Security web services
|
|
- Nathan Jansen
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen in een keer worden toegepast. Hier zitten echter wel wat haken en ogen aan, zoals de veiligheid van het product. Hoe zorg je dat de gegevens van de klanten veilig zijn en niet in verkeerde handen vallen? Risico s Als je een applicatie op het web zet dan is het goed bereikbaar voor al je klanten. Het is echter ook goed bereikbaar voor personen die het eigenlijk niet mogen bereiken. De meest grote en veel voorkomende risico s worden de OWASP top 10 genoemd. Dit is een lijst met aandachtspunten als je een web applicatie hebt. OWASP top 10 Insecure data Storage Weak server side control Insufficient transport layer protection Client side injection Poor authorization & authentication Improper session handling Security decisions untrusted inputs Side channel data leakage Broken cryptography Sensitive information disclosure Insecure data Storage, dit houd in dat data niet veilig word opgeslagen. Weak server side control, er ontstaan lekken in de beveiliging door rooten of jailbraiken. Insufficient transport layer protection, bij het versturen van data kun je er altijd van uit gaan dat er wordt meegekeken door anderen naar de data die door jou verstuurd wordt. Client side injection, hierbij word er door de gebruiker data ingevoerd die fouten kunnen veroorzaken in jou system. Poor authorization & authentication, je kan inloggen vanaf een pc zonder eigen credentials te gebruiken. Het is niet geregeld via de server maar op de client. Improper session handling, sessies moeten niet oneindig geldig zijn. Op die manier kan, als jij even weg bent van je pc, iemand anders via jou sessie nog bij de data. Security decisions untrusted inputs, het uitvoeren van gevoelige handelingen. Dit gebeurd als er geen controle is op de input van onbetrouwbare bronnen. Side channel data leakage, als gebruik wordt gemaakt van andere libraries dan kan het zijn dat er in de voorwaarden staat dat ze data mogen uitlezen. Broken cryptography, op het moment dat je zelf security algoritmes gaat schrijven is er een kans dat deze snel en gemakkelijk worden gekraakt. Sensitive information disclosure, belangrijke gegevens staan in de code weergegeven om het voor de ontwikkelaar gemakkelijker te maken. Beveiliging Om de beveiliging van een web applicatie zo goed mogelijk op te bouwen zijn er een aantal stappen te nemen. De stappen worden Jeffrey van Wijck
2 hieronder verder toegelicht. Identificatie Dit is de eerste stap in het toegangscontrole proces van een applicatie. Een gebruiker moet zijn identiteit kenbaar maken aan de applicatie voordat er toestemming gegeven kan worden de applicatie te benaderen. Zodra een applicatie een identiteit binnenkrijgt van iemand die de applicatie wil gebruiken zal er een volgend proces in werking worden gesteld. Authenticatie Dit is het proces waarbij gecontroleerd word of een gebruiker, pc of applicatie wel is wie hij beweert te zijn. Bij dit proces word gekeken of het opgegeven bewijs van identiteit overeenkomt met echtheidskenmerken. Denk hierbij aan credentials, bestaande uit een username en password combinatie. Autorisatie De laatste stap voor de toegangscontrole is de autorisatie. In deze fase krijgt de aanvrager rechten op het benaderen van een object. Hierbij word vaak gebruik gemaakt van het principe dat je alleen mag zien wat je nodig hebt aan functionaliteit. Vormen zijn onder andere ook het Lees- recht en het Schrijf- recht. Afhankelijk van de functie of het object zijn er meerdere rechten beschikbaar. Bij applicaties bestaat ook het Uitvoer- recht. Encryptie De volgende stap is het beveiligen van de gegevens om in te kunnen loggen. Als dit niet gebeurd, kunnen de credentials gebruikt worden door andere om alsnog op de beveiligde pagina te komen. bestaat er nog een volgend probleem. Dit is dat bij het versturen van de credentials van de gebruiker, deze gemakkelijk onderschept kunnen worden door personen die dit eigenlijk niet moeten kunnen. Om dit te voorkomen zijn een aantal mogelijke manieren te bedenken. Base 64 Een van die manieren is om de gegevens te versleutelen op een base64 gecodeerde manier. Hierbij worden de credentials versleuteld zodat ze niet direct af te lezen zijn. Opzicht is dit best handig en kan het goed werken, maar dan alleen tegen personen die er geen verstand van hebben. Een base64 gecodeerde reeks karakters is namelijk gemakkelijk terug te lijden tot de oorspronkelijke waardes. Iets wat niet handig is als je gegevens wil beschermen voor andere. Tokens Een andere manier is het versleutelen van de credentials in wat beter beschermde tokens. In de tabel op de laatste pagina staat een overzicht van de drie meest gebruikte tokens als het gaat om het beveiligen van een web applicaties of web services. SAML Het SAML token is een token gebaseerd op XML. Het is wordt gebruikt bij web applicaties die gebaseerd zijn op het SOAP protocol. Het versturen van de SAML token gaat via de HTTP body of in de request URL. Als een gebruiker in wil gaan loggen dan Jeffrey van Wijck
