Band 2 als PDF herunterladen
Contents
1. KOS content Seite 495 52 Installation 0 15 Eine sehr gut beschriebene Anleitung f r verschiedene Systeme Einfach das Programm auf einen existierenden Installationsanleitung 3 Tomcat deployen In bestehende Umgebung Ein Tomcat wird vorausgesetzt dann ist weiteres an sich integrierbar 3 kein Problem Frequently occurring er rors dokumentiert 3 FAQ f r h ufig auftauchende Probleme vorhanden Geschwindigkeit der In stallation und Anzahl der Sehr schnell durch einfaches deployen evtl noch ein paar manuellen Schritte 3 Konfigurationsschritte f r Benutzer n tig Installationsinterface Nach Copy Paste des war Files danach Bearbeitung einer GUI oder CLI 2 Konfigurationsdatei Einfachheit der Installati on 2 Bis auf die Benutzerrechte im Tomcat keine Probleme Die Weboberfl che ist sehr Benutzerfreundlich und s mtli che Konfigurationen die n tig sind sind einfach vorzu Klarheit der Konfiguration 3 nehmen Bewertungssumme 19 Maximum 21 Erf llungsgrad 90 48 Usability 0 2 ISO 9241 10 Dialoge und Interaktionsm glichkeiten sind allesamt aus Aufgabenangemessenheit 3 sagekr ftig und eher zu ausf hrlich Selbstbeschreibungsf Alle Funktionen und Lessons sind gut betitelt und be higkeit 3 schreiben die dahinterliegende Funktion ausreichend Sehr gute Men steuerung und einfache Lessons die Steuerbarkeit 3 schnell anzu2. gef hrt Nr Bezeichnung In Hauptuntersu Ausschlussgrund chung 1 Acunetic Online Nein Kommerziell und keine Doku mentation verf gbar 2 CrackMeBank Nein Kommerziell und keine Doku mentation verf gbar 3 DamnVulnerableWebApplication Ja DVWA Gruyere Ja Ghost Nein Eingeschr nkte Funktionalit t kaum Dokumentation vorhan den HacMe Series Ja Insecure Web App Nein Blackbox Honeypot mit sehr geringer Dokumentation aktuel lerer Honeypot WebGoat vom selben Hersteller verf gbar 2 Vgl 0 V 0 J http www badstore net KOS content Seite 461 18 8 Mutillidae Ja WebGoat Ja 10 Web Maven Nein Wird nicht mehr unterst tzt vom Hersteller er verweist selbst auf andere Honeypot Projekte 11 ZAP Wave Nein Stark auf ein bestimmtes Proxy Tool zugeschnitten daher ein geschr nkte Features Tab 1 Aufz hlung m glicher Honeypots f r die Bewertung Somit sind die f nf Honeypots die weitergehend untersucht werden folgende DamnVulnerableWebApplication Gruyere HacMe Series Mutillidae WebGoat af o ba o Neben den erw hnten Open Source Honeypots existieren vergleichbare propriet re Honeypots Da diese nur unter Zuhilfenahme von finanziellen Mitteln als Applikation f r einen Workshop o m glich w re und einen langen Prozess mit sich f hrt k nnen die propriet ren Honeypots nur er w hnt und nicht in die Haup
3. uunssssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 45 Anhang 4 Mutillidea Bewertungsmatrix uuuuuuunsssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 47 Anhang 5 Webgoat Bewertungsma trix uussusennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 50 Anhang 6 Benutzerhandbuch DHBWA uunuuuusnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 54 KOS content Seite 482 39 Anhang 1 DVWA Bewertungsmatrix Kriterium Punkte Kommentar Gewich tung Sicherheitslucken 1 Punkt pro vorhandener Lticke 0 25 A1 Injection A2 Cross Site Scripting XSS A3 Fehler in Authentifi zierung und Session Ma nagement A4 Unsichere direkte Objektreferenzen A5 Cross Site Request Forgery CSRF A6 Sicherheitsrelevante Fehlkonfiguration A7 Kryptografisch unsi chere Speicherung A8 Mangelhafter URL Zugriffsschutz AQ Unzureichende Ab sicherung der Transport schicht A10 Ungepr fte Um und Weiterleitungen 0 GemaB der DVWA Dokumentation und https code google com p dvwa issues detail id 4 Bewertungssumme 4 Maximum 10 Erf llungsgrad 40 00 Community 8 Dokumen tation amp Support Von 0 bis 3 Punkte Anzuwenden auf alle Kriterien bis auf Sicherheitslicken und Features 0 3 Dokumentation O nichts 1 vorhanden aber nicht gut 2 0k gut 3 sehr gut
4. striction to a specific workstation which may improve the overall effectiveness of the tool The weighting of functional test management criteria was assigned as follows Test planning 15 Test requirement management 15 Design test cases 15 Execute test cases 10 Detect defects 15 User right administration 10 Test reports 15 Web access 5 Test planning was regarded as one of the most important factors as it helps to manage releases and cycles iterations more effectively User can easily plan and track application re Cf Abiodun O M 2011 p 10 Illes T et al 2005 p 4 et sqq 7 Cf Abiodun O M 2011 p 10 et sqq 71 Cf Illes T et al 2005 p 4 Cf Company 2012 73 Cf Abiodun O M 2011 p 11 KOS content Seite 417 30 lease progress using this feature Another crucial factor is the test requirement management This module is important because it enables the user to connect the requirements to the test cases and ensures traceability of requirements which is important to keep track of the project state A high importance lies also on the design of test cases If test cases are specified wrong test results can pass but do not test the required functionality Therefore the design of test cas es can be critical and needs to be supported by the tool The test execution is important but not as central as the criteria mentioned before as it is usually only lis
5. A8 Mangelhafter URL Zugriffsschutz A9 Unzureichende Ab sicherung der Transport schicht A10 Ungepr fte Um und Weiterleitungen Da das Projekt OWASP getrieben ist finden sich alle O WASP Sicherheitsl cken wieder Bewertungssumme 10 Maximum 10 100 00 Erf llungsgrad KOS content Seite 494 Community 8 Dokumen tation amp Support 51 Von 0 bis 3 Punkte Anzuwenden auf alle Kriterien bis auf Sicherheitslicken und Features 0 3 Dokumentation O nichts 1 vorhanden aber nicht gut 2 0k gut 3 sehr gut Gibt es eine Anleitung die die ersten Schritte auf zeigt 3 Es existiert ein ausf hrliches Wiki mit ersten Schritten Erw hnt die Dokumenta tion alle vorhandenen Das Wiki der Seite zeigt alle vorhandenen Sicherheitsl Sicherheitsl cken ausrei cken klar auf chend 3 https www owasp org index php Lesson_Plans Gibt es eine Anleitung die ber sogenannte Lessons wird jede L cke ausf hrlich in die Weboberfl che erkl rt w hrend gleich auf derselben Oberfl che prakti integriert ist 3 sche Beispiele gegeben werden Wie gut ist der Quellcode Quellcode weist zum gr ten Teil selbsterkl rende Be dokumentiert 2 zeichnungen aber wenig Kommentare auf Fehlerbehebung Gibt es aktive Entwickler die Fehler beheben k n nen Wie aktiv ist die 23 aktive Projekt Mitgliede
6. KOS content Seite 551 42 Anhang Anhangverzeichnis Anhang 1 bersicht von Open Source Performace und Lasttesttools occncnnncncnnso Anhang 2 Bewertungskriterien f r Lasttesttools aus unterschiedlichen Quellen KOS content Seite 552 43 Anhang 1 bersicht von Open Source Performace und Lasttesttools Beispielhafte Auswahl an Open Source Performace und Lasttesttools Allmon Apache JMeter benerator CLIF is a Load Injection Framework curl loader Database Opensource Test Suite DOTS DBMonster Deluge Dieseltest Faban FunkLoad The Grinder Hammerhead 2 Hammerora httperf JCrawler Load Impact OpenSTA OpenWebLoad Parallel junit Pylot Seagull PushToTest TestMaker VisualVM Web Application Load Simulator WebLOAD zapwireless Tabelle 13 bersicht von Open Source Lasttesttools Mit nderungen bernommen aus Philips J 2010 KOS content Seite 553 44 Anhang 2 Bewertungskriterien f r Lasttesttools aus unterschiedlichen Quellen Vergleich der Bewertungskriterien aus unterschiedlichen Quellen Leistungstests auf Basis von Evaluation of Load Stress tools OpenSource Werkzeugen f r das for Web Applications testing Open Source and Commercial Content Repository Framework Performancetest Stolze J HSC Performance Testing Tools Accenture Schimratzki
7. verwendet werden k nnen Ziel dieser Seminararbeit ist die Erstellung einer Vergleichsstudie von Open Source Produkten f r Performance und Lasttests von Anwendungen Dazu wird ein Vergleichs system entwickelt welches anhand einheitlicher Vergleichskriterien Bewertungen der ver schiedenen Produkteigenschaften vornimmt Die Vergleichskriterien werden dabei in vier Kategorien Bedienbarkeit Technologie Funktionalit t und Sonstiges gegliedert Das Ver gleichssystem soll so entwickelt werden dass die unterschiedlichen Vergleichskriterien von sp teren Nutzern individuell gewichtet werden k nnen um den spezifischen Anforderungen gerecht zu werden Im ersten Teil der Vergleichsstudie wird zun chst erl utert was in der Literatur unter Per formance und Lasttests verstanden wird Es werden die Kriterien eingef hrt die durch g ngig f r die Beschreibung und Bewertung der Tools genutzt werden Anschlie end werden vier ausgew hlte Open Source Produkte f r Performance und Lasttests unter Ber ck sichtigung dieser Kriterien beschrieben Die Auswahl der Tools wird dabei durch ihren Ver breitungsgrad sowie die Arten von Anwendungen die getestet werden k nnen begr ndet Nach der Vorstellung der einzelnen Open Source Produkte wird die Methodik zur Bewertung der Tools eingef hrt Mithilfe einer Bewertungsmatrix werden die Test Programme in den unterschiedlichen Kriterien bewertet abh ngig vom Umfang in welchem sie das jeweilige Kri
8. 2009 S 25 Ygl PushToTest 2012 8 Vgl ebenda Vgl Stoll C Pommering T 2004 S 12 KOS content Seite 536 27 Auslastung von Central Processing Unit CPU Hauptspeicher und des Netzwerks nutzen zu k nnen 4 3 2 Bedienbarkeit Die Installation des TestMaker ist sehr einfach und ohne Vorwissen ber das Produkt m g lich Der Benutzer muss lediglich das Programm auf der Seite des Herstellers in der ge w nschten Version herunterladen die Installationsdateien entpacken und anschlie end das Programm ausf hren PushtoTest stellt die Installationspakete f r Windows 32 und 64 bit Linux 32 bit und Mac OS X zur Verf gung Die allgemeine Bedienung des Programms zur Generierung von Testf llen sowie der Durch f hrung von Tests gestaltet sich relativ einfach und intuitiv Dem TestMaker fehlt jedoch die M glichkeit ein Skript zur Kontrolle auszuf hren und anschlie end Informationen zum De bugging zu erhalten Im Allgemeinen nachteilig ist zudem die sp rliche Hilfe die dem Nutzer nur wenige und unkonkrete Informationen anbietet und im Zweifel auf den Hersteller ver weist Hieraus k nnte man ableiten dass das Unternehmen PushtoTest durch Service Angebote und durch Schulungen Ums tze mit dem TestMaker erzielen m chte 4 3 3 Technologie Mit dem TestMaker k nnen Funktions und Lasttests f r komplexe Webanwendungen die AJAX Flash und Flex verwenden durchgef hrt werden Da das Programm zu
9. Unterst tzung von Gastsprachen Ja falls COBOL88 kompatibel Debuging Grafisches Schritt fiir Schritt Debuging Nach manueller Konfiguration Beratungsdienstleistungen Remote Debugging Ja Anbindung von externen Systemen SSH Nein Datenbanken Nein Sonstiges Dateiexplorer Terminal Anbindung 3270 Vorabberatung Unterstiitzung bei Installation und Inbetriebnahme Schulung Support Individuelle System Hotline Wissensdatenbank Wartungsvertrage Online Ticket Eclipse Version e Produktseite http bit 1y N8aXcc IDE basiert auf Eclipse 3 7 Tabelle 4 cobolclipse Features KOS content Seite 367 23 3 5 4 Elastic COBOL Elastic Cobol vom Hersteller Heirloom Computing kann in mehreren Varianten genutzt werden Es besteht die M glichkeit ein Paket von Plugins zu installieren welches die Installation und vor allem Integration in einer bestehenden Eclipse Umgebung erm glicht Alternativ kann ein mit allen Plugins ausger stetes Eclipse komplett installiert werden Dies empfiehlt sich bei einer Neuein f hrung von Eclipse Die dritte Variante ist es Elastic Cobol komplett als Clouddienst zu nutzen Der cloudbasierte Dienst bietet dem Benutzer eine vollst ndig eingerichtete Installation der ak tuellsten Eclipse Version inklusive aller ben tigten Plugins von Elastic COBOL Benutzt werden kann die IDE per Remote Desktop Dabei stehen dem Benutzer zus tzlich z
10. 15 06 2012 Free Tools McAfee http www mcafee com us downloads free tools hacme casino aspx Abruf 16 06 2012 Honeypots Einsatzm glichkeiten beim Schutz von IT Systemen http www informatik uni ham burg de RZ lehre 18 415 seminararbeit 11 _Honeypots paf Abruf 25 05 2012 Managing a Honeypot http www oreillynet com pub a sysadmin 2006 09 28 honeypots html Abruf 09 06 2012 Massachusetts Institute of Technology http en wikipedia org wiki Massachusetts _Institute_of Technology Abruf 07 06 2012 Comparison to OWASP Top Ten 2010 http cwe mitre org top25 index html App endixD Abruf 07 06 2012 http www badstore net Abruf 12 06 2012 0 V 2011 Munroe R 2007 Offensive Security 2012 OWASP 2009 OWASP 2011 OWASP 2012a OWASP 2012b OWASP 2012c OWASP 0 J 60 KOS content Seite 504 Blended Learning http www e learning fu ber lin de lehren_mit_neuen_medien einsatzs zenarien blended_learning index html Abruf 12 06 2012 Exploits of a mum http xkcd com 327 Abruf 09 06 2012 Virtual Penetration Testing labs http www offensive security com offensive security solutions virtual penetration testing labs Abruf 18 06 2012 Lesson Plans https www owasp org index php Lesson_ Plans Abruf 18 06 2012 OWASP WebGoat Project Roadmap https www owasp org index php OWASP _WebGoat_Project_Roadmap Abruf 18 06 2012 OWASP Top 10 Sich
11. 20 Script Language 10 Predefined functions methods 10 Integrated de velopment environment 15 Modularity of test cases 10 Supported test methods white box testing 5 Supported test methods black box testing 10 Reporting 20 The most crucial factors in this evaluation are the test automation approach and the reporting func tionality The test management approach includes the capture amp replay functionality typical for testing GUI applications which meets the need of saving time and effort during the project If this criterion is not included the tool fails to meet this requirement Reporting is inevitable as the test automation runs without human intervention and without reporting of the result it can be very time consuming to find the step where the error has occurred Furthermore reporting is crucial for keeping track of the project state Not as highly evaluated are the supported test methods black and white box testing This methodology differs by the approach of testing With in the black box testing the internal structure design implementation of the item being tested is not known to the tester whereas in white box testing it is known As these factors collude to gether they are regarded similarly to the other criteria but are not a decisive factor once one of the two methods is not supported by the tool 8 Cf Company 2012 77 Cf ibidem 78 Cf Whichtestingtool com 2012 KOS content S
12. 3 2 4 Sonstiges Das letzte vergleichbare Merkmal ist gerade bei Open Source Tools die Support M glichkeiten durch Communities und eine Produkt Dokumentation sowie die Frage ob das Tool von der Community weiterentwickelt wird und ob es Support durch externe Firmen gibt Zu dieser Kategorie geh rt ebenfalls das Kriterium externer Support Dieser bewertet in welchem Ma e Kurse und Schulungen f r ein Produkt angeboten werden und ob externe Firmen bei der Konfiguration unterst tzen bzw generellen Support zur Verf gung stellen 4 Sonstiges Support Dokumentation Weiterentwicklung Externer Support Aktuellste Version Community Tabelle 6 berblick ber die Kategorie Sonstiges KOS content Seite 522 13 4 Produktvorstellungen 4 1 Apache JMeter Das Programm JMeter von Apache basiert vollst ndig auf Java Die Desktopanwendung wurde entwickelt um Last und Performancetests f r Client Server Architekturen durchzu f hren Es unterst tzt sowohl das Testen von statischen als auch dynamischen Ressourcen Laut Apache sind Tests durchf hrbar mit Statischen Dateien Java Servlets Common Gateway Interface CGI Skripten Java Objekte Datenbanken FTP Server Laut der Produktbeschreibung ist JMeter daf r geeignet Server und deren Performance genau zu testen da eine hohe Last auf dem zu testenden Server erzeugt werden kann Im JMeter Wiki welches viele wertvolle Informationen b
13. 4 01 customer description Redefines table descript Evaluate True IGYPS2121 TG YPS2121 5 CUST VNAME was not defined as a data na 003422 b100 add in customer ZELMANN to cust vname 003424 Set current ptr To customer pointer 003425 Set previous ptr To current ptr 003426 Set Address Of customer sorted record T Abbildung 15 RDz Editor mit Autovervollst ndigung und Syntax Check El MVS Property Group SIGYSAMP 3 0 Line 2567 Column 14 Insert h 1 B 2 3 4 5 6 7 8 002564 Local variables aj 002565 1 o 002566 002567 01 local variables 002568 05 line count Pic 99 Binary Value 60 002569 05 page count Pic 999 Comp 3 Value Zero 002570 05 sub a Pic 99 002571 05 sub b Pic 99 002572 05 base Comp 1 f 002573 Value 0015e 03 002574 05 exponent Pic 9 Value Zero 002575 0S discount amount Pic 9 7 v99 Value Zero 002576 05 discount computed Pic 99v99 Value Zero 002577 05 accum discount Pic 9 7 v99 Value Zero x Abbildung 16 RDz Editor Zus tzlich k nnen Befehle an den Mainframe gesendet das Dateisystem durchsucht und die Dateien direkt auf dem Mainframe bearbeitet werden Zudem steht es dem Benutzer offen ob er einen an das 3270 Terminal oder einen an die Eclipse Java Umgebung angelehnten Editor w hlt Au erdem ist es m glich mit zwei Editor Fenstern zu
14. Abruf 09 06 2012 Vergleichsstudie zu Open Source Produkten fur Last Performancetesttools Seminararbeit vorgelegt am 5 7 2012 Fakult t Wirtschaft Studiengang WI International Business Information Management Kurs WWI20091 von Lisa Aust Thomas Dorsch Timo Pfister Annkathrin Schwarz DHBW Stuttgart Prof Dr Thomas Kessel KOS content Seite 507 Inhaltsverzeichnis Abkurzungsverzeichnts oooocccnnnnncncoccncnnncnnnnnnnnnnccnn cnn cnn cnc crecen cnn rra 111 AbbIIdungsverzelennis iii diia IV Tabellenverzelchnis 2 1 2 een IV A Einleltung DEE 1 2 Definition von Performance LasttestS uunnnnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 2 3 Toolauswahl und Kriterienerl uterung uuurnussssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 4 3 1 Toolauswahl inre aas a EEN 5 3 2 Kriterienerlauteruing EE 7 3 2 1 Beclenterkett 212 dinna enea ii A AA cd 8 3 2 2 Renee UE 8 3 2 3 lite NEI CEET 10 3 2 4 E Ne 12 4 PFOQUKIVOFSICINUN EA el nnna 13 4 1 Leien EE 13 4 1 1 VOraUsserz UNO tit 13 4 1 2 Bedienbarkel iia ro diaria 14 4 1 3 TECHNO Ena ii ee 15 4 1 4 F ktionalitat dr pisas 16 4 1 5 SOMSUUG ia eee tee 18 4 2 Je nett cence ini aid A beggen iii 20 4 2 1 Seele 20 4 2 2 A a E O thane Ense eects 20 4 2 3 e EE 21 4 2 4 SOMSUG OS iaa sine 22 4 2 5 The Grinder Architektur 23 4 3 PushtoTest TestMaker cece eeeeeaanaeceeeeseeeaaaeaeceeeeeseeeaaaeeeeeeese
15. Die Version TestMakerEnterprise kann innerhalb der ersten 15 Tage kostenlos genutzt werden und beinhaltet eine voll funktionsf hige Version des Programms sowie den vollen Service des Unternehmens Ab dem 15 Tag muss f r die Unternehmensversion eine Lizenzgeb hr an PushtoTest entrichtet werden Der Quellcode des TestMakers ist unter der General Public License v2 frei verf gbar Neben den beiden genannten vorkonfigurierten Versionen die nach dem Herunterladen direkt installiert werden k nnen k nnen die Nutzer des TestMakers mithilfe des Quellcodes ihr eigenes Programm kompilieren dass allerdings nicht durch PushtoTest unterst tzt wird Voraussetzung daf r sind laut Homepage des Herstellers Expertenkenntnisse in Java NetBeans XML Web Services und im Testen von Anwendungen 4 3 1 Voraussetzungen Der PushtoTest TestMaker ist javabasiert und ben tigt die Java Runtime Environment In der aktuellen Version 6 des TestMakers ben tigt man die Javaversion 1 6 Laut der Home page des Herstellers liefern die Installationsdateien alles mit was man zur Installation und zum Ausf hren des Programms ben tigt Zur Ausf hrung von verteilten Tests muss jedoch die Zusatzkomponente TestNode heruntergeladen werden die auf Servern und in virtuellen Maschinen installiert werden kann Des Weiteren empfiehlt es sich den PushtoTest TestMaker Monitor PTTMonitor herunterzuladen um die M glichkeiten des Monitorings der Vgl Schimrazki O
16. Diese besteht wie in Abbildung 1 dargestellt au er dem Platform Runtime genannten Kernel ausschlie lich aus Plugins Ein Plugin ist die kleinste Einheit der Plattform die eigenst ndig pro grammiert und ausgeliefert werden kann ECLIPSE PLATFORM NEW TOOL WORKBENCH HELP PLUG IN HE JFACE SWT NEW TOOL PLUG IN WORKSPACE TEAM NEW TOOL PLUG IN E PLATFORM RUNTIME Abbildung 1 Eclipse Plattform Architektur Die als Standard Widget Toolkit SWT und JFACE bezeichneten Komponenten sorgen fiir die grafische Darstellung der Entwicklungsumgebung wohingegen die Workbench die generelle Struktur der Software repr sentiert Der Workspace kennzeichnet die Sammlung der Projekte des jeweiligen Eclipse Nutzers Die ber Plugins realisierbaren Erweiterungen bieten zus tzlich zu den bereits aufgezeigten vor handenen generischen M glichkeiten die eigentlichen Funktionalit ten Somit kann Eclipse dazu genutzt werden Anwendungen zu designen mit Datenbanken zu interagieren Testmanagement zu betreiben sowie allgemein den gesamten Software Entwicklungsprozess zu unterst tzen Zudem kann die prim r als Java IDE genutzte Plattform zur Unterst tzung anderer Programmiersprachen erweitert werden Jedes Plugin besitzt eine manifest genannte Datei welche die Verbindung zu anderen Plugins beschreibt Hierdurch lassen sich beim Starten der Software durch die Platform Runtime die verf gbaren Erweiterungen einlesen und die In
17. In bestehende Umgebung 41 Ben tigt nur eine Standard XAMPP Umgebung und eine integrierbar 3 Datenbank mit beliebigem Namen Frequently occurring er Link im offline Readme ist tot der Link im Onlinereadme rors dokumentiert 1 zeigt auf den Bugtracker nicht besonders nutzerfreundlich Geschwindigkeit der In stallation und Anzahl der Auspacken aufrufen danach gibt es einen Medienbruch manuellen Schritte 2 da die Config Datei per Hand konfiguriert werden muss DB Tabellen werden Uber Klick in der GUI angelegt die Installationsinterface DB Konfiguration muss aber ohne GUI bzw mit externer GUI oder CLI 1 GUI gemacht werden Einfachheit der Installati Nicht besonders kompliziert die Fehlermeldungen bei DB on 2 Verbindungsschwierigkeiten sind aber extrem generisch Bis auf die Datenbank keine Konfiguration notwendig Klarheit der Konfiguration 3 Sehr bersichtliche und dokumentierte Konfigurationsdatei Bewertungssumme 15 Maximum 21 Erf llungsgrad 90 48 Usability 0 2 ISO 9241 10 Sehr hohes Lehrpotential Durch Schwierigkeitsgrade und umfangreicher Dokumentation sehr gute Aufgabenange Aufgabenangemessenheit 3 messenheit Selbstbeschreibungsfa Gut dank integrierten Verweisen auf Literatur und Doku higkeit 2 mentation der implementierten Sicherheitsl cken Der Nutzer wird sehr klar durch die Anwendung gef hrt Steuerbarkeit 3 eine Steuerung
18. Klinger J Schipfer G 2004 Lucca G Fasolino A 2006 Schimratzki O 2009 Stoll C Pommering T 2004 Weber S 2004 45 ISTQB 100 Success Secrets Emereo Publishing Entwurf und Implementierung eines Frameworks fur Profiling und Performancemessungen mit Hilfe von aspektorientierter Programmierung AOP Nurnberg Grin Verlag Evaluation of Load Stress tools for Web Appli cations testing Whitepaper May Rockville Hughes Systique Corporation Open Source Webshops IT Seminararbeit Graz Technische Universitat Testing Web based applications The state of the art and future trends in Computer Software and Applications Conference 29 Jg Nr 2 S 65 69 Leistungstests auf Basis von Open Source Werkzeugen f r das Content Repository Framework MyCore Jena Friedrich Schiller Universit t Evaluation von Lasttesttools und Performance Studie Seminararbeit The Success of Open Source USA Harvard University Press KOS content Seite 555 46 Verzeichnis der Internet und Intranetquellen Accenture 2008 Apache Software Foundation 2012 Aston P Fitzgerald C 2012 Benoit Delbosc 2011 Billens A 2007 Falk R u a 2009 Inventage AG 2012 Open Source and Commercial Performance Testing Tools http isqtinternational com Routhu 20Leelaram 20 amp 20Vinod 20Kumar 20Palla 20 20Accenture pdf Abruf 14 06 2012 Apache JMeter http JMeter apache o
19. Kriterium durch die Vergabe von Leistungspunkten Dabei ergibt ein Ja Sehr gut 2 Leistungspunkte eingeschr nkt mittelm ig 1 Leistungspunkte und Nein O Leistungs punkte Innerhalb der Oberkategorien sammlen die vier Anbieter Lasttesttools Leistungs punkte die jeweils zu einer Zwischensumme aufsummiert werden Diese Zwischensumme wird anschlie end mit dem festgelegten Gewichtungsfaktor f r die jeweilige Oberkategorie multipliziert Ein Beispiel Das Produkt JMeter erh lt in der Oberkategorie Bedienbarkeit bei allen Kriterien ein sehr gut und damit je 2 Leistungspunkte Da es innerhalb der Oberkate gorie vier Bewertungskriterien gibt kommt JMeter insgesamt auf 8 Leistungspunkte Diese Anzahl an Leistungspunkten wird mit dem Faktor 15 multipliziert da in der Vergleichsstudie davon ausgegangen wird dass der Aspekt der Bedienbarkeit mit 15 anteilig in die Gesamtbewertung einflie en soll Dadurch ergeben sich f r den JMeter in dieser Kategorie 120 Leistungspunkte die in die Gesamtbewertung einflie en Dasselbe Verfahren wird in den anderen drei Kategorien ebenso angewendet Die Gewichtung wird dabei in den drei Kategorien Bedienbarkeit Technologie und Sonstiges nur auf Ebene der Oberkategorie vor genommen und innerhalb dieser nicht weiter aufgeteilt Lediglich in der Kategorie Funktionalit t wurde ein abweichendes Verfahren angewandt In dieser Studie wird davon KOS content Seite 547 38 ausgegangen dass die Oberkategor
20. Mozilla Public License Open Source Software Requirement and Testing Hub System Under Test Visual Basic Virtual Network Connection KOS content Seite 386 List of Figures Figure 1 Popularity of Open Source Test Management Software ussersnsnesssnnnnnsnnnnnnnnennn 9 Figure 2 Magic Quadrant for Integrated Software Quality Suites ooooooonncicinncccnnnccccnnocnccncnnns 10 Figure 3 Query interface allows user to track results 12 Figure 4 Redmine Graphical User Interface for project tracking 2 224444 444er 13 Figure 5 RTH main EISE 22 eu RI DE sie 14 Figure 6 TestLink test specification and test report Imtertace nennen nnnnnnn nen 15 Figure 7 Graphical User Interface for Selenium IDEA 17 Figure 8 GUlo f T Plam ROD EE 19 Figure 9 Hello world example of web Test Automation in WatiN searching Google 19 Figure 10 Application Lifecycle Management oooooccccnncccccconcccnnoancnanancnnnannnnnnnnno nana ncn nano nnnannnccnnns 21 Figure 11 Logical test process of HP Quality Center 21 Figure 12 IBM Rational Quality Manager Test cases based on reouirements 22 Figure 13 IBM Rational Quality Manager Categories and attributes nn 23 Figure 14 Adaptation of Gartner s Magic Quadrant to OSS Test Management tools 35 Figure 15 Adaptation of Gartner s Magic Quadrant to OSS Test Automation tools 40 Figure 16 Requirement Mapping
21. Simple Mail Transfer Protocol Simple Object Access Protocol Secure Sockets Layer Transmission Control Protocol Transport Layer Security Uniform Resource Locator eXcel Sheet Extensible Markup Language XML Path Language KOS content Seite 509 Abbildungsverzeichnis Abb 1 Apache JMeter GU EEN 15 Abb 2 Graphische Auswertung Meter ENEE 17 Abb 3 JMeter Plug ins Composite Graph oooooocococcncnccocononcncncnnnoncnanannncnnnnnnnnnnnannnnnncncnnnnn 18 Abb 4 Visualisierung der Testergebnisse durch The Grinder occccnccnnncnnnnnnnnnnnnnnnnnns 22 Abb 5 The Grinder ATA EE 24 Abb 6 Datenaustauschmodell des PushToTest TestMaker eccceeeeeeeeeeeeeeeeeeenneeeeeeees 29 Tabellenverzeichnis Tabelle 1 bersicht ber die Versionen der evaluierten Tock 6 Tabelle 2 H ufig behandelte Tools in der Literatur ccccccccccceeeceeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeess 7 Tabelle 3 berblick ber die Kategorie Bedienbarkeit cccccccccceesecsecseesseeescseceeeenees 8 Tabelle 4 berblick ber die Kategorie Technologie ooooocnconcncccnccnocccononncononnnonnonnonncnos 10 Tabelle 5 berblick ber die Kategorie Funktionalit t ueeeeessessessesnennnnnnnnnenennnnnnnnnnnnnnn 11 Tabelle 6 berblick ber die Kategorie Sonstiges uueeesesseenennnnnnnnennennnnnnnenennennnnnnnnnnn 12 Tabelle 7 Bewertung des Apache JMeter anhand
22. Sybase Informix OpenESQL ODBC JDBC Sonstiges 5 Beratungsdienstleistungen Ja Eigene Dienstleistungen ber Partnerunterneh men Support Ja Hotline Self Service Gestaffelte Supportlevel Eclipse Version IDE basiert auf Eclipse 3 6 e COBOL und Java Integration Konversion simultane Nutzung e COBOL Projektunterst tzung spezielle Sichten in der IDE Erkennung von Dateitypen e Produktseite http bit ly M5yCac e Testversion des Produkts http bit ly P7eLNE Tabelle 2 Visual COBOL Features 40 Kontakt zum Hersteller http bit 1y awyOpa KOS content Seite 361 17 3 5 2 isCOBOL Wie Visual COBOL ist auch das durch den amerikanischen Hersteller Veryant vertriebene Produkt isCOBOL IDE kostenpflichtig Der Quellcode wird ebenfalls geschlossen gehalten Rund um die Anwendung werden durch Veryant weitere Entwicklungstools wie z B zur Anbindung von relationalen Datenbanken oder zum Betrieb von COBOL Anwendungen auf einem Java Application Server angeboten Grunds tzlich werden die IDE und der Compiler separat vertrie ben und lizensiert Veryant bietet mit seinen Produkten die Entwicklung in einem propriet ren COBOL Dialekt an der nur ber einen eigenen Compiler kompiliert werden kann Bez glich Bepreisung und Lizenzgestaltung existieren keine ffentlich einsehbaren Informationen Diese m ssen ber den Vertrieb von Veryant individuell angefragt werden Der Code Editor von isCOBOL bietet
23. detailliert erl utert werden Wie auch bei Mutillidae ist der Umfang an Tutorials Anlei tungen Hilfestellungen und Videos so gro dass es f r Unternehmen attraktiv ist E Learnings und Klassenraumschulungen parallel oder kombiniert im Rahmen eines Penetra tion Test Labors oder Workshops zu integrieren Insbesondere das erweiterbare Lesson System und eine gro e aktive Open Source Community machen diesen Honeypot im Rahmen dieser Arbeit zur besten Anwendung zur Schulung von Personen in Web Anwendungs Sicherheit 6 3 Ausblick Zahlreiche Themen bieten Potenzial zur Bearbeitung in weiteren Arbeiten und Forschungen So bietet sich als weiteres betriebswirtschaftliches Forschungsthema insbesondere eine Kostenge gen berstellung und kalkulation in Bezug auf Penetration Testing und Schulung der eigenen Mitarbeiter an Welche Kosten entstehen durch die Ein und Durchf hrung von auf Open Source Honeypot basierten Workshops Bietet es Vorteile oder Ersparnisse auf vorhandene externe An KOS content Seite 479 36 Deier zur ckzugreifen Sind Kalkulationen in Richtung der Unterlassung von solchen Schulun gen welche Verluste durch resultierende erfolgreiche Angriffe drohen m glich Auch ware eine weitere Arbeit in Hinblick auf die Umsetzung des Penetration Test Labors denkbar Empfehlen sich E Learnings als Selbstlernprozesse vielleicht sogar im Homeoffice der Mitarbeiter oder sind Klassenraumschulungen mit Tutor besser geeignet
24. ebenda S 8 KOS content Seite 524 Datei Bearbeiten Start Optionen Hilfe 15 amp Test Plan Eb Protessor HTTP Request H HTTP Cookie Manager Name Jemen ki view_forurn php e Download Web Server Login e ER Server Name oder IP tyranus dyndns org Forum A icmstiki torums php Port Number 80 AP icmsistylesimni css HTTP Request A icmstiotikis js A S temstikiview_forum php Protokol http Method GET POST gt pP j AM A Path icmsttiki view_forum php C Folge Redirects Y Benutze KeepAlive AP icmsistylesinni css ne Ke f P fomsfiki view_forum php Parameter die mit dem Request gesendet werden ke a doms stylesimni cssicmsiibttiki js js Name Wert Encodier Include E AP iomsistylesimni cssicmsiilotikijs js comments_offset 0 D e GEIER comments_threadid 0 m i CEA Logout comments_threshold 0 mj Wi tend comments_sort_mode commentDate_desc O pa E Graph Resuts forumld 7 O wi Gaussian Random Timer comments_postComment Eintrag J ei E student comments We Apache JMeter r lv MME HTTP Cookie Manager comment_topictype n O li o Login comments_data Ein Eintrag vom JMeter frown Random __Random 1000000 1000000000 Rand vi m 8 Druckansicht r Barum Hinzuf gen L schen Webmail WW 5 Kicks Sende eine Datei mit dem Request Logout Dateiname Datei ausw hlen E Graph
25. eine Schaltfl che mit Sicherheitsl cke XY beschriftet ist und auch dorthin navigiert 3 4 3 Steuerbarkeit Steuerbarkeit erlangt ein Programm wenn es vom Anwender ohne weiteres bedient werden kann um zum gew nschten Ziel zu gelangen Bei einem Honeypot wird dieses Kriterium positiv bewer tet wenn alle Funktionalit ten einfach ber die Benutzeroberfl che aufgerufen werden k nnen Ist beispielsweise eine bestimmte Seite auf der eine Sicherheitsl cke erkl rt wird nur durch eine ma 2 Vgl Hecktor R u a 2012 S 36 21 EUROP ISCHE NORM 1995 www interactive quality de site DE int paf ISO_9241 10 paf KOS content Seite 457 14 nuelle Browser Eingabe zu erreichen und nicht wie alle anderen ber ein Men ist die Steuerbar keit negativ zu bewerten 3 4 4 Erwartungskonformit t Erwartungskonformit t steht f r die Einhaltung von allgemeinen Standards so dass der Benutzer schon aus Erfahrungen mit anderen Programmen Kenntnisse anwenden kann Bei Honeypots ist damit insbesondere gemeint inwiefern die Simulation von Webseiten mit realistischen Uberein stimmen und inwiefern sich die Steuerung von anderen Webseiten unterscheidet Befindet sich beispielsweise das Men auf der rechten Seite ist das f r den Nutzer ungewohnt und demnach in Hinblick auf Realismus negativ zu bewerten Alternativ kann sich ein Honeypot auch von realisti schen Webseiten unterscheiden muss dann aber gem den Erwartungen des Benutzers
26. nkt Ja Bugreporting mit Priorit t Statusangabe Fehlertyp Gibt es einen ffentlichen Besitzer und Kommentar gut kommentiert und bersicht Bugtracker 3 lich http code google com p dvwa issues list Support bei Anwen dungsproblemen Nicht auffindbar ein Changelock ist vorhanden in dem Community Mitglieder verschiedene Anderungen bewerten und kommentieren kann als eine Art statisches Forum angesehen werden Gibt es ein Forum 0 http code google com p dvwa wiki CHANGELOG Gibt es einen Chat f r schnelle Hilfe 0 Nicht auffindbar Anpassung des Honey pots an neue Sicher heitsl cken Gibt es aktive Entwickler die neue Sicherheitsl Zwei Entwickler sind auf dem Bugtracker aktiv und reagie cken einbauen k nnen ren auf Anfragen Allerdings ist auf die Anfragen in den Wie aktiv ist die Commu letzten 4 Monaten Stand Juni 2012 keine Reaktion vor nity diesbez glich 2 handen Alternativ wie einfach ist Keine Erklarung f r die Erweiterung Quellcode ist aller es Sicherheitsl cken dings sehr modular und simpel aufgebaut Erweiterungen selbst einzubauen 1 sind also prinzipiell m glich Bewertungssumme 16 Maximum 30 Erf llungsgrad 53 33 Installation 0 15 Sehr einfache Installation auspacken im Browser aufru fen Es gibt auBerdem ein Anleitungsvideo http code google com p dvwa wiki README Installationsanleitung 3 http www youtube com watch v GzIj07jt8rM KOS content Seite 484
27. nnen sich je nach Variante und Turnus unterschiedlich gestalten wobei sich die nachfolgenden Preise jeweils auf eine Lizenz eines einzelnen Entwicklers beziehen F r die Nutzung der Cloudl sung fallen Geb hren in H he von XX am Tag XX im Monat oder XX im Jahr an F r eine eigene Installation auf einem Desktoparbeitsplatz werden XX im Monat oder XX im Jahr erhoben Dar ber hinaus gibt es weitere serverseitige Angebote welche der Herstellerwebseite entnommen werden k nnen 2 53 Vgl 2012b S 16 ff 54 Crook G 2012 55 Support bersicht auf der Herstellerseite http bit 1y PbcDWk 56 Weitere Informationen sind unter http bit ly Lmbryc zu finden KOS content Seite 369 25 Editorfunktionen Hersteller Heirloom Computing Softwaretyp Plugin IDE amp Clouddienst Quellcode Geschlossen Kosten Lizenzierung Systemanforderungen CPU o A RAM o A HDD o A Autovervollst ndigung Nein auf Roadmap Code Highlighting Ja Fehlererkennung Syntax Check Ja Unterst tzung von Gastsprachen Eingeschr nkt SQL Java amp HTML Beratungsdienstleistungen Debuging Grafisches Schritt f r Schritt Debuging Ja Remote Debugging Ja Anbindung von externen Systemen SSH Nein Datenbanken Nein Sonstiges ES Ja E Mail innerhalb 24 Stunden Support Ja Dokumente Foren amp Support Ticket Den Eclipse Version Ausschlie lich Englisch Ecli
28. w re diese Flexibilit t nicht gegeben da der Hersteller der Entwicklungsumgebung bindende Vorgaben ber die Eclipse Version machen k nnte Aufgrund von berlegungen des Risikomanagements ergibt sich aus den Aspekten der Zuverl s sigkeit und Nachhaltigkeit die Anforderung dass f r ein Plugin bzw eine IDE Beratungsdienst leistungen verf gbar sein m ssen Hierbei spielt es eine untergeordnete Rolle ob diese durch den Hersteller der Software oder ein externes Beratungsunternehmen angeboten werden Die gew nschten Leistungen betreffen u a Aspekte wie die Unterst tzung bei der Inbetriebnahme der Entwicklungsumgebung sowie der Implementierung von Individualisierungsma nahmen Zus tzlich ist explizit die Verf gbarkeit von Supportdienstleistungen z B bei unvorhergesehen Kompatiblit tsproblemen gefordert Im Bereich der IDE Funktionalit ten ergibt sich aus den Gegebenheiten der Versicherung dass spezielle Anforderungen hinsichtlich des Code Editors existieren Diese betreffen die Funktionen Autovervollst ndigung Code Highlighting und Fehlererkennung Unter Autovervollst ndigung versteht man die automatische Erg nzung von Programmier befehlen bzw das Vorschlagen von Befehlen die Teile des getippten Fragments beinhalten Code Highlighting bezeichnet die optische Hervorhebung von bestimmten Schl sselw rtern So werden beispielsweise Fallunterscheidungen wie etwa ifelse Anweisungen mit einer anderen 34 Vgl XXX U
29. welches nur f r eingeloggte Nutzer sichtbar ist get folder document Durchf hrung eines Logouts KOS content Seite 544 35 Das gesamte Testkonstrukt wird Uber den bootsrap Befehl zu einem startf higen Paket erstellt und im Folgenden dann wie das eigentliche Testfile gestartet S cd mytest python bootstrap py bin buildout S innen beneh Sic Myessic KOSS test Simjole Im Anschluss wird ein Report erstellt und in Form einer png Grafik ausgegeben ls INS var FunkLoad reports 2009 11 11 19 40 20 coste Silmsle20091 11 1119410210 var FunkLoad reports 2009 11 11 19 40 20 test Simp FunkLoad css index html Vgl Red Turtle 2012 index rst tests data KOS content Seite 545 AOS OA tests gpl OE CSSicS ojome 36 Vergleichskriterien FunkLoad 1 Bedienbarkeit Einfache Installation Intuitive Bedienbarkeit Graphische Oberfl che GUI Schnelle Einarbeitung 2 Technologie Zugrundeliegende Technologien Python pyUnit Scriptingsprache Python Plattformunabhangigkeit x Betriebsysteme Windows Y Linux Y Unix Y Testbare Protokolle Parallele Nutzerverwaltung Multithreading Verteilte Anwendung 3 Funktionalit t Testbare Funktionalit ten AAARNNRAA Webservices XML Webanwendung Datenbanken Middleware Testfallgenerierung amp Scenariounterst tzung Manuelle Testfallgenerierung Recording von Tes
