froscon2009 - 1.0
FrOSCon
Free and Open Source Software Conference
Speakers | |
---|---|
Patrick Hof Jens Liebchen |
Schedule | |
---|---|
Day | Day 1 (2009-08-22) |
Room | HS6 |
Start time | 16:30 |
Duration | 01:00 |
Info | |
ID | 354 |
Event type | Lecture |
Track | Java |
Language used for presentation | German |
Feedback | |
---|---|
Did you attend this event? Give Feedback |
Bridging the Gap between the Enterprise and You
- or - Who's the JBoss now?
Der JBoss Application Server (JBoss AS) ist ein vielfach genutzter, quelloffener Java-Applikations-Server. Er ist Teil der JBoss Enterprise Middleware Suite (JEMS) und wird oft in großen Unternehmensinstallationen genutzt. Der JBoss AS erlaubt die Entwicklung und den Einsatz von Java Enterprise (J2EE)-Applikationen, Webapplikationen und Portalen. JBoss AS-Installationen finden sich in den unterschiedlichsten Bereichen, angefangen bei den klassischen Internetauftritten großer Organisationen über Client-Server-Installationen für Unternehmenssoftware bis hin zu Steuerungsapplikationen für Telefonanlagen. So betreiben viele Organisationen JBoss AS-Installationen, ohne darüber genau Bescheid zu wissen.
Der Vortrag beleuchtet den JBoss AS aus der Angreiferperspektive und verdeutlicht das Gefahrenpotential anhand von konkreten Beispielen bis hin zum Ausführen von beliebigem Code auf dem Host-Rechner der JBoss AS-Installation. Diese sollen Administratoren helfen, die Gefährdungslage einer JBoss AS-Standardinstallation besser einschätzen zu können, um gezielt entsprechende Sicherungsmaßnahmen zu ergreifen.
Unterstützt wird die Veranstaltung falls möglich durch Livedemonstrationen einiger der verschiedenen Angriffsarten, die allesamt zu einer Kompromittierung des Hosts führen.
Obwohl der Vortrag eine sehr komplexe Unternehmenssoftware betrachtet, ist keinerlei Vorwissen im Bereich des JBoss AS oder allgemein zu Java Applikations-Servern bei den Besuchern notwendig. Auch ohne Vorwissen ist der Vortrag interessant, um einen Einstieg in die Welt und Risiken von Java Enterprise Software zu finden. Die vorgestellten Angriffe sind auch ohne Vorkenntnisse aus dem Bereich von Java-Applikations-Servern leicht zu verstehen.
Bis Ende 2008 waren kaum Veröffentlichungen zu JBoss AS bekannt, die explizit die Angreiferperspektive aufgreifen. Aus diesem Grund hat RedTeam Pentesting die Thematik erstmalig Ende letzten Jahres international auf der Konferenz "hack.lu 2008" in Luxemburg der breiten Öffentlichkeit vorgestellt. Im Februar 2009 folgte ein Vortrag im Programm des DFN-Cert in Hamburg.
Über die Referenten:
Patrick Hof und Jens Liebchen arbeiten als Penetrationstester bei der RedTeam Pentesting GmbH in Aachen. RedTeam Pentesting ist ein auf Penetrationstests spezialisiertes Unternehmen. Neben dem täglichen Umgang mit Sicherheitslücken sind die Mitarbeiter von RedTeam Pentesting regelmäßig auf diversen Sicherheitskonferenzen als Referenten vertreten. Mehr Informationen über RedTeam Pentesting finden sich unter http://www.redteam-pentesting.de.