3 SAML SWT JWT Representation XML HTML Form encoding JSON Geared Toward SOAP REST REST Out-of-the-box WIF Yes No No Support Protocols WS-Trust and OAuth 2.0 OAuth 2.0 WS-Federation Typical Carrier Http body or URL HTTP Auth HTTP Auth Support for Signing Yes, asymmetric key - X509 certificate header(bearer) Yes, HMAC SHA-256 using symmetric key Support for Encryption Yes No Yes header(bearer) Yes, both symmetric and asymmetric signing SWT SWT oftewel "Simpel web token", is een token dat gebaseerd is op HTML form encoding. het bijbehorende protocol is het OAuth 2.0 protocol dat er voor zorgt dat het gemakkelijker is toe te passen in een web applicatie. Het versturen gebeurd niet zoals de base64 gecodeerde lijst karakters via de URL, maar in de HTTP header in de vorm van een bearer token. JWT Javascript web token is het laatste token. Deze is JSON gebaseerd. Net als het SWT kan het gemakkelijk worden gebruikt met het OAuth 2.0 protocol. Het versturen gebeurd net zoals de SWT, in de HTTP header in de vorm van een bearer token. Een trend die je ziet in het ontwikkelen van web applicaties is dat ze steeds vaker op REST gebaseerd zijn en steeds minder op SOAP. Dit houd in dat ook het gebruik van een SAML steeds minder vaak voorkomt. Dit heeft te maken met performance, de SAML is XML gebaseerd, wat een zwaarder bestand is dan een JSON bestand. Een keuze tussen een SWT en JWT hangt af van de soort applicatie die je gebruikt. Gebruik je een Java Script applicatie dan is een JWT aan te raden, omdat die gemakkelijker te implementeren is. Voor andere applicaties is een SWT een goede oplossing. Algoritme Het soort token dat gecreëerd moet worden staat hierboven beschreven. Nu is het echter nog de bedoeling dat hier een algoritme voor gebruikt wordt. Gebruik een algoritme dat al bestaat. Vaak zijn alle fouten en leaks hier al uitgehaald. Het is al geperfectioneerd en bijgeschaafd waar nodig. Dit kan een hoop onnodige problemen voorkomen. Transport Na het versleutelen van de credentials moet de token ook verstuurd worden om gecontroleerd te worden. Het zou niet uit moeten maken dat de token gelezen kan worden door personen die dit eigenlijk niet mogen. Zonder een sleutel om de token terug te vormen naar de oorspronkelijke data kunnen ze er niks mee. Toch kan het zo zijn dat de code gekraakt wordt en ze toegang krijgen tot de data, die je eigenlijk veilig wil houden. Dit is mogelijk wanneer je gebruikt maakt van HTTP. Jeffrey van Wijck
4 HTTP HTTP is een protocol voor de communicatie tussen een web client en een webserver. Het is een protocol dat niet alleen in het world wide web(www) word gebruikt, maar ook in lokale netwerken (intranet). In de HTTP staat vastgesteld wat voor soort request een client kan doen aan een server. Er staat ook in wat voor een response de server kan geven aan de client. HTTPS HTTP is dus nog steeds niet geheel veilig om gegevens over te versturen. In plaats hiervan kan HTTPS worden toegepast. De s staat voor secure. Dit is hetzelfde protocol als HTTP, maar dan beveiligd. Het is een normale verbinding, net zoals HTTP, bovenop een SSL- verbinding. Voor een SSLverbinding moet een certificaat worden aangeschaft. Dit is een certificaat dat jaarlijks betaald moet worden. Dit kan varieren van een enkel domein tot een domein inclusief de sub domeinen. De SSL-verbinding zorgt er voor dat de data versleuteld is. Dit maakt het onmogelijk om de data, als deze onderschept wordt, uit te lezen zonder het encryptie-algoritme te kraken. De persoon die de data moet ontvangen kan dit wel doen met de juiste sleutel. Sessies Een andere stap in het beveiligen van een web applicatie is het onder controle houden van sessies. Als een gebruiker inlogt dan wil je niet dat deze dat bij elke actie opnieuw moet doen. Het gebruik van een sessie is dus een logische keuze. Dit moet echter wel op een juiste manier gebeuren om misbruik te voorkomen. Denk hierbij aan een vaste tijd waarop een sessie verloopt en een gebruiker opnieuw in moet loggen om weer gebruik te kunnen maken van de applicatie. Dit geld ook voor de tokens die op dat moment actief zijn. Ook moet niet overbodig veel informatie worden opgeslagen. Alleen vereiste data moet worden opgeslagen en dan moet dit niet gebeuren op een shared of public locatie. Invoer Om de beveiliging van een web applicatie verder te verbeteren is er nog een stap die gezet kan worden. Dit heeft te maken met de invoer van data. De gebruiker kan soms input geven, maar er kan ook data vanuit een niet vertrouwelijke bron komen. Om het invoeren, van foutieve