANY B.V. POLICY/COOKIES. Privacy Beleid Voor elk sitebezoek, transactie of overeenkomst geldt onderstaand privacybeleid.

THE ORTHO COMPANY B.V. POLICY/COOKIES. Privacy Beleid Voor elk sitebezoek, transactie of overeenkomst geldt onderstaand privacybeleid. THE ORTHO COMPANY B.V. POLICY/COOKIES Privacy Beleid Voor elk sitebezoek, transactie of overeenkomst geldt onderstaand privacybeleid. Doeleinden van gebruik The Ortho Company B.V. verwerkt uw persoonsgegevens

Nadere informatie

Koppelvlakspecificatie CGI - DigiD

Koppelvlakspecificatie CGI - DigiD Koppelvlakspecificatie CGI - DigiD Versie 2.3 Datum 17 december 2013 Colofon Projectnaam DigiD Versienummer 2.3 Organisatie Logius Postbus 96810 2509 JE Den Haag T 0900 555 4555 (10 ct p/m) servicecentrum@logius.nl

Nadere informatie

Drupal Minimum elementen voor een module Een eerste module Een eerste theme Theming binnen modules

Drupal Minimum elementen voor een module Een eerste module Een eerste theme Theming binnen modules Basiscursus door Michaël Zenner Drupal Minimum elementen voor een module Een eerste module Een eerste theme Theming binnen modules Hooks Menusystem Users, nodes en comments Form API 1 2 Core Modules HOOKS

Nadere informatie

Les 9: formulier controle met javascript.

Les 9: formulier controle met javascript. Les 9: formulier controle met javascript. Javascript is erg veel gebruikt bij internet toepassingen. In tegenstelling tot PHP, wat een server side scripting is, is java client side scripting. Dwz, niet

Nadere informatie

SLA level Iron Bronze Silver Gold Platinum

SLA level Iron Bronze Silver Gold Platinum Prijs 95,- per jaar 195,- per jaar 395,- per jaar 995,- per jaar 2495,- per jaar Alleen geschikt voor zeer kleine sites waar geen tot bijna geen nieuwe informatie wordt toegevoegd Geschikt voor sites van

Nadere informatie

MVC BASICS 2. Kevin Picalausa

MVC BASICS 2. Kevin Picalausa MVC BASICS 2 Kevin Picalausa 1 Forms 2 Action en Method Action Vertelt de Browser naar waar de form data (informatie) door te zenden. URL kan relatief of absoluut zijn. Method De manier waarop de form

Nadere informatie

Website beoordeling zonetelechargement.com

Website beoordeling zonetelechargement.com Website beoordeling zonetelechargement.com Gegenereerd op Juli 23 2015 10:12 AM De score is 47/100 SEO Content Title zone-telechargement.com 520: Web server is returning an unknown error Lengte : 71 Let

Nadere informatie

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003 Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003 Page 1 1 Kees Vianen Senior Sales Consultant Technology Solutions Oracle Nederland Agenda Geschiedenis van Oracle Portal Portal

Nadere informatie

static file cache Statisch files cachen met realurl, mod_rewrite en mod_expires. ... Helpt het broeikaseffect tegen te gaan. Michiel Roos Netcreators

static file cache Statisch files cachen met realurl, mod_rewrite en mod_expires. ... Helpt het broeikaseffect tegen te gaan. Michiel Roos Netcreators static file cache Statisch files cachen met realurl, mod_rewrite en mod_expires.... Helpt het broeikaseffect tegen te gaan. Michiel Roos Netcreators Ehrm... statische files cachen? Wat doet het? Ik bedoel...

Nadere informatie

icafe Project Joeri Verdeyen Stefaan De Spiegeleer Ben Naim Tanfous

icafe Project Joeri Verdeyen Stefaan De Spiegeleer Ben Naim Tanfous icafe Project Joeri Verdeyen Stefaan De Spiegeleer Ben Naim Tanfous 2006-2007 Inhoudsopgave 1 2 1.1 Programmeertaal PHP5..................... 2 1.2 MySQL database......................... 3 1.3 Adobe Flash...........................