30. Abruf 20 06 2012 User Manual http jakarta apache org JMeter usermanual index html Abruf 15 06 2012 Lasttest Computer http de wikipedia org wiki Lasttest_ Computer Abruf 16 06 2012 Stress testing http en wikipedia org wiki Stress_testing Abruf 16 06 2012 KOS content Seite 557
31. Editor Das Debugging von COBOL Anwendungen wird durch die Anbindung entsprechender Schnitt stellen der Ausf hrungsumgebung erm glicht Hierbei verwendet cobolclipse die Standardfeatures von Eclipse und stellt keine eigenen zus tzlichen Funktionalit ten zur bereit Eine Anbindung von externen Systemen per SSH wird nicht unterstiitzt jedoch existiert eine 3270 Terminal Schnittstelle Hieriiber ist die Anzeige des Dateisystems des entfernten Systems in einem Dateiexplorer m glich F r die Anbindung von Datenbanksystemen existieren keine speziellen Funktionalit ten Uber den Verkauf des Produktes hinaus bietet innoWake eine Reihe von eigenen Dienstleistungen an Dazu z hlen z B Workshops zur Vorstellung von cobolclipse und Anwenderschulungen Da neben existieren Beratungsdienstleistungen zur Installation und Inbetriebnahme der Anwendung Im Bereich von Support unterst tzt innoWake seine Kunden durch das Angebot von individuell gestaltbaren Wartungsvertr gen Neben einer Telefonhotline Self Help Services Fehlerdatenbank Handb cher etc existiert eine Webanwendung ber die der Kunde Hilfeanfragen bei innoWake platzieren kann KOS content Seite 366 22 Hersteller innoWake Softwaretyp Plugin amp IDE Quellcode Geschlossen Kosten Lizenzierung Systemanforderungen CPU o A RAM o A HDD o A Editorfunktionen Autovervollst ndigung Ja Code Highlighting Ja Fehlererkennung Syntax Check Ja
32. Erfahrungen und gute Kenntnisse im Bereich Phytonprogrammierung besitzen und sich mit dem zu testenden System sehr genau auseinandergesetzt haben finden mit dem FunkLoad ein sehr flexibles performancestarkes und ressourcenschonendes Lasttesttool F r Anwender ohne Er fahrungen mit der Konsole ist das Tool jedoch nur schwer nutzbar Der PushToTest TestMaker kann durch seinen Funktionsumfang sowie unterschiedliche Skriptingsprachen und die unterst tzten Protokollen berzeugen Allgemein gefasst schneidet er gleich gut wie der Grinder ab bietet jedoch umfassende Supportm glichkeiten da er von dem Unternehmen PushToTest weiterentwickelt und unterst tzt wird Diese Serviceleistungen lassen sich extern einkaufen und garantieren somit die reibungslose Implementierung und den Betrieb der Software Jedoch ist festzuhalten dass im Falle einer eigenst ndigen Kompilierung der Software ein erh hter Aufwand und Expertenkenntnisse erforderlich sind Eigens kompilierte Versionen werden nicht durch PushToTest unterst tzt F r den Support stehen lediglich die Open Source Community und eine umfangreiche Dokumentation zur Verf gung The Grinder landete bei unserem Test auf dem dfritten Platz Seine durchweg positiven Er gebnisse in allen Kategorien f hrten zu diesem Ergebnis Genauso wie der JMeter lassen sich mit ihm viele Funktionen eines Systems testen Er ist einfach zu installieren unterst tzt jedoch den Benutzer bei der Testfallgenerierung nich
33. Ge UB amp IGYGR1216 A RECORDING MODE of F was assumed for fle FSCLI CHACLLenb ik etme nce re 43 _ Complain m RECETTE 16YPS2023 Paragraph s prior to section CONTROLES were not contained in a section CHACLI cob rdzutmetiiware local ine 103 Compilation gt SPFCOBOS gt SPFLOGT Abbildung 14 Cobos 3270 Emulator mit entferntem Dateisystem Eine grofe Starke von Cobos liegt in der Integration vieler fiir die Entwicklung von COBOL notwendiger Tools So ist es mit Cobos ab der Professional Edition m glich im Dateisystem des Gro rechners welcher mit z OS betrieben wird zu navigieren und Dateien anzulegen und zu bearbeiten Hierf r kommt ein Tool namens z Navigator zum Einsatz welches wiederum vom jeweilig eingesetzten Host Integration Modul abh ngt Zudem k nnen ebenfalls ab der Professional Edition sehr einfach Befehle an den Host ber ein zus tzliches Plugin gesendet werden Konkret bedeutet dies dass der Entwickler in die Lage versetzt wird REXX und Shell Skripte auf dem Gro rechner direkt aus Eclipse heraus zu starten F r weitere administrative Zwecke auf dem Mainframe bietet Cobos letztlich auch einen integrierten 3270 Terminal Emulator Abbildung 14 mit dem diverse Operationen direkt aus Eclipse auf dem Mainframe durchgef hrt werden k nnen Dieser Emulator basiert auf dem Plugin je3270 Auch hinsichtlich Versionsverwal tung von Quellcode ist eine volle Integration mit bekannten T
34. Gibt es eine Anleitung die die ersten Schritte auf zeigt Ein Youtube Video ist auf der Homepage vorhanden http www youtube com watch feature player_embedded amp V Q3p_joL7X8E Erwahnt die Dokumenta tion alle vorhandenen Sicherheitsl cken ausrei chend Der jeweilige Ort f r jede L cke wird erw hnt aber nur eine Sicherheitsl cke wird exemplarisch erkl rt Gibt es eine Anleitung die in die Weboberfl che integriert ist Verweise auf Erkl rungen der jeweiligen Sicherheitsl cken und Quellcodeansicht sind in die Oberfl che eingebaut KOS content Seite 483 Wie gut ist der Quellcode 40 Die letzten allgemeinen Anderungen die gemacht und do kumentiert wurden sind vom 14 Oktober 2011 l ngere Zeit wurde nichts an dem Code geandert http code google com feeds p dvwa svnchanges basic vereinzelte Anderungen die sich auf Grund von Fehlern ergeben haben sind aktueller letzte Anderung 19 Marz 2012 dokumentiert 2 http code google com feeds p dvwa issueupdates basic Fehlerbehebung Zwei Personen werden genannten die beide als Owner Gibt es aktive Entwickler eingetragen sind die Fehler beheben k n http code google com p dvwa people list dar ber hin nen Wie aktiv ist die aus ist DVWA ein Projekt das von dem Unternehmen Ran Community diesbez g dom Storm betreut wird die Aktivitat ist allerdings be lich 2 schr
35. Home deg in Sign up Account created H Gruyere Profile C e google gruyere appspot com 854267 3701 39 manage gtl Ao Y A Home My Snippets New Snippet Upload evil lt evil gt Manage this server Profile Sign out Gruyere Manage the server Edit a user s profile Edit Reset the server Quit the server Abb 7 Illustration einer Sicherheitsl cke vom Typ Mangelhafter URL Zugriffsschutz in Gruyere Die Betreuung des Projektes ist nicht offiziell beendet worden es ist allerdings nicht erkennbar dass das Projekt noch weiterentwickelt wird so gibt es weder neue Versionen noch ein Blog das ber m gliche nderungen berichtet Seit der Ver ffentlichung im Juni 2010 hat sich allerdings auch kein dringender nderungsbedarf ergeben F r Probleme ist ein Diskussionsforum zwar vor handen aber so gut wie nie genutzt worden was sich allerdings durch die ausf hrliche Dokumen tation erkl ren l sst Das Einbauen oder Schlie en von Sicherheitsl cken ist f r versierte Nutzer Schritt 1 Erstellung eines neuen Nutzers mit manipulierter URL Schritt 2 Der neu erstellte Nutzer hat nun die Administratorrechte und kann z B den Server stoppen Die Hinleitung zum Ausnutzen dieser L cke l sst sich unter http google gruyere appspot com part3 3 elevation of privilege begutachten KOS content Seite 468 25 sicherlich m glich und wird durch ausf hrliche Komment
36. KOS content Seite 455 12 Existiert eine ausreichende Anleitung f r die Installation und Konfiguration des Honey pots Diese kann von einem einfachen Text bis zu einer Schritt f r Schritt Bildschirmfoto Anleitung reichen Auch ist bei der Anleitungsevaluierung die Aktualit t der Ressourcen zu ber cksichtigen Zu beachten ist auBerdem ob es zus tzliche externe Quellen wie Foren Wiki oder Blogs gibt die den Installationsprozess beschreiben oder Hilfestellung geben Ist der Honeypot ohne weiteres in bestehende Strukturen zu integrieren oder setzt er be stimmte Betriebssysteme oder Programme voraus auf denen er aufsetzt Da diese Sys temvoraussetzungen kommerzieller Art sein k nnen z B Windows f r eine NET Umge bung sind diese Installationsvoraussetzungen im Vorhinein zu evaluieren AuBerdem sind die Systemanforderungen des Honeypots etwa in Bezug auf Hard und Software zu evalu ieren Existieren frequently occurring errors also h ufig auftretende Fehler w hrend des Instal lationsprozesses welche von Benutzern gemeldet wurden Auch k nnen unbekannte Feh ler bei einer Probeinstallation und konfiguration in die Bewertung miteinflieBen Beispiel hierf r k nnte die Abh ngigkeit von bestimmten Bibliotheken sein welche nicht ausrei chend dokumentiert ist und umst ndlich manuell nachgetragen werden muss Schlimms tenfalls kann dies sogar die Installation des Honeypots komplett verhindern und somit ein weiter
37. KOS content Seite 527 18 Composite Graph Name Composite Graph Comments i Chart Graphs amp Settings Available Sources Composed Graph SCHAACK Ge a Composite Graph Successful Transactions per Second Search failure Search success Logout failure Logout success d 9 12 Transaction Throughput Over Time b 19 e Transactions per Second Successful Transactions per Second Failed Transactions per Second 9 ei Response Times Over Time Overall Response Times Login A Y es Active Threads Over Time Search 4 Overall Active Threads Logout Ki 9 La Bytes Throughput Over Time Bytes Received per Second L Hits per Second gt Server Hits per Second e Il Preview Mactve Threads Over Time gt Overall Active Threads x10 Response Times Over Time gt Overall Response Times Mrransactions per Second gt Failed Transactions per Second Hitransactions per Second gt Successful Transactions per Second x10 Abb 3 JMeter Plug ins Composite Graph 4 1 5 Sonstiges Als Support werden lediglich Mailinglisten angeboten Da jedoch die Entwickler der An wendung selbst aktiv auf Fragen per Mail reagieren ist anzunehmen dass Support schnell und einfach zur Verf gung steht Durch eine umfangreiche Dokumentation welche in Englisch zur Verf gung steht k nnen schnell kleinere Probleme gel st und verschiedene Fragen beantwortet werden
38. KOS content Seite 541 32 4 4 FunkLoad FunkLoad ist ein auf PyUnit basierendes Performance Framework welches sich vorrangig dazu eignet funktionale regressions und Lasttests von Web Projekten durchzuf hren FunkLoad erm glicht es Benutzern Performancetests von Web Anwendungen durchzu f hren um detaillierte Lastauswertungen durchzuf hren und Kapazit tsengp sse zu identi fizieren Dar berhinaus k nnen Anwender Testablaufe erstellen um sich wiederholende Anwendungsschritte permanent durchf hren zu lassen Die Implementierung in Python Skript basiert auf dem pyUnit Framework Sie erm glicht es komplexe Szenarien in bestehenden Anwendungen zu simulieren Dies ist vergleichbar zu herk mmlichen Test Umgebungen FunkLoad ist eine freie Software welche unter der GNU GPL General Public License erh ltlich ist Die Inhalte des Programms k nnen gem der Bedingungen der GPL frei weiterverteilt und abge ndert werden Dieses Tool steht grunds tzlich f r s mtliche g ngigen Betriebssysteme zur Verf gung MS Windows MacOS Linux Einige Funktionalit ten wie beispielsweise der Monitoring Server oder der Credential Server k nnen lediglich unter Linux in vollem Umfang genutzt werden Der Aufbau von FunkLoad spezifischen Tests setzt sich aus einem herk mmlichen Unittest Skript und einer Konfigurationsdatei zusammen FunkLoad Test Unit emuliert einen voll funktionsf higen Webbrowser der s mtliche Leistungsaspe
39. O Skript Sprache Skript Sprache Sprachen EN unterst tzende Protokolle FP liavabasierend Proto kote LE A Systemvoraussezugen 1 plattformaunabh ngig A EEE A EEE EEES EA paralelle Nutzerzahl Skalierbarkeit Nutzerzahlen A Multithreading parallel Nutzerzahlen AA A AAA A A A e TT 7 verteilte Anwendung verteilte Testfall unterst tzung lverteilteAusf hrung Szenario Unterst tzung oo Komplexit t der Testszenarien CO OOOO estskript Erzeugung A A EENS Testskript Erzeugung Skript Erstellung Rekorden von Testszenarien AS N manuelles skripten E lonitoring der Clinte und server Monitorng von Client und Server Ee EI E oO gt Ic D un A o lO w L e LO et 3 e 5 a H 3 S o ba Echtzeit Monitoring ee ey Parametriesieung__ gt _______________ OOOO 6 Reports und Analyse Analyse M glichkeiten auswertungsarten EE x__ o Qu Ss Visualiesierung von Testergebnissen graphische Auswertung a SE EE ESET ee Support und Gonsuting po Jaktive Weiterentwicklung Tabelle 14 Bewertungskriterien f r Lasttesttools aus unterschiedlichen Quellen gt a lt H 8 ch a 5 8 Mit nderungen bernommen aus Stolze J 2008 Hughes Systique 2008 S 5 f Accenture 2008 S 10 f Schimrazki O 2009 S 27 KOS content Seite 554 Quellenverzeichnisse Literaturverzeichnis Bradtke R 2008 Dempfle M 2007 Hughes Systique 2008
40. Oder empfehlen sich Blended Learning Techniken also eine Kombination aus Arbeit in der Gruppe im Klassenraum und Hausaufgaben alleine oder von Zuhause aus Sind andere Techniken ebenfalls denkbar und gut wie etwa die Erstellung einer virtuellen Klassenraumschulung oder der einfachen Lekt re von Lite ratur zum Thema Sicherheitsl cken Auch die andere Seite im Hacking Prozess kann in weiteren Arbeiten beleuchtet werden So fo kussiert diese Arbeit ausschlie lich die Seite des Opfers also der Anwendung die eine l cken hafte Sicherheit aufweist und infolge dessen attackiert wird Interessant ist jedoch auch die Seite des Angreifers Wie k nnen L cken erkannt werden Welche Software kann f r Angriffe genutzt werden und unter welchen Umst nden ist sie zu empfehlen Welche Erkenntnisse resultieren dar aus f r das Opfer Wie kann sich ein Unternehmen das Wissen um Angriffstechniken zu Nutze machen und dagegen agieren Im Rahmen von Forschungen in diesem Themenbereich k nnen sowohl Open Source z B Backtrack als auch kommerzielle L sungen beleuchtet werden z B HP WebInspect oder IBM Rational AppScan 6 4 Fazit IT Sicherheit ist mit der steigenden Verschiebung von Diensten und Informationen mehr denn je ein sehr wichtiges Thema Vor allem Unternehmen m ssen dem Anspruch einer sicheren Applika tion insbesondere im Web Umfeld gerecht werden Um dies zu erm glichen k nnen Schulungen in Testumgebungen stattfinden die m gliche S
41. Plugins stellt die Eclipse Plattform eine in vielen Unternehmen nicht nur zur Entwicklung von Java basierten Applikationen genutzte L sung dar 26 Vgl 2004 S 379 27 Vel 2004 S 153 ff KOS content Seite 351 3 Untersuchung 3 1 Vorgehensweise Dieses Kapitel dient dazu die methodische Vorgehensweise dieser Ausarbeitung darzustellen Aus zeitlogischer Sicht folgt sie dem in nachfolgender Abbildung dargestellten Ablauf Erfassung IST Situation Erfassung SOLL Situation Ableitung der Anforderungen Evaluation der L sungen Empfehlung Kritische Reflexion amp Ausblick Abbildung 2 Methodisches Vorgehen Im ersten Schritt wird eine Interviewrunde mit Experten aus den IT Fachabteilungen der Versicherung gef hrt 8 Ziel dieser Gespr che ist es zu erfassen und zu dokumentieren wie die Software und insbesondere die COBOL Entwicklung in der Versicherung zum Zeitpunkt der Entstehung dieser Fallstudie ausgestaltet ist Dabei werden die unterschiedlichen Aufgabengebiete der Software Entwicklung im Unternehmen vorgestellt Es wird in diesem Zusammenhang auch erl utert welche Programmiersprachen f r welche Aufgaben zum Einsatz kommen Hinsichtlich COBOL erfolgt eine Detaildarstellung der eingesetzten Werkzeuge sowie der Schnittstellen und Abh ngigkeiten zwischen diesen In diesem Kontext werden dann auch Optimierungspotenziale aufgezeigt die sich in der COBOL Entwicklung identifizieren lassen Im Rahmen der I
42. PushToTest den kommerziellen Nutzern des TestMaker ein umfangreiches Service Angebot gegen eine entsprechende Be zahlung 1 Vgl PushtoTest 2012 KOS content Seite 540 31 Vergleichskriterien TestMaker 1 Bedienbarkeit Einfache Installation Y Intuitive Bedienbarkeit Graphische Oberfl che GUI Y Schnelle Einarbeitung Y 2 Technologie Zugrundeliegende Technologien Java Java Jython Python Ruby Groovy und Scriptingsprache JavaScript Plattformunabh ngigkeit Y Betriebsysteme Windows Y Linux Y Unix Y Testbare Protokolle HTTP Y HTTPS S POP3 S JDBC Xx FTP Ajax Y SSL S Parallele Nutzerverwaltung Multithreadin Y Verteilte Anwendung Y 3 Funktionalit t Testbare Funktionalit ten Webservices XML SY Webanwendung Y Datenbanken x Middleware Testfallgenerierung amp Scenariounterst tzung Manuelle Testfallgenerierung Y Recording von Testf llen Y Integrierte Testfallgenerierung Y Client seitiges Testing Y Server seitiges Testing Y Parametrisierung Y Komplexit t der Szenarien Y Auswertung amp Genauigkeit der Testergebnisse Graphische Ausgabe der Testergebnisse Y Speicherung in Log Files S Exportierbarkeit in Spreadsheettools Y Format der Auswertung xls 4 Sonstiges Support Y Dokumentation S Weiterentwicklung Y Externer Support Y Aktuellste Version Version 6 5 Juni 2012 Community SQAForums com Tabelle 10 Bewertung des TestMaker anhand der Vergleichskriterien
43. Results E U Gaussian Random Timer AE E Assertion Resuts MIME Type E Simple Data Writer E View Results Tree E GraphFul Results FE Graph Results El Aggregate Report E Spline Visualizer Q E WorkBench DN HTTP Proxy Server Optional Tasks C Hole alle Bilder und Java Applets nur HTML Dateien Abb 1 Apache JMeter GUI 4 1 3 Technologie Mithilfe des JMeters k nnen sowohl Java als auch reine HTML Seiten getestet werden Da es sich wie bereits zu Beginn beschrieben um eine auf Java basierende Anwendung handelt ist der JMeter auf allen Systemen einsetzbar die eine JVM Java Virtual Machine implementiert haben JMeter ist in der Lage Java APIs zu verwenden Dadurch kann er folg lich HTTP HTTPS Simple Object Access Protocol SOAP FTP JAVA LDAP Java Message Service JMS POP3 JUnit und Datenbankzugriffe per JDBC zur Lastgenerierung verwenden Was JMeter allerdings nicht leisten kann ist der Umgang mit JavaScript und damit s mtlicher AJAX Umgebungen 2 Enthalten in Stoll C Pommerening T 2004 S 10 Vgl JMeter Wiki 2011 31 Vgl Schimratzki O 2009 S 24 KOS content Seite 525 16 4 1 4 Funktionalit t Die Aufzeichnung der Interaktion auf Webseiten erfolgt Uber einen Proxy Server Diese Auf zeichnung wird anschlieBend als Baumstruktur angezeigt Als Skriptsprache dient XML wodurch Skripte auch manuell angepasst werden k nnen Jedoch sind keine XML Kennt niss
44. Seite 364 20 3 5 3 maxenso cobolclipse Das unter dem Namen maxenso cobolclipse von Innowake vertriebene COBOL Enwicklungstool ist als reines Plugins sowie in einer eigenst ndigen speziell zugeschnittenen Eclipse Version zu er halten Aus funktionaler Sicht existiert zwischen diesen Versionen kein Unterschied Das Bundle ist lediglich eine optisch angepasste Eclipse Version Cobolclipse wird ohne eigenen Compiler ausgeliefert Es bedient sich stets des in der Einsatzumgebung vorhanden Compilers Innowake vertreibt das Werkzeug als kommerzielles Produkt dessen Quellcode geschlossen gehalten wird Die Preis und Lizenzgestaltung erfolgt in individueller Absprache Pauschale Informationen konnten nicht gewonnen werden Cobolclipse verf gt ber einen Code Editor mit bezogen auf diese Testreihe weitreichender Funktionalit t Diese zeichnet sich besonders durch die Analysem glichkeit von referenziellen Abh ngigkeiten zwischen den Dateien einer COBOL Anwendung aus Beispielsweise existiert ber die Object Dependencies View die M glichkeit Abh ngigkeitshierarchien in einer Baumstruktur darzustellen Hierbei ist die Analyse aus zwei Richtungen m glich Anzeige der von einem Programm verwendeten Module sowie die Anzeige der Programme die ein spezielles Modul verwenden Ferner bietet der Editor eine Hyperlinking genannte Funktionalit t an Wie bei der Java Entwicklung in Eclipse m glich kann durch eine spezielle Steue
45. Syntax Check Fehlererkennung nach Kompilierung auf dem Gro rechner unter Verwendung des produktiv eingesetzten Compilers e Zus tzlich findet die bersetzung von Gastsprachen wie z B Structured Query Language SQL oder CICS durch hostseitige Pre Prozessoren e Abschlie end ist die M glichkeit gegeben die entfernte Anwendung unter Zuhilfenahme weit verbreiteter Eclipse Werkzeuge zu debuggen Der zur Verf gung gestellte Editor bietet neben dem gewohnten Code Highlighting auch M glich keiten zur Auto Vervollst ndigung Hinsichtlich Syntax Check wurden bereits die M glichkeiten des Echtzeit Syntax Checks des Syntax Checks mit vorhergehender lokaler und entfernter Kom pilierung angesprochen Diese wesentlichen Merkmale sowie die generelle Darstellung des Editors k nnen den Abbildungen 15 und 16 entnommen werden An Eclipse Funktionalit ten angelehnt kann sowohl ein grafisches Schritt f r Schritt Debugging auch unter Verwendung von Breakpoints als auch das entfernte Debugging erfolgen 63 XXX D 2012 KOS content Seite 374 30 b100 add in customer MOVE MAINZELMANN to cus Set current ptr To d Gcust info Set previous ptr To ts cust info IN cust records 05 cust info Set Address Of custd cust info IN customer description 15 cust name Pic x 20 Set Address Of custd E cust in customer input c input ts cust info IN customer sorted record cust name e cust name IN cust info cust next ptr
46. TinyCobol Um der Nachfrage f r die Nutzung moderner Software Entwicklung gerecht zu werden bieten unterschiedliche Hersteller integrierte Entwicklungsumgebungen f r die Programmierung in COBOL an Es existieren Produkte kommerzieller Hersteller z B Micro Focus und IBM aber auch Open Source L sungen Popul r ist die Verwendung der Open Source IDE Eclipse mit Hilfe erg nzender Plugins wie Visual COBOL isCOBOL cobolclipse Elastic COBOL oder Cobos 2 3 Einf hrung Eclipse Die Eclipse Plattform ist eine quelloffene Entwicklungsumgebung die prim r zum Program mieren von Software eingesetzt wird und in Version 1 0 Ende 2001 ver ffentlicht wurde JH Zum Zeitpunkt dieser Arbeit ist der aktuelle Entwicklungsstand in Version 4 2 Versionsname Juno 12 Vgl 2000 S 3 f 13 Vgl ISO TBD 14 Vgl 2012a 15 Vgl 2000 S 2 f 16 www opencobol org IE www tiny cobol sourceforge net 18 uww eclipse org 19 Vgl 2004 S 1 KOS content Seite 349 enthalten 0 Solche IDE genannten L sungen unterst tzen die Integration und Verkn pfung diverser Programmiersprachen Diese gestaltet sich aufgrund der durch die Entwicklung moderner Applikationen entstehenden Komplexit t zunehmend schwieriger Durch die Nutzung von IDEs wird Interoperabilit t von vordergr ndig voneinander unabh ngigen Tools gef rdert Die Eclipse Plattform als eine der popul rsten IDEs besitzt eine modular aufgebaute Architektur
47. Unternehmen partizipieren so an den Ergeb nissen des Projekts Zusammenarbeit mit den Dualen Partnern DHBW Stuttgart Duale Partner Die Zusammenarbeit mit den Dualen Partnern gestal gt ich entlang deren Anforderungen und Bed rfnis 7 bringt wissenschaftliche en tet EN a 8 3 8 RE didaktische und Kompetenzzentrum Finanzierung sen Sie sind die Themengeber f r betriebliche Frage methodische Expertise ein Open Source stellungen die im Rahmen des Projekts untersucht Forschungskompetenz KOS S generische L sung mit werden Die DHBW steuert die wissenschaftliche di menear E A E daktische und methodische Expertise und Forschungs Bereicherung der Lehre npassungsoption Schulungs und Beratungsleistungen kompetenz bei und untersucht die identifizierten The Theorie Praxis Transfer menfelder Im Rahmen des Projektes steuert die DHBW Stuttgart die wissenschaftliche Expertise und Forschungskompetenz bei zur Bearbeitung der betrieblichen Fragestellungen der Dualen Partner Es entstehen generische L sungen welche von den Partnern an Ihre Situation angepasst werden kann Im Rahmen der Arbeit entstehen generische L sungen an denen die Partner teilhaben k nnen indem sie diese auf ihre spezifische Unternehmenssituation anpassen Zudem flie en die Ergebnisse in die Arbeit der DHBW ein sodass hier dem Anspruch an eine hohe Anwendungs und Transferorientierung ganz im Sinne einer kooperativen Forschung Rechn
48. Zugang zu einem System verschafft und dieses steuert Ziel ist Wilhelm T 2010 S 166 KOS content Seite 448 5 es mit Hilfe von Penetrationtests Schwachstellen im System zu identifizieren und die Sicherheit der Systeme zu erh hen Weiterhin erfolgt die Unterscheidung zwischen zwei Typen von Penetrationtests White Box Test und Black Box Test Bei einem White Box Test verf gt der Tester ber das Wissen und die Infor mationen Uber das System wie z B die IP Adresse Open Source Software oder Quellcode wel ches getestet werden soll Basierend auf der Definition kann bei einem White Box Test davon aus gegangen werden dass der Tester einen internen Angreifer simuliert Bei einem Black Box Test wird hingegen ein externer Angreifer simuliert welcher keinerlei Infor mationen ber das Zielsystem bzw netzwerk hat Der Penetration Tester welcher zugleich den externen Angreifer darstellt muss sich alle notwendigen Informationen besorgen um den Test durchf hren zu k nnen Penetrationtesting wird in vier Phasen durchgef hrt wie die nachfolgende Abbildung 2 zeigt Additional discovery Planning Discovery SR Scanning amp Vulnerabili dat Privilege sii ane See Escalation Reporting Abb 2 Ablauf eines Penetration Tests 1 Planning In der ersten Phase erfolgt die Zielsetzung und Planung in welcher vor allem der Umfang des Tests bestimmt wird Zus tzlich m ssen verschiedene Vereinbarungen
49. a general bug tracking system with to a strong community The continuous improvement is strong ly driven by anonymous sponsoring and donations of Mozilla Furthermore it is known for its light weighted implementation leading to increased speed and efficiency Thus several bug system projects can be tracked simultaneously to define progress used for project s compari son The status can be viewed by sending pre defined queries to a data base as depicted in Figure 3 Selected criteria will be modified for receiving a customized view Bugzilla 201 2a Bugzilla 201 2a KOS content Seite 399 12 Query http bugrilla redhat com bugzilla old query cg rememberjs 1 format VERIFIED high ASSIGNED DEFERRED low REOPENED WORKSFORME contract RESOLVED CURRENTRELEASE CLOSED RAWHIDE spare Figure 3 Query interface allows user to track results In addition Bugzilla can be extended by Testopia which is designed to organize and track test cases As a result the implementation supports Bugzilla from a project management perspec tive as it offers detailed bug reporting and documentation which can be used for further test cases In summary Bugzilla Testopia offers great functionalities to ensure quality and maintain effec tiveness and efficiency of software Further tool specifications can be easily implemented by focusing on a lightweight system On the one hand redundancy within the database
50. alle untersuchten Unterst tzungsfunktionen f r COBOL Quellcode an Wie in Abbildung 7 zu sehen ist z hlt dazu u a ein individuell konfigurierbares Syntax Highlighting Es besteht die M glichkeit die Farbdarstellung von Schl sselw rtern beliebig zu konfigurieren ber ein Kontextmen assistiert der Editor mit der Vervollst ndigung der Syntax bzw der Nutzung von Code Templates ber Schl sselw rter Beispielsweise kann ber die Wahl des Schl sselwortes move in der Autovervollst ndigung die Generierung der Zeile move varname to varname bewirkt werden Fehlerhafte Syntax wird vom Editor erkannt und farblich markiert Ferner werden Syntaxfehler im Eclipse Problem View aufgelistet EI MENU 3 77 hwin handle of window m PROCEDURE DIVISION MAIN LOGIC e opn input f a display standard graphical window Er background lo title MAIN MENU Si call w menu using wmenu new giving menu handle call w menu using wmenu new giving sub handle 1 Y CONFIGURATION SECTION REPOSITORY CLASS JString AS java lang String WORKING STORAGE SECTION 77 str object reference JString PROCEDURE DIVISION MAIN m set str to JString gt goback CASE_INSENSITIVE_ORDER java util Compare A A amp copyVahueOK char int int java lang String 4 Comparator that orders seeing objects as by copy Yahue0t dal java lang String javasl Ze This comparator is format java lang String java lang Objeet gt
51. and also be imported by using an xls template while Redmine enables test requirement management only by additional tool implementations and is accordingly scored the lowest TestLink and Bugzilla Testopia support the import and export of Test Cases to and from XML file formats contrary to Redmine and RTH Moreover TestLink contains also configuration pa rameter allowing editing and adapting of the executed test cases For this reason it is ranked best in terms of designing test cases Regarding the tracking of software problems Bugzilla and TestLink are the leading ones due to the fact that Bugzilla represents a bug tracking system itself containing all features required for defect or bug tracking Within TestLink defect man agement can be extended by integrating leading bug tracking systems such as Mantis or even Bugzilla which is for the main part a bug tracking system RTH and Redmine only record and document occurred problems User right administration is realized via authentication support internal or external LDAP with user self registration support which allows flexible role based access control when using TestLink Various built in permission levels assign the access privi leges to different user groups Bugzilla Testopia defines default users to whom individual privi leges can be assigned RTH only supports user groups with defined user rights which cannot be modified Consequently it received a lower score All of the evaluated t
52. as just a mere change of desk top background color may result in an image search failure The following illustration shows the graphical user interface of T Plan Robot 49 Cf T Plan Cf T Plan 51 Cf T Plan 52 Cf T Plan 2012b 2012c 2012a 2012d nn nn So a KOS content Seite 406 19 Figure 8 GUI of T Plan Robot WatiN WatiN provides an easy way to automate Web Application Testing in Nei Inspired by Watir WatiN has grown into stable framework offering many features as well as automation of Internet Explorer and Firefox The tool puts emphasis on simplicity flexibility and maintenance when writing test cases It is able to do basic capture replay functions and also checks the expected results on a page It supports web applications that are developed in any language and a wide range of browsers but it is very limited in terms of platform independency as it is very dependent on Microsoft Windows and Net The community has grown significantly and offers an FAQ site and a wiki but no commercial support is yet offered as the developer himself is the counterpart regarding questions Test Public void SearchForWatiNOnGoogle using var browser new IE http www google com 1 browser TextField Find ByName q TypeText WatiN browser Button Find ByName btnG Click Assert IsTrue browser ContainsText WatiN Figure 9 Hello world example of web Test Auto
53. auch die Verf gbarkeit von Experten zu nennen Die Mitarbeiter der Versicherung standen neben ihren Aufgaben im Tages gesch ft f r Expertengespr che zur Verf gung Die Anforderungen des Tagesgesch fts genossen dabei naturgem eine bergeordnete Priorit t Auch aus dieser Ressourcenknappheit ergab sich die Notwendigkeit die Auswahl zu evaluierender Plugins stark einzugrenzen Die vorgestellte Analyse kann daher keinesfalls als vollst ndige Markt bersicht aufgefasst werden Dennoch liefert sie eine praxisrelevante Betrachtung prominenter L sungen und m glicher Kriterien diese zu bewerten Auf Grund der genannten Limitationen sollte diese Fallstudie als Vorstudie aufgefasst werden Ihr Mehrwert liegt zum einen in der Identifikation und Priorisierung konkreter Anforderungen an zu untersuchende Plugins bzw IDEs Des Weiteren bietet sie eine praxisorientierte Vorauswahl f r tiefergehende Evaluationen der empfohlenen L sungen Es bietet sich vor diesem Hintergrund an ressourcenintensivere Anschlussstudien durchzuf hren Im Rahmen dieser sollten konkrete Testf lle der Versicherung mindestens f r das am besten bewertete Plugin idealerweise f r alle aufgezeigten Plugins durchgef hrt werden So kann eine Validit t der ausgesprochenen Konfigurationsempfeh lung auch vor dem Hintergrund infrastruktureller Spezifika gew hrleistet werden Zudem erscheint es sinnvoll eine Installation des Plugins auf einer Testinstanz der Versicherung durc
54. bekannten Fehlern Remote Support durch Mitarbeiter von Veryant Im Standard Vertrag sind diese zu definierten Gesch ftszeiten an Werktagen verf gbar Im Platinum Vetrag wird eine 24 7 Erreichbarkeit dieser Mitarbeiter mit fest definierten Reaktionszeiten bereitgestellt Als vollst ndige Entwicklungsumgebung existiert eine direkte Abh ngigkeit zur vom Hersteller gew hlten Eclipse Version 43 Vgl 2012a 44 Vgl 2012b KOS content Seite 363 19 Hersteller Veryant Softwaretyp IDE Quellcode Geschlossen Kosten Lizenzierung An Hersteller wenden Systemanforderungen CPU 0 A RAM o A HDD o A Beratungsdienstleistungen Editorfunktionen Autovervollstandigung Ja Code Highlighting Ja Fehlererkennung Syntax Check Ja Unterstiitzung von Gastsprachen Nein Debuging Grafisches Schritt f r Schritt Debuging Ja Remote Debugging Ja Anbindung von externen Systemen SSH Ja Datenbanken Ja IBM DB2 Oracle Sybase Informix OpenESQL ODBC JDBC Sonstiges FTP Ja jedoch nur f r die Migration von Anwendungen auf den propriet ren COBOL Dialekt Support Ja Hotline Self Service Gestaffelte Supportlevel Eclipse Version e Kompilierung auf Remote Compiler e Mischung von Java und COBOL e Produktseite http bit 1y N8cJKo IDE basiert auf Eclipse 3 7 Tabelle 3 isCOBOL Features 45 Herstellerseite www veryant com KOS content
55. der Sicherheitsm ngel zur Verantwortung gezogen werden kann Im Falle von Honeypots sind Sicherheitsl cken selbstverst ndlich kein Problem sondern ein gew nschtes Feature Allerdings sollte bedacht werden dass es f r Nutzer trotzdem zu Problemen und Fragen kommen kann wenn z B die Installation nicht fehlerfrei funktioniert das Wiederherstellen eines kompromittierten Systems fehlschl gt oder das Ausnutzen der vorhandenen Sicherheitsl cken nicht gelingt An die Stelle eines Unternehmens r ckt bei Open Source Software die Entwickler Community Speziell f r den Aufbau eines Labors zur Fortbildung der eigenen Entwickler ist es nat rlich relevant in wie weit Lernhilfen wie z B Tutorials und eine allgemeine Betreuung zur Nutzung offeriert wird Bei der Bewertung der Honeypots wird folglich berpr ft ob und in welchem Umfang die folgenden Funkti onen von der Community bereitgestellt werden 1 Dokumentation a Gibt es eine Installationsanleitung b Gibt es eine Anleitung oder ein Tutorial das die ersten Schritte aufzeigt KOS content Seite 454 11 c Erw hnt die Dokumentation alle vorhandenen Sicherheitsl cken ausreichend d Gibt es eine Anleitung die in die Weboberfl che integriert ist e Wie gut ist der Quellcode dokumentiert 2 Fehlerbehebung a Gibt es aktive Entwickler die Fehler beheben k nnen Wie aktiv ist die Community diesbez glich b Gibt es einen ffentlichen Bugtracker Wird dieser aktiv betreut 3 Sup
56. ein Ausblick auf weiterf hrende an die Fallstudie anschlie ende Untersuchungsfelder gegeben KOS content Seite 347 2 Theoretische Grundlagen 2 1 Definitionen 2 1 1 Integrated Development Environment IDE Eine integrierte Entwicklungsumgebung IDE ist eine in einer Applikation konsolidierte Samm lung von Anwendungsprogrammen mit denen Aufgaben der Softwareentwicklung innerhalb einer L sung bearbeitet werden k nnen In einer IDE sind typischerweise ein Code Editor ein Compiler eine Debugging L sung sowie eine M glichkeit zum Erstellen von Benutzeroberflachen Graphical User Interface GUI enthalten 2 1 2 Open Source Der Terminus Open Source beschreibt ein Konzept nach dem Software mit ihrem Quellcode aus geliefert wird Open Source Software ist eine der Erscheinungsformen sogenannter freier Software Sie ist zumeist kostenfrei erh ltlich und kann grunds tzlich unter bestimmten lizenzrechtlichen Voraussetzungen frei verbreitet werden Die Verwertung Vervielf ltigung und Bearbeitung ist demzufolge nicht vorbehaltlos gestattet Die Open Systems Interconnection OST definiert zehn Kriterien die OSS erf llen muss So muss die Software z B unter einer von der OSI best tigten Lizenz ver ffentlicht werden Dies beinhaltet die Idee der freien Verteilung der Quellen und des Bin rcodes Dabei sind Modifikationen am Code erlaubt und sogar erw nscht Die Art und Weise der Modifikation kann jedoch innerhalb gewi
57. einer Testumgebung unter zOS installiert und funktionalen Tests unterzogen Dies erfolgt ohne die Zuhilfenahme spezieller Tools durch Abgleich der doku mentierten Anforderungen mit der Funktionsweise des entwickelten Programms e Sobald das Testing erfolgreich abgeschlossen ist werden die Anwendungen auf den Produktiv Instanzen der Versicherung installiert Auf diesen ist ebenfalls zOS als Betriebssystem instal liert Abbildung 3 illustriert die oben beschriebene Unterteilung von Entwicklung Testing und Produk tivsystemen 30 Vel XXX K 2012 31 Vgl XXX A 2012 KOS content Seite 353 Produktion E00 Andere zOS Binary Binaries Test Integration E00 Andere zOS Binary Binaries E00 Binary Developer Workstation Windows D D I I 1 Kompilierung Editar Animator UltraEdit Repository Linux Win Referenzierung CMDB Rochade Repository PVCS Abbildung 3 Logische Schritte Systeme und Tools der COBOL Entwicklung 3 3 Soll Zustand An dieser Stelle wird beschrieben welchen Soll Zustand die Versicherung mit der Einfiihrung einer neuen softwareseitigen L sung f r die COBOL Programmierung zu erreichen gedenkt 27 Eine Anforderung der Versicherung ist es die Java und COBOL Programmierung in eine technologisch einheitliche Entwicklungsumgebung zu heben Eclipse also auch fiir die COBOL Entwicklung zu verwenden Hiervon verspricht sich die Versicherung M glichkei