data, door de gebruiker tegen te gaan is het gebruik van string parameters. Dit voorkomt dat er data ingevoerd kan worden die opdrachten uit gaat voeren die schadelijk kunnen zijn voor de applicatie. Om data van niet vertrouwelijke bronnen te weren kan het beste een check worden toegevoegd. Hierop moet een gebruiker toestemming geven. Vaak word dit gedaan met het invoeren van een tekst die in een plaatje staat weergegeven. Dit is om te bevestigen dat het niet om een zoek robot gaat die er voor gemaakt is om applicaties te zoeken en van schadelijke data te voorzien. Data opslag De opslag van data is geen probleem. In sommige gevallen is het zelfs noodzakelijk. Het is echter wel dat dit op een bepaalde manier moet gebeuren. Sla data nooit op in een public of een shared locatie. Op deze Jeffrey van Wijck
5 manier wordt het anders wel erg makkelijk gemaakt voor personen, die er geen recht op hebben, om het in handen te krijgen. Ook is het, net als eerder al genoemd werd, van belang dat alleen vereiste data worden opgeslagen. Sla bijvoorbeeld nooit wachtwoorden op, dit kan alleen maar misbruikt worden. Als iemand zijn wachtwoord vergeet dan krijgt diegene wel een nieuwe. Het gebruik van HTTPS is iets wat ook zeker een plus kan zijn voor het beveiligen van je web applicatie. Maar nogmaals, hier moet je goed over nadenken of dat nodig is. Om dit te gebruiken heb je een certificaat nodig waarvoor je moet betalen en als de data, die je wil beschermen, niet veel is dan kan het ook overbodig zijn. Verder is het van belang dat er geen gegevens/ data in de code komt te staan. De code is terug te halen, zelfs na het compileren. Dit houdt in dat dus ook de gegevens en data die hier in staat is op te halen. Conclusie Om de gegevens van klanten veilig te houden en te zorgen dat de applicatie die zei gebruiken ook blijft werken zijn dus genoeg maatregelen voor te nemen. Wat hierbij belangrijke stappen zijn, zijn om te kijken op wat voor manier je de applicatie gaat ontwikkelen. Er moet ook gekeken worden naar water belangrijk is op het gebied van gebruik. Vervolgens moet worden bepaald met wat voor soort data je te maken hebt en wat de belangrijke data is die extra beschermd moet worden. De encryptie is ook zeker een onderdeel dat niet mag ontbreken in het beveiligen van een web applicatie. Jeffrey van Wijck
Transport Layer Security. Presentatie Security Tom Rijnbeek
Transport Layer Security Presentatie Security Tom Rijnbeek World Wide Web Eerste webpagina: 30 april 1993 Tegenwoordig: E-mail Internetbankieren Overheidszaken (DigiD) World Wide Web Probleem: World Wide
Nadere informatieWeb Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop
Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop 1 Agenda Injection Cross Site Scripting Session Hijacking Cross Site Request Forgery #1 OWASP #2 top 10 #3 #5 Bezoek www.owasp.org
Nadere informatieDigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief
DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud
Nadere informatieGebruik van cryptografie voor veilige jquery/rest webapplicaties. Frans van Buul Inter Access
Gebruik van cryptografie voor veilige jquery/rest webapplicaties Frans van Buul Inter Access 1 Frans van Buul frans.van.buul@interaccess.nl 2 De Uitdaging Rijke en veilige webapplicaties Een onveilig en
Nadere informatieBack to the Future. Marinus Kuivenhoven Sogeti
Back to the Future Marinus Kuivenhoven Sogeti 1 Commodore 64 2 Commodore 1541 floppy drive 3 Assymetrisch gedrag Een operatie die voor een overgang zorgt.. Waarbij heen minder kost dan terug 4 Assymetrisch
Nadere informatieIBAN API. Simpel & krachtig. Documentatie : IBAN REST API Versie : 1.0 DE BETAALFABRIEK
IBAN API Simpel & krachtig Documentatie : IBAN REST API Versie : 1.0 DE BETAALFABRIEK Introductie De Betaalfabriek IBAN API is een REST API om IBAN-conversie en validatie te integreren in uw administratiesysteem,
Nadere informatieSecurity Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest
DEMO PENTEST VOOR EDUCATIEVE DOELEINDE. HET GAAT HIER OM EEN FICTIEF BEDRIJF. 'Inet Veilingen' Security Pentest 18 Januari 2016 Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest
Nadere informatieProject 4 - Centrale Bank. Rick van Vonderen TI1C
Project 4 - Centrale Bank Rick van Vonderen 0945444 TI1C 23 mei 2018 Inhoudsopgave 1 Inleiding 2 2 Beheren 3 2.1 Git...................................................... 3 2.2 Risicolog...................................................
Nadere informatieDeny nothing. Doubt everything.
Deny nothing. Doubt everything. Testen van IoT Security Marinus Kuivenhoven Sr. Security Specialist Vianen, 11 juli 2016 Testen van IoT Security 2 Casio AT-550 Testen van IoT Security 3 LG GD910 Testen
Nadere informatieOnderzoeksverslag Beveiliging
Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.