Nadere informatie

Grafisch ontwerp. Referenties. https://developers.google.com/webmasters/mobile-sites/ http://www.bluetrainmobile.com/mobile-showcase

Grafisch ontwerp. Referenties. https://developers.google.com/webmasters/mobile-sites/ http://www.bluetrainmobile.com/mobile-showcase Mobiel Datanose Op dit moment is mobiel datanose niet goed gedaan; je krijgt gewoon de site te zien zoals je het te zien krijgt op pc's of laptops. Maar vaak heb je het probleem dat je op je mobiel moet

Nadere informatie

HTML. Media. Hans Roeyen V 3.0

HTML. Media. Hans Roeyen V 3.0 Media Hans Roeyen V 3.0 12 maart 2015 Inhoud 1. (Multi)Media op websites... 3 2. Flash en Websites... 4 3. Video op je website... 4 3.1. YouTube insluiten op de pagina... 4 3.2. Video zonder YouTube...

Nadere informatie

Les 15 : updaten van gegevens in de database (deel2).

Les 15 : updaten van gegevens in de database (deel2). Les 15 : updaten van gegevens in de database (deel2). In de volgende reeks lessen zal alle vorige leerstof uitgebreid aan het bod komen. Zie ook de vorige lessen en documenten om informatie op te zoeken

Nadere informatie

WEBAPPLICATIE-SCAN. Kiezen op Afstand

WEBAPPLICATIE-SCAN. Kiezen op Afstand WEBAPPLICATIE-SCAN Kiezen op Afstand Datum : 1 september 2006 INHOUDSOPGAVE 1 t Y1anagementsamen"'v atting 2 2 Inleiding 3 2.1 Doelstelling en scope ".".. " " " ".".3 2.2 Beschrijving scanproces.. """

Nadere informatie

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper Security Testen @ NS Onno Wierbos, Barry Schönhage, Marc Kuiper On Board Information System (OBIS) 3 Security testen binnen OBIS 4 Security test op het nieuwe CMS Scope: Het nieuwe CMS vanuit reizigersperspectief

Nadere informatie

UNIX FAQ. Migratie naar een nieuwe server

UNIX FAQ. Migratie naar een nieuwe server UNIX FAQ Migratie naar een nieuwe server Shared Hosting Unix FAQ v5 NL 28032006 Pagina 1/13 Inhoudstafel 1. Inleiding...3 2. Inloggen...3 3. Register_globals in PHP...4 3.1 Wat is de optie register_globals

Nadere informatie

BEDRIJFSINFORMATIE VLAAMSE OVERHEID VIA DRUPAL. SHOPT IT - 8 mei 2014

BEDRIJFSINFORMATIE VLAAMSE OVERHEID VIA DRUPAL. SHOPT IT - 8 mei 2014 BEDRIJFSINFORMATIE VLAAMSE OVERHEID VIA DRUPAL SHOPT IT - 8 mei 2014 meteen ter zake www.bestuurszaken.be/bedrijfsinformatie www.bestuurszaken.be/bedrijfsinformatie/personeelsbestand www.bestuurszaken.be/bedrijfsinformatie/personeelsbestand

Nadere informatie

B3 Programmeren - PHP

B3 Programmeren - PHP Wat is B3 Programmeren - De Basis Casper Bezemer Jan van Egmond Lyceum ( Jan van Egmond Lyceum ) 1 / 28 1 Wat is 2 Wat is 3 ( Jan van Egmond Lyceum ) 2 / 28 Wat gaan we tegenkomen Wat is Even wat geschiedenis

Nadere informatie

Webs.hogent.be Persoonlijke home/webdirectory voor personeel en studenten

Webs.hogent.be Persoonlijke home/webdirectory voor personeel en studenten Webs.hogent.be Persoonlijke home/webdirectory voor personeel en studenten Inleiding Als personeelslid of student aan de beschikt u over de mogelijkheid om 100 MB aan data centraal op onze servers te plaatsen.