58. et al 2012 XXX K 2012 35 Nicht funktionale Anforderungen beschreiben die Begleitumst nde unter denen eine bestimmte Funktionalit t erbracht werden soll KOS content Seite 355 11 Textfarbe als der Aufruf einer Prozedur dargestellt Eine Fehlerkennung markiert automatisch die Stellen an denen Verletzungen der Programmiersyntax vorliegen Neben diesen Standardfeatures ist aus Sicht der Versicherung in besonderem Mafe die Unter stiitzung von Gastsprachen zu wiirdigen Uber diese werden in COBOL Routineaktivit ten wie z B der Zugriff auf externe Datenbanken umgesetzt Innerhalb des Buildvorgangs einer COBOL Anwendung werden Code Fragmente die in einer eingebetteten Gastsprachen codiert sind durch Pre Prozessoren vor Ausfiihrung des COBOL Compilers in COBOL interpretiert Der Code Editor muss diesen Vorgang nachvollziehen k nnen um die Gastsprachen nicht als fehlerhaften COBOL Code zu identifizieren Ebenfalls von Bedeutung ist die Existenz einer Debuggingfunktionalit t Eine Vorsichtung des Marktes an COBOL Entwicklungsumgebungen und des Vergleiches mit Microsoft Visual Studio sowie der Java Entwicklung in Eclipse ergibt dass die Unterstiitzung von grafischem Schritt fiir Schritt Debugging sowie entferntem Debugging relevant sind Unter grafischem Debugging versteht man die manuelle Steuerung der Programmausf hrung ber ein GUI der Entwicklungsumge bung Dazu geh rt z B der Sprung zu einer bestimmten im Quellcode zur
59. for Selenium IDE T Plan Robot T Plan Robot is a flexible and universal black box automated testing tool It offers a new ap proach for black box testing due to its almost platform independent connection via Virtual Net work Connection VNC and the image based automation Developed on generic image based testing principles T Plan robot provides a human like approach to software testing and per forms well in situations others may fail As VNC servers also support most significant systems including some embedded ones such as Windows Mobile devices the tool can be effectively used to automate any desktop GUI application on any common system T Plan Robot is available in two forms 1 T Plan Robot Enterprise a commercial and actively developed product with support and customization services 8 Cf T Plan 2012a KOS content Seite 405 18 2 T Plan Robot Open Source a legacy open source version with limited functionality based on the initial 2 0 release with no stable support guaranteed and little development activities T Plan Robot Open Source is available under GNU General Public License GPL According to the T Plan Robot Website the project is not backed up by any professional support and only maintained in terms of major bug fixing with no features being developed The website also pro vides an overview on the differences between the commercial T Plan Robot Enterprise and the open source version for enhanced
60. internen Entwicklungsprojekten die beispielsweise in Java realisiert werden 1 2 Zielsetzung Wie zuvor aufgezeigt entspricht es dem Wunsch der Versicherung die Entwicklungsumgebung Eclipse auch f r die COBOL Softwareentwicklung einzusetzen Ziel dieser Arbeit ist es daher 1 Vgl 2006 2 Vgl XXX U et al 2012 3 Vgl 2012a KOS content Seite 346 Plugins fiir die COBOL Entwicklung in Eclipse zu evaluieren und in diesem Zuge eine ausschnitts weise Marktiibersicht zu erstellen Hierbei liegt der Fokus auf nicht kommerzieller OSS da der finanzielle Initialaufwand einen zentralen Faktor in der unternehmensinternen Diskussion tiber eine m gliche Implementierung darstellt Die Analyse beschr nkt sich jedoch nicht ausschlie lich auf Open Source L sungen F r eine Analyse der Plugins ist eine Ber cksichtigung der durch die Versicherung spezifizierten Anforderungen an eine L sung essentiell Ein untergeordnetes Ziel im Rahmen dieser Arbeit ist es aus diesem Grund diese Anforderungen zu erfassen und zu priorisieren Auf Basis dieser Priorisierung erfolgt die Plugin Bewertung deren Ergebnis eine Empfehlung einer spezifischen Applikation sein wird Vor dem Hintergrund des spezifischen Anforderungsprofils der Versicherung k nnen die nachfol genden Ausf hrungen nicht als generische grunds tzliche Markt bersicht zu COBOL Plugins f r Eclipse angesehen werden Die gesamte Arbeit stellt eine Fallstudie mit der Versicher
61. is avoided On the other hand several bug tracking entries are used for comparison of debugging and fur ther development Therefore the interaction of involved systems and applications is regarded closely Redmine Redmine is a project management tool that focuses on planning testing projects It provides features such as access control and issue tracking systems which are required for further anal ysis Moreover Gantt charts and calendars provide a great overview of scheduled events notifications can be implemented into wikis forums as well as into feeds and an email system For example it automatically creates issue tracking via emails The current status of tickets can be tracked by an integrated progress feature Thus Redmine offers a great graphical interface to illustrate critical topics such as open project tasks split into individual assigned workloads while representing coordination and responsible job roles for each specific topic In addition forums wikis and documentation interfaces promote communication to ensure a project s suc Bugzilla 201 2a 8 Redmine 2012 KOS content Seite 400 13 cess Figure 4 represents different possibilities to state the project s success depending on time spent on the project as well as approximated time left Grouping and selecting criteria for a more detailed analysis is demonstrated below BA PE andl Figure 4 Redmine Graphical User Interface for pr
62. llt unter die Kategorie Technolgie die M glichkeit bei den Last und Performancetesttools eine parallele Nutzerverwaltung Multithreading und verteilte An wendungen zu simulieren Vor allem die Erzeugung einer groBen Anzahl an parallelen Nutzern die unabh ngig das System testen ist eine wichtige Voraussetzung f r ein Per formance und Lasttesttool Ohne das Erreichen des gew nschten parallelen Testvolumens wird ein Lasttesttool nutzlos Durch die Erzeugung hoher paralleler Nutzerzugriffe wird ein extremer Anstieg von Protokolldaten erzeugt die verwaltet und ausgewertet werden m ssen Da dies auch von kommerziellen Anbietern erkannt wurde wird dieses Kriterium meist als Staffelungsmechnanismus f r den Preis eines Lasttesttools verwendet Bei der Auswahl der zu vergleichenden Tools wurde darauf geachtet dass alle Tools dieses Kriterium vollst ndig erf llen Handelt es sich also um ein Projekt mit hohen parallelen Nutzerzahlen lassen sich diese meist kaum durch die Leistung eines einzelnen Rechners abbilden Um die ge w nschte Last berhaupt erzeugen zu k nnen werden in der Regel die Lasten auf mehreren Rechner verteilt um eine erh hte Last auf den Servern zu erzeugen Im Anschluss ist eine zentrale Zusammenf hrung aller Protokolldaten der generierten Lasten f r die sp tere Aus wertung wichtig 2 Vgl Stolze J 2008 KOS content Seite 519 10 2 Technologie Zugrundeliegende Technologien Scriptingsprache Plattf
63. of the vulner abilties from the OWASP Top 10 Bewertungssumme 10 Maximum 10 Erf llungsgrad 100 00 Community amp Dokumen tation amp Support Von 0 bis 3 Punkte Anzuwenden auf alle Kriterien bis auf Sicherheitsl cken und Features 0 3 Dokumentation O nichts 1 vorhanden aber nicht gut 2 0k gut 3 sehr gut Gibt es eine Anleitung die die ersten Schritte auf zeigt Sowohl ausf hrliche Anleitungen als auch ein eigener Y ouTube Channel vereinfachen den Einstieg ungemein KOS content Seite 491 Erw hnt die Dokumenta tion alle vorhandenen Sicherheitsl cken ausrei 48 Sowohl die Dokumentation als auch im Programm selbst ber Tipps werden alle vorhanden L cken genauestens chend 3 aufgezeigt Bestens f r Workshops geeignet Gibt es eine Anleitung die ber sogenannte hints die ein und ausblendbar sind ist in die Weboberfl che f r jede OWASP Top 10 L cke ein umfangreiches Tutorial integriert ist 3 bereitgestellt Umfangreiche Dokumentation vorhanden mit Installati Wie gut ist der Quellcode onsanleitung und genauen Beschreibungen der Sicher dokumentiert 3 heitsl cken Fehlerbehebung Gibt es aktive Entwickler die Fehler beheben k n nen Wie aktiv ist die Community diesbez g lich 2 Ein sehr aktiver Entwickler vorhanden Je
64. onen erfordert Denkbar sind etwa zus tzliche Features wie besondere Einfachheit der Konfiguration auBeror dentliche Anleitungen und Hilfestellung als auch unerwartete Funktionalit ten wie beispielsweise den Honeypot per Knopfdruck in den Installationszustand zu versetzen KOS content Seite 460 17 4 Honeypot Analysen Im folgenden Kapitel werden die Ergebnisse der Untersuchungen der f r das Projekt relevanten Honeypots vorgestellt Die hier analysierten Honeypots stellen eine Auswahl aus einer gr Beren Anzahl an Honeypots dar Selektion relevanter Honeypots Aus ersch pfender Recherchearbeit ergab sich dass ca 15 frei verf gbare Open Source Honey pots existieren Die meisten dieser Honeypots konnten direkt aussortiert werden da sie nicht mehr unterst tzt werden oder sich in einem unfertigen Zustand befinden Ein Beispiel f r eine Beta Ver sion ist der Badstore Um die Studie in der ben tigten Tiefe umsetzen zu k nnen wurde eine Teilmenge der Gesamtzahl an verf gbaren Honeypots ausgew hlt Dadurch wird gew hrleistet dass die Untersuchungen in der entsprechenden technischen und detaillierten Tiefe stattfinden k nnen Die in Tabelle 1 gelisteten Honeypots fanden in der Vorauswahl Ber cksichtigung Aus der Tabelle ist erkennbar welche f nf Honeypots f r eine detailreiche Analyse ausgew hlt wurden Die Gr n de f r einen Ausschluss aus der zweiten tieferen Untersuchung sind ebenfalls in der Tabelle auf
65. open source test management tool Nevertheless individual requirements should be determined as well as prioritized for the purpose of defining the expected functionality before selecting one particular tool 4 2 Test Automation Open Source Common Software Test Automation 8 Criteria Criteria criteria Total Ranking WatiN 64 69 49 182 Selenium 98 93 82 273 Canoo WebTest 86 86 75 247 T Plan Robot 70 69 57 196 Table 3 Overview of Evaluation Results All four products are open source licensed under Apache 2 0 or GPL V2 0 Community support is ranked highest for Selenium as it has an active community a mailing list a wiki and a forum Support is also offered commercially from third party vendors T Plan Robot only offers an FAQ site and a wiki but limited commercial support as there is also a closed software license availa ble WatiN has FAQ s but the developer himself is responsible for the support Therefore Wa DN and T Plan robot are ranked lower than Selenium Releases and improvements are fre quently made available to the user groups of Selenium and Canoo Web Test whereas WatiN KOS content Seite 424 37 and T Plan Robot show less development activity This is due to their popularity and user ac ceptance The documentation is ranked highest for Selenium and T Paln Robot Selenium s documentation starts with the installation of the IDE and describes every step to a working test case with many screenshots Fur
66. probing by entering single quotes double quotes paranthesis double dash hyphen asterik and closing parenthesis Mutillidae ZS Channel hyphen hyphen Abb 11 Szenen Screenshot aus Mutillidae mit ausgeklapptem Men und eingeschalteten Hinweisen Wie Abbildung 11 deutlich wird kann sowohl die Dokumentation als auch Tutorial Videos und eine Beschreibung der OWASP Top 10 L cken schnell ber das Linke Men angesteuert werden Die obere Men leiste erlaubt Anpassungen zur Laufzeit und umfasst u A optionale Hinweis Einblendungen einen einstellbaren Schwierigkeitsgrad und eine Wiederherstellungsfunktion der Datenbank wenn diese z B durch SQL Injections bereits attackiert wurde und wieder in den Ori ginalzustand versetzt werden soll etwa um andere Angriffe aufzuzeigen Im gezeigten Screenshot wurden die Hinweise eingeblendet und zeigen f r den Log In Bildschirm u A die M glichkeit einer Passwort Umgehung durch Eintragen von SQL Code im Passwort Feld auf Die Hinweise fallen dabei nicht so detailliert wie etwa bei Webgoat aus sind aber in Kombination mit angebotenen Tutorials und Videos ausreichend und motivierend was insbesondere f r den Einstieg wichtig ist Insgesamt liegt mit Mutillidae ein qualitativ hochwertiger PHP basierter Honeypot vor der mit um fangreichen Tipps und Funktionalit ten gl nzen kann jedoch Abstriche in Hinblick auf eine sehr kleine Programmierer Community und altmodischem Design
67. sets deer ee 42 List of Tables Table 1 Automatic and manual testing oococonccccnnccicnnocccnnoocnnnnnannnonnn cnn corn nnnnn cnn naar nc nan nnccnnnncnnns 7 Table 2 Overview of Evaluation Results for Test Management Tools 32 Table 3 Overview of Evaluation TEE 36 KOS content Seite 387 KOS content Seite 388 1 Introduction 1 1 Problem Definition The development of software has been one of the most complex artifacts since systems have been continuously increasing due to new technologies and complex graphical user interfaces Before releasing new products they need to be tested and their proper function needs to be con firmed A survey conducted by Electric cloud in partnership with Osterman Research in 2010 showed that the majority of software bugs are attributed to poor testing procedures Additionally the software test process is generally regarded as unpleasant by software development profes sionals Moreover the survey found that completely automated testing environments are still rare with just 12 of software development organizations using fully automated systems while about 10 reported that all testing was done manually 46 of software developers complained that they do not have as much time to test as they should which also becomes apparent in an other finding where more than a third of the developers do not believe their companies perform enough pre release testing These tremendous results illustrate th
68. source solutions Market leadership is usually defined by largest market share per provider or highest profitability margin TH According to literature market share represents merely the proportion of total market or industry sales made by one of the competing Companies and may be measured either on value basis by multiplying sales price per volume or on a unit basis considering amount of units shipped Nevertheless the aforementioned definition is not applicable when considering the expense less character of Open Source Software Market leadership in context of Open Source Software should be therefore defined by means of obtaining user acceptance as well as popularity whereby user acceptance refers to already tried and trusted functionality of Open Source Software while popularity implies its usage in 2 Cf Aberdour M 2012a 2 Cf Aberdour M 2012b Cf Simon H 2007 p 49 31 Xu J 2005 p 69 32 Cf Rouse M 2007 KOS content Seite 396 various large projects and companies A large community providing expertise to users and con tinue developing the Open Source Software steadily also indicates popularity and reliability The four most popu ar test management and test automation systems regarding Open Source Software are identified below based on an exhaustive literature research Test Management tools QA Test Lab carried out a study regarding commercial and open source test management tools by sur
69. t plan com robot ind ex html retrieval 15 06 2012 T Plan 2012b T Plan Robot Projects http www t plan com robot docs versions html retrieval 15 06 2012 T Plan 2012c T Plan Robot FAQ http www t plan com robot docs fag html retrieval 15 06 2012 T Plan 2012d Image based versus object oriented testing http www t plan com robot docs articles img based testing html 15 06 2012 WatiN 2011 WatiN Overview http watin orq retrieval 30 06 2012 Whichtestingtool com 2012 Open Source Test Automation Tool Framework Evaluation http www whichtestingtool com tool evaluation html re trieval 07 06 2012 Xu J 2005 Market Research Handbook Measurement Approach and Practice http books google de books id 73 eSezp7sAC amp pg PA69 amp dq market share definition amp hl de amp sa X amp ei bV rrT nGM4TSsgbCgtnmBQ amp ved 0CDCcQ6AEWAA V onepag e amp q market 20share 20definition amp f false KOS content Seite 439 KOS content Seite 440 Vergleich von Open Source Web Applikation Honeypots zum Aufbau einer Penetrations Test Umgebung B DHBW Stuttgart Duale Hochschule Baden Wurttemberg Seminararbeit 6 Semester vorgelegt am 05 07 2012 Fakultat Wirtschaft Studiengang Wirtschaftsinformatik International Business Information Management Kurs WWI20091 Modul Open Source Prof Dr Thomas Kessel von Robert Bruchharat Maximilian Heinemeyer Gerd Radecke Jennifer Zohar KOS content
70. that open source adoption was part of a strategic business decision while 31 mentioned it as part of the company s IT strategy Other motivations included the maturity of applications and total cost of ownership according to the report P As a result of the above mentioned findings regarding test management software as well as the role of open source software in today s organizations this paper focuses on OSS for test man agement and automated testing The intention is to take a closer look on leading OSS available on the market and to evaluate these based on a pre defined set of criteria to establish a final ranking Furthermore a comparison with CSS will be made with solutions provided by the lead ing software vendors IBM and HP to get an impression of the different features commercial so lutions provide and where discrepancies may be found between OSS and CSS All in all this guideline is developed to support a company in their assessment whether OSS will meet the desired requirements or if only traditional CSS can sat isfy the requirements Therefore the developed criteria catalogue evaluates critical success factors and dependencies which are essential to choosing the suitable testing solution 1 2 Structure The present paper is structured as follows In Chapter 2 the authors intend to lay necessary foundations for the study This includes the definition and delimitation of test management and test automation The identified differ
71. tionality of the particular tool H an Open Source Software is the preferred choice an outstand ing performance in the open source related criteria is of major importance as the continuous improvement and release activity and active support are crucial for the utilization of the software Regardless of the overall quality and functionality of the tool if the development activities are abandoned the potential benefits of the tool cannot be leveraged and a new tool would have to be found Furthermore the switching costs in this case may exceed the costs for a commercial product where continuous improvement and support is ensured by the vendor 5 Recommendation Current Situation The company has currently no testing tool in use The testing is done manually by the developers themselves and the relevant division Utilized programming languages are Java C and VB Requirements The customer defined a set of requirements a suitable solution should meet The requirements include the ability to test applications with graphical user interfaces such as browser applica tions as well as java and COBOL programs The tool should be compatible with Windows 7 and Linux operating systems Black and white box testing should be supported by the test automa tion tools Furthermore it is of high importance that the selected test management tool can be integrated with the test automation tool Another requirement the selected tools should meet is stabil
72. under test but WatiN TestRecorder can be in stalled to enhance the tool with this feature T Plan Robot works with image recognition and therefore only image capturing but not captur ing of whole test cases is possible Record 8 Replay capability is not included and due to the restricted proprietary scripting language a development will not be possible As T Plan Robot also records the interaction via mouse clicks and keyboard strokes it reflects reality best in comparison to the other tools Verification features are limited to image and text verification Canoo Web Test has no capture replay feature but for the test case development it is possi ble to install the WebTest recorder which can record the actions of the user and converts it into the desired scripting language Selenium supports many programming languages CH Java Perl PHP Python amp Ruby WatiN only supports Net able languages Canoo Web Test sup ports XML and Groove and T Plan Robot has its own very limited scripting language In regards of predefined functions and methods Selenium offers no native support for file handling or user interrupts but supports browser handling xml handing csv handling and file systems WatiN is able to deal with various file formats using the Net functionality but does not support xml csv and file systems T Plan Robot is not able to deal with files in any way but supports any brows KOS content Seite 426 39 er Canoo Web T
73. ver ffentlicht wurde JMeter The Grinder TestMaker Funk Load Aktuellste Version 2 7 Mai 2012 3 9 2 Mai 2012 Version 6 5 Juni 2012 1 16 1 Juli 2011 Tabelle 1 bersicht ber die Versionen der evaluierten Tools Die Auswahl der Tools wurde basierend auf zwei unterschiedlichen Kriterien getroffen Zum einen wurde nach der Funktionalit t die die Tools abdecken ausgew hlt und zum anderen welche Tools bereits von Sekund rliteratur in Vergleichen behandelt wurden Im Rahmen des ersten Kriteriums wurde entschieden dass zwei Tools TestMaker und FunkLoad aus gew hlt werden sollten die speziell zum Testen von Webanwendungen geeignet sind und zwei Tools die weit aus mehr Funktionalit ten wie Datenbank und Middlewaretesting unter st tzen und zudem auch Java Anwendungen testen k nnen Unter dem zweiten Kriterium wurde w hrend der Literaturrecherche eine Liste mit Tools auf gestellt die bereits analysiert wurden siehe Tabelle 2 Hierzu wurden sowohl diverse Diplom und Bachelorarbeiten als auch Fachartikel zur Rate gezogen KOS content Seite 516 Sun Faban The Grinder PushToTest TestMaker Apache JMeter FunkLoad OpenSTA WebLoad Basic Edition Dieseltest Tabelle 2 H ufig behandelte Tools in der Literatur Basierend auf den Erkenntnissen der Literaturrecherche und den eigens festgelegten Kriterien wurden der Apache JMeter das wohl bekannteste Lasttesttool im Open Source Umfe
74. vorzuweisen hat 5 5 Webgoat Webgoat ist ein vom OWASP getriebenes Honeypot Projekt Es l uft auf einem Apache Tomcat Server und ist daher sowohl mit Linux als auch mit Windows kompatibel Das auf Java Server KOS content Seite 474 31 Pages JSP basierende Projekt wird seit 2002 entwickelt und orientiert sich an den aktuellen OWASP Top 10 Sicherheitsl cken die es in sogenannten Lessons aufzeigt und erkl rt Nachfolgend werden die Hauptaussagen der Bewertung erl utert Im Detail sind diese in Anhang 5 dieser Arbeit zu finden Eine Evaluierung dieses Honeypots zeigt ein u erst ausgereiftes Projekt Neben den 10 Top Si cherheitsl cken existieren noch ber 20 weitere Lessons ber andere m gliche Web Anwendungsfehler welche au erdem durch die aktive Community erweitert werden k nnen Alle diese Lessons sind zudem dokumentiert Bei diesem erweiterbaren Lesson System handelt es sich au erdem um ein herausragendes Merkmal erm glicht dieses Feature nicht nur einfache Erstellung von E Learnings und Blended Learnings innerhalb von Unternehmen sondern bietet au erdem eine einfache und gut dokumentierte M glichkeit f r Unternehmen den Honeypot um eigene relevante Unterrichtseinheiten zu erweitern Choose another language English Y Logout OWASP WebGoat v5 4 Introduction General d Control Flaws AJAX Security Solution Videos Restart this Lesson STAGE 1 You are Moe Stooge
75. zu simulieren Diese Testsituationen lassen sich unter Verwendung von Skripten und Testf llen abbilden Da die Erzeugung von Testskripten und die parallele Nutzerverwaltung Multithreading ein sehr wichtiger Punkt bei der Auswahl eines Lasttesttools sind war es der Anspruch dieser Vergleichsstudie Testtools zu evaluieren die diese Anforderungen erf llen Dar ber hinaus sollten die zu evaluierenden Werkzeuge das Testen verteilter Anwendungen unterst tzen um eine Anwendung auf mehreren Systemknoten zu testen und dadurch m glichst realistische Testf lle zu simulieren Allen Open Source Programmen ist gemein dass ihr Quellcode frei zug nglich ist und unter den unterschiedlichen Open Source Lizenzen weiterverbreitet werden d rfen Weber beschreibt Eigentum im Open Source Umfeld wie folgt Property in Open Source is config ured fundamentally around the right to distribute not the right to exclude Bei Open Source Lizenzen wird grunds tzlich zwischen der GNU General Public License GPL und der Berkeley Software Distribution BSD Copyright License unterschieden Software unter einer GNU GPL Lizenz darf lizenzgeb hrenfrei erworben vervielf ltigt ver ffentlicht und ver ndert werden jedoch ist es nicht erlaubt ge nderte Programme propriet r weiterzuvertreiben Software die der BSD Lizenz unterliegt darf frei verwendet kopiert ver ndert und ver ffentlicht werden und ist somit der GNU GPL Lizenz in den Grundz g
76. 0 I try harder Not Logged In Toggle Security Reset DB View Log View Captured Data Back y T Site hacked err quality tested with Samurai WTF Backtrack Firefox Burp Suite Netcat and these Mozilla Add ons L Sei TT Case Dee Session Storage Local Storage AllStorage webpwnized Abb 10 Mutillidae Oberflache Benutzer Men links amp Konfigurationsm glichkeiten im oberen Men 32 Vgl OWASP 201 2a http owasp de top10 KOS content Seite 472 29 Das Projekt ist auf SourceForge angesiedelt und wird aktuell von nur einem aktiven Entwickler betreut und weiterentwickelt Die Kommunikation mit dem Projekt kann ber direkte Ansprache an den Entwickler erfolgen das SourceForge Forum ist jedoch eher als inaktiv anzusehen und exter ne Foren versprechen nicht unbedingt schnelle Hilfe Eine groBe aktive und leicht zu erreichende Community jedoch fehlt Eigene Sicherheitsl cken k nnen nur mit entsprechendem Code Verst ndnis hinzugef gt werden Anleitungen hierf r waren im Rahmen der Evaluation dieser Ar beit nicht auszumachen Weiterhin wird die Security Live CD Samurai WTF die als eines ihrer Tools den Honeypot Mutillidae beinhaltet oft in externen Veranstaltungen oder Schulungen ge nutzt wie etwa auch auf der diesj hrigen OWASP AppSec Research 2012 im Juli Die Installation des Honeypots ist sehr einfach ausgefallen und kann in unter 5 Minuten er
77. 03 2012 Best Open Source Test Management and Bug Tracking Tools http www scribd com doc 47882053 Best Open source Test Management and Bug Tracking Tools retriev al 25 06 2012 Wiki Charts Plug In http www redmine org projects red mine wiki PluginCharts retrieval 03 07 2012 Redmine www redmine org retrieval 07 06 2012 TechTarget Market Leadership http searchcrm techtarge t com definition market le 20provides retrieval 25 06 2012 What is Selenium http seleniumhg org retrieval 30 06 2012 What is Selenium http seleniumhg org retrieval 07 06 2012 Hidden Champions of the Twenty First Century Success Strategies of unknown http books google de books id Zoj3R9DuXwwC amp pg PA49 amp dq market leader definition amp h l de amp sa X amp ei 91 TrT 7ftNI7Hsgbw4uT VBQ amp ved 0CDcQ6A EwAA v onepage amp q market 20leader 20definition amp f fal se retrieval 15 06 2012 10 Best Tools for Test Automation http www toolsjo ur nal com articles item 195 10 best tools for test automatio n retrieval 20 05 2012 KOS content Seite 438 51 Testmanagement w y a IBM Rational Anforderungs und Testmanagement http www 01 ibm com software de rational offerings manag e html retrieval 29 06 2012 Testmanagement w y b Take control over your test process with the right test man agement tools http www testmanagement com retrieval 29 06 2012 T Plan 2012a T Plan Robot Enterprise http www
78. 100 java basiert ist l uft es auf allen Systemen die Java unterst tzen Die Ausf hrung des Programms ist dadurch unter allen g ngigen Betriebssystemen wie Windows Linux und Mac OS problemlos m glich Die Testf lle k nnen im TestMaker in den folgenden Sprachen geschrieben werden Java Jython Python Ruby Groovy und JavaScript Um die erstellten Skripte zu bertragen k nnen die folgenden Protokolle genutzt werden HTTP HTTPS SOAP XML RPC SMTP POP3 und Internet Access Message Protocol IMAP Vgl PushtoTest 2012 51 Vgl Stoll C Pommering T 2004 S 12 5 Vgl ebenda S 13 5 Vgl PushtoTest 2012 Vgl Schimrazki O 2009 S 25 KOS content Seite 537 28 4 3 4 Funktionalit t Der TestMaker bietet grunds tzlich vier unterschiedliche M glichkeiten um Testf lle zu generieren 1 Skripte k nnen ber die Firefox Erweiterung TestGen4Web und Silenium IDE er zeugt werden TestGen4Web erm glicht ber die intuitiv verst ndlichen Symbole eines Kassettenrekorders die M glichkeit Testf lle im Browser aufzuzeichnen Klicks auf Buttons und Checkboxen werden mittels XML Path Language XPath Ausdruck identifiziert Dabei handelt es sich um eine Abfragesprache die Teile eines XML Dokuments adressiert Es spielt dabei keine Rolle welches Protokoll http oder https zur bertragung der Kommunikationsdaten verwendet wird da die Interaktion mit der Seite direkt ber XPath umg
79. 2 amp format java uti Locale java lang String jave E valueOf chart java lang String java lang vue int java lang String java lang Strie y velados tecectala locales The S valueof long java lang String javailang st java text package provides Collators to allow valueof float java lang String java lang sg locale sensitive ordering lt gt Y Note that this Comparator does not take locale into account and will result in an Abbildung 7 isCOBOL Editor Wie der nachfolgenden Abbildung 8 zu entnehmen ist bietet isCOBOL ber die Eclipsemaske Debug Configurations an COBOL Anwendungen zu debuggen Hierbei unterst tzt es grafisches Schritt f r Schritt Debugging Der Inhalt von Variablen kann zur Laufzeit ber die Variables View berwacht werden Ebenfalls k nnen Breakpoints im Quellcode gesetzt werden um den Ablauf einer Anwendung an ausgew hlten Stellen unterbrechen zu k nnen 41 Produktseite http bit 1y N8cJKo 42 Vgl 2012c KOS content Seite 362 18 Create manage and run configurations Run isCOBOL program m the 2 D ze Name New_configuration type filter text Run Classpath Environment E Apache Tomcat Project Eclipse Application ES Eclipse Data Tools Program name 7 Ej Generic Server System properties BEN Server Ex HTTP Preview a is isCOBOL Application Ts New_configuration aunch Arguments Working Directory 09
80. 2 22 a e ee es Ree een SollEZustanda a a 2 Dre a Bs de ee Be EN N Abgeleitete Anforderungen an eine neue L sung Produktvergleich u a o DRS a een nn end 3 5 1 Visual COBOL IDE 3 5 2 ASCOBOL ns E ee Pe Pe EP ES nenn 3 5 3 maxenso cobolclipse 3 5 4 Elastic COBOL 3 25 54 CODOS eu Bade eee o Mahe E et a er AA 3 5 6 Rational Developer for System z RDz Priorisierung der Anforderungen Gegen berstellung 4 Diskussion 4 1 4 2 Zusammenfassung und Ausblick Kritische Reflexion 22 2 22 2 nn nn nn nn ern KOS content Seite 342 III IV lt Bw ww wo w H k pp eme oo fl 12 13 17 20 23 26 29 32 33 III Abk rzungsverzeichnis AAP u Analytical Hierarchy Processes CiU es Customer Information Control System VE ER Concurrent Versions System DHBW Duale Hochschule Baden W rttemberg GUI se Graphical User Interface IDE Integrated Development Environment Neser Independent Software Vendor JDBC Java Database Connectivity MCLA Metrixware Community License Agreement ODBC Open Database Connectivity OST 22 22 2223 Open Source Initiative O APP Open Systems Interconnection OSS its Open Source Software AO Polytron Version Control System DA fal che ots Quality Assurance Kies enee Rational Developer for System z DEM inner Source Code Management SQL nata Structured Query Language SH daa Secure Shell SVN crias Apache Subve
81. 71 27 bereitgestellt lalxi bos CVS Metiware Window Help 1Q 17 14 E 9 Pa Pa pas A Ba An Ti Teer NRZ 2 ev DO l GESCOM cob 9 CHACLI cob TNROBX2JEU1 COBOLZ CHACLI sysout Outline Comm amp File edit edit nu urilittes elp als T tdaut metinware local A o Ge me ype fiter text S TNROBX2 E ll rdewtmetinware local COBOS 3 1 Utities EEN gt Checksum verification ES JEU gt Cleanup project cvs z 3 cosol gt Delete source cvs SE gt Force Copy CVS gt PDS B emm gt Force Copy PDS gt CVS Sou gt Manage Copy Replication lb chacu gt PDS Copy iB GESCOM El Ls 2 Test Cobos v2 JCLTEST gt Test centralized preferenc 5 RoAsSO gt Test Cobos plugin variable COPY gt Test MXWFINF Propertie 8 cope Test MXWFLSTS List dr Km gt Test MXWPLSTS PDS e 5 CFOOPFK gt Test variables from the cc 5 crow gt TNR Cleanup i Soeur gt TNR Setup COMLIGNE E J 3 URL Cobos v2 5 COMMAREA gt Cobos blog H DFHAID gt Cobos forum S DFHEIBLK gt google 8 Fscu Kou D DI LIVRE Sem Saar Cobos Console E Members List 2 Problems 23 2208 5 SOLDA 1 error 2 wamings D others H SYMMAP Description Resource Path Location Type 3 SYMMAPZ El O Enor 1 tem VIDE I6YPS2121 5 SOUS PGM was not defined as a dataname The statement was discarded CHACLIcob tdzutmetidawarelocaVT ne 126 Compilation VIDEZ E 6 Wammer 2 items
82. 9 Unzureichende Ab sicherung der Transport schicht A10 Ungepr fte Um und Weiterleitungen 0 Offizielle Sicherheitsl cken aus der McAfee Dokumentation entnommen Zus tzlich inoffizielle Sicherheitsl cken aus Internetquellen entnommen Bewertungssumme 7 Maximum 10 Erf llungsgrad 70 00 Community amp Dokumen tation amp Support Von 0 bis 3 Punkte Anzuwenden auf alle Kriterien bis auf Sicherheitsl cken und Features 0 3 Dokumentation O nichts 1 vorhanden aber nicht gut 2 0k gut 3 sehr gut Gibt es eine Anleitung die die ersten Schritte auf zeigt Ausf hrliche PDF Dokumentation vorhanden Erw hnt die Dokumenta tion alle vorhandenen Sicherheitsl cken ausrei chend Alle offiziellen vorhanden im Internet lassen sich allerdings noch mehr dokumentiert finden Gibt es eine Anleitung die in die Weboberfl che integriert ist Nein Wie gut ist der Quellcode dokumentiert Nicht einsehbar ohne viel Aufwand der Quellcode ist nicht auf die Produkte verlinkt Fehlerbehebung Gibt es aktive Entwickler die Fehler beheben k n nen Wie aktiv ist die Community diesbez g lich Keine Entwickler keine aktive Community Gibt es einen ffentlichen Bugtracker Nein Support bei Anwen KOS content Seite 489 dungsproblemen 46 Gibt es ein Forum Vorhanden be
83. CSO of Goat Hills Financial You have access to everyone in the company s Same Ongin Policy Protection information except the CEO Neville Bartholomew Or at least you shouldn t have access to the CEO s information LAB DOM Based cross site For this exercise examine the contents of the page to see what extra information you can find senpting LAB Client Side Filtering gt Goat Hills Financial XML Inie 5 iris Z Human Resources Sient Transactions Attacks an Dangerous Use of Eval Ca Insecure Chent storage Choos Insecure Chent Storage Select user e Employee Y Authent Scripting XSS rror Handling Injection F vice Communication cure Configuration torage Malicious Execution Parameter Tampering Session Management Flaws Web Services Admin Functions Challenge Abb 12 Webgoat Lesson mit Interface Erkl rung und dem Men mit allen verf gbaren Lessons kategori siert nach Sicherheitsl cken 3 Vgl OWASP o J https lists owasp org pipermail owasp webgoat 3 Vgl OWASP 2010 https Avww owasp org images b b8 OWASPTop10 DE Version 1 0 paf 6 Vgl OWASP 2009 https www owasp org index php Lesson Plans KOS content Seite 475 32 Auch in der Dokumentation macht das Projekt einen professionellen Eindruck denn das Webgoat Wiki hilft sowohl bei der Installation als auch bei ersten Schritten und den schon vorhanden Les sons Auch ist eine FAQ vorhanden Im R
84. Dies erschwert das Erkunden der Anwendung f r weniger ge bte Nutzer Nutzer mit Sicherheitskenntnissen k nnen es als Herausforderung betrachten diese reale Anwendung wie in einem lebensnahen Szenario KOS content Seite 470 27 auf Schwachstellen zu untersuchen und diese auszunutzen So bietet die Anwendung wie in Ab bildung 9 sichtbar viele Optionen die in einem Online Casino ebenfalls auffindbar sind 0 HACME CASINO 0 Player Profile Transfer chips to another player Newtest Amount Login newtest 9 aaa Andy Aces v Name test test Chips 0 Transfer Chips Cash out DO HacmeBank Acct No xxxx Y Cash Out Session Options Accessiblity Module On Off B Show Photo On Off Update Profile Abb 9 HacMe Casino Optionsmen Eingeloggt Obwohl McAfee die HacMe Series frei zur Verf gung stellt scheint kein aktiver Support f r die Produkte vorhanden zu sein Die Recherche nach aktiven Foren und anderen Anlaufstellen f r Supportanfragen ergab dass es ffentlich keine direkte Anlaufstelle f r Fragen Hinweise und Probleme mit der HacMe Series gibt Im Detail lassen sich alle genannten Bewertungskriterien zu HacMe in Anhang 3 finden Ist jedoch etwas Vorkenntnis beim Nutzer vorhanden so bietet das HacMe Casino eine gelungene Immersion in einem Real Life Szenario Hierzu tragen das Design und das realistische Verhalten der Anwendung bei Zusammenfassend handelt es sich bei dem HacMe Casin
85. L BREAK SOMETHING NAME YOUR SON YEARS STUDENT RECORDS WE RE HAVING SOME IN wav Robert DROP I HOPE YOURE HAPPY elas TROUBLE Wem Students H AND I HOPE OH YES LITTLE N YOUVE LEARNED Hi BOBBY TABLES 1 TOSANITIZE YOUR WE CALL HIM DATABASE INPUTS Abb 3 Beispiel SQL Injection Das Ausnutzen einer SQL Injection L cke wird in Abbildung 3 an einem Vornamen dessen einf gen in das anf llige Sch lerverwaltungssystem zur L schung der Sch lerdatenbank f hrt illus triert 3 1 2 Cross Site Scripting XSS XSS Schwachstellen treten auf wenn eine Anwendung nicht vertrauensw rdige Daten entgegennimmt und ohne entsprechende Validierung und Kodierung an einen Webbrowser sendet XSS erlaubt es einem Angreifer Scriptcode im Browser eines Opfers auszuf hren und so mit Benutzersitzungen zu bernehmen Seiteninhalte zu ver ndern oder den Benutzer auf b sarti ge Seiten umzuleiten 1 OWASP 2012a http owasp de top10 17 Vgl Munroe R 2007 http xkcd com 327 KOS content Seite 452 9 3 1 3 Fehler in Authentifizierung und Session Management Anwendungsfunktionen die die Authentifizierung und das Session Management umsetzen werden oft nicht korrekt implementiert Dies erlaubt es Angreifern Passw rter oder Sessiontoken zu kompromittieren oder die Schwachstellen so auszunutzen dass sie die Identit t anderer Benut zer annehmen k nnen 3 1 4 Unsichere direkte Objektreferenz