Nadere informatieMobile Security. René de Groot Sogeti
Mobile Security René de Groot Sogeti 1 Inhoud Mobile en nieuwe mogelijkheden Nieuwe risico s Keten en spelers Basic security Scenario secure storage op een ipad Scenario IRM op een ipad Conclusie 2 Mobile
Nadere informatiePoging 3: KEY001: SESID: Hiermee zijn we ingelogd als gebruiker DEMO2 :
Portaal A Dit portaal is een portaal geschreven in ASP.NET, en wordt slechts gebruikt (voor zover wij konden beoordelen) door één leasemaatschappij. Zoals bij elke test van een webapplicatie starten wij
Nadere informatie4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting
Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen
Nadere informatieUZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november 2012. Remco Schaar Consultant UL Transaction Security service
UZI-pas in gebruik Maarten Schmidt Risk en Security manager 22 november 2012 Remco Schaar Consultant UL Transaction Security service Inhoud Agenda Gebruik UZI-pas, wat gaat er wijzigen Alternatief gebruik
Nadere informatieeid Routeringsvoorziening OpenID Connect
eid Routeringsvoorziening OpenID Connect Coen Glasbergen 13 februari 2019 Routeringsvoorziening@logius.nl 1 Wet Digitale Overheid Inhoud eid en Routeringsvoorziening OpenID Connect Feedback 2 Wet Digitale
Nadere informatieSAML & FEDERATED IDENTITIES. The Single Sign-on provider
SAML & FEDERATED IDENTITIES The Single Sign-on provider Agenda Onderwerp: SAML Single Sign-on Justitie Uitleg: Waarom Identity en Access Management (IAM) Wat is IAM Wat is Security Assertion Markup Language
Nadere informatieTaak 2.1.9 - Strict or Strong. Inhoud
Taak 2.1.9 - Strict or Strong Inhoud Taak 2.1.9 Strict or Strong... 1 Inhoud... 1 Inleiding... 2 Wat is een Strict wachtwoord policy?... 3 Waarom een sterk wachtwoord?... 3 De controle methode... 4 PSDs...
Nadere informatieAuthenticatie wat is dat?
Authenticatie wat is dat? Authenticatie Authenticatie is het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Bij de authenticatie
Nadere informatieOntsluiten iprova via Internet Voorbeeld methoden
Ontsluiten iprova via Internet Voorbeeld methoden 12-12-2016 Inhoudsopgave 1 Inleiding... 3 2 Algemene aandachtspunten... 4 3 Voorbeeld methoden... 6 3.1 Ontsluiten via een (bestaande) telewerken oplossing
Nadere informatieMSSL Dienstbeschrijving
MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe
Nadere informatieThird party mededeling
Third party mededeling Vertrouwelijk Klant AFAS Product AFAS Insite Versie 1.0 Auteur David van der Sluis Datum 26 juni 2017 1. Introductie Op verzoek van AFAS verstrekt Computest hierbij een Third Party
Nadere informatieHandleiding Niki API
Handleiding Niki API Auteurs: Haike Zegwaard (Fundament All Media) Marcel Mulder (Fundament All Media) Martin Poelman (Fundament All Media) Datum: 24 juni 2016 Niki: 3.30.0 Inhoud 1 Inleiding... 3 2 OAuth...
Nadere informatieProware Cloud Webbuilder Versie 2.30
Proware Cloud Webbuilder Versie 2.30 Laatste update: 02-12-2013 Inhoudsopgave Het principe van open login... 3 Functie- en procedurebeschrijving... 5 Loginfunctie... 5 Bevestigingsfunctie... 5 Demobestanden...
Nadere informatieResultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities
De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver.