Nadere informatie

De Logius-norm voor DigiD: perikelen bij technisch testen (uitgebreide versie) Abstract Introductie Code-inspectie

De Logius-norm voor DigiD: perikelen bij technisch testen (uitgebreide versie) Abstract Introductie Code-inspectie De Logius-norm voor DigiD: perikelen bij technisch testen (uitgebreide versie) Matthijs Koot, senior security consultant bij Madison Gurkha. Geschreven in mei/juni 2014, op persoonlijke titel. Abstract

Nadere informatie

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

SAML & FEDERATED IDENTITIES. The Single Sign-on provider SAML & FEDERATED IDENTITIES The Single Sign-on provider Agenda Onderwerp: SAML Single Sign-on Justitie Uitleg: Waarom Identity en Access Management (IAM) Wat is IAM Wat is Security Assertion Markup Language

Nadere informatie

Waarom Cloud? Waarom nu? Marc Gruben April 2015

Waarom Cloud? Waarom nu? Marc Gruben April 2015 Waarom Cloud? Waarom nu? Marc Gruben April 2015 Waarom Daarom Cloud? Cloud! Waarom Daarom nu? nu! Marc Gruben April 2015 Wie ben ik? Informatie analist Project/development manager Developer/architect Wie

Nadere informatie

XML. Alle tekortkomingen op een rijtje! (en een paar pluspunten...) Marc de Graauw http://www.marcdegraauw.com/

XML. Alle tekortkomingen op een rijtje! (en een paar pluspunten...) Marc de Graauw http://www.marcdegraauw.com/ XML Alle tekortkomingen op een rijtje! (en een paar pluspunten...) De geschiedenis van XML SGML Standard Generalized Markup Language IBM: back to the sixties... Markup: structuur, niet processing HTML:

Nadere informatie

De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009

De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009 De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009 Fedict 2009. All rights reserved Agenda Beschrijving van de FAS Authenticatie Veiligheidsniveaus voor authenticatie

Nadere informatie

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur Het doel van deze tabel is de IT auditor een handreiking te verstrekken ten aanzien van het toepassingsgebied, de scope en een testaanpak, alsmede een nadere toelichting, voor het uitvoeren van een DigiD

Nadere informatie

Practicum Software & Web Security 2. Instructies voor installatie en gebuik van WebGoat en WebScarab

Practicum Software & Web Security 2. Instructies voor installatie en gebuik van WebGoat en WebScarab Practicum Software & Web Security 2 Instructies voor installatie en gebuik van WebGoat en WebScarab 1 Introductie In deze opdracht ga je aan de slag met WebGoat, een educatieve webapplicatie op gebied

Nadere informatie

Responsive web applicaties op Oracle

Responsive web applicaties op Oracle APEX Responsive web applicaties op Oracle Spreker(s) : Datum : E-mail : Arian Macleane & Jacob Beeuwkes 06-06-2013 info@transfer-solutions.com WWW.TRANSFER-SOLUTIONS.COM Outline Trends APEX intro APEX

Nadere informatie

Cursus Software security. Harald Vranken

Cursus Software security. Harald Vranken Cursus Software security Harald Vranken Rondleiding Onderwerp van cursus Cursusmateriaal Cursusstructuur Cursusinhoud per leereenheid (highlights) 2 Waarover gaat de cursus? Software security engineering

Nadere informatie

Prowise Pro Connect 2.0 Technische documentatie

Prowise Pro Connect 2.0 Technische documentatie Prowise Pro Connect 2.0 Technische documentatie 2012 Prowise Inhoudsopgave 3 Over Pro Connect 4 Gebruikte techniek voor Pro Connect 4 Pro Connect poorten 5 Automatische poort detectie 5 Flash Fallback

Nadere informatie

Summerschool Mobiele Apps 15-17 augustus 2012 Herman van Dompseler. HTML 5 App

Summerschool Mobiele Apps 15-17 augustus 2012 Herman van Dompseler. HTML 5 App Summerschool Mobiele Apps 15-17 augustus 2012 Herman van Dompseler HTML 5 App 1. Wat is HTML 5 2. HTML 5 Apps 3. Hybride App Architectuur 4. Een App maken Overzicht Deel 1: HTML5 HTML 5 gebruikt als verzamelnaam

Nadere informatie

VERBINDING MAKEN EN INLOGGEN...

VERBINDING MAKEN EN INLOGGEN... INHOUDSOPGAVE 1. VERBINDING MAKEN EN INLOGGEN... 3 2. HET AANMAKEN VAN DOMEINEN... 4 2.1. Plaatsen website... 6 3. HET AANMAKEN VAN E-MAILADRESSEN... 6 3.1. E-mail ophalen... 7 IntroWeb Plesk Quick Startup

Nadere informatie

Cookiewalls - Een probleem met een technische oplossing?