86. Laufzeit gew hlten Code Zeile Entferntes Debugging bedeutet das Debugging einer Anwendung die auf einem entfernten System z B einem Mainframe ausgef hrt wird Die Entwicklungsumgebung des Soft wareentwicklers erh lt hierbei die Kontrolle ber Teile der Ausf hrungsumgebung der Anwendung Von Seiten der Versicherung ist es ferner w nschenswert dass aus der COBOL Entwicklungsumgebung ein direkter Zugriff auf einen Gro rechner d h z B IBM System z m glich ist Hierzu geh rt neben einer manuellen Kommandozeilenschnittstelle auch ein grafischer Zugriff auf das Dateisystem Unter letzterem wird beispielsweise die Darstellung des Dateisystems des Gro rechners in Form eines Explorers verstanden Ebenfalls ist es vorteilhaft wenn die IDE einen eigenst ndigen Zugriff auf Datenbanken Open Database Connectivity ODBC Java Database Connectivity JDBC etc erm glicht Hierzu geh rt die Verwaltung mehrerer Accounts inklusive Zugriffsdaten Benutzer und Passwort sowie die Ausf hrungsm glichkeit und Anzeige von Datenbankabfragen Die nachfolgende Tabelle auf Seite 12 Tabelle 1 bietet eine zusammenfassende Darstellung der oben genannten Kriterien KOS content Seite 356 12 Hersteller Softwaretyp IDE Plugin Cloud Quellcode Offen Geschlossen Kosten Lizenzierung Systemanforderungen CPU RAM HDD Editorfunktionen Autovervollstandigung Ja Nein Code Highlighting Ja N
87. Pre Prozessoren miteinander zu verschachteln Eine Einschr nkung ist dass diese nur unter Nutzung von nativem COBOL und nicht f r Dialekte m glich ist Hinsichtlich Fehlererkennung bietet die Entwicklungsumgebung die M glichkeit im Editor bei der Kompilierung Fehler anzuzeigen die aus einer Einbindung von 36 Produktseite http bit 1y eESeTb 37 Vgl 2012c 38 Vgl 2012c KOS content Seite 358 14 Gastsprachen in den COBOL Code resultieren Ergibt sich demzufolge ein Fehler aus fehlerhaftem Code in einer Gastsprache kann dieser auf die entsprechenden Code Fragmente zuriickgefiihrt werden Fiir den Zugriff auf IBM DB2 sowie eine generische ODBC JDBC Schnittstelle ist bereits jeweils ein entsprechender Pre Prozessor im Lieferumfang enthalten Create manage and run configurations Debug eines COBOL Programms THR eo Pr Name TestProjekt exe TestProjekt type filter text Gs Allgemein gt Source PE Environment E Con Startet eine lokale Debug Session mit dem spezifizierten y COBOL Projekt COBOL Attach to Process COBOL Core Dump SS COBOL JVM Application COBOL Wait for Application Attac TestProjekt E Java Applet gt Verbindungseigenschaft O Java Application S x Ge Ju JUnit v Main Program 4 Lokale COBOL Applikation 4 Programm ist Teil der Projekt Buildkonfiguration wu TestProjekt exe TestProjekt a Remote Java Application New_Configuration bin TestProjekt exe Jy Task Context Te
88. S content Seite 414 27 ated in this section is documentation Here a differentiation is made between developers doc umentation and users documentation where the first provides information developers may need for further improvement and adjustment of the code and the latter shall function as a man ual that instructs the user on how to use the application Different information resources such as wikis forums and newsletters fall into the category user documentation The weighting of the criteria is as follows Licensing amp Pricing 20 Improvement A Release Activity 20 Community 30 Maturity 10 Documentation 20 Community was re garded more important in comparison to the remaining because a large and stable community which actively uses the tool and supports further development activities is a crucial factor when deciding in favor of Open Source Software Maturity however was weighted as less important since an older product is not necessarily guaranteed to be the best product on the market When evaluating Open Source Software with a longer longevity a closer look should be taken at improvement and release activities as these are good indicators for the market positioning of the provider and the acceptance level of the software Only if software is actually used it is like ly to be maintained and improved on a regular basis 3 3 2 Common Software Criteria This section includes a selection of criteri
89. SE Java Secure Socket Extension ver wendet werden 4 1 2 Bedienbarkeit Laut Testern diese Einsch tzung basiert auf eigenen Erfahrungen sowie der anderer Nutzer des Produktes ist die Installation das Apache JMeter sehr einfach Das Programm muss zun chst im gew nschten Verzeichnis entpackt werden und anschlieBend die im bin Ordner zu findende Datei JMeter bat bei Windows oder das JMeter Skript bei Unix aus gef hrt werden Wenn das JDK 1 4 von Sun verwendet wird werden keine weiteren Patches oder Jar Pakete ben tigt Zur Deinstallation muss lediglich der JMeter Ordner gel scht werden da es f r den JMeter keine Eintr ge in der Windows Registry oder Dateien in Systemverzeichnissen gibt Die Steuerung der Anwendung ist sowohl Uber ein dynamisches Graphical User Interface GUI als auch Uber ein statisches jedoch sehr schnelles Call Level Interface CLI m glich Die Bedienung des Tools ber die GUI siehe Abb 1 ge schieht meist intuitiv und ben tigt keine lange Einarbeitungszeit Da die Men s ein geschrankte Auswahlm glichkeiten zur Verf gung stellen ist die grafische Oberfl che sehr bersichtlich und erleichtert zus tzlich die Bedienbarkeit Laut den Erfahrungen einiger Nutzer werden bei gro en und schweren Lasttests viele Ressourcen des Hauptspeichers verbraucht was die Reaktionszeit des Programmes und damit auch die Bedienbarkeit deut lich erschwert 2 Vgl Stoll C Pommerening T 2004 S 7 8 Vgl
90. Seite 441 Inhaltsverzeichnis AbbiidungsverzelennlS id IV 1 Elnlel ng u 2er 1 1 1 Einf hrung und Problemstellung aussi ica 1 12 ABS arena 2 E Vorgehensweisen 22 2 a a e 2 2 AGPUNGlag LEE 3 2A HON POLS user 3 2 2 Unterscheidung Web Honeypot und Server Honeypot ceeeeeeeeeeeeeeeeeeeeeeeeenaaees 3 2 3 A A crater eier 4 3 BeWerntUngSkKrierlen ocio 7 3 1 sSicherheilsl cken sans ee ee 7 3 1 1 ue EE 8 3 12 GrosssSite Scripting NSS ea biie 8 3 1 3 Fehler in Authentifizierung und Session Management 9 3 1 4 Unsichere direkte Obiektreterenzen 4 nnnnnnnennnnnnnnnnnnnnnnnennnnnnn nn 9 3 1 5 Cross Site Request Forgery CSF EEN 9 3 1 6 Sicherheitsrelevante Feblkonfiouraton nen nnnnnnnnnnnnnnnnn 9 3 1 7 Kryptografisch unsichere Speicherung nn 9 3 1 8 Mangelhafter URL ZugriffSSCNUIZ nn 10 3 1 9 Unzureichende Absicherung der Transportschcht nn 10 3 1 10 Ungepr fte Um und Weiterleitung 444444444BB0nnnnnnnn nennen 10 3 2 Community Dokumentation und Support cece eee e ee eeeeteteeeeeeeeeeeeeeeaaees 10 Bad Installation ai a 11 KEEN E TU EEN 13 3 4 1 Autgabenange MESS EE 13 3 4 2 Gelbetbeschreibungst hgket AAA 13 SAS Sieuerb rkeiti n n ssseee ee ate eee 13 KOS content Seite 442 E NR eu De Ee edu EE 14 34 5 Fehlertoler az cece nee ee er 14 SAG Individualisierbarkeit nen eeiporenaainsd headend 14 3 4 7 Lernt rderlichkelt oooiisiin ee 14 3 8 Zus t
91. VIER CICS PRET i AFFICH REPONSE C 7 CHARGER CONSTAN E cfodp cob 1 3 E chach cob 1 1 Ed gescom cob 1 1 4R Branches Lal Lg a mn EL Problems 23 sc BP Grid SO gt er errors 1 warning O others 7 Fi er Resource Path Location Type I mz Di obx jeut copy a obx jeuz cobol errors a Fens Fs aiit SCH In paragraph AIGUILLAGE ENTREE MAP ERASE undefined cfO0p cob obx mxw220 cobol line 78 Problem at Pen In paragraph AIGLILLAGE ENTREE syntax error unexpected PERFORM expecting TIMES d t ech obx mxw22D cabol Ine79 Problem Ri In paragraph CHARGER CONSTANTES SEND undefined cfOOp cob obx mxw220 cobol line 78 Problem a deet E 7 Warnings 1 item RT In paragraph AIGUILLAGE ENTREE SEND reserved word but not supported yet cf00p cob obx mxw220 cobol ke 78 Problem Lal G oi RRRRRRRR ams smartinsert 70 27 EY adem i Abbildung 13 Cobos Editor mit Syntax Check Auch Cobos unterst tzt ein grafisches Schritt f r Schritt Debugging wie man es von der Java Programmierung in Eclipse gewohnt ist Auch eine Remote Debugging Funktionalit t wird 58 Lizenzvereinbarung auf der Herstellerseite http bit ly MTJ9GB 59 Preis bersicht auf der Herstellerseite http bit ly LRSrRR 60 Produktseite http bit ly Ra3915 61 bersicht von Service und Support auf der Herstellerseite http bit ly LRSrRR 62 Vel 2012 KOS content Seite 3
92. Vgl Wireshark 0 J http www wireshark org 38 Vgl OWASP 2011 https www owasp org index php OWASP WebGoat Project Roadmap 39 Vgl ASPECT 2012 https www aspectsecurity com services training OWASP Webgoat o J http yehg net lab prOjs training webgoat php KOS content Seite 477 34 6 Schlussbetrachtung Im folgenden Kapitel wird die Arbeit zun chst zusammengefasst eine abschlie ende Empfehlung ausgesprochen und ein Ausblick auf weitere m gliche Forschungsfelder in diesem Zusammen hang gegeben Die Arbeit endet schlie lich mit einem Fazit 6 1 Zusammenfassung Um eine Empfehlung von Honeypots f r Penetration Test Labore aussprechen zu k nnen wurde im Rahmen dieser Arbeit zun chst der Begriff des Honeypots als Testumgebung zum Aufzeigen von Sicherheitsl cken definiert und zu Honeypots als Intrusion Detection System abgegrenzt Um im Folgenden eine detaillierte Bewertung von verschiedenen L sungen vornehmen zu k nnen wurde daraufhin die Methodik der Arbeit erl utert Honeypots wurden im Rahmen dieser Arbeit nach den OWASP Top 10 Sicherheitsl cken der generellen Dokumentation des Projekts der Ein fachheit des Installationsprozesses und der Usability evaluiert Die daraus resultierende Bewer tungsmatrix ist Teil dieser Arbeit und kann genutzt werden um eine individuelle Gewichtung der einzelnen Kriterien vorzunehmen Ausgehend von diesen Kriterien wurde daraufhin definiert welche Honeypot Projekte u
93. Workerprozesse beginnen entsprechend ihrer Parameter mit den im Testskript definierten definierten Anfragen an das zu testende System Die Ergebnisse der Anfragen wie z B Antwortzeiten werden in einer Log Datei gespeichert und an die Konsole bermittelt siehe 8 Vgl Aston P Fitzgerald C 2012 Vgl Dempfle M 2007 S 74 KOS content Seite 533 24 Abb 5 Grinder Architektur f nin ga Commands Scripts Statistics Load injection A FS de System under Test Quelle http grinder sourceforge neVo Sgelting started Dim Abb 5 The Grinder Architektur 4 Enthalten in MyCore 2010 KOS content Seite 534 25 Vergleichskriterien The Grinder 1 Bedienbarkeit Einfache Installation Intuitive Bedienbarkeit Graphische Oberfl che GUI Schnelle Einarbeitung 2 Technologie Zugrundeliegende Technologien 412024 Scriptingsprache Plattformunabhangigkeit Betriebsysteme 444 4 Testbare Protokolle Parallele Nutzerverwaltung Multithreadin Verteilte Anwendung 3 Funktionalitat Testbare Funktionalitaten AASSAAAAA Webservices XML Webanwendung Datenbanken Middleware Testfallgenerierung amp Scenariounterst tzung Manuelle Testfallgenerierung Recording von Testf llen Integrierte Testfallgenerierung Client seitiges Testing Server seitiges Testing Parametrisierung Komplexit t der Szenarien Auswertung amp Genauigkeit der Testergebnisse Graphisc
94. Zudem steht ein Tutorium zur Verf gung welches die Einarbeitungsphase deutlich erleichtert Dar ber hinaus steht eine Onlinehilfe zur Verf gung die bersichtlich aufgebaut ist und als Referenz hinzugezogen werden kann Einige Unternehmen und Hochschulen bieten f r den JMeter verschiedene Kurse und Seminare an Innerhalb dieser k nnen sich Anwender ber unterschiedliche Funktionen informieren und lernen den Umgang mit dem Tool Diese Firmen unterst tzen zudem teil weise bei der Konfiguration 95 Enthalten in JMeter plugins 2011 Vgl The Apache Software Foundation 2012 KOS content Seite 528 19 Vergleichskriterien JMeter 1 Bedienbarkeit Einfache Installation Intuitive Bedienbarkeit Graphische Oberfl che GUI Schnelle Einarbeitung 2 Technologie Zugrundeliegende Technologien Python pyUnit Scriptingsprache Python Plattformunabh ngigkeit Betriebsysteme Weck S lt Testbare Protokolle Parallele Nutzerverwaltung Multithreading Verteilte Anwendung Testbare Funktionalit ten Webservices XML Webanwendung Datenbanken Middleware Testfallgenerierung amp Scenariounterst tzung Manuelle Testfallgenerierung Recording von Testf llen Integrierte Testfallgenerierung Client seitiges Testing Server seitiges Testing Parametrisierung Komplexit t der Szenarien Auswertung amp Genauigkeit der Testergebnisse Graphische Ausgabe der Testergebnisse Speicherung in Log Files Exportierbarke
95. Zum anderen wird der generelle aktuelle technische Stand von Entwicklungsumgebungen z B auch in anderen Programmierplattformen wie Java oder NET gew rdigt Hinsichtlich nicht funktionaler Anforderungen liegt bei den reinen Plugins ein Augenmerk auf der Entkopplung der Abh ngigkeit von der verwendeten Eclipse Version Wie im vorherigen Kapitel geschildert wurde wird Eclipse bei der Versicherung bereits im Bereich Frontend und Middleware Entwicklung eingesetzt Hierbei wird die IDE mit f r diesen Anwendungsfall speziali sierten Plugins genutzt Sofern Eclipse nun auch bei der Entwicklung von COBOL Anwendungen genutzt werden w rde gilt es aus Sicht der Versicherung sicherzustellen dass die Plugins f r die beiden Anwendungsf lle keine kollidierenden Anforderungen an die Eclipse Version haben Andernfalls w re die Folge daraus dass zwei unterschiedliche Eclipse Version mit u U unter schiedlichen Abh ngigkeiten zu weiteren Plugins oder Features betrieben werden w rden Dies w rde bedeuten dass separate Pflegeaktivit ten Updates Fixes f r beide Anwendungsf lle von Eclipse anfallen w rden Letztendlich w re mit erh hten IT Aufw nden zu rechnen Aus dieser Problematik resultiert auch die Anforderung dass vorrangig ein unabh ngiges Plugin und keine angepasste Eclipse Version f r die COBOL Entwicklung gesucht wird Im Fall dass die jeweilige COBOL Entwicklungsumgebung als eigenst ndige Eclipse Version ausgeliefert wird
96. a which general test tool criteria These criteria are applicable to any test tool and may be used to not only evaluate Open Source Software but also commercial or proprietary software Thus this set of criteria will be applied in the evaluation of the previously selected open source tools as well as the commercial tools by HP and IBM The criteria are System requirement Usability Interoperability Support and Tool customiza tion The first criterion to be assessed is system requirement This includes the minimum hardware and software requirement for the system on which the test will run as well as the support envi ronment of the tool e g the supported operating systems supported browsers and used pro gramming language used The Integrated Development Environment used is also considered in this criterion as this is relevant for further development and customization if the customer de cides to engage in any related activity the more common the IDE e g Eclipse or Netbeans the better the assessment In a next step the usability of the test tools is evaluated Here the Cf Abiodun O M 2011 p 8 97 Cf Abiodun O M 2011 p 8 Illes T et al 2005 p 2 et sqq KOS content Seite 415 28 ease of installation and the ease of use are assessed The third criterion is interoperability which describes the level of integration with other tools This criterion is of major importance and thus a closer look sh
97. aa nee inneren 55 Achtung Diese virtuelle Maschine enthalt vier Honeypots die absichtlich Sicherheitslucken enthalten Die Benutzung geschieht auf eigene Gefahr Benutzer und Passworter Der Nutzer mit dem Sie beim Start dieser virtuellen Maschine standardmaBig eingeloggt werden ist osstest Das Passwort lautet honey Dieser Nutzer ist als Admin f r diese virtuelle Maschine eingetragen Der MySQL Server lasst sich mit dem Administrator Account root verwalten Das Passwort lautet ebenfalls honey Der Tomcat Server lasst sich mit dem Administrator Account tom verwalten Das Passwort lautet ebenfalls honey Um den WebGoat Honeypot zu nutzen k nnen Sie auf die folgenden verschiedene Nutzer zuruckgreifen Rolle User Passwort webgoat_admin wgadmin wgadmin webgoat_user webgoat_basic wgbasic wgbasic webgoat_user wgguest wgguest KOS content Seite 498 55 Um den DVWA Honeypot zu nutzen existiert nur ein standardmaBig eingerichteter Account admin mit dem Passwort password Installierte Honeypots Es sind 4 Honeypots auf dieser virtuellen Maschine installiert die auch allesamt sofort nachdem Systemstart verf gbar sind Es handelt sich dabei um DVWA Gruyere Mutillidae und WebGoat Website http dvwa co uk Lokale Installation http localhost dvwa login php User admin Password password Lokaler Ordner var www dvwa Gruyere Website https google gruyere appspot com Online Ins
98. ahmen der Evaluation dieser Arbeit konnten erste Si cherheitsl cken bereits in 30 Minuten problemlos ausgenutzt und nachvollzogen werden Das Projekt ist aktuell auf der Plattform GoogleCode angesiedelt und z hlt dort insgesamt 23 Projekt Mitglieder wovon mindestens 7 aktiv programmieren Auch weisen aktuelle Eintr ge und Antworten auf eine aktive Community hin weshalb der Honeypot auch in Zukunft aktuelle Sicher heitsl cken beinhalten d rfte Die Installation des Honeypots ist einfach und in weniger als 10 Minuten fertiggestellt vorausge setzt ein Apache Tomcat Server wurde bereits vorab installiert Ein Kopieren der war Datei in den Catalina Home Webapps Ordner und das Hinzuf gen bestimmter Rollen auf dem Tomcat Server welches in der Webgoat Dokumentation umfangreich beschrieben ist sorgt f r einen schnellen Start Die Weboberfl che ist benutzerfreundlich und bersichtlich die Beschreibung der Sicherheitsl cken ist meist gelungen und ausf hrlich Dabei k nnen zus tzliche Hinweise Parameter und sogar L sungen jederzeit aktiviert werden was zu einem gewissen Ma an Individualisierung und Konfi gurierbarkeit f hrt Das Design ist aufger umt und wirkt nicht berladen Wie in Abbildung 13 zu sehen ist werden dabei auf der rechten Men seite alle verf gbaren Lessons nach Kategorien sor tiert und k nnen so schnell vom Benutzer angesteuert werden Insecure Login Insecure Login Chromium l
99. an eine Lern Applikation E Learning gemessen werden 3 4 5 Fehlertoleranz Fehlertoleranz beschreibt die Eigenschaft fehlerhafte Eingaben des Benutzers zu erkennen oder zu akzeptieren aber trotzdem zum gew nschten Ergebnis zu f hren Bei einem Honeypot bringt dieses Kriterium keinen Mehrwert da gezielt Fehler provoziert und ausgenutzt werden sollen 3 4 6 Individualisierbarkeit Ein Programm ist individualisierbar wenn es den Vorlieben des Benutzers entsprechend anpass bar ist Im Rahmen dieser Arbeit ist dieses Kriterium positiv zu bewerten wenn individuelle Konfi gurationen vorgenommen werden k nnen z B Ein und Ausschalten von Hinweisen oder Ober fl chenanpassung 3 4 7 Lernf rderlichkeit Lernf rderlichkeit wird dadurch erreicht dass das Programm den Benutzer etwa durch ein Tutori als o A das Lernen der Software erleichtert Dieses Kriterium l sst sich gut auf Honeypots an wenden und zielt darauf ab das Vorhandensein und den Inhalt von Hinweisen und Tutorials inner halb des Programms zu analysieren und zu bewerten Ein Honeypot beispielsweise der jede Si cherheitsl cke umfangreich erl utert und Hilfestellung gibt f rdert den Lernprozess ungemein und weist gezielt auf m gliche Sicherheitsl cken hin KOS content Seite 458 15 Weitere Beispiele und genauere Umschreibungen k nnen auBerdem aus KommDesign entnom men werden Diese Hauptkriterien lassen sich bedingt auch auf Honeypots anwenden schlie
100. and dashboards that can reflect the current state of the test This enables the company to identify bottlenecks at an early stage HP QC amp ALM provide real time visibility of requirement coverage and thus the visibility of all defects that are connected with it It also supports collaboration during the whole lifecycle and has standardized test and quality processes that can increase the productivity with workflows and automatic notifications Cf Hewlett Packard 2011 p 1 KOS content Seite 408 21 Figure 10 Application Lifecycle Management The HP Quality Center software can be expanded with additional tools and interfaces to ad dress the needs of large global enterprises with initiatives that span up to hundreds of applica tions and geographically distributed teams Additional tools that can be integrated are for in stance HP QuickTest Professional HP Service Test or HP Sprinter HP Sprinter is included in HP Quality Center amp ALM and supports an automatic and more detailed test run documentation smart defects that include the test run history and storyboard parallel execution of manual tests and semi automatic manual tests which can be an advantage when combining test automation and test management in one tool During the utilization of the application a logical test process is followed This process includes five independent phases that are shown in the figure below Project management supports
101. any All demanded requirements are met by TestLink which makes it a suitable option for the customer Selenium only lacks in the ability of testing Lotus Notes applications and COBOL programs which is not provided by the other considered open source tools as well but covers all remaining requirements However if the testing of Lo tus Notes and COBOL applications is of major importance to the customer commercial tools should be considered as an alternative to also address these requirements 6 Conclusion The presented work is based on the fact that many companies and organizations see the need to test their software before release to ensure proper functioning but do not have the necessary resources to perform this kind of testing due to either a lack in human or financial resources The paper addresses these issues by examining open source test management and test auto mation tools which can compensate these two factors The fact that software is open source keeps financial expenses down while test automation intends to disburden the personnel usual ly responsible for manual testing For this purpose a number of tools of both areas were selected for further examination The selection process involved a review of multiple surveys and rankings which resulted in eight tools four for test management and four for test automation Furthermore two commercial tools were selected in order to present the differences in scope and functionality be
102. are im Quellcode sowie die Erkl rungen in der Onlinedokumentation erleichtert es gibt jedoch kein Tutorial das eine konkrete Anderung auf zeigt Die Oberflache Gruyeres ist minimalistisch und ungew hnlich bunt und wirkt daher eher wie ein Spiel als ein Ubungsplatz f r Web Entwickler Tipps zum Ausnutzen der Sicherheitsl cken finden sich auf der Oberflache genauso wenig wie Einstellungsm glichkeiten z B bez glich der Schwie rigkeit Alle genannten Aspekte finden sich nochmal zusammengefasst in einer Bewertungsmatrix in An hang 2 Zusammenfassend l sst sich sagen dass Gruyere zwar viele Sicherheitsl cken abdeckt und gut erkl rt aber bez glich der Nutzungsfreundlichkeit Defizite hat Als Erweiterung eines bereits be stehenden Labors oder f r die Fortbildung von Pythonentwicklern hat es selbstverst ndlich trotz dem eine Daseinsberechtigung Die Onlineversion bietet dar ber hinaus eine M glichkeit Gruyere ohne eigenen Aufwand zu testen oder damit zu arbeiten Dies ist eine sehr attraktive M glichkeit um sich einen schnellen berblick ber Gruyere zu verschaffen ohne selbst das Risiko eingehen zu m ssen eine stark unsichere Applikation auf einem internen Server ausf hren zu m ssen 5 3 HacMe Series Die HacMe Series von Foundstone umfasst eine Reihe von absichtlich unsicher gestalteten Appli kationen Foundstone geh rt mittlerweile zum Unternehmen McAfee Da die Applikationen zum Teil ann hrend 8 Jahre alt sind k
103. ases for the required test level Key activities of designing test cases are among others the choice of test techniques and the identi fication of test conditions and may also include the possibility to add parameters Another fea ture is the execution of test cases which is assessed based on the ability and flexibility to ex ecute test cases as well as the degree of managing test cases These activities can either be done manually or automated by running a test script The ability to detect defects and track bugs also represents an important functionality for a test management tool Defects and issues are the outcome of testing and as the intention of test management tools is to manage the whole lifecycle of a testing process it is important to keep track of these issues and ensure their resolution Furthermore the feature to implement a user right administration concept is desir able in a test management tool as an organization may wish to make a distinction between the different users regarding the permission to see and write within the tool Another criterion which should be paid attention to during the evaluation process is the option to generate and customize reports which reflect the entire testing process in a comprehensible manner A fa vorable export file format would be a pdf or any other read only file Finally it may be beneficial for test management tools to provide features that enable web access This eliminates the re
104. ate and time can be scheduled manually Within the execution phase results are documented for each step and marked as passed failed without result or blocked If an error occurred within the test execution phase a new test case will be generated automatically and referred to existing bugs to detect the specific bug In order to track the entire life cycle of test management several IBM tools need to work togeth er Therefore RQM is known as test management hub since it is implementable throughout any platform and type of test Moreover it has the ability to integrate several testing solutions such as e IBM Rational Performance Tester which ensures application scalability and spots sys tems bottlenecks e BM Rational Functional Tester which automates functional regression testing e BM Rational Service Tester which provides performance and functional testing of web based service applications e IBM Rational AppScan which scans and tests web applications to define vulnerabilities e IBM Rational Policy Tester which compares and implements special requirements KOS content Seite 411 24 e IBM Rational Software Analyzer which drives static analysis In addition to the presented extraction of software testing tools several other IBM applications can be integrated to build on ALM The wide range of compatibility drives a customized solution for quality and test management with the focus
105. be easily integrated into various projects supporting multiple programming languages such as NET Perl Python Ruby and the Java and is running on all platforms Windows Mac Linux Solaris and others and Browsers Firefox 2 3 IE 7 8 Safari 2 3 Opera 8 9 Additionally Selenium can be integrated with the most common Testing Frameworks JUnit Nunit TestNG Bromine Test Unit etc Selenium supports capture and replay very well so test cases can be created easy and fast Features that are missing in Selenium are a sufficient Cf Canoo Engineering AG 2012b 7 SeleniumHQ 2012 KOS content Seite 404 17 reporting function and a native keyword and data driven approach but for these missing fea tures further tools have been developed e g Fitnesse or SeleniumCamp The use of the prod uct grew within Thoughtworks and the company decided to release it as open source software to the wider community In 2008 the Selenium project was merged with WebDriver to allow for server side replay of the Selenium scripts and since then Selenium GRID has been released to support large scale parallel testing Google adopted it and many of the Thoughtworks engineers moved to work there to continue development of the tool Moreover there are many third party vendors that provide commercial support an increasing knowledge base Selenium HQ and an active Google group A En en AS Gu ER tem Figure 7 Graphical User Interface
106. cess Protocol LDAP including flexible role based access control with multiple permission levels Due to a centralized repository for all test cases and results it facilitates furthermore the maintenance of multiple projects Moreover it provides excellent reporting features including the ability to generate reports in var ious formats like HTML CSV MS Word and MS Excel Reports can be generated based on the results from test case executions e g build wise reports and can also be visualized by usage of graphs TestLink is owned by Teamtest a strong open community of international testers and an active development team providing User and Developer Guides as well as Release notes KOS content Seite 402 15 Figure 6 TestLink test specification and test report interface To summarize TestLink presents a robust and flexible framework for managing testing pro cesses and ensures compliance with standard testing processes as specified by IEEE 829 or BCS SIGIST 3 1 2 Test Automation In the following the four test automation tools which were pre defined are explained Special characteristics are outlined and used for further evaluation Canoo WebTest Canoo WebTest is free Java open source tool for automated testing of web applications and helps its users to reduce the defect rate of their web application The downside of the tool being free of charge is that there is no guaranteed support available However Canoo can be con ta
107. chmodell des PushToTest TestMaker W hrend des Testverlaufs stehen dem Benutzer eine Vielzahl an Statistiken zur Verf gung Die GUI des TestMakers liefert einen berblick ber die mittleren Transkationen pro Sekunde die Auslastung der CPU des Hauptspeichers sowie des Netzwerks f r alle Teil systeme die in einen Test involviert sind Dazu muss der Benutzer zuvor den Monitor des TestMaker auf allen relevanten Teilsystemen installiert haben Die unterschiedlichen Werte zur Auslastung der Anwendung und der darunter liegenden Systeme k nnen mit der Anzahl an parallelen virtuellen Benutzern verglichen werden In der GUl des TestMakers werden dar ber hinaus Informationen wie der Teststatus und Fehlermeldungen f r die involvierten Teilsysteme ausgegeben gt 7 Vgl Schimrazki O 2009 S 25 58 Vgl ebenda S 25 f Enthalten in ebenda S 26 Vgl ebenda S 26 KOS content Seite 539 30 4 3 5 Sonstiges In Zusammenarbeit mit SQAForums com bietet PushtoTest den Benutzern des TestMaker ein kostenloses Forum mit einer Online Community an Auf der Webseite steht auBerdem ein recht ausf hrlicher User Guide f r die Version 6 des Programms zur Verf gung ber den man auBerdem Zugriff auf eine Vielzahl von Tutorials hat Das Support Angebot wird durch einen Community Blog abgerundet ber den die Benutzer ber neuste Entwicklungen und Projekte informiert werden P Neben diesen kostenlosen Support M glichkeiten bietet
108. criteria were identified for the criteria requirement management the creation of test cases as well as their execution When considering all core areas Redmine reached an overall score of 195 points The Requirement and Testing Hub cannot compete with the other test management tools when considering the open source criteria due to missing documentation and a low degree of maturity RTH is rated poorly regarding the area of common software crite r a as a result of missing support activities and a low degree of tool customization possibilities Furthermore test planning and requirement management as well as bug tracking features are not sufficiently provided With a score of 153 pints out of 300 RTH received the lowest ranking of the evaluated tools The following adaption of Gartner s Magic Quadrant to the evaluated open source test man agement tools summarizes the obtained assessment results within an evaluation matrix TestLink Bugzilla Testopa Redmine RTH Figure 14 Adaptation of Gartner s Magic Quadrant to OSS Test Management tools Gartner s Magic Quadrant research method divides competing Open Source Software into four distinct sections Leaders Visionaries Niche Players and challengers by means of the com pleteness of vision and the ability to execute it In order to adapt the Magic Quadrant to the characteristics of open source test management tools the functional ability of the system includ ing test tool cr
109. cted for special support incidents a support contract or on site help for introducing automated testing into the user s project Canoo WebTest has been used successfully in thousands of or ganizations ranging from small internet startup companies up to global players for intranet and internet sites for portals and B2B applications Canoo WebTest offers many advantages to its users For instance it has an easy syntax which can be understood even when the user is not familiar with WebTest The recorder allows for a quick generation of a first draft of the tests which can then be adapted and refactored to build robust test suites Canoo WebTest is fast in executing its test cases as it does not download CSS and does not need to compute page rendering Furthermore Canoo WebTest provides excellent reporting with all information required to understand the failure cause Another ad vantage is that it is plain Java and therefore runs everywhere as long as a Java Develoopment Kit JDK is installed Very appealing for the user is also that the tool can be easily extended Cf Canoo Engineering AG 2012a KOS content Seite 403 16 and adapted to custom needs Canoo WebTest also offers a straightforward integration WebTest scripts are ANT scripts which allow for an easy integration Moreover it is possible to test web applications written in various programming languages such as PHP ASP NET etc Canoo WebTest executes client side JavaScr
110. d if it has modularization features and other relevant aspects The third criterion evaluates if the tool comes with predefined functions amp methods e g re garding browser handling xml handling and csv handling Another relevant criterion to be as sessed is the Integrated development environment In this context the IDE integration ver sion management test management and the ability to debug is evaluated As fifth criterion the modularity of test cases was determined Here special attention is paid to the possibility to 74 Cf Whichtestingtool com 2012 19 Cf ibidem KOS content Seite 418 31 add parameters to import and export excel files and the overall flexibility in the execution Moreover it will be assessed if white box testing and or black box testing are supported test methods Also of great importance is the last criterion to be evaluated Reporting This cri terion considers output formats customization of reports anonymity of users and the possibility to export the report as a read only file such as pdf A minimum requirement for this criterion is the possibility to export the data into an xls file as from here manual reports may be created using Pivot etc An additional field is included in the evaluation matrix to collect further features of the tool which have not been assessed in a previous step The weighting of the criteria in the third section was determined as follows Test automation approach
111. d somit Systeme die auf solchen Protokollen basieren nur schwer mit Open Source Tools getestet werden k nnen Aus diesem Grund werden in dieser Vergleichsstudie lediglich Tools vorgestellt die in der Lage sind Web applikationen zu testen Einige der Open Source Testtools umfassen neben den Performance und Lasttests auch die M glichkeit f r funktionales Testing Test Management Fehlerverfolgungstools sowie Sicherheitstesttools Wie bereits in der Einleitung erw hnt wird sich diese Ausarbeitung auf die Analyse der Testtools hinsichtlich ihrer Funktionalit ten f r Performance und Lasttests beschr nken Eine umfangreiche Auflistung von sowohl Open Source funktionalen Testing Tools und Test Management Tools als auch Fehlerverfolgungstools findet sich unter der folgenden Home page http www opensourcetesting org 12 Vgl Bradtke R 2008 S 147 13 Vgl Billens A 2007 14 Vgl Bradtke R 2008 S 147 KOS content Seite 514 3 1 Toolauswahl Auf dem Markt existieren unterschiedlichste Werkzeuge zur Lastgenerierung auf Servern Viele dieser Tools sind darauf ausgelegt mit einer Vielzahl simpler Anfragen das System zu penetrieren Heutzutage jedoch sollten Systeme und vor allem Webanwendungen darauf ausgerichtet sein eine hohe Anzahl an unterschiedlichsten Nutzeranfragen gleichzeitig zu managen Daraus ergibt sich die Notwendigkeit an Lasttesttools die Interaktion des Nutzers mit dem Testsystem m glichst realistisch
112. decision making when considering T Plan Robot as Test Automation software Major advantages of T Plan Robot include e Platform independence Java e Wide range of testable applications e Support of Java test scripts as well as proprietary scripting language e Record amp Replay capability e Support of testing over the RFB protocol better known as VNC e Ability to perform black box GUI testing of Windows Mobile applications directly on mo bile phones As T Plan Robot is based on image based testing it inherits certain advantages that come with that approach It follows a true end user approach as the tool navigates through the GUI the same way as the user does and verifies the test results visually seeing the same image as the user Furthermore it has complete technology independence Due to automation inputs and outputs being produced on open source OS level the application technology becomes irrele vant and a single testing tool can automate every GUI application or a set of application based in various technologies Another advantage is the short learning curve even for engineers with little programming experience and or no knowledge of the underlying application platform Be side the advantages this testing concept also comes with certain disadvantages such as lim ited verification means as image comparison does not always suffice to verify that the applica tion works well Moreover a very stable environment is required