Nadere informatieTechnisch ontwerp. Projectteam 6. Project "Web Essentials" 11 maart 2009. Versie 1.1.0
Projectteam 6 Faculteit Natuur en Techniek Hogeschool Utrecht Projectleider: Hans Allis, hans.allis@student.hu.nl Technisch ontwerp Project "Web Essentials" 11 maart 2009 Versie 1.1.0 Teamleden: Armin
Nadere informatieUWV Security SSD Instructies
UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele
Nadere informatieTestnet Presentatie Websecurity Testen "Hack Me, Test Me" 1
Testnet Voorjaarsevenement 05 April 2006 Hack Me, Test Me Websecurity test onmisbaar voor testanalist en testmanager Edwin van Vliet Yacht Test Expertise Center Hack me, Test me Websecurity test, onmisbaar
Nadere informatieThird party mededeling
Third party mededeling Vertrouwelijk Klant Product AFAS Outsite / Payroll Cloud Versie 1.0 Auteur David van der Sluis Datum 26 juni 2017 1. Introductie Op verzoek van verstrekt Computest hierbij een Third
Nadere informatieHet gebruik van OSB ebms contracten in complexe infrastructuren
Inleiding Het gebruik van OSB ebms contracten in complexe infrastructuren Whitepaper Ernst Jan van Nigtevecht Maart 2009 Contracten die gepubliceerd worden voor een OSB ebms service hebben tot doel om
Nadere informatieTaak 2.1.3 Versleutelen en dan weer terug... 1
Taak 2.1.3 Versleutelen en dan weer terug Inhoud Taak 2.1.3 Versleutelen en dan weer terug... 1 Inhoud... 1 Inleiding... 2 Encryptie en Decryptie... 3 Symmetrisch... 3 Asymmetrisch... 3 Waarom Encryptie
Nadere informatieKeynote: Gevaren van zowel het GSM als het Wi-Fi netwerk
Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk Roel Bierens Pieter Westein Roel Bierens Roel Bierens is een cyber security professional die gespecialiseerd is op het gebied van mobile security
Nadere informatieHDN DARTS WEB AUTHENTICATIE
HDN DARTS WEB AUTHENTICATIE HDN Helpdesk T: 0182 750 585 F: 0182 750 589 M: helpdesk@hdn.nl Copyright Communications Security Net B.V. Inhoudsopgave 1. INLEIDING OP HET ONTWERP... 3 1.1 HET DOEL VAN DIT
Nadere informatieSecurity theorie. Omdat theorie heel praktisch is. Arjen Kamphuis & Menso Heus arjen@gendo.nl menso@gendo.nl
Security theorie Omdat theorie heel praktisch is Arjen Kamphuis & Menso Heus arjen@gendo.nl menso@gendo.nl Huisregelement Artsen en geheimagenten uitgezonderd telefoons, honden en robots nu op stil. Deze
Nadere informatieDe FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009
De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009 Fedict 2009. All rights reserved Agenda Beschrijving van de FAS Authenticatie Veiligheidsniveaus voor authenticatie
Nadere informatieDeny nothing. Doubt everything.
Deny nothing. Doubt everything. Hack to the Future Marinus Kuivenhoven Sr. Security Specialist Houten, 23 juni 2015 marinus.kuivenhoven@sogeti.com 2 Het valt op Wij leren niet van het verleden Zekerheid
Nadere informatieInhoudsopgave. Onderzoeksrapport: SSL; Dion Bosschieter; ITopia
SSL veilig of niet? Dion Bosschieter Dit is een onderzoeksrapport dat antwoord geeft op de vraag: Kan een gebruiker er zeker van zijn dat SSL veilig is? ITopia Dion Bosschieter 23-04- 2012 Inhoudsopgave
Nadere informatieHandleiding Thuiswerken / CSG-Site / VPN-Access
Handleiding Thuiswerken / CSG-Site / VPN-Access Plaats: Venlo Datum: 01-11-2011 Versie: 3.0 Inhoudsopgave Inhoudsopgave... 2 1. Instellingen... 3 1.1 Instellingen Internet Explorer (eenmalig)... 4 1.2
Nadere informatieLeza biedt gebruikers de mogelijkheid om pc s, laptops en servers te back-uppen en back-ups te herstellen.
LEZA ONLINE BACKUP Servicedefinitie 1. Data-encryptie 2. Beveiligde internetverbinding 3. Datacenter 4. Recovery 5. Richtlijnen reactietijden & bereikbaarheid 6. Controle Back-up 7. Onderhoudswerkzaamheden
Nadere informatieISSX, Experts in IT Security. Wat is een penetratietest?
De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie
Nadere informatieForecast XL Technology
Forecast XL Technology Introductie Forecast XL is een vertrouwde, eenvoudig te gebruiken cloud applicatie, gekenmerkt door redundante IT-omgevingen en dynamische toewijzing van middelen. Gebruikers kunnen
Nadere informatieIndex. Auteur: André van den Nouweland Datum: 17 oktober 2017 Betreft: SAML voor authenticatie/autorisatie
Auteur: André van den Nouweland Datum: 17 oktober 2017 Betreft: SAML voor authenticatie/autorisatie Doel: Dit document laat voorbeelden zien hoe je authenticatie/autorisatie mee kan geven via een SAML
Nadere informatieTaak 1.4.10 Apachiis. Inhoud
Taak 1.4.10 Apachiis Inhoud Taak 1.4.10 Apachiis... 1 Inleiding... 2 Functie van een Webserver... 3 Wat is een webserver?... 3 Wat doet een webserver?... 3 Wat is en doet een webserver nu écht?... 3 Stappenplan
Nadere informatieOverheidsservicebus met volledige Digikoppeling connectiviteit. Foutberichten en foutafhandeling
Foutberichten en foutafhandeling FOUTEN BIJ ONTVANGST BERICHT OT20308 Generieke fout, maar de meest voorkomende is het niet kunnen vinden van een entrypoint URL Verkeerde URL wordt aangesproken door of
Nadere informatieHANDLEIDING STUDIEKEUZEDATABASE
HANDLEIDING STUDIEKEUZEDATABASE De Studiekeuzedatabase bevat feiten en kwaliteitsoordelen over HBO- en WO-opleidingen. Het gaat onder andere om toelatingseisen, instroomaantallen, arbeidsmarktcijfers,
Nadere informatieTevens hebben wij onderzocht of het automatiseren van een dergelijk afluisterproces eenvoudig te produceren is en wat er vervolgens mogelijk is.