Cookiewalls - Een probleem met een technische oplossing? Bachelorscriptie Informatica Radboud Universiteit Cookiewalls - Een probleem met een technische oplossing? Auteur: Koen van Ingen s4058038 Inhoudelijk begeleider: dr. Jaap-Henk Hoepman jhh@cs.ru.nl Tweede

Nadere informatie

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver.

Nadere informatie

Handleiding Inloggen Cloudteq Basic

Handleiding Inloggen Cloudteq Basic Inhoud Uitleg... 3 Inloggen op Cloudteq Basic op kantoor... 4 Inloggen op Cloudteq Basic Extern... 7 Pagina 2 Uitleg Deze handleiding helpt u met het Inloggen op de Cloudteq Basic Server. De handleiding

Nadere informatie

Externe pagina s integreren in InSite en OutSite

Externe pagina s integreren in InSite en OutSite Externe pagina s integreren in InSite en OutSite Document-versie: 1.1 Datum: 04-10-2013 2013 AFAS Software Leusden Niets uit deze uitgave mag verveelvoudigd worden en/of openbaar gemaakt worden door middel

Nadere informatie

Kennissessie INSPIRE. Algemene vereisten & architectuur Metadata View Services Download Services Ondersteuning vanuit Geonovum.

Kennissessie INSPIRE. Algemene vereisten & architectuur Metadata View Services Download Services Ondersteuning vanuit Geonovum. Kennissessie Algemene vereisten & architectuur Metadata View Services Download Services Ondersteuning vanuit Geonovum Thijs Brentjens Inhoud Download Services Pre-defined datasets via Atom feeds Pre-defined

Nadere informatie

ECTS fiche. Module info. Evaluatie. Gespreide evaluatie OPLEIDING. Handelswetenschappen en bedrijfskunde HBO Informatica

ECTS fiche. Module info. Evaluatie. Gespreide evaluatie OPLEIDING. Handelswetenschappen en bedrijfskunde HBO Informatica ECTS fiche Module info OPLEIDING STUDIEGEBIED AFDELING MODULE MODULENAAM Programmeren 5 MODULECODE B STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja Handelswetenschappen en bedrijfskunde HBO Informatica Evaluatie

Nadere informatie

Zope. Een technische introductie. Martijn Pieters Antraciet BV mj@antraciet.nl. V1.2-26 september 1999

Zope. Een technische introductie. Martijn Pieters Antraciet BV mj@antraciet.nl. V1.2-26 september 1999 Een technische introductie Zope Martijn Pieters Antraciet BV mj@antraciet.nl V1.2-26 september 1999 Kerkstraat 19 Postbus 256 1400 AG Bussum The Netherlands e info@antraciet.nl t +31 (0)35 625 4545 f +31

Nadere informatie

U krijgt de melding dat uw browser geen cookies aanvaardt? Volg dan onderstaande weg om ze wel te accepteren.

U krijgt de melding dat uw browser geen cookies aanvaardt? Volg dan onderstaande weg om ze wel te accepteren. HELP BIJ HET RAADPLEGEN VAN HET PORTAAL HDP Hoe internet-cookies aanvaarden? U krijgt de melding dat uw browser geen cookies aanvaardt? Volg dan onderstaande weg om ze wel te accepteren. Internet Explorer

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

TECHNICAL DESIGN DOCUMENT

TECHNICAL DESIGN DOCUMENT TECHNICAL DESIGN DOCUMENT BACHELORPROJECT IN3405 John Ciocoiu 1358227 Elwin Dokter 1275909 TECHNISCHE UNIVERSITEIT DELFT FACULTEIT EWI WOENSDAG 28 APRIL 2010 VERSIE 1 COMMISSIE: Ing. D.J. van Roest (opdrachtgever)

Nadere informatie

In de meeste netwerkomgevingen staan de firewalls het browsen of surfen op internet toe.

In de meeste netwerkomgevingen staan de firewalls het browsen of surfen op internet toe. m:\helpdesk\vgmbox\documenten\handleiding - inzet binnen beveiligd netwerk (dmv proxyserver) - 20110112 - tbv pdf.doc Inzet van De VGM Box binnen een beveiligd netwerk Dit document beschrijft het functioneren

Nadere informatie

HDN POORTWACHTER WEBSERVICE KOPPELING

HDN POORTWACHTER WEBSERVICE KOPPELING HDN POORTWACHTER WEBSERVICE KOPPELING HDN Helpdesk T: 0182 750 585 F: 0182 750 589 M: helpdesk@hdn.nl Copyright Communications Security Net B.V. Inhoudsopgave 1. INLEIDING... 3 1.1 HET DOEL VAN DIT DOCUMENT...