113. den auf ihre Plausibilit t hin untersucht und es wird schlie lich eine Priorisierung der Anforderungen abgeleitet Diese Methode ist jedoch verh ltnism ig zeitauf w ndig 67 Auf Grund der Begrenztheit der Ressourcen Zeit und Mitarbeiterverfiigbarkeit wurde im Rahmen der Fallstudie auf das Anwenden einer solcher Methode verzichtet Der gew hlte An satz kann jedoch als hinreichend betrachtet werden da die Versicherung bereits im Voraus klare Vorstellungen ber den avisierten Soll Zustand entwickelt hatte 65 Vgl 2001 66 Vgl 1998 67 Vgl 2010 KOS content Seite 377 33 3 7 Gegeniiberstellung Auf Basis dieser Gewichtung und der Untersuchungsergebnisse der verschiedenen Entwicklungs Tools ergibt sich die in Tabelle 8 dargestellte Punktevergabe Diese Ubersicht zeigt dass sich die Produkte Rational Developer for System z RDz 38 Punkte und Visual COBOL 37 Punkte abheben Alle anderen Werkzeuge erhalten zwischen 20 und 28 Punkten Diese Zweiteilung kann auf Basis der Punkteverteilung an drei Griinden festgemacht werden Es zeigt sich dass Micro Focus und IBM ein vielschichtiges Angebot an Service Dienstleistungen neben ihren Produkten anbieten Hierbei profitieren beide Hersteller aus Sicht der Punktevergabe u a davon dass eine Reihe von Drittfirmen ebenfalls IT Beratung f r ihre Produkte anbieten Dies ist aus Gesch ftskundensicht ein wichtiges Kaufargument da im Krisenfall eine hochverf gbare und leistungs
114. der Internet und Intranet Quellen AppSecEU 2012 ASPECT 2012 Compass Security AG 0 J DATech 2009 DVWA 2012a DVWA 2012b EUROPAISCHE NORM 1995 Gr nderszene 0 J KOS content Seite 502 OWASP Appsec Research 2012 confer ence http www appsecresearch org training 3 Abruf 16 06 2012 Instructor Led Training Services https www aspectsecurity com services t raining Abruf 18 06 2012 Professional Security Lab http www csnc ch misc files 201 1 hl remote for staff trainings pdf Abruf 18 06 2012 Leitfaden Usability http www datech de share files Leitfaden Usability pdf Abruf 12 06 2012 DVWA Webpage http Awww dvwa co uk Abruf 12 06 2012 Subversion commits to project dvwa on Google Code http code google com feeds p dvwa svnc hanges basic 29 Abruf 15 06 2012 Europaische Norm www interactive quality de site DE int pdf ISO_9241 10 pdf Abruf 09 06 2012 Gr nderszene das Magazin f r Gr nder http www gruenderszene de lexikon begr iffe non disclosure agreement nda Abruf 05 06 2012 Gruyere 2010 Gruyere 2010 Hacme Casino 2003 KrooB M 2003 Mikhalenko P 2006 MIT 2012 MITRE 2011 o V 0 J 59 KOS content Seite 503 Web Application Exploits and Defenses http google gruyere appspot com Abruf 15 06 2012 Client State Manipulation http google gruy ere appspot com part3 3__elevation_of_p rivilege Abruf
115. der Vergleichskriterien 19 Tabelle 8 Literatur zur Dokumentation von The Grmnder 23 Tabelle 9 Bewertung von The Grinder anhand der Vergleichskriterien 25 Tabelle 10 Bewertung des TestMaker anhand der Vergleichskriterien ee 31 Tabelle 11 Bewertung des Tools FunkLoad anhand der Vergleichskriterien 36 Tabelle 12 berblick ber die Gesamtergebnisse der evaluierten Tools uuuneaennenennnnenen 41 Tabelle 13 bersicht von Open Source Lasttesttools uuunasnensenenennennnnennnnnnnnennnnennnennnnennnn 43 Tabelle 14 Bewertungskriterien f r Lasttesttools aus unterschiedlichen Quellen 44 KOS content Seite 510 1 Einleitung Innerhalb eines jeden Software Entwicklungszykluses sollte eine erfolgreich konzipierte und entwickelte Anwendung getestet werden Entwicklern stehen hierf r eine Vielzahl an unter schiedlichen Werkzeugen zum Testen eines Programms zur Verf gung Viele dieser Werk zeuge sind kommerzielle Produkte von Unternehmen die mit der Bereitstellung von Testingtools und entsprechender Beratung Gewinn erzielen m chten Ihre Nutzung ist folg lich mit Kosten f r die Organisation verbunden die eine neu entwickelte oder bereits be stehende Anwendung testen m chte Eine Alternative zu den kommerziellen Testingtools stellen deshalb Open Source Werkzeuge dar die durch Entwickler und Organisationen frei
116. dianapolis John Wiley amp Sons Inc Methodisches Testen von Programmen 7 Edn M nchen Oldenbourg Wissenschaftsverlag Management und Optimierung des Testprozesses ein KOS content Seite 434 2002 Sommerville I 2007 Strahringer S 2011 Weber S 2004 Wieczorek M Meyerhoff D 2001 Articles Gartner 2011 Hewlett Packard 2010 IBM 201 1a IBM 201 1b Soto M Ciolkowski M 2009 47 praktischer Leitfaden f r erfolgreiches Testen von Software mit TPI und TMap 2 Edn Berlin Heidelberg Springer Verlag Software Engineering 8 Edinburgh Pearson Application Management Berlin dpunkt Verlag The Success of Open Source Cambridge Harvard University Press Software Quality K ln Springer Verlag Magic Quadrant for Integrated Softwrae Quality Suites pdf p 8 10 12 13 HP Application Lifecycle Management Software Quality management across the product and lappication life cycle pdf p 5ff HOM Eine kurz bersicht aus Practitioner Sicht 16 09 2011 pdf The QualOSS Open Source Assessment Model Measuring the Performance of Open Source Communities in Third International Symposiumm on Empirical Software Engineer ing and Measurement Frauenhofer Institute p 1 KOS content Seite 435 Online Articles BITKOM w y Paper Abiodun O M 2011 Illes T et al 2005 Van den Berg K 2005 48 Open Source Software http ww
117. e importance of testing in the software division to enable project success and the challenges faced by companies in their software testing process Additionally the great dependency on technology even increases the foundational need of testing to avoid long term costs due to error correction which will consume even more resources While reducing costs remains a primary priority on the business agenda of many companies these have started to consider the adoption of Open Source Software OSS instead of so called closed source software CSS provided by various software vendors Businesses are also increasingly seeing it as a way to gain a competitive advantage according to the results of a Gartner survey released on February 8 2011 Gaining a competitive advantage has emerged as a significant reason for adopting an OSS solution suggesting that users are beginning to look at OSS differently if they can customize the code to make it unique to their company they have created a competitive advantage said Laurie Wurster research director at Gartner Nearly 46 of the 547 surveyed companies have already deployed open source applications and 22 even use open source software consistently across all departments 25 of the re 1 Cf Ludewig L J 2010 p 37 Cf Sommerville I 2007 p 30 3 Cf Electric Cloud 2010 Cf Wieczorek M Meyerhoff D 2001 p 6 Gartner 2011 KOS content Seite 389 spondents stated
118. e n tig da der Benutzer Skripte auch ber die JMeter Einstellungen schnell und einfach bearbeiten kann Durch XML Verschachtelungen werden Bl cke gruppiert Innerhalb des Tools wird dies durch verschiedene Controller Elemente realisiert Standard Controller z B dienen nur als Gruppierung dar ber hinaus gibt es auch Aufnahme Controller die die Proxy Daten aufzeichnen oder Zufalls Controller die f r jeden Durchlauf einen zuf lligen Eintrag aus ihrer Liste ausw hlen Bereits gespeicherte Skripte k nnen einfach in die Testumgebung geladen werden Jedes Skript bildet dabei eine sogenannte Thread Gruppe die unabh ngig oder gleichzeitig mit anderen Skripten ausgef hrt werden kann F r jede dieser Thread Gruppen kann festgelegt werden wie viele Benutzer simuliert und wie oft die Skripte wieder holt werden sollen JMeter erlaubt es zudem Eingabewerte zu parametrisieren Dabei k nnen verschiedene Funktionen wie beispielsweise die random Funktion verwendet werden die eine Zufallszahl aus einem gew nschten Bereich zur ckgibt M glich ist es zu dem bereits aufgezeichnete Skripte manuell oder automatisch zu erweitern Das Trennen oder Zusammenf hren von Skripten kann jedoch nur manuell durchgef hrt werden Die Auswertung von Tests f llt laut Testern u erst d rftig aus Zwar k nnen Testergebnisse und sogar Graphen im XML Format abgespeichert werden jedoch wurde die Anzeige und das automatische Auswerten als mangelhaft bewert
119. easy to use The execution can be done via the command line or inside the IDE but WatiN is a Net library so the only way to use it is by developing an own test project using a Net compatible language T Plan robot is a pure java application so there is no installation required but the development of test cases is time consuming as there is no cap ture engine available Furthermore the tool is not very intuitive The execution is done inside the IDE or via the command line In terms of interoperability T Plan robot is able to automate every platform providing a VNC server so compatibility is ranked high WatiN is compatible with the most common used browsers like Internet Explorer and Mozilla Firefox but limited to Windows Microsoft and Net and hence does not perform as good as T Plan robot Selenium runs on eve ry platform supporting Java 1 5 With its wide support for programming languages it fits into most existing environments Canoo Web Test is also compatible as it uses Ant scripts which allows direct and easy integration with continuous integration tools Canoo Web Test WatiN and T Plan robot have no guaranteed support Contrary to the other tools Selenium has com munity support an own IRC channel and a bug tracker Moreover numerous companies are KOS content Seite 425 38 listed to provide commercial support which guarantee support in urgent situations WatiN can only be customized when writing own code and T Plan robot offe
120. ed The commercial tools IBM Rational and HP Quality Center and the best rated test automation tool Selenium are capable of both while the remaining open source test automation tools only support black box testing The interoperability between test management tools and test automation tools is guaranteed for all of them as they all have an API interface which enables the communication between soft ware components The commercial tools have test automation and test management capabili ties and can also be combined with all other open source tools as they provide an API interface This could be relevant when an open source tool is already utilized within the company and should be extended with additional functionalities Concerning stability and user documentation the evaluated tools fulfill the requirements User right administration is a functionality which ap plies to the test management tools and is included in RedMine TestLink Bugzilla Testopia RTH HP Quality Center and IBM Rational whereas the planning and management of test re sources is only available within Redmine TestLink and the commercial tools A further function al requirement is the ability of importing and exporting test cases from Excel sheets This re quirement is fulfilled by all test management tools but it could be possible that an additional Plug In needs to be downloaded to provide this functionality Another feature that is also very important is requirement managemen
121. effectiveness as described in the following section 16 Cf IBM 2011 p 1 17 IBM 2011 p 1 18 IBM Deutschland GmbH w y 19 Testmanagement com w y KOS content Seite 393 2 4 Test Automation Test management can be applied on manual as well as automated testing tools This part will outline the advantages and disadvantages of automatizing test management Test automation technologies have not reached every industry yet due to missing standards and best practices As test cases become more and more complex and the time pressure in creases companies start focusing on these technologies The intention of test automation is to establish high test coverage decrease costs and reducing errors by using a testing tool Therefore an automated test is able to provide the following advantages when applied properly e Reduction of testing effort e Cost reduction e Discharge of testing personnel through automated regression tests e High test coverage and optimized software quality e Enhanced performance e Increased efficiency e Shortened test duration e Reusable test sets e Continuous testing throughout the whole development process not just in the end However test automation involves several risks e If the test activities have not been planned costs may increase e Initial expenditure is high e Maintenance costs of the testing scripts can increase e Unrealistic expectations regarding the tool e Technica
122. ein Fehlererkennung Syntax Check Ja Nein Unterstiitzung von Gastsprachen Ja Nein Debuging Grafisches Schritt f r Schritt Debuging Ja Nein Remote Debugging Ja Nein Anbindung von externen Systemen SSH Ja Nein Datenbanken Ja Nein _Nicht Funktlonale Kriterien Beratungsdienstleistungen Ja Nein Support Ja Nein Eclipse Version Tabelle 1 Vergleichskriterien 3 5 Produktvergleich Der urspriingliche Anspruch an diese Fallstudie war es aus dem gesamten Spektrum an verfiigba ren Produkten vorrangig jene herauszufiltern die als OSS Plugin L sung verfiibar sind Nach einer umfangreichen Literatur und Internetrecherche wurden zun chst alle Tools zusammengetragen die auf Eclipse basieren Hieraus wurde die Erkenntnis gewonnen dass die Verf gbarkeit reiner OSS Applikationen zum Zeitpunkt der Entstehung dieser Arbeit marginal ist Deren Evaluation widerum war aufgrund unterschiedlicher Faktoren veraltete Referenzen auf den Quellcode technische Aspekte mangelnde Kommunikationsbereitschaft der Entwickler nicht m glich Daher besteht die zu analysierende Stichprobe entgegen dem urspr nglichen Ansatz prim r aus kommerziellen L sungen Um die Stichprobenl nge zu erh hen wurden zudem Eclipse Bundles miteinbezogen statt ausschlie lich Plugins zu betrachten Von dieser Auswahl an Produkten wurden letztlich die Tools getestet die zum Zeitpunkt der Durchf hrung dieser Untersuchung der DHBW Stuttgart verf gbar waren Eben gena
123. eine nderung 14 Ok tober 2011 lediglich vereinzelte nderungen die sich auf Grund von Fehlern ergeben haben 7 Vgl DVWA 2012b http code google com feeds p dvwa svnchanges basic KOS content Seite 464 21 wurden im Marz diesen Jahres umgesetzt Infolgedessen konnten in diesem Fall nur zwei von drei Punkten bei der Bewertung vergeben werden In Bezug auf die Community zeigt die Recherche dass zwei dedizierte Personen als aktive Ent wickler eingetragen sind Positiv hervorzuheben ist das Bugtracking welches gut kommentiert und Ubersichtlich dargestellt wird Hinsichtlich der Community ist weder ein Forum noch ein Chat auffindbar weshalb in diesem Fall keine Punkte vergeben werden konnten Weiterhin k nnen lediglich zwei aktive Entwickler genannten werden welche auf Anfragen reagieren und vermutlich in der Lage sind neue Sicher heitsl cken zu implementieren Allerdings fand in den letzten vier Monaten keine Reaktion auf die se statt Im Bereich der Installation hat sich gezeigt dass DVWA ohne Aufwand in die bestehende Umge bung zu integrieren ist und nur wenige Konfigurationen notwendig sind um den Honeypot zu in stallieren Hinsichtlich der Usability hat das Open Source Projekt in der Bewertung weitestgehend gut abge schnitten Was die Aufgabenangemessenheit betrifft ist ein hohes Lernpotenzial zu verzeichnen In Bezug auf die Steuerbarkeit wird der Benutzer klar durch die Anwendung gef hrt Die Individua li
124. eite 419 32 4 Evaluation 4 1 Test Management Open Source Common Software Test Management Criteria Criteria criteria Ranking BugzillaTestopia 92 68 76 236 Testlink 96 91 88 275 Redmine 66 66 63 195 RTH 50 54 49 153 Table 2 Overview of Evaluation Results for Test Management Tools The test management tools evaluated above are open source licensed under GPL Bugzilla Testopia developed by Mozilla Foundation is furthermore licensed under MPL Mozilla Public Licence TestLink as well as Bugzilla Testopia take leading positions according to the commu nity support which becomes apparent in FAQ s and forums TestLink is supported by a large group of international testers and developing experts whereas Bugzilla Testopia is maintained and greatly supported by Mozilla Foundation additionally commercial support is provided by Mozilla while Redmine offers a public forum permitting open discussions FAQ s and active chat rooms The Requirement and Testing Hub support is restricted to a public discussion forum and no community support is provided due to an one man developer team Consequently Redmine and RTH received a lower ranking than TestLink and Bugzilla Testopia for the criterion community TestLink Bugzilla Testopia and Redmine published regular releases while RTH provided less improvement activity to their user groups as a result of its limited human re sources lts last release was made available in 2009 TestLin
125. elected tools may not be suitable options Usability and support however can be compensated A precise user manual may make up for bad usability and support may when it is not available for free be obtainable at an additional expense 3 3 3 Functional criteria Test Management The following section focuses on an additional set of criteria which are used to evaluate the functionality of the previously selected open source test management tools Unlike the two sets introduced above these criteria are only applicable to test management tools while another set of additional functional criteria will be used to evaluate open source test automation tools The following criteria have been identified through an extensive review of test management tool re 88 Cf Abiodun O M 2011 p 8 et sqq KOS content Seite 416 29 lated requirements Test planning Test requirement plan design test cases execution of test cases detect defects user right administration concept reports and web access The first criterion to be assessed is Test planning which describes the ability to create and manipulate a test plan This criterion also includes the evaluation of the ability to link the test plan to test requirements The next criterion to be evaluated refers to the Test requirement plan or in other word the ability to create modify and delete test requirements The third cri terion in this section describes the ability to design test c
126. elsweise das Vorhandensein von relevanten Sicherheitsl cken bei Webapplikationen oder aber die Einfachheit der Installation und die Usability des Honeypots Das Ergebnis dieser Arbeit enth lt im Wesentli chen e eine modulare Bewertungsmatrix zur weiteren Verwendung und optional individuellen Modifikation durch den Leser und e konkrete Empfehlungen von Honeypots welche sich zur Schulung von Mitarbeitern eig nen um typische Sicherheitsl cken aufzuzeigen Die Bewertungsmatrix enth lt mehrere Kategorien welche wiederum von verschiedenen Kriterien bestimmt werden Dieser Kategorien k nnen je nach Schwerpunktsetzung des Unternehmens un terschiedlich gewichtet werden Vorteilhaft ist dabei die Modularit t der Matrix Weiterhin sollen diese ausgew hlten Honeypots Unternehmen dabei unterst tzen Sicherheitsl cken auf deren eigenen Webapplikationen zu vermeiden Der Einsatz von Honeypots kann in Pe netration Test Laboren Workshops zur IT Sicherheit oder anderen Trainings stattfinden Neben dem Lerneffekt f r Webentwickler ist IT Sicherheit in einem Unternehmen unabdingbar 1 3 Vorgehensweise Die Arbeit gibt zun chst Aufschluss ber verschiedene Arten von Honeypots die Definition dieser und eine Erl uterung von Penetration Test Laboren welches ein notwendiger Schritt ist um zu verstehen welche Honeypots zu welchen Zwecken in dieser Ausarbeitung n her betrachtet wer den Darauf aufbauend folgt die Beschreibung der angewandten Meth
127. en Unsichere direkte Objektreferenzen treten auf wenn Entwickler Referenzen zu internen Imple mentierungsobjekten wie Dateien Ordner oder Datenbankschl ssel von auBen zug nglich ma chen Ohne Zugriffskontrolle oder anderen Schutz k nnen Angreifer diese Referenzen manipulie ren um unautorisiert Zugriff auf Daten zu erlangen 3 1 5 Cross Site Request Forgery CSRF Ein CSRF Angriff bringt den Browser eines angemeldeten Benutzers dazu einen manipulierten HTTP Request an die verwundbare Anwendung zu senden Session Cookies und andere Authen tifizierungsinformationen werden dabei automatisch vom Browser mitgesendet Dies erlaubt es dem Angreifer Aktionen innerhalb der betroffenen Anwendungen im Namen und Kontext des an gegriffen Benutzers auszuf hren 3 1 6 Sicherheitsrelevante Fehlkonfiguration Sicherheit erfordert die Festlegung und Umsetzung einer sicheren Konfiguration f r Anwendun gen Frameworks Applikations Web und Datenbankserver sowie deren Plattformen Alle ent sprechenden Einstellungen m ssen definiert umgesetzt und gewartet werden da sie meist nicht mit sicheren Grundeinstellungen ausgeliefert werden Dies umfasst auch die regelm ige Aktuali sierung aller Software inklusive verwendeten Bibliotheken und Komponenten 3 1 7 Kryptografisch unsichere Speicherung Viele Anwendungen sch tzen sensible Daten wie Kreditkartendaten oder Zugangsinforma tionen nicht ausreichend durch Versch
128. en hnlich Ein Produkt unter der BSD Lizenz muss nicht quelloffen ver ffentlicht werden Es gibt unterschiedlichste Tools die unter den beiden Open Source Lizenzen ver ffentlicht sind Einige der Tools werden von der Community nicht mehr weiterentwickelt wie zum Bei spiel OpenSTA welches vor ein paar Jahren in diversen Rankings sehr gute Bewertungen 15 Vgl Schimrazki O 2009 S 20 1 Vgl ebenda S 20 Weber S 2004 S 1 18 Ygl Weber S 2004 S 6 19 Ygl ebenda S 6 KOS content Seite 515 erhielt Jedoch wurden keine neuen Updates seit 2007 ver ffentlicht Es ist daher anzu nehmen dass dieses Tool folglich nicht unterst tzt wird Dies ist ein zu beachtendes Problem bei Wahl und Anwendung von Open Source Software da die verantwortlichen Communities jederzeit Releases und Support einstellen k nnen und so keine fortwahrende Aktualit t und Unterst tzung gew hrleistet werden k nnen In Anhang 1 befindet sich eine Auflistung von verschieden Open Source Performance Testtools Um eine hohe Aktualitat dieser Arbeit zu gewahrleisten wurden f r die Vergleichsstudie nur Programme ausgew hlt von denen im letzten Jahr bzw bereits dieses Jahr Updates ver ffentlicht wurden Es wurde eine Auswahl an vier Tools getroffen die anhand der in 3 2 er lauterten Krieterien bewertet wurden JMeter The Grinder PushtoTest TestMaker und FunkLoad Aus Tabelle 1 geht hervor wann die neuste Version der jeweiligen Tools
129. en dass keiner der Autoren COBOL Entwickler ist Das Wissen und insbesondere die praktische Erfahrung hinsichtlich der Spezifika der Pro grammiersprache miissen daher als begrenzt eingestuft werden Dies impliziert dass in zahlreichen Belangen auf die Angaben von Gesprachspartnern und die korrekte Darstellung in der Literatur vertraut wurde Test Infrastruktur Es ist festzustellen dass trotz einer Installation und Konfiguration einzelner Plugins in einer Testinstanz keine ad quate Testumgebung fiir jedes evaluierte Produkt zur Verfiigung stand Dies bedeutet dass die Evaluation der Plugins vorrangig auf theoretischer Basis stattfand Eine repr sentative Simulation des Build Prozesses der Versicherung war im Rahmen der Fallstudie nicht m glich Dies impliziert das Potenzial der Nichtbeachtung infrastruktureller Spezi fika die erst in der praktischen Anwendung der L sungen zu Tage treten Insbesondere wurde die Java Entwicklung der Versicherung nicht gesondert betrachtet bzw in die vorliegende Analyse mit einbezogen Es ist aus diesem Grund nicht auszuschlie en dass bestimmte Entwicklungsmethoden oder IDE Konfigurationen Implikationen auf die zu integrierenden COBOL Plugins haben k nnten Ressourcenknappheit Als letzter limitierender Aspekt ist die Begrenztheit der Ressourcen zu nennen die zur Bearbeitung dieser Fallstudie zur Verf gung standen Am schwersten wiegt dabei die begrenzte Zeit zur Erstellung der Arbeit Daneben ist jedoch
130. en ergibt sich unter Umst nden ein anderes Endergebnis Es ist explizit gew nscht dass der Leser dieser Vergleichsstudie die Gewichtung der Kriterien an die individuellen Bed rfnisse an passen kann und so das individuell am besten geeignete Tool auszuw hlen 6 Auswertung Bei der Betrachtung der Tabelle lassen sich zwei klare Testsieger aus der Bewertung identi fizieren der JMeter als Allesk nner und der TestMaker als der Exot unter den aus gew hlten Tools In diesem Kapitel werden die einzelnen Produkte mit ihren Vor und Nach teilen gegen bergestellt Alle vorgestellten Tools sind mit marginalen Einschr nkungen einfach zu installieren erm g lichen eine parallele Nutzerverwaltung und k nnen verteilte Anwendungen testen FunkLoad das Expertentool schneidet in der Gesamtbewertung am schlechtesten ab Begr ndet wird dies durch die fehlende Unterst tzung bei der Testfallgenerierung und die nicht vorhandene graphische Benutzeroberfl che Nichtsdestotrotz weist dieses Tool auch einige Vorteile auf Er eignet sich vor allem f r Experten die den Anspruch haben hoch KOS content Seite 548 39 komplexe Testf lle mit groBem Ressourceneinsatz zu generieren ohne dabei von Interfaces und Frameworks beschr nkt zu werden Aus diesem Grund hat der FunklLoad jedoch auch in der Hauptkategorie Bedienbarkeit bewertet mit 30 Punkten im Gegensatz zum JMeter mit 120 Punkten schlecht abgeschnitten Anwender die bereits
131. en Kri terien zur Bewertung eines Honeypots zu Trainingszwecken 3 1 Sicherheitslucken Die bewusste Existenz von Sicherheitsl cken ist eine grundlegende Eigenschaft von Honeypots Um zu bewerten ob ein Honeypot eine ausreichende Menge und die richtigen Arten von Sicher heitsl cken bietet wird in dieser Arbeit jeder diskutierte Honeypot auf die OWASP Top 10 gepr ft Das Open Web Application Security Project ist eine offene internationale herstellerunabhangige Community mit dem Ziel Organisationen dabei zu unterst tzen Web Applikationen so zu konzipie ren entwickeln erwerben betreiben und warten dass sie sicher und vertrauensw rdig sind Bei der Auswahl der Sicherheitsl cken wird nicht nur nach Haufigkeit sondern nach Risiko d h einer Summe aus den folgenden Faktoren zusammengestellt e Angriffsvektor Wer hat die M glichkeit f r den Angriff Welche Informationen stehen den Angreifern zur Verf gung e Verbreitung Wie h ufig tritt die Sicherheitsl cke auf e Auffindbarkeit Wie leicht ist es f r einen Angreifer die L cke zu finden e Technischer Auswirkung Welche M glichkeiten hat der Angreifer falls die L cke ausge nutzt wird Die aktuellen OWASP Top 10 sind weit verbreitet und akzeptiert und decken sich gr tenteils mit der anerkannten Liste der 25 gr ten Softwarefehler die j hrlich von MITRE und SANS her ausgegeben wird Dar ber hinaus werden die OWASP Top 10 von der US Federal Trade C
132. en Usern simuliert Dies soll verdeutlichen in welchen Dimensionen sich mit The Grinder Userinteraktionen simulieren lassen 4 2 3 Funktionalit t Die Testfallgenerierung mittels des Grinders erfolgt ber das Schreiben oder Aufnehmen von Skripten in der Sprache Jython Der Grinder 2 hatte den Nachteil dass Testfalle nicht aufgenommen und somit auch die Testskripte nicht integriert erstellt werden konnten Testskripte mussten manuell in einem Editor erstellt und konfiguriert werden The Grinder 3 wurde stark erweitert und bietet die M glichkeit Testskripte auszuf hren die in Java oder in Jython geschrieben sind Desweiteren k nnen nun Testskripte ber einen Transmission Control Protocol TCP Proxy aufgenommen und anschlieBend zum Beispiel durch des Eclipse Plug in GrinderStone nachbearbeitet werden Der TCP Proxy ist ein Test fallgenerator zur automatischen Erstellung von Grinder Testskripten Somit ist die integrierte Aufnahme von Testf llen in diesem Tool nur bedingt ber Erweiterungen gegeben W hrend der Durchf hrung der Tests werden verschiedene Log Files erstellt mit dessen Daten die im System vordefinierten Graphen zur Visualisierung von Antwortzeiten und Datendurchs tzen erzeugt werden siehe Abb 4 Dabei werden die Anzahl der Anfragen die Anzahl der Fehler die Minimum Maximum und Durchschnittsantwortzeiten und die Anzahl der Tests pro Sekunde f r jeden Test angezeigt und gespeichert Alle aufgetretenen Fehler werd
133. en erfolgt Die Dokumentation des Hacme Casinos welche Installation und intentionale Sicher heitsl cken beinhaltet ist in einem PDF Dokument auf der McAfee Website auffindbar Neben der offiziellen Dokumentation existieren diverse Youtube Videos in denen verschiedene Sicherheitsl cken erklart und ausgenutzt werden Wird allerdings eine andere Plattform als Windows XP ge nutzt kann es zu erheblichen Komplikationen bei der Ausf hrung kommen Die offiziell dokumen tierten Sicherheitsl cken umfassen nicht alle vorhandenen Sicherheitsl cken au erdem entspre chen sie nicht in vollem Umfang den OWASP Top 10 sondern decken lediglich 7 von 10 ab Interessant an dem HacMe Casino sind durchf hrbare Cross Site Scripting Attacken Diese sind hier gut durchf hrbar da mehrere Nutzer im Casino angemeldet sein k nnen und die Auswirkun gen sehr plastisch erlebbar sind So kann ein von einem Angreifer geschickter Link der von einem eingeloggten Nutzer angeklickt wird dazu f hren dass der ahnungslose Nutzer all sein Online Geld zum Angreifer berweist HACME CASINO A Please login yy IN Login F Welcome to HacmeCasino the best Gambling Site on the Net Password r hand at po LOGIN 4 gt at lt lt Register Abb 8 Startbildschirm des HacMe Casinos Das HacMe Casino stellt die Imitation einer echten Web Anwendung dar und verzichtet daher auf integrierte Hinweise und Informationen zu den einzelnen Sicherheitsl cken
134. en in einer Error Datei gespeichert und k nnen sp ter separat in einem Spreadsheettool wie Microsoft Excel ausgewertet werden Desweiteren wird eine Zusammenfassung erstellt die alle Tests mit der jeweiligen Anzahl der erfolgreichen und fehlerhaften Durchl ufe und die dazugeh rigen mittleren Testzeiten in Millisekunden und die Teststandardabweichung in Millisekunden auflistet Im Allgemeinen wird die Ausgabe der Messwerte des Grinders als schwach eingesch tzt da ein Gro teil der Informationen nur in Logdateien vorliegt und durch zus tzliche Tools nachtr glich manuell grafisch aufbereitet werden muss Daher sind f r die grafischen Auswertungen externe Tools n tig wie zum Bei spiel das Open Source Zusatzprogramm Grinder Analyzer das die Auswertung von Standard Log Dateien erm glicht Es wird empfohlen solche Programme zu nutzen da kon ventionelle Programme wie z B Microsoft Excel die Masse der anfallenden Testdaten nicht KOS content Seite 531 22 ad quat verarbeiten k nnen und eine Aggregation der Daten zu einer Verf lschung der Er gebnisse f hren kann Der Grinder erzeugt Last auf einem System und protokolliert die Zeiten die einzelne Methoden auf der Client Seite zur Ausf hrung ben tigen Es werden jedoch keine System messungen auf der Serverseite unterst tzt CLAN File Action Help Disain ao a Sample interval 1000 ms f E crams L pes 2m u D Eee 1 Tes Ignore 1 sample 1 Collect samples fore
135. en lediglich Unterst tzung in Foren und von der Community erstellten Anleitungen Ein Angebot von Supportleistungen durch Drittanbieter konnte trotz intensiver Recherche ebenfalls nicht am Markt gefunden werden Die umfangreiche Berichterstellung des FunkLoads erm glicht es zu s mtlichen simulierten Szenarien Reports und Auswertungen vorzunehmen Diese k nnen je nach Art im HTML PDF und XLS Format ausgegeben werden Folgendes Beispiel beschreibt die Erstellung eines in Python geschriebenen Test Skripts Ausgangssituation ist die Erstellung eines einfachen Test Packets mytest Allerdings handelt es sich lediglich um exemplarische Fragmente eines blichen Testscripts Die Dar stellung eines ganzen Tests wurde an dieser Stelle als nicht sinnvoll erachtet ls mytest Jee eng eene jay Joa lolo Cro Suu joy Swe ls mytest src mytest dle E COSTS S ls mytest src mytest tests ble O reste Sama lo py mme Comik Wie beschrieben bestehen FunkLoad spezifische Tests aus einem Testskript und einer Konfigurationsdatei cfg Diese wird wie folgt erstellt buildout develop parts FunkLoad FunkLoad recipe collective recipe FunkLoad url http www testFunkLoad de Sage MESSE t Vgl Benoit Delbosc 2011 KOS content Seite 543 34 Das Skript zeigt die generellen Parameter welche im Test beinhaltet sind So wird in diesem Beispiel die fiktive URL www testFunkLoad de getestet Der Host spie
136. enarien genau so m g lich ist wie die einfache Abfolge von Protokollabfragen KOS content Seite 520 11 Neben der Testfallgenerierung wird untersucht wie die gewonnenen Testdaten im Anschluss an einen Test analysiert und interpretiert werden Aufgrund der speziellen Anforderungen der getesteten Systeme ist dies nicht von den Lasttesttools selbst durchf hrbar sondern sollte individuell gestaltet werden Die Lasttesttools k nnen den Anwender hier lediglich bei der Darstellung der Informationen unterst tzen Deshalb wird untersucht in welchem Daten format die Testergebnisse vorliegen Dies k nnen einfache Textdateien sein eine graphische Darstellung der Informationen mittels Graphen und Diagrammen das Erzeugen von Berichten bis hin zu der M glichkeit alle gesammelten Rohdaten in Tabellen oder Datenbanken zu exportieren Testbare Funktionalit ten Webservices XML Webanwendung Datenbanken Middleware Testfallgenerierung amp Scenariounterst tzung Manuelle Testfallgenerierung Recording von Testf llen Integrierte Testfallgenerierung Client seitiges Testing Server seitiges Testing Parametrisierung Komplexit t der Szenarien Auswertung amp Genauigkeit der Testergebnisse Graphische Ausgabe der Testergebnisse Speicherung in Log Files Exportierbarkeit in Spreadsheettools Format der Auswertung Tabelle 5 berblick ber die Kategorie Funktionalit t 2 Vgl Stolze J 2008 KOS content Seite 521 12
137. ences justify a separate examination of the two within the third chapter which on the one hand determines specific characteristics regarding test man agement and test automation and on the other hand describes the tool selection process in both areas Furthermore chapter 3 presents the criteria which make up the evaluation matrix and therefore serve as basis for the tool assessment In chapter 4 the results of the evaluation pro cess of the selected test management and test automation tools will be introduced The out come is utilized to compare and evaluate the tools with the intention to create a final ranking Moreover the company will receive an individualized and customized recommendation for implementing test management and test automation software in chapter 5 Finally the conclusion will provide a summary on the presented findings 6 Cf Gartner Inc 2011 KOS content Seite 390 2 Theoretical Principles 2 1 Open Source Software The traditionally applied software within a company is known as proprietary software whose license was purchased from a software vendor Due to the inaccessible source code of this commercialization it is called Closed Source Software In contrast the source code of OSS is public and can be modified to fit the company s need As the improvement progress of this software type is openly accessible and publicly documented it promotes cost efficiency since upgrades remain free Thus low exp
138. endung neben den 6 Punkten der ISO Norm ber cksichtigt Eine weitere Evaluationsm glichkeit bietet das DATech Pr fverfahren f r die Konformit tspr fung interaktiver Systeme auf Grundlage von DIN EN ISO 9241 Teile 11 und 110 welches weitere Normen und Werkzeuge bietet die Benutzerfreundlichkeit zu bewerten Im Rahmen der Arbeit wird jedoch ausschlie lich auf die ISO Norm Bezug genommen da die dort gegebenen Kriterien aus reichend f r die Bewertung der Benutzerfreundlichkeit sind und eine Integration des DATech Pr fverfahren den Rahmen in diesem Bewertungsbereich bersteigt 22 Vgl Wirth T 2009 http kommdesign de texte din htm Blended Learning ist integriertes Lernen also die Mischung von Pr senz und Online Anteilen in der Leh re O V 2011 http www e learning fu berlin de lehren mit neuen medien einsatzszenarien blended learning index html DATech 2009 http www datech de share files Leitfaden Usability pdf KOS content Seite 459 16 3 5 Zus tzliche Features In dieser Kategorie werden Features erfasst die zu Beginn der Evaluation nicht erwartet wurden aber einen Mehrwert f r die Nutzer bieten k nnen Da es keine Norm gibt die vorschreibt welche Funktionen ein Honeypot bieten muss ist zu erwar ten dass jeder Honeypot andere Features enth lt Die zus tzlichen Features k nnen auch den Ausschlag geben wenn bereits ein sehr konkreter Use Case vorhanden ist der besondere Funkti
139. enses mainly influence the popularity of OSS The development of OSS and its progress is driven by communities which includes private people as well as enterprises The motivation for improvement varies between simply gaining experience and sharing information staying up to date and having inside knowledge of modern technology or promoting OSS financially and logistically to increase in terest and progress Due to the development team s dependence on the financial logistical and technical requirements of sponsors as well as the process of OSS implementation into a com pany s business licensing is a controversial issue Therefore the improvement of increasing professionalism and quality is supported from two different perspectives The community in the background provides OSS as an alternative to proprietary enterprise solutions Consequently the integration needs to be carefully analyzed by the strength of supporters as the progress crit ically depends on the cooperation between private households and public companies Common ly known examples of Open Source Software are Android supported by Google and Firefox sponsored by Mozilla as opposed to the Internet Explorer funded by Microsoft 2 2 Definition of testing Before stepping into the process of examining test management and test automation it is nec essary to define the term testing While several sources focus on establishing confidence that a program of system does what
140. epaper html retrieval 21 05 2012 Web Test Key Characteristics http webtest canoo com w ebtest manual keyCharacteristics html retrieval 15 06 2012 Survey founds 58 of Software Bugs Result from Test In frastructure and Process Not Design Defects http www electric cloud com news 2010 0602 php retriev al 03 07 2012 Gartner Survey Reveals More than Half of Respondents Have Adopted Open source Software Solutions as Part of IT strategy http www gartner com it page isp id 1541414 retrieval 03 07 2012 Developer Library http www ibm com developerworks rational library 06 1107_davis retrieval 05 06 2012 Recommended open source tools for test management and defect tracking http www ezdia com epad recommended open source tool test management defect tracking 681 KOS content Seite 437 Lanier J 2007 Opensourcetesting org 2012 Prins A 2009 QA TestLab 2009 Redmine 2011 Redmine 2012 Rouse M 2007 Selenium 2011 Selenium 2012 Simon H 2007 TestJournal 2011 50 retrieval 17 05 2012 Discover Magazine Long Live Closed Source Software http discovermagazine com 2007 dec long live closed source software article_view b_ start int 1 amp C retrieval 29 06 2012 Functional testing http www opensourcetesting org functio nal php retrieval 20 09 2012 Software Testing and more http www testingthefuture net 2009 08 275 retrieval 12