Wi-Fi Sniffing De mogelijkheden van het afluisteren van Wi-Fi Abstract Wegens verontrustende berichten over winkels die continu Wi-Fi signalen opvangen om klanten te meten, hebben wij besloten te onderzoeken
Nadere informatieDe volgende MTA s installeren in een groepje van 4 studenten: Onderzoek van vorig jaar naar gebruikte mail software evalueren.
Hoofdstuk 4 Mail Transfer Agents Email is een van de belangrijkste services die je als systeembeheer voor je gebruikers moet verzorgen. Als er geen mail verstuurd of ontvangen kan worden, kunnen de gebruikers
Nadere informatieBULLETIN. SSL or no SSL hoe beveilig je je website? Nog meer in dit nummer: Veilig gebruik van WIFI-hotspots Verschillende soorten SSL
Nieuwsmagazine 2Business NUMMER: 2 BULLETIN SSL or no SSL hoe beveilig je je website? Nog meer in dit nummer: Veilig gebruik van WIFI-hotspots Verschillende soorten SSL bulletin 1 Copyright 2Business Harmelen
Nadere informatieSecurity paper - TLS en HTTPS
Security paper - TLS en HTTPS Tom Rijnbeek - 3657086 18 juni 2013 Inhoudsopgave 1 Introductie 2 2 Beschrijving TLS 2 2.1 Doelen................................. 2 2.2 Lagen Model.............................
Nadere informatiePlan van aanpak. 1 Inleiding. 2 Onderzoek. 3 Taken. Kwaliteitswaarborging van webapplicaties. Rachid Ben Moussa
Plan van aanpak Rachid Ben Moussa Kwaliteitswaarborging van webapplicaties 1 Inleiding De meeste zwakheden in software worden veroorzaakt door een klein aantal programmeerfouten. Door het identificeren
Nadere informatie4Problemen met zakendoen op Internet
Intranet Telematica Toepassingen Hoofdstuk 18 4gebruik Internet toepassingen voor netwerk binnen een organisatie 4In plaats van gespecialiseerde netwerkprogramma's 4Vooral WWW en e-mail 4WWW browser toegang
Nadere informatieYOUPROVIDE. Security aspecten
YOUPROVIDE Security aspecten Inhoudsopgave Gegevens locatie, servers, back-ups en beëindiging 3 Beveiliging 4 Vertrouwelijkheid en bescherming persoonsgegevens 6 Algemene voorwaarden 7 Gegevens locatie,
Nadere informatieDienstbeschrijving MSSL Licenties
Dienstbeschrijving MSSL Licenties RoutIT Datum: 2015 Versielog RoutIT Wat is RoutIT MSSL 09-02-2015 Technische specificaties 11-10-2016 Service Level Agreement 31-01-2014 2 Inhoudsopgave 1 Wat is RoutIT
Nadere informatieVeilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet
Veilig e-mailen E-mail heeft zich inmiddels ruimschoots bewezen als communicatiemiddel. Het is een snelle en goedkope manier om met anderen waar ook ter wereld te communiceren. Als gevolg hiervan vindt
Nadere informatieToegang Educatieve ICT Systemen
Kenmerk: ICT20070612-03444 Datum: 12 juni 2007 Toegang Educatieve ICT Systemen Beste deelnemer, In de bijgaande brief ontvang je je gebruikersnaam en wachtwoord. Deze heb je nodig om gebruik te kunnen
Nadere informatieNederlands Normalisatie Instituut
Nederlands Normalisatie Instituut CITRIX / SSL VPN Helpdesk NEN kmc@nen.nl T: 0152690268 http://portal.nen.nl Versie 2.0.1 VPN hoe en wat Bij NEN kan er vanaf extern worden ingelogd op het netwerk. Dit
Nadere informatieClaims-based authenticatie in SharePoint 2010
Claims-based authenticatie in SharePoint 2010 MAAKT HET REALISEREN VAN DIVERSE SCENARIO S MAKKELIJKER Mirjam van Olst SharePoint 2010 maakt gebruik van claims-based authenticatie. Omdat claims-based authenticatie
Nadere informatieFunctionele Specificatie One Fox edav
Functionele beschrijving van de One Fox edav module. Kenmerk: FO_EDAV_MVDB_50 Document: V1,2 / FO edav v2.2 Status: Publicatie: Definitief 28-2-2013 Documenthistorie Wanneer Versie Wie Wat en waarom 15-02-2010
Nadere informatie2. De Kans en Impact van de bevinding als deze zich manifesteert
Beste collega s, Recentelijk is bij SchoolMaster onder de voorwaarden van het Responsible Disclosure een melding gemaakt van een bevinding in de informatiebeveiliging van de mobiele browser en Magister-App
Nadere informatieGebruikershandleiding voor: Beperkte Password protectie met JavaScript
Gebruikershandleiding voor: Beperkte Password protectie met JavaScript URL: http://home.hccnet.nl/s.f.boukes/html-2/html-202.htm INHOUD : 1. Structuur van een beveiligde site 2. Login-formulier 3. Login
Nadere informatieEnterprise SSO Manager (E-SSOM) Security Model
Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een
Nadere informatieVoipCenter Application Programming Interface (API)
