Die vielen Pressemeldungen über durch Hackerangriffe verlorene Daten machen es deutlich: Anbieter von Webapplikationen befinden sich im Fadenkreuz der Angreifer. Speziell wer kritische Daten bearbeitet, muss sich schützen, und dieser Schutz hört nicht beim Design der Software auf. Dieser Talk zeigt, wie man vom Kernel beginnend bis zur Kommunikation in der Cloud schon in der Architektur der Applikation dafür sorgt, dass die Angreifer sich lieber eine tiefer hängende Frucht als neues Ziel suchen.
82. SEL!.;
Sorry, i am not smart enough.
Go ask someone else.
Donnerstag, 18. Oktober 12
83. M+SQL
mysql_secure_installation
Donnerstag, 18. Oktober 12
84. M+SQL
Config-Files:
skip-networking
set-variable=local-infile=0
MySQl-Konfiguration:
RENAME USER root TO new_user;
GRANT ALL PRIVILEGES ON *.*
Donnerstag, 18. Oktober 12
85. If +)' ,r$ ... Y)' /#)'(* '/$ ...
Old School mod_security
New School Varnish Firewall
Mitt Romney Kommerzielle Firewall
W$b App(!",%!). F!r$w,((/
Donnerstag, 18. Oktober 12
86. V,r.!/# >r$w,(( '.* 1)*_/$"'r!%+ /!.* "))(, w$!( ...
★ sie nutzen die gleichen Rulesets
★ es gibt sehr viele davon
★ Quellen: zB OWASP
https://github.com/SpiderLabs/owasp-modsecurity-crs
Donnerstag, 18. Oktober 12
87. In PHP implementiertes
Intrusion Detection System
analog zu mod_security
I. *$r App(!&,%!). r$,-!$r$.
Donnerstag, 18. Oktober 12
88. 5 Steps to Cloud Age Security
1 Infrastruktur automatisieren
2 System strippen
3 Firewall konfigurieren
4 Applikation mit AppArmor profilen
5 Varnish Firewall vor der Applikation nutzen
Donnerstag, 18. Oktober 12
89. Just do it.
E!.f,"# 1,"#$.!
Donnerstag, 18. Oktober 12
90. Just do it.
O*$r './ 1,"#$. (,//$.
#,r%1,..@1,+9)w$r.*$
Donnerstag, 18. Oktober 12