141. er Anwendung Auf welchen Teilen einer Anwendung ein Test aus gef hrt wird muss der Benutzer des TestMakers in einer XML Datei der sogenannten TestScenario Datei definieren Die Instanzen einer Software Anwendung auf der die Vgl Schimrazki O 2009 S 16 f Vgl ebenda S 18 KOS content Seite 538 29 Tests ausgef hrt werden k nnen dabei sowohl lokal liegen als auch ber mehrere Maschinen verteilt sein Wo die einzelnen zu testenden Instanzen der Anwendung liegen wird ebenfalls in der TestScenario Datei definiert Dadurch erm glicht der TestMaker auch das Testen von verteilten Anwendungen Bei der Ausf hrung eines Tests werden zun chst die ben tigten Daten auf die zu testenden Knoten der Anwendung bertragen Mithilfe der sogenannten Data Protection Library werden die Tests in der nativen Sprache bzw dem nativen Protokoll des zu testenden Systems abgespielt und die Resultate in einer Log Datei gespeichert W hrend der Aus f hrung von Tests berwacht der Monitor des TestMakers die Ressourcenauslastung der Anwendung und erstellt entsprechende Statistiken Durch die anschlie ende Korrelation der Beobachtungsdaten mit den Testfalloperationen unterst tzt der TestMaker dabei m gliche Flaschenh lse in der getesteten Anwendung zu identifizieren Einen berblick ber den Datenaustausch w hrend des Ablauf eines Tests liefert Abb 6 Se a Applicatior Abb 6 Datenaustaus
142. er den JMeter enth lt wird zu dieser Last ein Vergleich aufgestellt Es wird beschrieben dass JMeter eine weitaus h here Last auf einem System generieren kann als ein normaler Benutzer da Anfragen schneller durch gef hrt werden Ein durchschnittlicher Benutzer wartet ungef hr 10 Sekunden bis er auf einen neuen Link klickt Der JMeter wartet eine Sekunde und kann somit die zehnfache Last generieren Zudem kann das Tool Anwendungen auf korrekte R ckgabewerte testen indem Testskripte erstellt werden die eine Validierung der vorhandenen R ckgabewerte vor nehmen P 4 1 1 Voraussetzungen Urspr nglich wurde der JMeter f r Windows entwickelt mittlerweile finden sich jedoch auch Unix Linux Solaris etc Versionen Um die Version von JMeter 1 9 1 selbst zu kompilieren bzw auszuf hren wird mindestens das Java Development Kit JDK 1 4 ben tigt Als Extensible Markup Language XML Parser wird standardmaBig der Xerces XML Parser3 verwendet jedoch ist die Verwendung eines anderen Parsers ebenso m glich Falls Web seiten getestet werden sollen die eine Verschlusselung verwenden muss eine Java SSL 8 Vgl Stoll C Pommerening T 2004 S 6 Vgl Apache Software Foundation 2012 2 Val JMeter Wiki 2011 Vgl Stoll C Pommerening T 2004 S 6 KOS content Seite 523 14 Implementierung installiert werden Da die Version 1 9 1 das Java Runtime Environment JRE 1 4 ben tigt kann die darin integrierte JS
143. erheitsl cken http owasp de top10 Abruf 06 06 2012 OWASP Startseite https www owasp org Abruf 06 06 2012 OWASP About page https www owasp org index php About_ OWASP Abruf 06 06 2012 The Owasp webgoat Archives https lists owasp org pipermail owasp OWASP Webgoat 0 J Pentestlab 2012 Saindane M 2006 SpiegelOnline 2012 Spitzner L 2003 Thomas S 2007 Wireshark 0 J 61 KOS content Seite 505 webgoat Abruf 18 06 2012 Security Hacking Training Movies http yehg net lab prOjs training webgoat php Abruf 18 06 2012 PenTestLaboratory http pentestlab org about us Abruf 25 06 2012 Penetration testing a systematic ap proach http www infosecwriters com text_resour ces pdf PenTest_MSaindane pdf Abruf 31 05 2012 Hacker knacken Server der SPD http www spiegel de netzwelt web partei gehackt unbekannte knacken server der spd a 833905 html Abruf 15 05 2012 Honeypots Definitions and Value of Honeypots http www tracking hackers com papers honeypots html Abruf 25 05 2012 Penetration Test Sicherheits berpr fung von Netzwerk oder Softwaresystemen aus Hacker Sicht http www trivadis com uploads tx_cabag downloadar ea Penetration_Final_070802 pdf Abruf 30 05 2012 Wireshark Homepage http www wireshark org Abruf Wirth T 2009 62 KOS content Seite 506 18 06 2012 Usability http kommdesign de texte din htm
144. erium wird in vielen bereits existierenden Ver gleichsstudien abgehandelt Dabei dient sie zun chst der Angabe in welcher Sprache das Tool programmiert wurde und welche Scripting Sprache n zur Erzeugung von Testf llen ge nutzt werden Eine wichtige Voraussetzung f r ein Lasttesttool ist dass es mit den System voraussetzungen des zu testenden Systems kompatibel ist Aus diesem Grund sollte man sich im Vorfeld informieren welche Protokolle unterst tzt werden m ssen auf welchen Platt formen das System l uft und somit auch testbar sein muss oder ob sogar ein g nzliche plattformunabh ngig erforderlich ist So sind manche der getesteten Tools plattformun abh ngig andere wiederum nur f r Anwendungen unter Windows oder Linux geeignet F r diese Vergleichsstudie wurde die Plattformabh ngigkeit bzw unabh ngigkeit unter Ber ck KOS content Seite 518 sichtigung der drei am weitesten verbreiteten Betriebssysteme Windows Linux und Unix verglichen Ein weiteres Merkmal sind die vom Testtool unterst tzten Protokolle die es m glich machen nicht nur Webanwendungen sondern zum Beispiel auch Datenbanken und Java Applikationen zu testen Hierbei wurden die folgenden g ngigen Protokolle in die Vergleichs liste aufgenommen das HTTP und HTTPs Protokoll PoP3 Java Database Connectivity JDBC Protokoll f r Datenbanken File Transfer Protocol FTP Asynchronous JavaScript and XML AJAX und Secure Sockets Layer SSL Des Weiteren f
145. ert werden Wie Abbildung 10 zu entnehmen ist assistiert der Editor dem Entwickler ebenfalls durch das Vorschlagen von Befehlen bzw sonstiger Syntax Neben Code Highlighting verf gt cobolclipse auch ber eine Fehlerkennung der Syntax ber Hintergrundkompilierung Die Besonderheit ist hierbei dass diese Funktion auch ohne Existenz 46 Produktseite http bit 1y N8aXcc 47 Vgl 2012 S 1 KOS content Seite 365 21 eines lokalen Compilers verf gbar ist Nach entsprechender Konfiguration sendet cobolclipse den Quellcode im Hintegrund an ein entferntes System kompiliert diesen und bertr gt entdeckte Fehler zur ck in den Editor Der Start dieses Vorgangs kann wahlweise an das Speichern einer Datei gebunden oder durch manuelle Benutzereingabe ausgel st werden Eine Unterst tzung von Gastsprachen und zugeh rigen Pre Prozessoren existiert wenn auch mit limitierter Funktionalit t Cobolclipse unterst tzt lediglich Gastsprachen die mit dem COBOL 88 Standard kompatibel sind Die Einbindung der Pre Prozessoren ist mit situationsabh ngigem Aufwand manuell m glich E PROG3 cbI a 01 LSS PIC 9 2 COMP 91 ITM PIC S9 4 COMP 01 AMA 05 D PIC 99 05 B PIC 99 E 5 C PIC 99 PROCEDURE DIVISION MAIN COODE MOVE NUMI TO NU MOVE NAMEI TO NA ex 5 Na xas 5 NAMEL X 18 COPYBOOKL EN EX END EXEC MOVE WELCOME TO WSS EXEC CICS SEND CONTROL ALARM END EXEC Abbildung 10 cobolclipse
146. es o o e nenn 31 Gewichtung der Vergleichskriterien 2 2 22 2 CC a e a 32 KOS content Seite 345 1 Einleitung 1 1 Motivation Die Open Source Plattform Eclipse stellt heutzutage im Umfeld der Programmiersprache Java eine der meistgenutzten integrierten Entwicklungsumgebungen engl Integrated Development Environment IDE dar Im Zusammenhang mit neuen Konzepten der Software Entwicklung z B agiler Software Entwicklung bietet Eclipse viele Funktionalit ten die den kompletten Ent wicklungsprozess unterst tzen Dies vermeidet zum einen m gliche Schnittstellenproblematiken zum anderen erm glicht es eine einheitliche Arbeitsweise unter den Entwicklern Vor allem f r Java bietet das durch Plugins realisierte modulare Konzept der IDE viele Vorteile Eben diese Plugins erm glichen allerdings auch die Entwicklung in anderen Programmiersprachen Im Banken und Versicherungssektor ist die Verbreitung der Eclipse Plattform heute noch begrenzt 95 dieser Unternehmen nutzen Mainframe Gro rechner f r die Verarbeitung ihrer Daten Anwendungen werden gr tenteils in der Programmiersprache COBOL programmiert die als sehr alte Sprache nur wenige Aspekte moderner Programmiersprachen abbildet F r die COBOL Entwicklung existieren diverse eigenst ndige Entwicklungsumgebungen die jedoch wenig mit der oben vorgestellten Eclipe IDE gemein haben So bieten sie im Vergleich relativ wenig Nutzerkomfort und kaum Unterst tzungsfunkti
147. es 10 Die Gewichtungen wurden dabei so gew hlt dass das Gesamtergebnis einen allgemeinen Ein druck wie er f r den Aufbau eines neuen Labors n tig ist erlaubt Eine st rkere Priorisierung der Sicherheitslucken und Dokumentation ist durchaus denkbar sofern ein gewisses Vorwissen be steht Die ausgef llten Bewertungsmatrizen k nnen in Anhang 1 bis Anhang 5 dieser Arbeit einge sehen werden In den folgenden Kapiteln werden die untersuchten Honeypots jeweils vorgestellt und die wichtigsten Erkenntnisse aus der Bewertung erlautert 5 1 DVWA DVWA is a PHP MySQL web application that is damn vulnerable Die Abk rzung DVWA steht fur Damn Vulnerable Web Application und ist ein Open Source Projekt welches von der kommerziel len Firma Random Storm unterst tzt wird Ziel dieses Projektes ist es IT Sicherheitsspezialisten dabei zu unterstUtzen ihre Fahigkeiten und Methoden in einer legalen Umgebung unter Beweis zu stellen Web Entwicklern wird gezeigt wie wichtig IT Sicherheit ist und wie einfach vorhandene Sicherheitsl cken ausgenutzt werden k nnen Im Folgenden gibt Abbildung 4 einen Eindruck wie der Honeypot DVWA aufgebaut ist 28 Vgl DVWA 201 2a http www dvwa co uk KOS content Seite 463 mm Vulnerability Cross Site Request Forgery CSRF doen Change your admin password Setup Current password Brute Force NS Command Execution New password Confirm new password File Inc
148. es Testen unm glich machen Wie lange dauert die Installation voraussichtlich und wie viele manuelle Schritte sind von n ten Wie ist der Ressourcenaufwand in Bezug auf Zeit Mensch und somit Geld Gerade in Bezug auf den Labor Einsatz wichtig da es oft zu Neuinstallationen kommen kann Gibt es ein Installationsinterface also eine GUI oder ein Skript zur Vereinfachung des In stallationsprozesses Ist damit vielleicht sogar eine Dokumentation obsolet Oder m ssen viele Schritte auf Konsolenebene get tigt werden Wenn ja welche Vorkenntnisse sind n tig Kann es zu Konfigurationsschwierigkeiten kommen beispielsweise zu komplizierte Netz werkeinstellungen Wie klar ist die Konfiguration Ist sie berhaupt n tig oder fehlen grundlegende Konfigurationsm glichkeiten Existieren sonstige AuBergew hnlichkeiten oder Einschr nkungen insbesondere im Laufe der Konfiguration Mitunter subjektive Einsch tzung 18 Ygl Hecktor R u a 2012 S 39 19 Vgl Mikhalenko P 2006 http www oreillynet com pub a sysadmin 2006 09 28 honeypots html KOS content Seite 456 13 3 4 Usability Da der zu evaluierende Honeypot Entwicklern vornehmlich schnelle motivierende und einfache Einblicke in Web Sicherheit gew hren soll ist eine einfache Gebrauchstauglichkeit ein wichtiger Punkt zur Bewertung des Open Source Honeypot Programms Inwiefern ein Programm intuitiv zu benutzen ist ist nat rlich immer eine subjektive Einsch tzung des Bet
149. esetzt wird Nachteilig daran ist dass Interaktionen mit dynamisch generierten Inhalten unm glich sind da diese nderungen am HTML Code nicht erfasst werden k nnen Bei der Silenium IDE handelt es sich um eine Entwicklungsumgebung f r Seleniumtests die speziell f r Webanwendungen entwickelt wurde Sie wurde speziell f r den Browser Mozilla Firefox entwickelt weshalb die Aufnahme von Tests folglich browserabh ngig ist Bei Aktivierung des Aufzeichenmodus werden die Aktionen des Benutzers im Browser in Form eines sogenannten Command Target Value Tripels registriert Bei Commande handelt es sich um Aktionen wie open click type oder select Targets sind Identifikatoren die angeben auf welchem Element die Commands ausgef hrt werden sollen Values beschreiben den Text oder den Wert der beispielsweise ber eine Eingabeformular eingegeben werden soll ber das soapUl k nnen Testf lle f r Webservices generiert werden ber den Script Wizard k nnen au erdem JUnits Tests eingebunden werden In fr heren Versionen des TestMakers gab es neben den bereits aufgef hrten M glichkeiten zur Erzeugung von Skripten einen http Rekorder Dieser wird jedoch in der aktuellen Version nicht mehr unterst tzt TestMaker bietet die M glichkeit einzelne Testf lle parallel auszuf hren Sie k nnen dabei als funktionale Tests auf nur einem Testknoten ausgef hrt werden oder als Lasttests auf mehreren Knoten ein
150. est simulates Firefox or Internet Explorer s way to execute JavaScript This behavior is simulated which means that it does not work as good as in a real browser Re garding the Integrated Development Environment Selenium comes with the Selenium IDE which supports auto completion and correction of syntax The IDE can be integrated with most common Testing Frameworks JUnit Nunit TestNG Bromine Test Unit etc While running the test cases it is possible to debug them step by step With WatiN the utilization of every Net compatible IDE is possible Debugging is also possible but it does not feature any grouping of test cases nor other test management features The IDE of T Plan Robot does not help the user in many ways Version control is not possible test management features not available and diffi cult to implement but some debugging features are implemented Canoo Web Test has support for IDE integrations Reporting is the only criteria in which Selenium is not as strong as its com petitors It automatically creates XML reports with the result of each automation step Customer reports are not possible but can be introduced with some programming effort or by additionally installing the tool SeleniumCamp which is developed to provide this missing feature WatiN also does not support this feature but Net can be used to develop a report engine However T Plan Robot is able to create HTML reports with included screenshots of the applicatio
151. estet werden zu k nnen gt Vgl Wikipedia 2012a Vgl Wikipedia 2012b R Vgl Klinger J Schipfer G 2004 Vgl Inventage AG 2012 gt Vgl Ebenda 10 Vgl Ebenda TT Vgl Wikipedia 2012a KOS content Seite 513 3 Toolauswahl und Kriterienerl uterung Last und Performancetests sind f r jede Art von Entwicklungsprojekten unabdingbar Vor allem f r Webanwendungen sind sie ein wichtiges Instrument um die Stabilit t und Funktionsfahigkeit eines Systems sicherzustellen Aus diesem Grund ist es essenziell bei der Auswahl eines Last bzw Performancetesttools die Anforderungen an das zu ent wickelnden Systems zu bestimmen um m gliche Fehlerquellen fr hzeitig zu erkennen zu eliminieren und nicht kalkulierten Kosten entgegenzuwirken Im Open Source Bereich gibt es bereits eine Vielzahl an Tools die verschiedenste Systeme oder Anwendungen von Web bis Java Applikationen auf unterschiedlichste Arten testen k nnen Jedes Tool bietet diverse Funktionen die in Abh ngigkeit des Anwendungsfalls mehr oder weniger hilfreich bzw relevant sind Jedoch sind die meisten Open Source Tools laut eines Artikels der Computer woche nur bedingt f r beliebige Systemlandschaften einsetzbar sondern haupts chlich f r bestimmte Anwendungsbereiche wie z B Web und Java Applikationen geeignet Dies resultiert aus der Tatsache dass der Code von propriet ren Protokollen f r Open Source Tools in der Regel nicht zug nglich ist un
152. et In einem Graphen lassen sich unter schiedliche Werte wie Daten Durchschnitt Median Abweichung und Durchsatz an zeigen siehe Abb 2 Vgl Stoll C Pommerening T 2004 S 9 KOS content Seite 526 17 Graphs to Display v Daten v Durchschnitt v Median v Abweichung ei Durchsatz 24750 ms Oms Tu TIA Nr von Samples 6300 letztes Sample O Durchschnitt 6993 Abweichung 9651 Durchsatz 65 882195 Minute Median 16 Abb 2 Graphische Auswertung JMeter Leider ist der Graph nicht ver nderbar und es bleibt unklar welche Werte auf der x Achse abgetragen werden Zudem k nnen keine Vergleiche von unterschiedlichen Testreihen durchgef hrt werden Nichtsdestotrotz konnten die Ergebnisse in ein Excel Sheet geladen werden und dort pr zise ausgewertet werden JMeter bietet jedoch eine Reihe von Plug ins an mit deren Hilfe unter anderem die graphische Darstellung verbessert werden kann Ein Beispiel f r ein solches Plug in ist der Composite Graph Mit diesem Plug in k nnen in einem Graph verschiedene Zusammenh nge visualisiert werden Beispielsweise lassen sich in einer Auswertung sowohl die Auswirkungen der Benutzeranzahl als auch der Antwortzeit darstellen siehe Abb 3 Messdaten ber die getestete Maschine oder das Betriebssystem kann JMeter nicht anzeigen 33 Enthalten in Stoll C Pommerening T 2004 S 11 34 Vgl JMeter plugins 2011
153. eutsamer Neuerungen mit sich Diese aktuellste Spezifikation beinhaltet unter anderem e Unterst tzung von Objektorientierung e Unterstiitzung nationaler Sprachen u a durch Unicode e Unterstiitzung benutzerdefinierter Funktionen e Unterst tzung zus tzlicher primitiver Dateiformate Bit und Boolean e Erzeugung und Parsing von XML e Erh hte Interkompatibilit t mit anderen Progammiersprachen wie Java und C Micro Focus fiihrender Anbieter von Software Produkten rund um COBOL beziffert die Verbrei tung von COBOL im Jahr 2012 auf ber 220 Milliarden Code Zeilen Das Unternehmen bezeichnet COBOL als eine der wichtigsten Programmiersprachen mit weiter Verbreitung in transaktions intensiven Anwendungen wie jenen der Finanz Versicherungs und Touristikbranche 4 Um COBOL Programme auf der jeweiligen Zielplattform auszufiihren bedarf es der Ubersetzung des Codes in Maschinensprache Kompilieren Dieser Schritt wird von so genannten Compilern bernommen Bereits 1960 erschienen die ersten beiden Compiler fiir COBOL die die Ausf hrung ein und desselben Programms auf zwei unterschiedlichen Gro rechnertypen RCA Computer Remington Rand Univac gestatteten Heute gibt es eine Vielzahl von COBOL Compilern f r unterschiedliche Zielarchitekturen Diese werden gr tenteils von kommerziellen Anbietern bereitgestellt z B IBM und Fujitsu Allerdings existieren auch Open Source Compiler f r COBOL z B OpenCobol und
154. ewertungssumme 13 Maximum 30 Erf llungsgrad 43 33 Installation 0 15 Code auspacken Datei mit Python starten mehr Anleitung Installationsanleitung 3 ist nicht n tig In bestehende Umgebung Solang Python installierbar ist und Port 8008 frei ist sollte integrierbar 3 kein Problem auftreten Nicht dokumentiert es wurden allerdings sowohl beim Frequently occurring er eigenen Test als bei der Recherche keine m glichen Feh rors dokumentiert 2 ler gefunden Geschwindigkeit der In Auspacken Ausf hren keine Konfiguration oder weitere stallation und Anzahl der 3 Schritte n tig KOS content Seite 487 manuellen Schritte 44 Installationsinterface Keine GUI vorhanden allerdings auch keine Installation GUI oder CLI 3 n tig daher positive Bewertung Einfachheit der Installati on 3 Siehe vorherige Punkte Konfiguration muss per Hand in den Dateien gemacht werden ist aber an den jeweiligen Stellen gut erklart und Klarheit der Konfiguration 2 dokumentiert Bewertungssumme 19 Maximum 21 Erf llungsgrad 90 48 Usability 0 2 ISO 9241 10 Alle Funktionen stehen direkt zur Verf gung unn tige Aufgabenangemessenheit 3 Komplexit t wurde nicht gefunden Homepage Link ist inkonsistent das L schen von Snippets Selbstbeschreibungsfa geschieht Uber ein x das nicht weiter erklart wird Lucken higkeit 2 sind nur in der Dokume
155. f hige Servicestruktur gew hrleistet sein muss Der deutsche Hersteller innoWake verf gt aus Sicht der Dienstleistungserbringung ber eine hnliche St rke Als mittelst ndisches Unternehmen kann innoWake flexibel und zeitnah auf die Anforderungen seiner Kunden im deutschen Raum eingehen Ausl ndische Hersteller ohne deutsche Partner k nnen dies sehr wahrscheinlich nicht in hnlicher Weise Neben diesen nicht funktionalen Aspekten heben sich Visual COBOL sowie der RDz auch im Bereich Funktionalit t ab Im Hinblick auf die Editorfunktionen welche die Versicherung als sehr wichtig priorisiert hat wird deutlich dass beide Produkte die komfortabelsten und umfassendsten Editor Funktionen bereitstellen So ist der RDz beispielsweise das einzige Tool das Autovervollst ndigung f r Gastsprachen anbietet Dieser Aspekt schl gt sich in den vergebenen Sonderpunkten nieder Eine Ausnahme bildet hierbei Elastic COBOL da es als einziges Produkt keine Autovervollst ndigung von Befehlen besitzt Weiterhin verf gen Visual COBOL und RDz ber einer Vielzahl von Anbindungsm glichkeiten externer Systeme Nur diesen beiden Produkte sind ohne zus tzliche Komponenten in der Lage Datenbanksysteme anzusprechen Dies stellt ebenfalls ein Kriterium dar welches von der Versi cherung als wichtig priorisiert wurde Der RDz profitiert dar ber hinaus von der koexistierenden Produktplattform Rational ber diese kann eine native Integration mit einer Vielza
156. folgen vorausgesetzt ein laufender PHP Server wie beispielsweise der Apache Web Server ist vorhan den Nach einem einfachen Kopieren des Mutillidae Ordners in den htdocs Ordner des Servers kann der Honeypot im Browser unter Serveradresse Mutillidae aufgerufen werden Die Usability des Honeypots ist insgesamt von hoher Qualitat auch wenn das Design etwas alt modisch wirkt Jedoch sind die wichtigen Funktionalitaten schnell zu erreichen und die Anleitungen und Beschriftungen sehr humorvoll gehalten Siehe Abbildung 10 Site hacked err qualitiy test with was den Benutzer zus tzlich motiviert Durch die ausf hrlichen Tipps und Anleitungen eignet sich Mutillidae au erdem auch f r den Blended oder E Learning Einsatz Die Hinweise und Tutorials erwiesen sich im Rahmen des Bewertungsprozesses dieser Arbeit als so hochwertig dass erste Sicherheitsl cken in unter 30 Minuten nachvollzogen und sogar ausgenutzt werden konnten 33 Vgl AppSecEU 2012 http www appsecresearch org training 3 KOS content Seite 473 30 Home Login Register Toggle Hints Toggle Security Reset DB View Log View Captured Data Login OWASP Top N Al Injection A2 Cross Site Scripting XSS A3 Broken Authentication and Session Documentation Management Resources A4 Insecure Direct Object References Please sign in 5 Cross Site Request Forgery CSRF Name 6 Security Misconfiguration A7 Insecure Cryptograp
157. formance Lasttests Einer der wichtigsten Aspekte f r den Erfolg eines Produktes und einer Web Applikation ist dessen Performance weil Web Benutzer nicht Antwortzeiten warten wollen Aus diesem Grund ist es entscheidend zu wissen wie sich die jeweilige Homepage oder IT Komponenten w hrend des Betriebs und dem Zugriff von Usern verhalten Last bzw Performancetesttools berechnen bei Ihrer Ausf hrung Kennzahlen ber ver brauchte Kapazit ten und Ressourcen von Anwendungen Laut der Inventage AG l sst sich durch dieses Vorgehen sicherstellen dass vorhandene Systemressourcen den Bed rfnissen der jeweiligen Anwender gerecht werden Mit Lasttests werden Skalierbarkeit Durchsatz und Stabilit t der folgenden Komponenten und Produkte analysiert Anwendung Betriebssystem Applikationsserver Datenbank Netzwerk 1 Vgl Inventage AG 2012 Vgl Lucca G Fasolino A 2006 S 65 3 Vgl Menasc d 2002 S 2 Vgl Inventage AG 2012 KOS content Seite 512 Die Inventage AG versteht unter einem Lasttest einen nicht funktionalen Softwaretest mit dem eine gewisse und zu erwartende Last auf dem laufenden System erzeugt und das Ver halten desselbigen beobachtet und untersucht wird Meist werden hierzu Simulationen ver wendet deren Ziel es ist Fehler aufzudecken die im funktional orientierten Systemtest Integrationstest nicht gefunden wurden Nicht funktionale Anforderungen z B geforderte Antwor
158. h verspricht 61 Diese Punkte gilt es insbesondere zu beachten Von den metrixware die aktive Wartung geforderten Kriterien erf llt der Editor die Aspekte der Autovervollst ndigung von Befehlen und das Highlighting von Schl sselw rtern in der Syntax Zudem unterst tzt er den Benutzer bei der fr hzeitigen Behebung von Fehlern in der Syntax In Bezug auf Gastsprachen wird CICS DB2 DL1 JCL und REXX unterst tzt Uber die Integration eigener Pre Prozessoren kann keine Aussage getroffen werden hoo slaler S J textssh obx cobhost ujcvsa a S R HEAD IL obx cics symmap EG obx jeut cobol gt obx jeul copy EG obx jeu2 cobol L obx mxw220 cobol E cobos 1 1 INITIALIZE DFHCOMMAREA US CA PERFORM SEND MAP ERASE T PERFORM ATTENTE CLAVIER ELSE Autre Passage MOVE DFHCOMMAREA TO US CA PERFORM GESTION RETOUR ECRAN END IF 9 PARTIE lol xj EEE Cobos B outine 3 Rae coor ST ei obx cics symmap cobhost SHZ ENVIRONMENT IC 3 gt obx jeul cobol cobhost El CONFIGURATION Ir Loi obx jeul copy cobhost B DATA 3 obx jeu2 cobol cobhost TE WORKING STORAGE EF gt obx mxw220 cobol cobhost E LINKAGE Ex gt cobos 1 1 P PROCEDURE B project Passage AIGUILLAGE ENTREE L3 geb 1 3 dE GESTION RETOLR E Eg chacl cob 1 1 TEST PSW EY gescom cob 1 1 SEND MAP ERASE oP EIBCALEN SEND MAP DATA Premier Passage RECEIVEMOR TRANSFERT PROG S ATTENTE CLA
159. he Anwendung beschreibt kaum etwas higkeit 1 selbst Nicht vorhanden man muss sich die Anwendung selbst Steuerbarkeit 0 erschlie en und wird nicht gef hrt Erf llt den Zweck Sicherheitsl cken werden realit tsnah Erwartungskonformit t 2 dargestellt Individualisierbarkeit 0 Nicht vorhanden Lernf rderlichkeit 2 Ist gegeben sofern etwas Eigeninitiative vorhanden ist Design Ist das Design anspre Wirkt sehr realit tsnah allerdings ist das Design per se chend 2 nicht sehr sch n Bewertungssumme 9 KOS content Seite 490 Maximum 21 47 Erf llungsgrad 42 86 Features 0 1 Unerwartete und positive Zus tze 1 pro Feature Maximal 5 Maximum 5 Erf llungsgrad 0 00 Gesamt 45 21 Anhang 4 Mutillidea Bewertungsmatrix Kriterium Punkte Kommentar Gewich tung Sicherheitsl cken 1 Punkt pro vorhandener L cke 0 25 A1 Injection A2 Cross Site Scripting XSS A3 Fehler in Authentifi zierung und Session Ma nagement A4 Unsichere direkte Objektreferenzen A5 Cross Site Request Forgery CSRF A6 Sicherheitsrelevante Fehlkonfiguration A7 Kryptografisch unsi chere Speicherung A8 Mangelhafter URL Zugriffsschutz A9 Unzureichende Ab sicherung der Transport schicht A10 Ungepr fte Um und Weiterleitungen Anspruch der Seite Mutillidae contains all
160. he Ausgabe der Testergebnisse Speicherung in Log Files Exportierbarkeit in Spreadsheettools Format der Auswertung 464 4 24 64444 A Ae x D 4 Sonstiges Support Dokumentation Weiterentwicklung Externer Support 444 Aktuellste Version 3 9 2 Mai 2012 A Developer Community Group Tabelle 9 Bewertung von The Grinder anhand der Vergleichskriterien KOS content Seite 535 26 4 3 PushtoTest TestMaker Der TestMaker ist eine Open Source Plattform des Unternehmens PushtoTest mit der sowohl Funktionstest als auch Performance und Lasttests durchgef hrt werden k nnen Auf der Webseite des Unternehmens stehen zwei Versionen des TestMakers zum Download bereit zum einen die Version TestMakerCommunity die dem individuellen Nutzer ein Tool zum Testen von Webanwendungen und sogenannten Rich Internet Applications zur Ver f gung stellt Damit k nnen Funktions Load und Performancetests sowie Produktions monitorings durchgef hrt werden Des Weiteren gibt es die Version TestMakerEnterprise die f r den Unternehmenseinsatz und das Testen von gro en gesch ftskritischen Web und Rich Internetanwendungen gedacht ist Beide Versionen des Tools k nnen kostenlos heruntergeladen werden In der Version TestMakerCommunity k nnen jedoch nur 50 virtuelle Benutzer simuliert werden Um weitere virtuelle Benutzer simulieren zu k nnen ver langt das Unternenmen PushtoTest eine Lizenzgeb hr pro Nutzer
161. he Tipps und Lernf rderlichkeit 3 schnell erreichbare Dokumentation Design Das Design erscheint etwas altmodisch ist aber vollkom Ist das Design anspre men ausreichend Teilweise erscheinen einem insbeson chend 1 dere die Tipps etwas berladen Bewertungssumme 16 Maximum 21 Erf llungsgrad 76 19 Features 0 1 KOS content Seite 493 Unerwartete und positive Zus tze 1 pro Feature 50 Humorvolle Kommentare und Beschreibungen vereinfa chen und motivieren die Bedienung f r den Endbenutzer Zus tzlich kann der HoneyPot schon fast als Standalone betrachtet werden was ihn E Learning und Blended Learning tauglich macht Zus tzlich kann der HoneyPot einfach in den Originalzu stand versetzt werden innerhalb des Programms und ein Aktivit ts Log ist vorhanden Sicherheitsl cken die in den OWASP Top 10 2007 enthalten und 2010 entfallen sind Maximal 5 5 sind Teil des Projekts Maximum 5 100 00 Erf llungsgrad Gesamt 86 24 Anhang 5 Webgoat Bewertungsmatrix za Gewich Kriterium Punkte Kommentar tung Sicherheitsl cken 1 Punkt pro vorhandener L cke 0 25 A1 Injection A2 Cross Site Scripting XSS A3 Fehler in Authentifi zierung und Session Ma nagement A4 Unsichere direkte Objektreferenzen A5 Cross Site Request Forgery CSRF A6 Sicherheitsrelevante Fehlkonfiguration A7 Kryptografisch unsi chere Speicherung
162. hic Storage Password Lam AB Failure to Restrict URL Access Login A9 Insufficient Transport Layer Protection A10 Unvalidated Redirects and Forwards gt Dont have an account Please register here Site hacked err qualii tested with Samurai Hints WTF Backtrack pense lan For SSL Injection The old or 1 1 is a classic but there are others Check out who you are logged in as after you do the injection e and these oe Add ons For Session and Authentication As for playing with sessions try a cookie editor to change your UID For Insecure Authentication Try sniffing the traffic with Wireshark Cain Dsniff or Ettercap Some code contains naive protections such as limiting the width of HTML fields If your If you find that you need more room try using a tool like Firebug to change the size of the field to be as long as you like As you advance try using tools like netcat to make your own POST requests without webpwnized having to use the login web page at all You can use the login page normally but then simply change the parameters is Tamper Data Because Tamper Data is allowing the user to Peres manipulate the request after the request has left the browser any HTML or JavaScript has already run and is completely useless as a security H I measure Any use ofHTML or JavaScript for security purposes is useless anyway Some developers still fail to recognize this fact to this day Be Try SQL injection
163. himrazki O 2009 S 33 KOS content Seite 517 Anhang 2 ordnet die Vergleichsmerkmale aus unterschiedlichen Quellen zu den festgelegten Hauptkategorien zu und veranschaulicht Uberscheidungen zwischen den jeweiligen Kriterienlisten die in bereits existierenden Vergleichsstudien verwendet wurden 3 2 1 Bedienbarkeit Aus Tabelle 14 in Anhang 2 wird ersichtlich dass das Kriterium Bedienbarkeit von keiner der Vergleichs studien ber cksichtigt wurde M glicherweise aus dem Grund weil es sich hierbei um eine subjektive Einsch tzung handelt Diese Vergleichsstudie wird versuchen diesen Bereich basierend auf Sekund rliteratur f r die ausgew hlten Tools zu bewerten und einzusch tzen Unter Bedienbarkeit wurden Aspekte der einfachen intuitiven und schnellen Benutzung des Tools f r unerfahrene Tester betrachtet Dabei wurde analysiert ob das zu betrachtende Tool ber eine graphische Oberfl che verf gt oder ber die Kommandozeile gesteuert wird Auch die einfache Installation ist ein Kriterium welches aussagekr ftig f r die Einsch tzung der Bedienbarkeit eines Testtools ist Tabelle 3 liefert einen berblick ber die in der Kate gorie Bedienbarkeit evaluierten Merkmale 1 Bedienbarkeit Einfache Installation Intuitive Bedienbarkeit Graphische Oberfl che GUI Schnelle Einarbeitung Tabelle 3 berblick ber die Kategorie Bedienbarkeit 3 2 2 Technologie Die Kategorie Technologie als Hauptkrit
164. hl weiterer Anwendungen wie z B Source Code Management SCM oder Quality Assurance QA Systeme realisiert werden An dieser Stelle soll gesondert auf das unter einer OSS Lizenz vertriebene Produkt Cobos hingewiesen werden Dessen Funktionsumfang ist weitreichend und bietet dem Entwickler an einigen Stellen mehr als andere Produkte Dennoch spiegelt die Gesamtbewertung diese funk tionale Leistungsf higkeit nicht in vollem Umfang wider Grund hierf r ist die Tatsache dass es im Rahmen dieser Arbeit nicht m glich war Informationen bzgl Beratungsdienstleistungen einzuholen Bez glich des Unternehmens metrixware ist herauszustellen dass es sich um einen franz sischen Hersteller handelt wodurch ggf zus tzliche sprachliche Barrieren entstehen k nnten Abschlie end lassen sich drei Punkte festzuhalten die bei der Auswahl eines der vorgestellten Werkzeuge ber cksichtigt werden sollten Es zeigt sich dass zu den vermeintlich kostenintensiven Produkten eine gr ere Auswahl an Dienstleistungsanbietern existiert Hintergrund dessen ist KOS content Seite 378 34 prim r dass diese Produkte von Gro unternehmen angeboten werden F r Produkte von Un ternehmen dieser Gr e existiert ein umfangreiches Beratungsangebot durch Drittunternehmen Hersteller wie Veryant Heirloom Computing oder Metrixware sind dagegen als Mittelstand bzw Kleinunternehmen einzustufen die tendenziell autark auf dem Markt agieren Bei der Implementieru
165. hzuf hren um die Interoperabilit t mit bereits bestehenden Eclipse Installationen sicherzustellen KOS content Seite 380 36 4 2 Zusammenfassung und Ausblick In den vorangegangenen Kapiteln wurde im Rahmen einer Fallstudie evaluiert welche COBOL Plugins fiir Eclipse existieren und welches dieser Plugins am ehesten fiir den Auftraggeber der Studie die Versicherung geeignet ist Dabei erfolgte eine kurze Erl uterung der theoretischen Grundlagen sowie eine Feststellung der Ist Situation Im Rahmen diverser Interviews mit der Versicherung wurde der Soll Zustand konkretisiert Aus diesem war es m glich Anforderungen an die zu evaluierenden Plugins abzuleiten Vor einer Analyse erfolgte zudem eine Priorisierung der einzelnen Anforderungen sodass final eine Gegen berstellung der diversen Applikationen und das Aussprechen einer Empfehlung zugeschnitten auf die Versicherung m glich ist Mit Hilfe eines festgelegten Be wertungsschemas wurden Plugins evaluiert Festzuhalten ist hierbei dass deren Auswahl auf Basis von Verf gbarkeit und einer Vorsichtung des Marktes erfolgte Aufgrund der geringen Verf gbarkeit von Open Source Applikationen musste von der urspr nglichen Zielsetzung prim r nicht kommerzielle Plugins zu analysieren abgewichen werden Stattdessen befindet sich unter al len bewerteten L sungen ausschlie lich eine welche unter einer OSS Lizenz steht Im Rahmen des Forschungsauftrags ist diese Anpassung an die Prax
166. icherheitsl cken aufzeigen und verantwortlichen Mit arbeitern n herbringen So ist es m glich auch auf der wirklichen Unternehmens Webpr senz ein sicherheitstechnisch fehlerfreies Programm zu unterst tzen Diese Arbeit hat hierbei als Mehrwert die Empfehlung von besonders geeigneten Honeypots aus gesprochen wobei der Bewertungsprozess bewusst transparent gehalten wurde um dem Anwen der der Bewertungsmatrix eigene Gewichtung Erweiterung und Anwendung der Kriterien auf an dere Software zu erm glichen Mit Hilfe der empfohlenen Honeypots oder anderen in der Bewer tungsmatrix gut abschneidenden L sungen ist es m glich einen Workshop zur Sicherheitsschu Vgl Offensive Security 2012 http www offensive security com offensive security solutions virtual penetration testing labs vgl dazu auch Compass Security AG 0 J http www csnc ch misc files 2011 hl remote for staff trainings pdf Vgl Pentestlab 2012 hitp pentestlab org about us KOS content Seite 480 37 lung aufzubauen als E Learning Klassenraumschulung oder hybrid umzusetzen und so die Si cherheit von Unternehmens Web Applikationen deutlich zu erh hen KOS content Seite 481 38 Anhang Anhangverzeichnis Anhang 1 DVWA Bewertungsmatrix cccccceeeeseeeseeeeeeeeeeeeeeeeeeeeneeeeeeeeeeeeneees 39 Anhang 2 Gruyere Bewertungsmatrix r42000000000nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 42 Anhang 3 HacMe Series Bewertungsmatrix
167. ie Anforderungen an das sp tere Last und Performancetesttool genau ana lysiert werden und auf Basis dieser Angaben eine Entscheidung getroffen werden welches Performance Testtool f r den speziellen Anwendungsfall am besten geeignet ist Zwar wurde der Apache JMeter in dieser Vergleichsstudie als Testsieger eingestuft und wird somit auch explizit empfohlen jedoch k nnte aufgrund individueller Anforderungen und unterschied licher Gewichtungen des Lesers ein anderes Tool f r Performance bzw Lasttests besser geeignet sein Alle vier vorgestellten Tools sind f r diese Art von Tests gut geeignet und zu empfehlen Sie entsprechen den im Vorfeld definierten Anspr chen an Aktualit t und erf llen alle die technischen Voraussetzungen der parallelen Nutzerverwaltung und der verteilten Testumgebung Diese Arbeit soll ein m glichst genaues Bild der ausgew hlten Tools deren Eigenschaften sowie Vor und Nachteile geben und eine Entscheidungsbasis f r den Leser darstellen Es wurde zudem als wichtig erachtet die Vorteile eines Open Source Produktes gegen ber kommerziellen Produkten darzustellen und zu verdeutlichen dass f r ein gutes und ge eignetes Produkt nicht zwangsl ufig Geld ausgegeben werden muss F r einen sp teren m glichen Support k nnen zum einen die kostenlosen Supportm glichkeiten in Form von Mailinglisten und Foren oder die zum Teil angebotenen Dienste externer Unternehmen zur individuellen Anpassung der Systeme genutzt werden