Introductie Via de VoipCenter PBX API is het mogelijk om : 1. informatie op te vragen inzake de configuratie van : - SIP-accounts - Telefoonnummers - Tijdfilters zoals feestdagen, vakantieperiodes en kantooruren
Nadere informatieKoppelvlakspecificatie CGI - DigiD
Koppelvlakspecificatie CGI - DigiD Versie 2.3 Datum 17 december 2013 Colofon Projectnaam DigiD Versienummer 2.3 Organisatie Logius Postbus 96810 2509 JE Den Haag T 0900 555 4555 (10 ct p/m) servicecentrum@logius.nl
Nadere informatieDM WEB PORTAAL Functionele handleiding 2-factor authenticatie Gebruikers. MediSoft. Versie
DM WEB PORTAAL 2-factor authenticatie Gebruikers Versie 01.06 22-09-2016 Inhoudsopgave 1. Inleiding... 2 1.1. 2-factor authenticatie via SMS... 2 1.2. Versiehistorie... 2 2. Werking... 3 2.1. Inloggen
Nadere informatieSingle sign on kan dé oplossing zijn
Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid
Nadere informatieDe burger in controle - standaarden en technologie voor persoonlijke gegevenstoegang
De burger in controle - standaarden en technologie voor persoonlijke gegevenstoegang Chris Adriansen, ForgeRock is reeds 10 jaar gepassioneerd door digital identity, privacy en security. Hij maakte o.a.
Nadere informatieAanmelden Na installatie wordt de service automatisch gestart en kunt u meteen aanmelden van op afstand:
Remote administratie Als administrator hebt u verschillende mogelijkheden om een Linux systeem van op afstand te beheren. Populaire toepassingen zijn bijvoorbeeld Webmin en VNC. Het gebruik van deze twee
Nadere informatieServer Side Scripting
Server Side Scripting Formulieren & beveiliging Vakopzet C 1 2 3 4 5 6 7 8 9 WC TOETS Lessen Lesweek 1 (47) Vakoverzicht en introductie Lesweek 2 (48) Doornemen Ch3 (40p) Lesweek 3 (49) Deeltoets 1, Doornemen
Nadere informatieWerken op afstand via internet
HOOFDSTUK 12 Werken op afstand via internet In dit hoofdstuk wordt uitgelegd wat er nodig is om op afstand met de ROS artikel database te kunnen werken. Alle benodigde programma s kunnen worden gedownload
Nadere informatieSecurity NS. Onno Wierbos, Barry Schönhage, Marc Kuiper
Security Testen @ NS Onno Wierbos, Barry Schönhage, Marc Kuiper On Board Information System (OBIS) 3 Security testen binnen OBIS 4 Security test op het nieuwe CMS Scope: Het nieuwe CMS vanuit reizigersperspectief
Nadere informatieOrganiseer uw verschillende SOAP services in één scenario
1 Organiseer uw verschillende SOAP services in één scenario Wouter Luijten wouterluijten@creetion.com 2 Introductie Tijdens de implementatie van een proces heeft u vaak te maken met een veelvoud aan services.
Nadere informatieJe website (nog beter) beveiligen met HTTP-Security Headers
Je website (nog beter) beveiligen met HTTP-Security Headers Wat is HTTP? Het HTTP (Hypertext Transfer Protocol) protocol is een vrij eenvoudig, tekst gebaseerd, protocol. Dit HTTP protocol regelt de communicatie
Nadere informatieTwee-factor-authenticatie (2FA)
Twee-factor-authenticatie (2FA) Inleiding Als u via een wachtwoord inlogt op het portal, dan is het mogelijk uw account extra te beveiligen door twee-factor-authenticatie te koppelen. Twee-factor-authenticatie,
Nadere informatieVPN Remote Dial In User. DrayTek Smart VPN Client
VPN Remote Dial In User DrayTek Smart VPN Client Inhoudsopgave VPN Remote Dial In... 3 Verbinding maken met de DrayTek router... 4 DrayTek VPN Remote Dial In configuratie PPTP VPN... 5 VPN verbinding opzetten
Nadere informatieBasisregistratie Ondergrond (BRO) Testen verbinding webservices met SoapUI Booronderzoek. Datum 28 maart 2017 Status Versie 1.0
Basisregistratie Ondergrond (BRO) Testen verbinding webservices met SoapUI Booronderzoek Datum 28 maart 2017 Status Versie 1.0 Testen verbinding webservice met SoapUI Booronderzoek Dit document beschrijft
Nadere informatieSecure Application Roles
Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam
Nadere informatiee-token Authenticatie
e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het
Nadere informatiePrivacy Policy v Stone Internet Services bvba
Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van
Nadere informatieReleasebeschrijving e-former versie 7.0
Releasebeschrijving e-former versie 7.0 INHOUDSOPGAVE Inleiding... 2 Tussentijds opslaan... 3 Digitale handtekening... 4 Beveiliging... 6 Toegangscontrole bij lokaal gebruik... 6 Verwijderen uploads...