Nadere informatie

AutoTrack.nl. Handleiding Implementatie Voorraadlijst

AutoTrack.nl. Handleiding Implementatie Voorraadlijst AutoTrack.nl Handleiding Implementatie Voorraadlijst Basis Implementatie De nieuwe AutoTrack.nl Voorraadlijst kunt u (of uw webbouwer) implementeren door op uw website de URL die u van AutoTrack.nl heeft

Nadere informatie

Checklist beveiliging webapplicaties

Checklist beveiliging webapplicaties Versie 1.02-5 oktober 2011 Factsheet FS 2011-08 Checklist beveiliging webapplicaties De beveiliging van webapplicaties staat de laatste maanden sterk in de belangstelling. Diverse incidenten op dit gebied

Nadere informatie

HTML. Formulieren. Hans Roeyen V 3.0

HTML. Formulieren. Hans Roeyen V 3.0 Formulieren Hans Roeyen V 3.0 26 februari 2015 Inhoud 1. Formulieren... 3 1.1. De form tag... 3 1.1.1. Het action attribute... 4 1.1.2. Het method attribute... 4 1.2. De input tag... 4 1.3. Soorten input

Nadere informatie

Aanleveren van te verzenden sms berichten aan SMS Via

Aanleveren van te verzenden sms berichten aan SMS Via Aanleveren van te verzenden sms berichten aan SMS Via 1. Inleiding Er zijn drie methoden van aanlevering van sms berichten mogelijk: via een HTTP request; dit kunt u gebruiken voor één sms bericht tegelijk

Nadere informatie

Inhoud leereenheid 3. Validatie van invoer en uitvoer. Introductie 31. Leerkern 32. Terugkoppeling 39

Inhoud leereenheid 3. Validatie van invoer en uitvoer. Introductie 31. Leerkern 32. Terugkoppeling 39 Inhoud leereenheid 3 Validatie van invoer en uitvoer Introductie 31 Leerkern 32 1 Invoervalidatie 32 2 Invoer- en uitvoervalidatie voor webapplicaties 35 Terugkoppeling 39 30 Leereenheid 3 Validatie van

Nadere informatie

HTTP SMS API Technische Specificatie messagebird.com versie 1.1.6-05 mei 2014

HTTP SMS API Technische Specificatie messagebird.com versie 1.1.6-05 mei 2014 HTTP SMS API Technische Specificatie messagebird.com versie 1.1.6-05 mei 2014 1 Inhoudsopgave INHOUDSOPGAVE 2 1 VERBINDING MET DE API 4 1.1 QUICK START 4 2 SMS PARAMETERS 5 2.1 VERPLICHTE PARAMETERS 6

Nadere informatie

Naam project Lost And Found Animals Lokaal gehost Percentage van het totaal geleverde werk 1 Cindy Jansen 50% 2 Eline Steyvers 50%

Naam project Lost And Found Animals Lokaal gehost Percentage van het totaal geleverde werk 1 Cindy Jansen 50% 2 Eline Steyvers 50% Naam project Lost And Found Animals Url Lokaal gehost Groepsleden Percentage van het totaal geleverde werk 1 Cindy Jansen 50% 2 Eline Steyvers 50% 1. Beveiliging in de toepassing Naam gebruiker Wachtwoord

Nadere informatie

IC Mail Gateway Gebruikershandleiding

IC Mail Gateway Gebruikershandleiding IC Mail Gateway Gebruikershandleiding Versiebeheer Versie Datum Naam Wijziging 1.0 27 oktober 2008 ICA Initieel document 1.1 18 juni 2010 ICA Document geheel herzien 2.0 30 januari 2013 ICA Aanpassing

Nadere informatie

Naam script/cookie/webbaken Domein Beschrijving script/cookie/webbaken

Naam script/cookie/webbaken Domein Beschrijving script/cookie/webbaken _RequestVerificationToken transavia.com Met deze cookie kunnen wij controleren of de webverzoeken die wij krijgen ook daadwerkelijk van onze website komen. Dit is een bescherming tegen CSRF (Cross-Site

Nadere informatie

Welke informatie kunnen wij van u vragen/verzamelen?