168. ie Funktionalit t zu insgesamt 50 in die Gesamt bewertung einflieBen soll Der Leser dieser Vergleichsstudie kann jedoch individuell fest legen wie sich diese 50 bzw 50 Leistungspunkte auf die Unterkategorien testbare Funktionalit ten Testfallgenerierung amp Szenariounterst tzung und Auswertung amp Genauigkeit der Testergebnisse verteilen und auswirken Je nach Anwendungsfall k nnen dadurch die genannten Unterkategorien unterschiedlich gewichtet werden Dies gibt dem Leser die M glichkeit individuelle Schwerpunkte zu setzen wenn es zum Beispiel wichtig ist dass das gew nschte Lastttesttool besonders viele unterschiedliche Anwendungen Webservices Webanwendungen Datenbanken und Middleware testen kann oder der Leser einen besonderen Schwerpunkt auf die Testfallgenerierung legt und dabei bestm glich durch das Testtool unterst tzt werden will Zur Bildung der Gesamtsumme f r die vier unterschiedlichen Tools werden die gewichteten Zwischensummen aus den vier Oberkategorien f r das jeweilige Testtingtool aufsummiert Das Gesamtergebnis wird durch Teilen dieser Gesamtsumme durch 100 berechnet da ins gesamt 100 Leistungspunkte f r die vier Oberkategorien vergeben werden Wichtig ist dass die in der Vergleichsstudie dargestellte Bewertung und Gewichtung auf einer subjektiven Einsch tzung basiert Wenn andere Schwerpunkte gesetzt werden und einzelne Kriterien mit einer h heren bzw geringeren Gewichtung angesetzt werd
169. ierung und Session Ma http google nagement 1 gruyere appspot com part3 3__cookie_manipulation A4 Unsichere direkte http google Objektreferenzen 1 gruyere appspot com part4 4__path_traversal http google A5 Cross Site Request gruye Forgery CSRF 1 re appspot com part3 3__cross_site_request_forgery http google A6 Sicherheitsrelevante gruye Fehlkonfiguration 1 re appspot com part5 5__configuration_vulnerabilities http google A7 Kryptografisch unsi gruye chere Speicherung 1 re appspot com part5 5__information_disclosure_config_2 A8 Mangelhafter URL http google Zugriffsschutz 1 gruyere appspot com part3 3__elevation_of_privilege A9 Unzureichende Ab sicherung der Transport schicht 0 A10 Ungepr fte Um und Weiterleitungen 0 Bewertungssumme 8 Maximum 10 Erf llungsgrad 80 00 Community amp Dokumen Von 0 bis 3 Punkte Anzuwenden auf alle Kriterien bis auf tation amp Support Sicherheitsl cken und Features 0 3 KOS content Seite 486 Dokumentation 43 O nichts 1 vorhanden aber nicht gut 2 0k gut 3 sehr gut Gibt es eine Anleitung die die ersten Schritte auf http google gruyere appspot com part1 1__using_gruyere nicht sehr zeigt 2 detailliert aber Gruyere ist auch recht simpel aufgebaut Erwahnt die Dokumenta http google gruyere appspot com part2 Das Ment li
170. igen L sung 32 KOS content Seite 444 1 Einleitung 1 1 Einf hrung und Problemstellung Hacker knacken Server der SPD so der Titel eines Spiegel Online Artikels vom 20 Mai 2012 zum Thema Sicherheitsl cken auf Webseiten Eine Gruppe anonymer Personen hat sich zum Ziel gesetzt unsichere Webseiten aufzudecken Im Zuge dessen hat diese Gruppe unter anderem Si cherheitsl cken auf der Website der SPD genutzt um sich so Zugriff zu Login Daten und Passw r tern zu verschaffen Dieser Artikel zeigt sowohl die Aktualit t als auch die Relevanz und Bedeu tung des Themas Sicherheitsl cken auf Webseiten Nahezu alle Unternehmen haben in der heutigen Zeit eine signifikante Webpr senz mit essentieller Funktionalit t Die Webseite eines Unternehmens ist zugleich das Portal zu Datenbanken welche im Hintergrund teils gesch ftsrelevante Informationen speichern wie beispielsweise die zuvor er w hnten Login Daten In diesem Zusammenhang nutzen Angreifer Sicherheitsl cken auf Unter nehmenswebseiten um relevante Daten zu extrahieren und zu missbrauchen Ein erfolgreicher Angriff hat einen negativen Einfluss auf die Unternehmensreputation und sorgt daraus resultierend f r den Verlust von Kunden Zus tzlich folgen nicht selten direkte oder indirekte finanzielle Sch den f r das Unternehmen Zur Vermeidung bzw Aufdeckung von bereits bestehenden Sicherheitsl cken wenden Unterneh men verschiedene Methoden an Eine M glichkeit stellen
171. ipt almost like a regular browser does For this purpose it uses HtmlUnit which can be seen as a faceless browser that is able to mime the behavior of e g Internet Explorer or Firefox This also represents a disadvantage of WebTest as it only simulates Firefox or Internet Explorer s way to execute JavaScript which implies that there may be discrepancies between the simulated behavior and the actual behavior in a real browser Other features of WebTest are the possibility to be integrated into Maven as well as the exemplary reporting it provides Selenium Selenium is the most renowned and versatile Open Source web automation tool suite that sup ports agile development of test automation for web based applications across many platforms It is a package of various test components which consists of the following three major tools 1 Selenium IDE a Firefox add on that will do simple record and playback of interactions with the browser This is used to record and playback actions taken in the browser 2 Selenium RC Used to run tests on different browsers and systems It furthermore sup ports replay of Selenium scripts through browsers 3 Selenium Grid Automated replay of Selenium scripts on many browsers simultaneous ly also known as mirrored replay 4 Qualitia and Tellurium A wrapper for the Selenium engine Each one has a specific role in aiding the development of test automation for a Web applica tion It can also
172. is jedoch als vollst ndig akzeptabel einzustufen Die Evaluation der Plugins ergibt dass eine zentrale Herausforderung vor allem die Gastsprachen unterst tzung darstellt Drei von sechs analysierten L sungen bieten diese Funktionalit t nicht Ei ne ausschlie liche Unterst tzung im nativen COBOL Sprachbereich wird von zwei Plugins geboten Hinsichtlich Editor Funktionalit ten ist durchweg eine breite Unterst tzung gew hrleistet sodass hier keine besondere Differenzierung zwischen den Applikationen erfolgen kann Eine Erw hnung verdient jedoch das Plugin Cobos welches als einzige L sung eine Terminal Emulation direkt in Eclipse bietet Problematisch stellt sich hier jedoch die Unternehmensgr e sowie der Firmensitz im Ausland dar Vor dem Hintergrund dass das Dienstleistungsangebot als signifikanter Faktor eingestuft wurde sollte vor allem bei kleinen Anbietern mit wenigen Mitarbeitern darauf geachtet werden einen deutschen Dienstleister zu beauftragen um Sprachbarrieren zu vermeiden Zudem kann nicht zwingenderweise muss m glicherweise ein kleinerer Leistungsumfang erwartet werden Auf die Anforderungen der Versicherung ist das Plugin Visual COBOL am ehesten zugeschnitten Unter Ber cksichtigung der Priorisierung erh lt diese L sung im Evaluationsschema die h chste Bewertung exklusive RDz Grundlage hierf r sind zum einen die Service Dienstleistungen die neben dem Produkt angeboten werden Zum anderen bestehen f
173. it in Spreadsheettools Format der Auswertung pdf xls htm Y Y Xx Xx Y Y Y amp X 4444X44 Al 4 Sonstiges Support Y Dokumentation Y Weiterentwicklung Y Externer Support 1 16 1 Juli Aktuellste Version 2011 Community Nuxeo Tabelle 7 Bewertung des Apache JMeter anhand der Vergleichskriterien KOS content Seite 529 20 4 2 The Grinder Der Grinder ist ein Java basiertes Lastest Framework der unter der BSD Lizenz frei verf g bar ist Die erste Version wurde f r das Buch Professional Java 2 Enterprise Edition with BEA WebLogic Server von Paco G mez und Peter Zadrozny entwickelt und danach von Philip Aston zur zweiten Version weiterentwickelt Das Framework ist ein universelles Testframework und stellt Komponenten f r Last und Performancetests f r Webanwendungen zur Verf gung Dar berhinaus lassen sich auch Webservices Datenbanken und beliebiger Java Code testen F r den Vergleich von Open Source Performance und Lasttesttools wurde dieses Framework ausgew hlt da es Tests auf mehreren Maschinen erm glicht Die Tests k nnen in einem Netzwerk verteilt und koordiniert durchgef hrt werden um die simulierte Last zu erh hen und m glicherweise mehrere Szenarien parallel zu testen 4 2 1 Bedienbarkeit Die Bedienbarkeit von Grinder 2 und 3 ist einfach gehalten Beide Versionen lassen sich leicht installieren und verf gen ber eine grafische Benutzeroberfl che zur Steuerung
174. it is supposed to this paper refers to the increase in value of 7 Lanier J 2007 Soto M Ciolkowski M 2009 2 BITKOM w y 1 Android com w y 1 Cf Hetzel B 1993 p 110 KOS content Seite 391 the program This means that the reliability can be increased if defects are found and removed Therefore software should not be tested to show that the functionalities are working without defects but act on the assumptions that defects are included in the code and need to be found According to ISO IEC Standards from 1991 a test is a technical operation that consists of the determination of one of more characteristics of a given product process or service according to a specified procedure Additionally to the ISO IEC Standards the IEE Standard 829 from 1998 defines testing as the process of analyzing a software item to detect the differences between existing and required conditions and to evaluate the features of the software item IEEE Standard 610 12 from 1990 describes testing as the process of operating a system or component under specified condi tions observing or recording the results and making an evaluation of some aspect of the sys tem or component Klaus Franz summarizes the testing process from a software development view He refers to all test activities that have the aim to fully and correctly realize the requirements for the software product and prove the accomplishment of
175. ite http ibm co NriSrr KOS content Seite 376 32 3 6 Priorisierung der Anforderungen Die in Kapitel 3 4 vorgestellten Anforderungen sollen in einem dritten Schritt validiert und priorisiert werden Hierzu wird eine simpler Ansatz gew hlt Die erarbeitete Anforderungsliste wird in einer weiteren Interview Runde den IT F hrungskr ften der Versicherung vorgelegt Die identifizierten Anforderungen werden mit den F hrungskr ften diskutiert und in diesem Zuge validiert Dann werden die Unternehmensvertreter gebeten jeder Anforderung eine Priorit t von 4 sehr wichtig bis 1 weniger wichtig zuzuordnen Die unten stehende Tabelle 8 repr sentiert die durch die Versicherung vorgenommene Priorisierung der Requirements Editorfunktionen Autovervollst ndigung 4 Code Highlighting 4 Fehlererkennung Syntax Check 4 Unterst tzung von Gastsprachen 4 Debuging Grafisches Schritt f r Schritt Debuging 2 Remote Debugging 2 Anbindung von externen Systemen SSH 1 Datenbanken 4 Beratungsdienstleistungen 4 Support 4 Tabelle 8 Gewichtung der Vergleichskriterien Eine differenzierte Priorisierung der Anforderungen w re beispielsweise mit Hilfe der Methode des Analytical Hierarchy Processes AHP m glich gewesen Im Zuge dessen werden einzelne Anfor derungen in mehreren Iterationen mit Hilfe numerischer Bewertung relativ zueinander gewichtet Diese relativen Verh ltnisse wer
176. iteria and functional criteria for test management tools was equated with Gartner s ability to execute The completeness of vision was adapted to the consideration of open source KOS content Seite 423 36 test management tools by equalizing it with the performance in Open Source Software related criteria in order to consider aspects such as continuous improvement and proper documentation activities The preceding evaluation of the four test management tools TestLink Bugzilla Testopia Redmine and RTH has identified TestLink as distinct leader of Open Source Software for test management due to its excellent performance in functional and Open Source Software related criteria Bugzilla Testopia s classification within the leader quadrant is reasoned by good per formance within the considered criteria due to the well marked bug tracking functions and the extension of test management features Therefore Bugzilla Testopia may be particularly suita ble if distinctive bug tracking features are required Redmine and RTH are placed within the quadrant of niche players due to their moderate performance regarding the overall functionality as well as the fulfillment of Open Source Software criteria When comparing Redmine and RTH Redmine performs slightly better in both areas the functional and the open source one The classification of the four considered test management tools may serve as a basis of deci sion making when selecting an appropriate
177. ity as multiple users should be able to work with the tool simultaneously These also need to be provided with an easily comprehensible user documentation to ensure proper usability Functional criteria that should be incorporated are user right administration test case excel import export plan manage test resources requirement management modularity of test cases parameter insertion flexible execution and reports KOS content Seite 429 42 Requirement Mapping In the following an overview of the selected tools is given and the extent to which they meet the above listed requirements are presented CLOSED SOURCE SOFTWARE HP ALM IBM Rational OPEN SOURCE SOFTWARE Test Management RTH Test Automation TestLink Cannoo Web Test Selenium T Plan Robot WantiN Bugzilla Testopia Redmine Testing of graphical user interfaces Browser Internet Applications vV v v vV v v Lotus Notes Applications X X X X X v COBOL programs x x x x x x x x vV Java programs v vV vV v v v v v v v Programming languages Java x v d x v v C x x x vV v v VB X X x vV v vV XML v v x v v System requirements Windows 7 Server Linux vV vV v vV v vV vV v v v DB SQL v v vV v vV v v v v v Test methods White Box x vV X X v Black Box v v v v v v Test Tool Open Source Criteria Interoperability of test management y j di test automation software Stability vV v vV v vV v vV v vV v User documentation FAQ v v vV v v v v v v v Functional c
178. ivities are a good indicator for the effort a vendor is making to improve its product Furthermore it indicates that the application is actually used The com munity is a vital open source resource Community activities such as Wikis a community site mailing lists are a good indicator for the acceptance level of Open Source Software Of major significance regarding the community of an OSS are its size and the overall frequency of activi ties A large community leads to the assumption that the software is widely accepted An active user group provides feedback on improving the quality of a product e g regarding bugs and user experience and supports other users who use the product This is crucial for Open Source Software as it often lacks the support that usually accompanies the purchase of com mercial software Maturity measures the reign of a product Software which has existed for a longer time may be more likely to be maintained and supported in the future as it has already proven itself in practice while new software may face the risk of failing to get the desired ac ceptance level which may lead to the termination of further development activities Thus the criterion is closely related to release activities and the community The last criterion to be evalu 62 Cf Abiodun O M 2011 p 6 Van den Berg K 2005 p 11 Cf Abiodun O M 2011 p 7 Cf Weber S 2004 p 48 85 Cf Van den Berg K 2005 p 12 KO
179. k and Bugzilla Testopia also achieved the highest rating regarding the documentation as user and developer manuals re lease notes and stepwise installation guides are provided to potential users RTH is ranked low er since its documentation is mainly composed of immature FAQ s and release notes TestLink is best rated regarding the open source criteria mentioned above with 96 out of 100 possible points closely followed by Bugzilla Testopia receiving 92 out of 100 points Redmine came off badly especially when considering the documentation whereas RTH has underper formed additionally in terms of community support and release activities System requirements which is the first criterion evaluated in the common software criteria sec tion is higher rated for TestLink and RTH due to their standardized requirements Both tools are written in JavaScript and PHP while Bugzilla Testopia and Redmine depend on Perl 5 and Ruby on Rails which are both uncommon programming languages RTH runs under Linux and Win KOS content Seite 420 33 dows whereas the remaining three products represent platform independent systems All of them support multiple databases like MySQL which represents a commonly used standard da tabase All of the four open source test management tools provide a satisfying usability due to an intuitive web interface However regarding the ease of installation TestLink represents the leading product as it offers an automatic scri
180. kte testen und simulieren kann Dies sind get post put und delete Befehle Au erdem wird die Implementierung von Java Anwendungen und XML Inhalten unterst tzt Authentifizierungs gesicherte Inhalte k nnen ber definierte Authentifizierungsregeln eben falls in die Tests mit eingebunden werden Aktuelle Versionen des FunkLoads unterst tzen des Weiteren die Verwendung von Cookies und die verbreiteten Web Security Standards des HTTPS sowie SSL und Transport Layer Security TLS Verschl sselungen Die genannten Protokolle k nnen sowohl in funktionalen Tests als auch in Lasttests ver wendet werden Funktionale Testabl ufe k nnen durch den so genannten bench runner in Lasttests umgewandelt werden um Performance und Skalierungstests vorzunehmen Die Simulation des Lasttests kann hierbei auf mehrere Maschinen verteilt werden Vgl Benoit Delbosc 2011 Vgl ebenda KOS content Seite 542 33 Die Bedienbarkeit der FunkLoad Testing Unit beschr nkt sich auf Eingaben in die Konsole Dies setzt erweiterte Kenntnisse des Benutzers in der Bedienung einer Konsole voraus Die Erstellung von Testf llen als Python Skript erfordern an dieser Stelle ebenfalls weitere Kenntnisse um Tests mit FunkLoad durchzuf hren Diese Aspekte f hren dazu dass FunkLoad sich lediglich f r Nutzergruppen mit fortgeschrittenen Linux und Python Kennt nissen eignet Von den Entwicklern des FunkLoad wird kein Support angeboten Benutzer find
181. l sselung oder Hashing Angreifer k nnen solche nicht angemessen gesch tzten Daten auslesen oder modifizieren und mit ihnen weitere Straftaten wie beispielsweise Kreditkartenbetrug begehen KOS content Seite 453 10 3 1 8 Mangelhafter URL Zugriffsschutz Viele Anwendungen realisieren Zugriffsberechtigungen nur durch das Anzeigen oder Ausblenden von Links oder Buttons Allerdings muss auch beim direkten Zugriff auf eine gesch tzte URL eine Pr fung der Zugriffsberechtigung stattfinden ansonsten k nnen Angreifer durch gezieltes Manipu lieren von URLs trotzdem auf diese zugreifen 3 1 9 Unzureichende Absicherung der Transportschicht Viele Anwendungen stellen die Vertraulichkeit und Integrit t von sensiblem Netzwerkverkehr nicht durch entsprechende Verschl sselung und Authentisierung sicher Wird Verschl sselung eingesetzt werden oft schwache Algorithmen abgelaufene oder ung ltige Zertifikate verwendet oder falsch eingesetzt 3 1 10 Ungepr fte Um und Weiterleitung Viele Anwendungen leiten Benutzer auf andere Seiten oder Anwendungen um oder weiter Dabei werden f r die Bestimmung des Ziels oft nicht vertrauensw rdige Daten verwendet Ohne eine entsprechende Pr fung k nnen Angreifer ihre Opfer auf Phishing Seiten oder Seiten mit Schadcode um oder weiterleiten 3 2 Community Dokumentation und Support F r Open Source Produkte gibt es in den meisten F llen kein Unternehmen das f r Qualit ts o
182. l problems within the testing software The decision if software should be tested automatically depends on several economic aspects Before the actual project starts it needs to be evaluated if automated testing significantly in creases the efficiency The following table examples decision based criteria 2 Cf Bommer C Spindler M Barr V 2008 p 258 1 Cf Dustin E Rashka J Paul J 2001 p 57 2 Cf Strahringer S 2011 p 88 Cf Menzel M 2006 p 66 KOS content Seite 394 Automatic testing Manual testing Initial investment No investment for fur ther software tools Effort of test preparation only the determination of test cases is re quired Effort during execution Less effort as the test runs auto matically even during non working hours Analysis of test results The analysis and reporting is less time consuming as most tools cre ate reports themselves Maintenance Changes can be adapted by the tester Regression tests The investment in an automated tool An advantage when test is only efficient if regression tests ing small applications or need to be made and very complex running tests that only test cases need to be run need to be repeated once Table 1 Automatic and manual testing The decision has to be made by every company individually regarding internal as well as exter nal infl
183. ld und The Grinder als Tools welche eine hohe Bandbreite an Funktionalit ten mit liefern ausgew hlt Au erdem werden diese beiden im Unterschied zum TestMaker von der Open Source Community effektiv weiterentwickelt weshalb auch die aktuellsten Updates aus diesem Jahr stammen Der TestMaker unterscheidet sich von allen anderen drei Tools dadurch dass er durch das Unternehmen PushtoTest unterst tzt und weiterentwickelt wird 3 2 Kriterienerlauterung Im Folgenden wird erl utert welche Kriterien ausgew hlt wurden um die vorher genannte Auswahl an Last und Performancetesttools zu bewerten Hierbei wurden diverse bereits existierende Vergleichsstudien herangezogen um eine Liste relevanter Vergleichskriterien zu erstellen Die Anforderungen an ein Bewertungssystem f r Performance und Lasttesttools sollten sich auf verschiedene Bereiche beziehen und alle relevanten Merkmale die f r Anwender aus schlaggebend sind miteinbeziehen Hierbei ist vor allem die Generierung und Durchf hrung der Tests ein essenziell zu bewertendes Merkmal Auch die unterschiedlichen Protokolle und Anwendungen die sich mithilfe der Tools testen lassen k nnen ausschlaggebend f r die Bewertung sein Wie bereits in der Einleitung erw hnt wurden vier Hauptkriterien Bedienbarkeit Funktionalit t Technologie und Sonstiges definiert Alle nicht zuordnungs fahigen Kriterien wurden unter dem Punkt Sonstiges zusammengefasst Tabelle 14 in 2 Vgl Sc
184. lich werden diese in Schulungen oder Workshops regelm ig von Anwendern benutzt Als Simulation von Web Anwendungen m ssen diese sowohl gut bedienbar im Front End als auch unter der Pr misse der Sicherheitsl cken Erprobung im Back End gut bedienbar sein Einzig das 5 Kriterium der Fehler toleranz kann nicht ausschlaggebend f r die Usability des zu evaluierenden Honeypots sein denn ein Aspekt der Honeypots in dieser Arbeit ist bewusst Fehler zu produzieren und zu anderen Er gebnissen als es der Web Anwendungsdesigner gew nscht hat zu gelangen Die sechs anderen Punkte jedoch sind gerade im Hinblick auf Anwendung im E Learning Blended Learning oder Workshop Bereich sinnvoll und sollten genauestens analysiert werden Dar ber hinaus ist es f r eine glaubw rdige Webseiten Simulation wichtig ein ansprechendes Design vorweisen zu k nnen Wenn die Weboberfl che des Honeypots nicht realistisch modelliert wurde kann es Benutzern mitunter schwer fallen eine Parallele des Honeypots zu realen Web Applikationen wie etwa der Web Pr senz des eigenen Unternehmens zu ziehen Dies kann dann zu einer mangelnden Ernsthaftigkeit oder Ber cksichtigung der m glichen Sicherheitsl cken sei tens der Workshopteilnehmer f hren Auch wirkt sich ein gutes Design der Honeypot Anwendung motivierend auf den Benutzer aus Daher wird als zus tzliches Bewertungskriterium in dieser Ar beit die mitunter subjektive Einsch tzung des Designs der Honeypot Web Anw
185. lt hierbei keine Rolle In diesem Beispiel wird der Einfachheit halber auf den localhost referenziert main title Simple label Simple test for dhbw OpenSourcePaper description Simple test scenario test Seiler description Simple test scenario Ss log Ce Console rile log parn Saimjole rceisie Log zesulle parh Sumsile casic sam bench Cyveles OSO duration 100 srcarcup Celey 2 sleep time 2 Eyele time 2 log to Eile log path Siimjole loemein Los seostlle pari Samsun am sleep time min 2 sleep time mes 2 Die relevanten Kriterien f r dieses einfache Testszenario sind cycles 5 15 30 es werden drei default aufeinanderfolgenden Testzyklen fur 5 15 und 30 nebenl ufige Benutzer durchgef hrt duration 100 gibt die Dauer eines Testzykluses in Sekunden an startup_delay 2 Wartezeit zwischen aufeinanderfolgenden Threads f r die Test zyklen Ssleep_time 2 Wartezeit bis der eigentliche Tests startet in Sekunden Cycle time 2 Wartezeit der Anwendungen zwischen den eigentlichen hier 3 Testzyklen Im Testszenario werden anschlieBend diese Schritte ausgef hrt hier nicht als Skript auf gezeigt ffnen der http www testFunkLoad de Seite get Das entsprechende Login Formular wird ge ffnet get login_form Login Daten werden als post login_form in das Login Formular eingetragen Zugriff auf ein Dokument document
186. lusion zu E SQL Injection Change SQL Injection Blind prosa More info XSS reflected http www owasp ora index php Cross Site Request Forgery XSS stored http www cgisecurity comlcsrf fag html http len wikipedia org wiki Cross site request forgery DVWA Security PHP Info About Logout Username admin Security Level high View Source View Help PHPIDS disabled Abb 4 DVWA Startseite Im Folgenden werden die Hauptaussagen welche aus der Auswertung des DVWA Projekts her vorgehen zusammengefasst Zus tzlich findet sich in Anhang 1 eine ausf hrliche Bewertungs matrix des Projektes Bei der Bewertung des Projekts konnten lediglich vier der Top 10 von OWASP bestimmten Sicher heitsl cken gefunden werden Diese waren SQL Injection XSS CSRF und sicherheitsrelevante Fehlkonfiguration Im Bereich der Dokumentation und Community ist insbesondere ein Youtube Video positiv anzumerken welches eine Anleitung zu den ersten Schritten im Umgang mit DVWA zeigt Durch das Vorhandensein dieses Anleitungsvideos hat DVWA in der Bewertung die maxima le Punktezahl 3 von 3 erreicht Weiterhin wird lediglich eine von vier Sicherheitsl cke exempla risch erkl rt Jedoch sind Verweise auf Erkl rungen der jeweiligen Sicherheitsl cken und eine Quellcode Ansicht in der Weboberfl che integriert Aus den Erkl rungen wird ersichtlich dass schon l nger nicht mehr an dem Quellcode gearbeitet wurde letzte allgem
187. macht keine Probleme Die Anwendung verh lt sich gr tenteils wie es von ihr Erwartungskonformit t 2 erwartet wird Schwierigkeitsgrad kann zwischen einfach mittel und schwer gew hlt werden Die Datenbank kann nach Be darf per Knopfdruck auf die Ursprungseinstellungen ge Individualisierbarkeit 3 setzt werden Sehr hoch da der Nutzer die L sungen nicht einfach pr sentiert bekommt sondern sich ber die Referenzen das Lernf rderlichkeit 3 Wissen zum Teil selbst erarbeiten muss Design Ist das Design anspre Sehr ansprechend einer modernen Webapplikation ange chend 3 passt Bewertungssumme 19 Maximum 21 Erf llungsgrad 90 48 Features 0 1 KOS content Seite 485 Unerwartete und positive Zus tze 1 pro Feature 42 Es existiert eine Reset Funktion um bereits ver nderte Daten in der Datenbank wieder auf den Installationsstand Maximal 5 1 zur ckzusetzen Maximum 5 Erf llungsgrad 20 00 Gesamt 59 67 Anhang 2 Gruyere Bewertungsmatrix G Gewich Kriterium Punkte Kommentar tung Sicherheitsl cken 1 Punkt pro vorhandener Lticke 0 25 http google gruyere appspot com part4 4__code_execution Code A1 Injection 1 injection SQL nicht verf gbar da kein SQL verwendet wird A2 Cross Site Scripting http google XSS 1 gruyere appspot com part2H2__cross site scripting A3 Fehler in Authentifi z
188. mation in WatiN searching Google 5 Contained in T Plan 2012b Cf WatiN 2011 KOS content Seite 407 20 3 2 Selection of Tools for Closed Source Software Closed source software provides advantages in terms of all around packages For a particular fee a customized support throughout the entire application lifecycle is included as such service suppliers provide specialized expertise In the following paragraph two leading service providers represent CSS for test management 3 2 1 HP Application Lifecycle Management HP Quality Center HP Quality Center comes in two editions HP Application Lifecycle Management ALM and HP Quality Center QC HP ALM as shown in figure 4 is the larger edition It contains all the HP Quality Center functionalities plus integration into the development life cycle HP Application Lifecycle Intelligence and cross project data sharing and reporting capabilities HP QC and HP ALM are web based applications that aim to manage the lifecycle of key applications from its requirements to its implementation It offers a central platform that manages all the activities regarding requirement coverage and management by the possibility to derive test cases from requirements and business processes test management and control test performance and logging Furthermore the platform supports the company by developing a framework and envi ronment for workflows of the application lifecycle at a central location
189. more developed has great sup port and offers a lot more functionalities and leads to a neglect of this tool KOS content Seite 427 40 In accordance with Gartner s Magic Quadrant research methodology a similar evaluation matrix is derived at this point for the assessed open source test automation tools to visualize and summarize the evaluation results lt also elucidates in which areas drawbacks were observed Selenium Canoo Web Test T Plan Robot Wann Figure 15 Adaptation of Gartner s Magic Quadrant to OSS Test Automation tools The ability to execute was equalized with the overall functional ability of the tool where mainly the common test tool criteria and functional criteria for test automation were considered and hence the overall functionality of the test automation tool is assessed The completeness of vi sion was adapted to the overall performance in open source related criteria regardless of the actual application field since this is a good representation of how committed a community or provider is in extending and improving its Open Source Software and actually making the of fered software a serious alternative to commercial software The graphical competitive position ing identifies four types of technology providers Leaders Visionaries Niche Players and chal lengers The evaluation of the 4 tools has produced a clear winner Selenium with an outstand ing performance in functional as well as open s
190. n der Anwendern auf unterschiedlichste Weise erf llen k nnen Jedoch bieten die integrierten M glichkeiten Test ergebnisse auszuwerten und grafisch darzustellen bei allen Tools in unterschiedlicher Aus pr gung nur bedingt die gew nschten Resultate bei der Auswertung der Testergebnisse Dieser Mangel l sst sich jedoch bequem durch Plug ins und Erweiterungen reduzieren wie zum Beispiel mit Composite Graph f r den JMeter oder mit dem Grinder Analyzer f r den Grinder kompensieren Tabelle 12 zeigt einen Kurz berblick ber die Leistungen der Tools in den einzelnen Haupt kategorien und stellt deren erreichte Punktzahlen anhand der vorgenommen Einsch tzung dar 6 Stoll C Pommering T 2004 S 9 KOS content Seite 550 41 JMeter The Grinder TestMaker Funk Load 1 Bedienbarkeit Bedienbarkeit Summe gewichtet 2 Technologie Technologie Summe gewichtet 3 Funktionalit t Funktionalitat Summe gewichtet 4 Sonstiges Sonstiges Summe gewichtet Ergebnis gt 100 Tabelle 12 Uberblick Ober die Gesamtergebnisse der evaluierten Tools 7 Fazit hnlich wie andere Bewertungs bzw Vergleichsstudien basiert auch diese Studie auf subjektiven Einsch tzungen und Entscheidungen Sowohl die Auswahl der hier verglichenen Tools als auch die der Bewertungskriterien und deren Gewichtung wurden aus der Perspektive der Verfasser vorgenommen F r die Verwendung der Ergebnisse unserer Arbeit sollten d
191. n under test and is able to send mails to report test automation states Canoo Web Test uses XSLT ex tensible style sheet language transformations to provide the presentation of the test results When considering the assessment area as whole Selenium is the best ranked tool throughout all categories The only features that are missing is sufficient reporting and native keyword and data driven approach but for these missing features already tools have been developed e g Fitnesse or SeleniumCamp which make it easy to overcome the drawbacks of this tool Canoo Web Test is ranked second best especially due to an uncommon scripting language a missing IDE and no guaranteed support but it is a great option for users that only require doing auto mated black box tests with Web Browser WatiN is very dependent on the Microsoft Windows platform and Net which is a disadvantage if platform independency is required It furthermore does not include reports offers any help for the customization of the tool documentation is in sufficient and the developer himself does the support which on the one hand can be an ad vantage as he knows the full functionality but on the other hand can be a risk when urgent problems occur T Plan Robot is the best option if only platform independency is required but test case creation can be very time consuming and the technique still has a lot of limitations Additionally there is a closed source license available which is
192. nal Java 2 Enterprise Edition with BEA WebLogic Server J2EE Performance Testing Tabelle 8 Literatur zur Dokumentation von The Grinder 4 2 5 The Grinder Architektur Zum Abschluss wird auf die Architektur des Grinders eingegangen Im Allgemeinen l sst sich die Architektur in drei verschiedene Prozessgruppen unterteilen 1 2 3 Konsolenprozesse Dienen der Aggregation und Koordinierung aller externen Prozesse um Statusinformationen und eine bersicht der Messergebnisse anzu zeigen Agentenprozesse Beschreiben die Verwaltungsprozesse die separat auf jedem Client Rechner gestartet werden m ssen Diese Prozesse starten die Workerprozesse Tests und sind f r deren berwachung verantwortlich Workerprozesse Dies sind Prozesse die der eigentlichen Durchf hrung der Tests dienen Die vorkonfigurierten Module werden von diesen Prozessen geladen konfiguriert und durchgef hrt Eine Testinstanz besteht aus einem Agent Prozess und einem oder mehreren Worker Prozessen Der Agent dient der Administration der einzelnen Worker und erh lt seine Befehle und die zu startenden Testskripte von der Konsole Hierzu verbindet sich der Agent nach dem Start mit der Konsole und wartet auf deren Befehle Der Agent startet nach Befehl der Konsole ent sprechend seiner Konfiguration die Worker und bermittelt diesen die Anzahl der zu startenden Worker Threads das Testskript und einige andere Parameter Die
193. ng eines Produktes dieser Hersteller gilt somit abzuw gen ob die vermeintlich niedrigere Serviceverf gbarkeit als ausreichend einzustufen ist Relevant ist dieser Aspekt vor allem dann wenn der Hersteller nicht aus Deutschland bzw aus dem englischsprachigen Ausland stammt Einen weiteren kritischen Faktor stellen die Unterschiede zwischen den Editor Funktionen der Werkzeuge dar Wie zuvor beschrieben wurde bietet nur der RDz eine Autovervollst ndigung f r Gastsprachen Aus Sicht der Versicherung die nicht ausschlie lich Gastsprachen verwendet die Teil des nativen Sprachumfangs sind kann das Fehlen dieser Unterst tzung u U als Grund gegen den Kauf eingestuft werden Die Unterschiede in Bezug auf die Anbindung externer Systeme k nnen als untergeordnet priori siert werden da f r Eclipse diesbez glich eine gro e Anzahl von spezialisierten Plugins existiert Hierbei w rde der Zugriff auf ein Datenbanksystem z B ber ein Plugin eines Drittherstellers und nicht ber das COBOL Entwicklungs Plugin geschehen Auf Grund der Reduktion von Abh ngig keiten und Heterogenit t der Werkzeuglandschaft w re eine Vermeidung dieses Szenarios nat rlich sinnvoll KOS content Seite 379 35 4 Diskussion 4 1 Kritische Reflexion An dieser Stelle soll beleuchtet werden welche Faktoren bei der Ausarbeitung dieser Fallstudie limitierend wirkten und welche Implikationen sich hieraus ergeben COBOL Kenntnisse Zun chst ist festzuhalt
194. nnte Ein schr nkungen und berlegungen sind der Grund daf r dass von initial 13 identifizierten Produkten nur 5 untersucht werden konnten Zus tzlich wurde der IBM RDz als Referenz f r die Entwicklung auf der Plattform System z wie es bei der Versicherung der Fall ist miteinbezogen KOS content Seite 357 13 3 5 1 Visual COBOL IDE Die Entwicklungsumgebung Visual COBOL IDE von Micro Focus ist ein kommerziell vertrie benes Werkzeug dessen Quellcode geschlossen gehalten wird Der Hersteller bietet zu Visual COBOL zwei Erweiterungen an Dazu z hlt Database Connectors das zur Anbindung von Da tenbanken dient und XDBC welches ber ODBC JDBC eine generische Anbindungsm glichkeit t 38 von externen Anwendungen bereitstell Hinsichtlich der Bepreisung konnten keine konkreten Informationen gewonnen werden Hierzu muss im Einzelfall direkt Kontakt mit dem Hersteller aufgenommen werden Der Editor der Entwicklungsumgebung deckt alle untersuchten Vergleichskriterien ab Er bietet eine Autovervollst ndigung Code assist an die alle nativen Sprachelemente abdeckt Diese ist in Abbildung 4 dargestellt Gastsprachen werden hierbei nicht unterst tzt Auf der linken Seite ist das Kontextmen zu sehen in welchem COBOL Befehle angeboten werden Ebenfalls verf gt der Editor dank einer Hintergrundkompilierung durch den integrierten Compi ler ber eine automatische Syntax berpr fung und Fehlererkennung Gastsp
195. ns stop the capturing Now analyze the captured data Abb 13 Webgoat Lesson mit eingeblendeten Hinweisen und der zugeh rigen L sung KOS content Seite 476 33 In Abbildung 13 wurden zahlreiche Individualisierungen ber das obere Men vorgenommen So werden Hinweise rote Schrift links oben im Bild und die L sung Fenster rechts im Bild f r die Lesson angezeigt In diesem Beispiel w re es n tig einen frei verf gbaren Network Sniffer wie Wireshark zu benutzen um die Sicherheitsl cke auszunutzen Die wenigen Nachteile des Honeypots sind ein fehlendes Forum des Projekts und mangelnde opti sche Individualisierbarkeitsm glichkeiten Beide k nnen jedoch vernachl ssigt werden wenn die gro e Anzahl an Vorteilen betrachtet wird Eine Vielzahl an Sicherheitsl cken gute Erkl rungen E Learning Qualit t der Lessons und ein ausgereiftes Design machen dieses Projekt zu einem sehr guten Honeypot Das hohe Roadmap Ziel des Projektes das defacto standard web applica 38 zu sein wird nach den Ma st ben dieser Arbeit erf llt tion security training environment Webgoat wird au erdem von der Security Firma AspectSecurity gesponsert welche ebenfalls Schulungen im Bereich Websecurity mit diesem Honeypot anbieten Zahlreiche weitere externe Tutorials und Ressourcen sind au erdem verf gbar wie etwa die OWASP WebGoat v5 3 RC Web Hacking Simulation WalkThrough Series der YGN Ethical Hacking Group 7 Se