Nadere informatieOU s en gebruikers. Lab 3.8. Doel: Je weet hoe je users kan aanmaken en hoe je het overzichtelijk houdt met OU s.
OU s en gebruikers 8 Lab 3.8 Doel: Je weet hoe je users kan aanmaken en hoe je het overzichtelijk houdt met OU s. Hoofdstuk 8 OU s Andere OU s Voordelen van het gebruik van OU s is dat deze overzichtelijkheid
Nadere informatieBewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN
Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Helaas, 100% beveiliging bestaat niet. Kwetsbaarheden veranderen dagelijks en hackers zitten niet stil. Een datalek
Nadere informatieHandleiding: Whitelabel Customersite
ARGEWEB B.V. Handleiding: Whitelabel Customersite Controlportal.nl Argeweb Support 8-1-2009 Handleiding voor het gebruik maken van de Whitelabel Customersite op controlportal.nl, door Resellers van Argeweb.
Nadere informatieWerken zonder zorgen met uw ICT bij u op locatie
Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u
Nadere informatieSOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl
SOA Security en de rol van de auditor... ISACA Roundtable 2 juni 2008 Arthur Donkers, 1Secure BV arthur@1secure.nl 1 SOA Web 2.0, web services en service oriented architecture (SOA) is tegenwoordig de
Nadere informatieBeveiligingsbeleid. Online platform Perflectie
Beveiligingsbeleid Online platform Perflectie 2018 Beveiligingsbeleid Perflectie Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 1.0 Dimitri Tholen Software Architect
Nadere informatieInzenden en ontvangen aangifte
UPA Inzenden en ontvangen aangifte Specificaties koppelvlak Versie 1.0 Inhoud 1 Doel document... 2 2 Aanlevering bestanden... 2 2.1 Webservices... 2 2.2 FTP... 4 2.3 Secure cloud... 4 3 Aanlevering MDV/PLO...
Nadere informatieowncloud centraliseren, synchroniseren & delen van bestanden
owncloud centraliseren, synchroniseren & delen van bestanden official Solution Partner of owncloud Jouw bestanden in de cloud Thuiswerken, mobiel werken en flexwerken neemt binnen organisaties steeds grotere
Nadere informatieInleiding op Extended Validation (EV) SSL / TLS
Inleiding op Extended Validation (EV) SSL / TLS Het vertrouwen van bezoekers vergroten, merkidentiteit integreren en de legitimiteit van sites bewijzen Over GlobalSign VS: +1 603 750 7060 of sales@globalsign.com
Nadere informatieSnelstart Server Online voor Windows en Linux Versie september 2014
Snelstart Server Online voor Windows en Linux Versie september 2014 Inhoudsopgave Hoofdstuk 1. Inleiding 3 Hoofdstuk 2. Server Online Windows voor het eerst gebruiken 4 2.1 Inloggen op Zelfservice Cloud
Nadere informatieDicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?
Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Executive summary Organisaties maken meer en meer gebruik van online
Nadere informatieZest Application Professionals Training &Workshops
Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on
Nadere informatieAPI...1 Identificatie...1 Opties...2 Acties...3 Webserver...6 Heartbeat...6 Buffer groottes...8
API API...1 Identificatie...1 Opties...2 Acties...3 Webserver...6 Heartbeat...6 Buffer groottes...8 Identificatie Alle programma's communiceren met elkaar door gebruik te maken van JSON objecten. Het normale
Nadere informatieAutomatische online en lokale backup en recovery van bedrijfsdata
Automatische online en lokale backup en recovery van bedrijfsdata Omdat u moet kunnen vertrouwen op uw backup... BACKUPAGENT, DE VOORDELEN OP EEN RIJ - Veilige backups zonder omkijken, alle bedrijfskritische
Nadere informatieDit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag.
Voorbeeldproject Een Haagse SOA Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag. Aanleiding Vanuit de visie
Nadere informatie1945, eerste DC. Eigen logo
1945, eerste DC Eigen logo Doelstelling: Binnen uw computer ruimte verzamelt u diverse informatie over bijvoorbeeld stroomverbruik van uw apparatuur. Via welk netwerk kunt u deze data verwerken. Welk
Nadere informatieEncryptie deel III; Windows 2000 EFS
Encryptie deel III; Windows 2000 EFS Auteur Leon Kuunders is als security consultant en managing partner werkzaam bij NedSecure Consulting. E-mail leon.kuunders@nedsecure.nl Inleiding In het eerste artikel
Nadere informatieHDN POORTWACHTER WEBSERVICE KOPPELING
HDN POORTWACHTER WEBSERVICE KOPPELING HDN Helpdesk T: 0182 750 585 F: 0182 750 589 M: helpdesk@hdn.nl Copyright Communications Security Net B.V. Inhoudsopgave 1. INLEIDING... 3 1.1 HET DOEL VAN DIT DOCUMENT...
Nadere informatie