Welke informatie kunnen wij van u vragen/verzamelen? Privacy Beleid MailExpert doet er alles aan om uw privacy te waarborgen en neemt alle nodige maatregelen om dit te bewerkstelligen. Dit document helpt u te begrijpen hoe wij de persoonlijke informatie

Nadere informatie

Speaking OData to SharePoint 2010 in a RESTful manner

Speaking OData to SharePoint 2010 in a RESTful manner 1 Speaking OData to SharePoint 2010 in a RESTful manner Welkom bij mijn presentatie over REST, OData en SharePoint 2010. 2 Voorstellen Als eerste wil ik mijzelf voorstellen. Mijn naam is Michaël Hompus

Nadere informatie

Zelftest Internet concepten en technieken

Zelftest Internet concepten en technieken Zelftest Internet concepten en technieken Document: n0832test.fm 10/02/2010 ABIS Training & Consulting P.O. Box 220 B-3000 Leuven Belgium TRAINING & CONSULTING INTRODUCTIE ZELFTEST INTERNET CONCEPTEN EN

Nadere informatie

Kies File>New>Blank Page>PHP. Je kunt eventueel nog een stylesheet koppelen. Definieer nu eerst een site! Dat betekent: Site>New Site

Kies File>New>Blank Page>PHP. Je kunt eventueel nog een stylesheet koppelen. Definieer nu eerst een site! Dat betekent: Site>New Site Kies File>New>Blank Page>PHP Je kunt eventueel nog een stylesheet koppelen. Definieer nu eerst een site! Dat betekent: Site>New Site Geef de site een passende naam. Kies ook de juiste map voor de webdocumenten.

Nadere informatie

ProjectHeatmap. Onderzoeksrapport v0.5 11-03-11 Dennis Wagenaar

ProjectHeatmap. Onderzoeksrapport v0.5 11-03-11 Dennis Wagenaar ProjectHeatmap Onderzoeksrapport v0.5 11-03-11 Dennis Wagenaar 1 Inhoudsopgave Inleiding...3 Gheat...4 Info...4 Voordelen...4 Nadelen...4 Google Fusion Tables...5 Info...5 Voordelen...5 Nadelen...5 OLHeatmap...6

Nadere informatie

Les 2 Eenvoudige queries

Les 2 Eenvoudige queries Les 2 Eenvoudige queries XAMP Apache server ( http ) mysql server PHP myadmin IAM SQL oefeningen Database phpmyadmin Import : sql_producten.sql, sql_winkel.sql, sql_festival.sql SAMS SQL in 10 minuten

Nadere informatie

Webapplicatie-generatie NIOC 2013

Webapplicatie-generatie NIOC 2013 Webapplicatie-generatie NIOC 2013 Eddy Luursema, Misja Nabben, Arnoud van Bers Research Group Model Based Information Systems Presentation Introduction M-BIS Data intensive systems Requirements Generation

Nadere informatie

Mobile Security. René de Groot Sogeti

Mobile Security. René de Groot Sogeti Mobile Security René de Groot Sogeti 1 Inhoud Mobile en nieuwe mogelijkheden Nieuwe risico s Keten en spelers Basic security Scenario secure storage op een ipad Scenario IRM op een ipad Conclusie 2 Mobile

Nadere informatie

De 3 bovenstaande worden onderhouden door mensen beheerd Dus meer kwaliteit dan machine

De 3 bovenstaande worden onderhouden door mensen beheerd Dus meer kwaliteit dan machine Internet Sheet 1 Goed zoeken - Wat, waar en hoe je moet zoeken Startpagina's - Verzamel pagina en woord onderhouden door personen. ( Redactueren ) Direcotries - Is een verzamelen pagina met structuur doormiddel

Nadere informatie

DrICTVoip.dll v 2.1 Informatie en handleiding

DrICTVoip.dll v 2.1 Informatie en handleiding DrICTVoip.dll v 2.1 Informatie en handleiding Nieuw in deze versie : Koppeling voor web gebaseerde toepassingen (DrICTVoIPwebClient.exe) (zie hoofdstuk 8) 1. Inleiding Met de DrICTVoIP.DLL maakt u uw software

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

MSSL Dienstbeschrijving

MSSL Dienstbeschrijving MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe

Nadere informatie