In Kooperation mit dem Institut für Medieninformatik präsentiert das Institut für Verteilte Systeme im Februar zwei Gastvorträge zum Thema Web-Sicherheit.

Aus dem Alltag eines Pentesters – David Elze (Daimler TSS)
8.2.2013, 14:15, O28/H21
Anhand eines realen Beispiels aus dem Alltag eines Penetration Testers wird aufgezeigt, wie die Kombination von einfachen Angriffsvektoren innerhalb einer Web-Applikation zur Kompromittierung eines Systems führen kann. Zusätzlich wird es eine Live-Demonstration einer mittlerweile veröffentlichten Schwachstelle geben.

Cross-Site Request Forgery: Angriffsvektoren und Prävention in Web-Applikationen – David Herges (NIDAG)
14.2.2013, 13:00, O27/H20
CSRF, auch als „session riding“ bekannt, ermöglicht es einem Angreifer so auf die Daten einer Web-Applikation zugreifen als ob er ein authori- sierter Nutzer wäre. Der Angreifer kann im Kontext des Opfers, mit dessen Berechtigungen, lesend und schreibend Daten manipulieren. Die OWASP Top Ten stuft CSRF auf Platz fünf der kritischsten Sicherheitslücken im Web ein. Der Vortrag stellt den Ablauf von CSRF-Angriffen dar und diskutiert Sicherheitsmaßnahmen, um diese zu verhindern.

Die Vorträge sind öffentlich und alle Interessierten sind herzlich eingeladen.