196. nsinterface GUI oder CLI 3 Nach Copy Paste durch Aufruf der Seite Interface gegeben KOS content Seite 492 Einfachheit der Installati 49 on 3 Konfiguration sehr einfach Uber Ubersichtliches Interface Sicherheitsl cken Hilfestellungen und Anforderungen sind sehr gut und schnell einzustellen Konfiguration ist jeder Klarheit der Konfiguration 3 zeit erreichbar Uber ein oberes Men Bewertungssumme 21 Maximum 21 100 00 Erf llungsgrad Usability 0 2 ISO 9241 10 Dialoge und Interaktionsm glichkeiten sind stets ange Aufgabenangemessenheit 3 messen Durch gute Beschriftungen und Titel sowie ausreichende Selbstbeschreibungsf und gut erreichbare Hilfestellung kann jeder Teil schnell higkeit 3 vom Benutzer verstanden werden Befehle f hren ohne Probleme zum gew nschten Ziel Steuerbarkeit 3 umstandliche Bedienung konnte nicht gefunden werden Da man allgemein keine Erwartungen oder Referenzen f r eine Honeypot Oberfl che erwartet sind einige Hinweise oder Optionen zun chst ungewohnt wie z B die Hints nach unten hin angeordnet Trotzdem ist eine schnelle Erwartungskonformit t 2 Eingew hnung m glich Tipps und Schwierigkeit sind einstellbar die Oberfl che kann aber nicht ohne weiteres angepasst werden Dies ist aber auch nicht weiter schlimm oder wichtig im Benutzer Individualisierbarkeit 1 kontext H chstnote durch zuschaltbare umfangreic
197. nt Seite 401 14 DEMO HOME Hime Y ans 1 Task bo 1 Aas 1 Test Rete Y pales Raporing 1 Manage Teer Doi Leet News Welcome to RT Test Sets Last Five lol lr ro bl le ld ol rada rl Sa Peng Busia Reose 10 2 a lo o 2005 11 23 23 23 53 Tests Last Five Modified f Text Y Figure 5 RTH main page RTH presents a light weight and easy to use test case management tool which supports differ ent user groups with defined user rights addressing the user right administration However proper documentation and support activities cannot provided sufficiently due to a small team of developers TestLink TestLink is the most popular open source test management and execution system including test specification planning reporting and requirements tracking The web based multilingual user interface of TestLink runs on browsers supporting JavaScript XHTML and CSS facilitating maintenance and upgrades of TestLink because client installations are no longer required TestLink is platform independent test management software supporting multiple programming languages JavaScript PHP and database systems MySQL PostgreSQL MS SQL Moreo ver it is developed with emphasis on usability maintainability as well as effectiveness and can be integrated with the most common bug tracking systems such as Bugzilla and Mantis Internal and external authentication support is provided by Lightweight Directory Ac
198. ntation erklart Alle Funktionen stehen direkt zur Verf gung unn tige Steuerbarkeit 3 Komplexitat wurde nicht gefunden Hochgeladene Dateien k nnen nicht angesehen werden Erwartungskonformitat 2 ohne Kenntnisse der URL Die Farbe des eigenen Namens l sst sich anpassen der Individualisierbarkeit 0 Rest ist hardcoded Oberflache bietet keine ersten Schritte nur durch das Lernf rderlichkeit 1 Handbuch Design Ist das Design anspre Einheitliches Design nicht besonders ansprechend wirkt chend 1 eher spielerisch Bewertungssumme 12 Maximum 21 Erf llungsgrad 57 14 Features 0 1 Unerwartete und positive Reset Funktion Denial of Service L cke erkl rt spezielle Zus tze 1 pro Feature AJAX L cken erkl rt eigene Sandbox f r jeden User d h Maximal 5 4 prinzipiell k nnen mehrere Nutzer eine Installation nutzen Maximum 5 Erf llungsgrad 80 00 Gesamt 66 00 KOS content Seite 488 45 Anhang 3 HacMe Series Bewertungsmatrix Kriterium Punkte Kommentar Gewich tung Sicherheitslucken 1 Punkt pro vorhandener Lticke 0 25 A1 Injection A2 Cross Site Scripting XSS A3 Fehler in Authentifi zierung und Session Ma nagement A4 Unsichere direkte Objektreferenzen A5 Cross Site Request Forgery CSRF A6 Sicherheitsrelevante Fehlkonfiguration A7 Kryptografisch unsi chere Speicherung A8 Mangelhafter URL Zugriffsschutz A
199. ntersucht werden Dazu wurden verschiedene m gliche L sungen kurz vorgestellt und anschlie end selek tiert Diese Vorauswahl ergab die Projekte Mutillidae Webgoat HacMe Series DVWA und Gruye re welche dann mit Hilfe der zuvor erstellten Bewertungsmatrix untersucht wurden Hierzu wurde sowohl online recherchiert als auch durch eine Installation des Honeypots auf einer virtuellen Ma schine praktische Erfahrung gesammelt Der direkte Vergleich der verschiedenen Open Source Honeypots mit Hilfe der im Rahmen dieser Arbeit erstellten Bewertungsmatrix die ebenfalls zur eigenen Evaluation weiter verwendet werden kann stellt den Hauptmehrwert dieser Ausarbeitung dar Mit Hilfe dieser Evaluation kann nun im Folgenden eine Empfehlung ausgesprochen werden 6 2 Handlungsempfehlungen Bevor konkrete Projektnamen genannt werden k nnen muss zun chst eines klargestellt werden Eine Empfehlung von Honeypots zur Benutzung in Workshops oder Penetration Test Laboren kann nicht uneingeschr nkt ausgesprochen werden Es h ngt zu einem gewissen Teil vom Use Case des Benutzers ab welcher Honeypot sich am besten f r welche Zwecke eignet So ist ein Honeypot immer in Bezug auf die Programmiersprache zu sehen auf der er basiert Diese sollte wenn m glich mit der Unternehmenswebpr senz bereinstimmen Zum Beispiel kann es wichtig sein einen Java basierten Honeypot zur Schulung der eigenen Mitarbeiter zu benutzen wenn die Unternehmens Website ebenfall
200. nterviews wird in einem zweiten Schritt erfasst welche Zukunftsperspektive die IT Leitung auf Basis ihrer IT Strategie f r das methodische Vorgehen im Umfeld der COBOL Entwicklung hat Hierzu wird gemeinsam mit der Versicherung eine Sammlung von konkreten Anforderungen Requirements aufgestellt die eine m gliche zuk nftige Orchestrierung von Werkzeugen und Plugins zu erf llen h tte Im Rahmen einer nachgelagerten Interviewrunde werden in einem dritten Schritt die gesammelten und konsolidierten Anforderungen verifiziert und priorisiert Die Priorisierung dient der sp teren Identifikation einer L sung die den zuk nftigen Soll Zustand am ehesten abbilden kann 28 Vgl XXX U et al 2012 XXX K 2012 29 Vgl XXX U et al 2012 KOS content Seite 352 In einem vierten Schritt wird die Auswahl m glicher Tools und Plugins vorgestellt die auf Basis der zuvor aufgestellten Anforderungen als grunds tzlich geeignet erachtet werden Die jeweiligen Features werden hierbei knapp beschrieben und auf die Erf llung der Anforderungen hin untersucht Abschlie end wird der Grad der Erf llung der verschiedenen Anforderungen f r jedes Tool ermittelt und nach spezifischer Gewichtung jeder Anforderung in einer Gesamtkennzahl ausgedr ckt Die Kennzahlen aller Tools werden bergreifend in einer Vergleichsmatrix gegen bergestellt Diese Matrix dient schlie lich der Identifikation der am ehesten geeigneten L sung 3 2 Ist Zu
201. o M 2003 S 8 Vgl Gerrit G bel J Dewald A 2011 S 11 KOS content Seite 447 4 Weise eine Angriffsflache fur Hacker zu schaffen und deren Vorgehen bei einem Angriff zu analy sieren Daneben besteht die M glichkeit Honeypots zum internen Training zu nutzen Diese Trainings Honeypots k nnen beispielsweise Applikationen auf einem Server sein in welchem Sicherheitsl cken integriert sind um internen Entwicklern und IT Sicherheitsverantwortlichen die Chance zu geben als Angreifer in einer Testumgebung zu agieren und Sicherheitsl cken auszunutzen Im Rahmen dieser Arbeit werden Web Honeypot Produkte evaluiert welche Webapplikationen mit Sicherheitsl cken simulieren und zu Trainingszwecken in einer internen Testumgebung dienen wie Abbildung 1 zeigt Testumgebung in einem Unternehmen IT Sicherheitsbeauftragter Entwickler Web Honeypot Abb 1 Modell eines Web Honeypots in einem Testlabor Als Testumgebung werden h ufig Penetrationtest Labore in Unternehmen verwendet Penetration testing im Allgemeinen wird im nachfolgenden Kapitel n her ausgef hrt 2 3 Penetrationstest In der Literatur wird ein Penetrationtest wie folgt definiert Penetration Test ist die Bezeichnung f r eine Sicherheits berpr fung eines Netzwerk oder Softwaresystems aus Sicht eines Hackers Der Schluss der Definition Aus Sicht eines Hackers impliziert die Frage nach der Herangehens weise d h wie ein Angreifer sich
202. o um einen etwas veralteten Honeypot der f r erfahrene Nutzer nach Startbem hungen Windows XP Maschine real oder virtuell aufset zen durchaus n tzlich und lehrreich sein kann KOS content Seite 471 28 5 4 Mutillidae Mutillidae ist ein von Adrian Crenshaw und Jeremy Druin entwickelter Honeypot welcher auf PHP basiert F r die Installation wird ein Webserver mit PHP Unterst tzung und eine MySQL Daten bank ben tigt Mutillidae beinhaltet ebenfalls die OWASP Top 10 Sicherheitsl cken und hilft mit optional einschaltbaren Hinweisen dabei diese auszunutzen Im Folgenden werden alle Bewertungskriterien und der Erf llungsgrad dieser im Projekt Mutillidae n her erl utert Eine ausf hrliche bersicht findet sich zus tzlich in Anhang 4 Die Dokumentation des Honeypots im Allgemeinen ist gelungen so existieren ausf hrliche Anlei tungen und ein eigener YouTube Kanal dabei Sicherheitsl cken zu erkennen und auszunutzen Im Honeypot selbst sind sogenannte Hints also Tipps und Hinweise ein und ausschaltbar um umfangreiche Tutorials f r die Sicherheitsl cken und deren Ausnutzung aufzuzeigen Au erdem ist ein Schwierigkeitsgrad einstellbar der die jeweiligen Hacking Versuche erschwert und jederzeit frei einstellbar ist Ke NOWASP Mutillidae Hack Like You Mean It Version 2 1 20 Security Level 0 Hosed Login Register Toggle Hints HTML 5 Storage E HTML 5 Web Storage Web Storage Hints Disabled
203. ocalhost Solution Videos Restart this Lesson Lesson Plan Title Insecure Login Hint Stage 1 Use a sniffer to record the traffic Screen 67 Concept Topic To Teach menu 1300 Sensitive data should never sent in plaintext Often applications switch to a See secure connection after the authorization An attacker could just sniffthe login and use the gathered information to break into an account A good ISESSIONID 9A1E64AFD2F62523FFF1E38244689000 webapplication always takes care of encrypting sensitive data For this lesson you need to have a server client setup Please refer to theTomcat Configuration in the Introduction section General Goal s Stage1 In this stage you have to sniff the password And answer the question after the login See how easy itis to sniffa password in plaintext Understand the advantages of encrypting the login data La d D e Goat Hills Financial Solution L UMAN RESQUICES This lesson has two stages In the first stage you try to sniff a password which is mm a sent in plaintext In the second stage you try the same but on a secure connection Please Login You need a client server setup for this lesson Please refer to the Tomcat Setup Kg in the Introduction section Enter your name Jack Enter your password seeeee Stage 1 Submit Start a sniffer If you do not have one we recommend wireshark which is free Wireshark Make sure you are capturing on the right interface Click on the submit button a
204. odik zur Bewertung der O pen Source Honeypots Hierzu werden alle in der Bewertungsmatrix enthaltenen Kriterien n her ausgef hrt Daraufhin erfolgt eine Produktvorstellung von m glichen Honeypots aus welcher eine definierte Anzahl an Produkten ausgew hlt und n her untersucht wird Nach der Auswahl erfolgen die Evaluation der Honeypots und die Bewertung Schlie lich werden die Ergebnisse der Auswer tung beschrieben Handlungsempfehlungen eine Zusammenfassung der Arbeit und ein Ausblick folgen im Schlusskapitel KOS content Seite 446 2 Grundlagen Im Folgenden Kapitel werden die notwendigen Termini erl utert um so die Basis f r die nachfol genden Kapitel zu schaffen Definiert werden de Begriffe Honeypot Penetrationtest und Web Honeypots werden von Server Honeypots abgegrenzt 2 1 Honeypots Der Begriff Honeypot stammt aus dem englischen und kann mit Honigtopf bersetzt werden Im 8 verstan Bereich der Informationstechnologie IT wird unter diesem Terminus eine Zielmaschine den auf welcher absichtlich Sicherheitsl cken im System integriert werden um so einen Angreifer bei dessen Vorgehen zu beobachten Eine einheitliche und allgemein akzeptierte Definition von Honeypot ist nicht existent da un terschiedliche Honeypots fiir verschiedene Zwecke genutzt werden Vor diesem Hintergrund ist insbesondere im Rahmen dieser Arbeit eine Unterscheidung zwischen Honeypots die als Zielmaschine f r externe Angreife
205. of the valuation basis for each tool KOS content Seite 413 26 3 3 1 Open source criteria The first section Open source criteria takes a look at all those criteria that make up a good Open Source Software The selected open source criteria to be evaluated have been identified through a detailed literature research and can be named as follows Licensing amp Pricing Im provement 8 Release Activity Community Maturity and Documentation Please note at this point that there may be many more criteria which could be taken into account For the purpose of this paper however a selection in favor of the most important criteria that fit into the scope was made The assessment of a criterion as important was based their numerous occurrence in various literature sources As the price plays a very important role and is in fact the main reason for a company to choose Open Source Software Licensing amp Pricing is the first criterion to be measured Licenses that accompany the Open Source Software are especially for programmers of significance Unlike commercial software open source licenses provide users with access to the code so that they are able to modify and customize the existing code according to their needs The most well known example of an open source license is the GNU GPL which is also one of the most used licenses Improvement amp Release Activity is also of major importance when evaluating Open Source Software Release act
206. oject Tools Run Window Help ei BS SSX 5 A gt O EN e KR 3 ES s Debug FE elastic COBOL 9 Java EE F Debug 23 ob Servers o gt a 22 SS amp Y 7 D 00 variables 53 Ga Breakpoints AB O E amp datetime cbl COBOL Application Name Value 5 amp datetime at localhost 2190 E this datetime id 19 S Thread main Suspended 5 wrk datetime wrk id 20 datetime MAIN PARAGRAPH OF DEFAULTSECTIOND line 38 date_group Variable id 39 oll C ProgrammelJavaljre bin javaw exe 19 06 2012 22 49 15 numedited Variable id 40 procedure division main paragraph display AS 400 Style Date Time Timestamp Functionality upon sysout display vm upon sysout move 1972 08 NK tn nlain dare Writable Smart Insert 34 23 Abbildung 12 Elastic COBOL Debugging Defizite weist dieses Produkt besonders vor dem Hintergrund der Verwendung eigener Pre Prozessoren auf da deren Unterst tzung oder Integration nicht vorgesehen ist Auch der direkte Zugriff auf das entfernte System ber SSH ist nicht m glich Hierf r m ssten weitere Plugins installiert und eingerichtet werden Customer Information Control System CICS wird teilweise unterst tzt Support bietet Heirloom Computing in Form verschiedener Dokumente und Foren zur Selbsthilfe Nichtsdestoweniger ist es m glich ein Support Ticket zu erstellen um Fragen an den Hersteller zu richten Ein telefonischer Support existiert nicht Die Kosten des Produkts k
207. oject tracking Moreover SCM tools such as SVN CVS Git Mercurial Bazaar and Darcs can be integrated into Redmine The community has established the compatibility of additional third party tools within the past years However its support differs significantly from Redmine All in all Redmine is a multi client project management tool used for planning and organizing issue tracking systems Discussion forums ensure a well coordinative administration system to define accesses and roles Furthermore customer language can be chosen to secure a better communication and include news and messaging systems Requirement and Testing Hub Requirements and Testing Hub RTH is an open source test management tool with integrated requirement management and bug tracking capabilities RTH can be integrated into projects supporting multiple operating systems Windows Linux PHP programming language SQL databases as well as Apache HTTP Server according to standards and providing an API con nection to integrate other software RTH provides a CKEditor component an open source HTML and text editor from CKSource in order to facilitate the creation of test cases Already created test cases can be easily imported using a Microsoft xls file The ability to create manipulate and delete test requirements is given by RTH Moreover a traceability matrix covers all requirements related through test case id to a coverage statistic 4 Redmine 2012 KOS conte
208. om mission und der Defense Information Systems Agency des Verteidigungsministeriums als Richtli nie vorgegeben 1 Vgl OWASP 2012a http owasp de top10 TT Vgl OWASP 2012b https www owasp org 12 Vgl OWASP 20120 https Avww owasp org index php About OWASP 13 Eine Non Profit Organisation die eine Vielzahl an US Beh rden v A Verteidigung unterst tzt und aus dem Massachusetts Institute of Technology MIT hervorging Vgl MIT 2012 http en wikipedia org wiki Massachusetts Institute of Technology SysAdmin Audit Networking and Security ein auf Internet Sicherheit spezialisiertes Unternehmen 18 Vgl MITRE 2011 http cwe mitre org top25 index html AppendixD KOS content Seite 451 8 F r die Bewertung der Honeypots ist dabei ausschlaggebend wie viele der OWASP Top 10 Si cherheitsprobleme in einem Honeypot vorhanden sind Im Folgenden wird ein kurzer Uberblick ber diese gegeben dabei wird jeweils die offizielle pr gnante Erkl rung verwendet 3 1 1 Injection Injection Schwachstellen wie beispielsweise SQL OS oder LDAP Injection treten auf wenn nicht vertrauensw rdige Daten als Teil eines Kommandos oder einer Abfrage von einem Interpre ter verarbeitet werden Ein Angreifer kann Eingabedaten dann so manipulieren dass er nicht vor gesehene Kommandos ausf hren oder unautorisiert auf Daten zugreifen kann HL THIS IS OH DEAR DID HE DID YOU REALLY WELL WEVE LOST THIS YOUR SONS SCHOO
209. on of Un e ad eet 3 2 3 Ee a E 4 2 4 TEA O de e SOA es 6 3 MICTNGAGIOG V5 8 curate se este dit 8 A 8 3 1 1 Test Management ol oda ett do ac 11 NN A tia ak al ash is et dan 15 3 2 Selection of Tools for Closed Source Software nenn 20 3 2 1 HP Application Lifecycle Management HP Quality Center 20 3 2 2 IBM Application Lifecycle Management Rational Quality Manager 22 3 2 3 Comparison of Open Source and Closed Source Software ooooooocccininiocccccncnnnnnos 24 3 3 Concept of Evaluation matt 25 3 3 1 Open source criteria ati cae ne de eel a tes ind ake eee neee 26 3 3 2 Common Software Criteria cr ken 27 3 3 3 Functional criteria Test Management AAR 28 3 3 4 Functional criteria Test Automation ussnnsensnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 30 KOS content Seite 384 4 Evaluation 4 1 Test Managementarr este alien 4 2 Test AutoMall ne 2 237 EE a SENSE 5 RecommendatiON navionics ana GE Ee ana anna an anna Eege ee 6 Conclusion List of references KOS content Seite 385 List of abbreviations ALM CPM CSS GPL HP IBM IDE JDK KPI LDAP MPL OSS RTH SUT VB VNC Application Lifecycle Management Critical Path Method Closed Source Software General Public License Hewlett Packard GmbH International Business Machines Deutschland GmbH Integrated Development Environment Java Development Kit Key Performance Indicator Lightweight Directory Access Protocol
210. on planning executing measuring reporting and detecting defects The main vision of IBM is to drive a quality oriented approach as it in cludes and ensures code quality unit testing as well as test data extraction and masking All in all RQM provides a great application for test and quality management Test cases are created and executed lts results are compared to existing tests and similarities are pointed out to evaluate its success which will be included in future plans and schedules to define test cy cles The accomplishments plus administrative details such as the date and duration are docu mented Based on these records the further defect management is scheduled Simultaneously resources are considered and used to improve efficiency like within the testing environment The planning process includes the interaction of several test cases with a focus on the user s requirements which can be imported from xml data Test cases can be individually created and customized to match the specific user requirements Additional features can be implemented as mentioned above 3 2 3 Comparison of Open Source and Closed Source Software The biggest difference between open and closed source software considers the fee paid for licenses While commercial service providers charge the customer for implementation the Open Source Software can be embedded by well trained internal staff Accordingly no additional charges will occur However in house suppor
211. onen die junge Programmierer im Rahmen ihrer Ausbildung kennengelernt haben Interoperabilit t mit anderen Anwendungen ist nicht immer gew hrleistet Branchentypisch gestaltet sich die Software Entwicklung auch bei der Versicherung einer Teilgesellschaft der Versicherung mit Hauptsitz in Stadt Hier arbeiten XX Personen an der Entwicklung von COBOL Applikationen Lediglich XX Mitarbeiter sind mit der Anwendungsent wicklung in anderen Programmiersprachen betraut welche bereits ber die Eclipse IDE stattfindet Im Rahmen eines Forschungsauftrages an die Duale Hochschule Baden W rttemberg DHBW soll evaluiert werden inwieweit sich die COBOL Entwicklung der Versicherung in Eclipse realisieren l sst In der Vergangenheit wurde in einer Machbarkeitsstudie analysiert inwieweit sich das kom merzielle Produkt Rational Developer for System z RDz in der Versicherung einsetzen l sst Eine grunds tzliche Machbarkeit wurde nachgewiesen Aufgrund finanzieller Aspekte wurde diese Soft ware trotzdem nicht eingef hrt Vor diesem Hintergrund liegt der Fokus des Forschungsauftrags prim r aber nicht ausschlie lich auf Open Source Software OSS Im Speziellen sollen Plugins f r Eclipse evaluiert werden die die Programmierung in COBOL erm glichen bzw erleichtern Vorrangiges Ziel ist es von den oben genannten Vorteilen moderner IDEs profitieren zu k nnen Die Versicherung erhofft sich dar ber hinaus eine bessere Interoperabilit t mit anderen
212. onzentriert sich diese Abhandlung auf den aktuellsten Teil der Serie das HacMe Casino 7 Es existieren zwar neuere Anwendungen allerdings setzen diese ei nen anderen Fokus wie z B HacMe Bank Android welche auf mobile Sicherheit abzielt Founds tone hat seine Serie mit verschiedenen Frameworks umgesetzt das HacMe Casino ist dabei in Ruby on Rails geschrieben Windows XP wird als Plattform zwingend ben tigt woran sich das Alter der Anwendung erahnen l sst HacMe Casino ist eine BlackBox Applikation die den Nutzer die Sicherheitsl cken ohne integrierte Anleitung entdecken und ausnutzen l sst und den Quell code nicht beim prim ren Download mitliefert Die Untersuchung des HacMe Casinos hat ergeben dass es sich um eine mittelm ige Anwen dung handelt Dies ist haupts chlich auf die fortgeschrittene Schwierigkeit der Anwendung auf grund von wenig integrierter Dokumentation und Anleitung als auch auf die Kompatibilit tsproble me mit neueren Betriebssystemen zur ckzuf hren Sofern mit Windows XP gearbeitet wird ist die 31 Vgl Hacme Casino 2012 http www mcafee com us downloads free tools hacme casino aspx KOS content Seite 469 26 Installation der Anwendung sehr einfach da sie in direkt ausf hrbarer Form geliefert wird exe Datei Die Anwendung muss nur ausgef hrt werden und wird wie eine herk mmliche Windows Anwendung in wenigen Schritten bis zur Fertigstellung durchgeklickt was i d R in unter 5 Minu t
213. ools contain features for generating reports whereas TestLink supports a variety of different reports which can be exported to different formats HTML MS Word MS Excel The reports can also be sent directly via mail from the tool which results in a higher score regarding the generation of reports Considering all three core areas general open source criteria common software criteria and functional criteria of test management TestLink could be identified as the best test manage ment tool of the ones examined receiving 275 out of 300 points The features that are not suffi ciently provided are concerned with missing customization of reports as well as exporting re ports to the pdf file format Bugzilla Testopia is ranked as second best test management tool due to the fact that Bugzilla Testopia represents a bug tracking system Bugzilla with an inte grated test management extension Testopia Although Testopia provides test management features like test planning and test requirement management it cannot compete with TestLink KOS content Seite 422 35 Moreover an uncommon scripting language Perl 5 and a command line driven installation process result in point deduction leading to 236 points Redmine also uses an uncommon script ing language Ruby on Rails provides only slight possibilities of customization and does not offer proper documentation The main drawbacks of Redmine in the section of the functional test management
214. ools wie CVS SVN oder Git m glich In Bezug auf Support sind in den diversen Preismodellen auch unterschiedliche Serviceleistungen inkludiert W hrend bei der Standalone Edition lediglich ein onlinebasiertes Ticketsystem mit festgelegten Antwortzeiten zur Verf gung steht erhalten Kunden der Professional Edition zus tzlich Telefonsupport Lediglich Kunden der Enterprise Edition haben auch die M glichkeit eine Remotediagnose durch den Hersteller sowie periodische Treffen und Reports zu erhalten KOS content Seite 372 28 Hersteller metrixware Softwaretyp Plugin Quellcode Open Source MCLA Kosten Lizenzierung Systemanforderungen CPU o A RAM o A HDD o A Editorfunktionen Autovervollst ndigung Ja Code Highlighting Ja Fehlererkennung Syntax Check Ja Nach lokaler Kompilierung Unterst tzung von Gastsprachen Ja CICS DB2 DL1 JCL REXX Beratungsdienstleistungen Debuging Grafisches Schritt f r Schritt Debuging Ja Remote Debugging Ja Anbindung von externen Systemen SSH Ja Datenbanken Keine Angaben Sonstiges Dateiexplorer Terminal Anbindung 3270 Keine Angaben Support Ja je nach Preismodell Online Ticket Telefonsup port oder pers nliche Hilfe Eclipse Version e Produktseite http bit 1y Ra39I5 e Quellcode bei SourceForge http bit 1y dsAEui keine Angaben Tabelle 6 Cobos Features 62 bersicht der Kos
215. ormunabhangigkeit Betriebsysteme Testbare Protokolle Parallele Nutzerverwaltung Multithreadin Verteilte Anwendung Tabelle 4 Uberblick iiber die Kategorie Technologie 3 2 3 Funktionalit t Die Kategorie Funktionalit t wird generell durch die zwei Hauptmerkmale Testing und Ana lyse in Tabelle 5 gepr gt Des Weiteren sind die Systeme und Anwendungen relevant welche mit dem jeweiligen Tool testbar sind Dabei beschr nkt sich diese Vergleichsstudie auf vier wesentliche Systeme Webservices Webanwendung Datenbanken und Middleware Komponenten Die wichtigste Funktionalit t eines Lasttesttools ist die Erzeugung von Testf llen bzw Test skripte Die Erstellung eines speziellen Testfalls f r ein System kann zeit und kostenauf wendig sein und Vorkenntnisse ber das zu testende System erfordern Aber nur die Durch f hrung passender Testf lle validieren Aussagen ber die Konstanz und Performance eines Systems Lasttesttools unterst tzen die Generierung von Testskripten jedoch gibt es Unter schiede bei der Umsetzung Aus diesem Grund wurden Merkmale festgelegt die Aussagen dar ber zulassen ob eine manuelle Testfallgereierung erforderlich ist ob das Aufzeichnen eines Testfalls m glich ist und ob berhaupt ein integrierter Testfallgenerator vorhanden ist Desweitern wird untersucht ob sowohl client seitige also auch server seitige Tests m glich sind Ein weiterer Punkt ist die Frage ob die Abbildung komplexer Sz
216. ould be taken at user requirements regarding compatibility and interfaces to be supported Furthermore the level of support receivable by the user from the tool provider or community is evaluated Open source support is mainly provided by the community of users and developers However when choosing OSS receiving personal support may lead to addi tional expenses which need to be considered from the very beginning The last criterion to be assessed is tool customization which measures the degree to which a tool can be customized This may include the availability of additional functions to be added to existing settings or the possibility to adapt the code to specific customer requirements provided the know how is avail able within the organization The following weighting was applied to the previously mentioned criteria System requirements 30 Usability 15 Interoperability 20 Support 15 Tool customization 20 Sys tem requirements were regarded as most important as these are crucial for the tool to even run on the desired platform If the tool is not compatible with the system used it cannot be consid ered at all which justifies the weighting Usability and support were not assessed as important as interoperability and tool customization because the latter two are important conditions that the tool needs to meet in order to test the desired applications in their environment If these cri teria are not met the s
217. ource related criteria making it a clear leader in the field of Open Source Software for test automation Canoo WebTest s good performance in these areas also justifies its positing in the leader quadrant though it has to be emphasized once more that Canoo WebTest is a great tool for automated testing of web applications whereas Selenium has a wider application range which goes beyond the testing of web applica tions However Canoo WebTest may be the better choice if only that application area needs to be covered Due to their evaluation T Plan Robot and Watin were allocated in the quadrant Niche players implying that these tools may be a good solution for some user groups but in terms of overall performance in meeting the average requirements of all users regarding a good Open Source Software for test automation Canoo WebTest and Selenium represent the better options When comparing the two to one another the matrix illustrates that T Plan Robot per KOS content Seite 428 41 formed slightly better than Watin in terms of functionality while Watin meets more OSS re quirements that identify a good Open Source Software than T Plan Robot When assessing the average expectations in terms of OSS and functionality of our four tools the presented ranking may serve as a guide for selecting the right tool Though before making a decision in favor of a particular tool the individual requirements need to be determined and mapped on to the func
218. ourcetesting org 2012 Whichtestingtool com 2012 Contained in QA TestLab 2009 S 8 Cf Gartner Inc 2011 p 8 KOS content Seite 398 11 and IBM as well as Oracle and Micro Focus are identified at market leader according to Gartner Inc Vendors like Microsoft and Soasta are declared as visionaries whereas Seapine Software and SmarteSoft are classified as niche players The closed source tools incorporating test management and test automation components eval uated within this paper as follows 1 HP Quality Center 2 IBM Rational Quality Manager 3 1 1 Test Management The following paragraph describes four test management tools which were carved out in chap ter 3 1 based on literary research Bugzilla Testopia Bugzilla is a bug tracker end user solution documenting bug reports This web application is supported by Mozilla Additionally such OSS is compatible with Linux Kernel Gnome KDE Apache Projects Open Office and Eclipse It can also be used with Linux Distributions All in all Bugzilla offers a wide range of compatibility which is also recognized and actively used by 1268 companies organizations and projects The most famous companies and organizations are NASA Facebook Wikipedia Nokia and The New York Times Bugzilla has turned into a group undertaking It was first developed for internal use only but spread out very soon Therefore it has changed from being a mozilla org implementation into
219. p DHBW Duale Hochschule Baden W rttemberg Stuttgart KOS content ii QS Ergebnisse der Untersuchungen des Kompetenzzentrum Open Source der DHBW Stuttgart Sommer 2012 band 2 KOS content 01 12012 INHALT BAND 2 Inhalt __ Fallstudie Versicherung Evaluation von Eclipse Plugins Vergleich von Open Source Web Applikation zur COBOL Entwicklung 341 Honeypots zum Aufbau einer Penetrations Test Umgebung 441 Vergleichsstudie zu Open Source Produkten f r Evaluation of Open Source Tools for Test Management Last Performancetesttols 507 and Test Automation 383 SCH Das Kompetenzzentrum Open Source KOS Ziel des Projektes Das Projekt Kompetenzzentrum Open Source der DHBW Stuttgart wurde mit der Zielsetzung ins Leben gerufen die Einsatzfelder fir Open Source Software in Unternehmen zu identifizieren und durch den Einsatz quelloffener Produkte und deren kosteng nstigen Einsatzm glichkeiten Optimierungen in ausgew hlten Gesch ftsbereichen zu erzielen Dies bedeutet konkret dass z B Open Source Software evaluiert wird um Lizenzkosten zu reduzieren bewertet wird ob sie diverse Qualit tskriterien erf llt und erfolgreich er und effizient er in Unternehmen genutzt werden kann Das Ziel des Projektes ist es hierbei allgemeing ltige L sungskonzepte f r Problemstellungen zu erarbeiten welche von den am Projekt beteiligten Unterneh men zu firmenspezifischen L sungen weiterentwickelt werden k nnen Die beteiligten
220. port bei Anwendungsproblemen a Gibt es ein Forum b Gibt es einen Chat f r schnelle Hilfe 4 Anpassung des Honeypots an neue Sicherheitsl cken a Gibt es aktive Entwickler die neue Sicherheitsl cken einbauen k nnen Wie aktiv ist die Community diesbez glich Gibt es unterst tzende Unternehmen b Alternativ wie einfach ist es Sicherheitsl cken selbst einzubauen oder bestehende zu ndern Aufgrund der Tatsache dass im Bereich Web Applikation Sicherheit der Gro teil der vorhandenen Informationen in Englisch vorliegt wird davon ausgegangen dass der Umgang mit der englischen Sprache keine Probleme darstellen sollte Bei der Bewertung wird daher nicht unterschieden ob Dokumentation und Support von der Community in Deutsch oder Englisch angeboten werden 3 3 Installation Die Installation steht vom lateinischen Ursprung her allgemein f r die Einrichtung eines bestimm ten Objektes Im Rahmen dieser Arbeit ist dieser Begriff als die initiale Konfiguration des Open Source Honeypots zum Einsatz z B in einem Penetrationtest Labor definiert Da insbesondere in Open Source Projekten wenn auch oft f lschlicherweise eine groBe Vorkenntnis bei Anwendern vorausgesetzt wird ist es wichtig die Einfachheit und Nachvollziehbarkeit des Einrichtungsprozes ses des Honeypots zu untersuchen und in die Gesamt Bewertung als Kriterium mitaufzunehmen Verschiedene Aspekte die im Folgenden aufgef hrt werden kommen dabei insbesondere zum Tragen
221. pse 3 7 Einziges Produkt im Vergleich welches als Clouddienst genutzt werden kann Produktseite https www elasticcobol com Tabelle 5 Elastic COBOL Features 57 Preis bersicht auf der Herstellerseite http bit 1y Lmbryc 57 Support bersicht auf der Herstellerseite http bit 1y PbcDWk KOS content Seite 370 26 3 5 5 Cobos Das Produkt Cobos vom franz sischen Hersteller metrixware ist eine kommerzielle OpenSource L sung welche unter dem Metrixware Community License Agreement MCLA vertrieben wird Trotz des offenen Quellcodes fallen f r die Verwendung von Cobos au erhalb der testweisen pers nlichen oder schulischen Nutzung Lizenzkosten an Dabei wird aktuell zwischen den Lizenz modellen Standalone Edition fiir XXX pro Jahr und Benutzer Professional Edition fiir XXX pro Jahr und Benutzer und Enterprise Edition f r XXX pro Jahr und Benutzer unterschieden Ge nauere Informationen k nnen diesbez glich auf der Webseite des Herstellers eingesehen werden Cobos setzt bei der Wahl des Editors Abbildung 13 auf bereits bestehende Open Source Projekte wie IDE Cobol die dann weitere Funktionen wie Kopieren Ersetzen einstellbaren Tabstopp und Gro schreibweise bereitstellen Durch diese Verwendung von bereits vorhandenen Open Source Tools k nnen Abh ngigkeiten zwischen den einzelnen Komponenten nicht ausgeschlossen werden So ist das eben genannte Projekt IDE Cobol bspw bereits eingestellt jedoc
222. pted installation TestLink as well as Redmine offer stepwise installation guides in order to facilitate the installation process for RTH there is no in stallation guide available The lowest ranked tool in this category is Bugzilla Testopia due to a command line driven installation which is very uncommon nowadays Integration with other tools is provided by TestLink Redmine and RTH over an API interface moreover TestLink ena bles the integration with LDAP server used for user authentication processes Mozilla provides various add ins for Bugzilla but it is lower ranked in comparison because of the missing API TestLink and Bugzilla Testopia offer various possibilities for customization Bugzilla Extensions facilitates the modification of both code and user interface and the distribution to other users Moreover Bugzilla offers customization of css and images leading to an individual product skin By using smarty templates with user defined fields TestLink is also highly customizable without requiring editing of the source code RTH and Redmine are ranked moderately because the framework can be extended and customized by add ons but they cannot keep compete with the degree of customization provided by Bugzilla and TestLink TestLink tops the list of all considered test management products when taking all evaluated software criteria into account The Open Source Software achieved 91 from 100 points followed by Bugzilla Testopia and Redmine RTH
223. r davon 1 Besitzer und laut Community diesbez g GoogleCode 7 Commiters Auf Issues wird auch aktuell lich 3 geantwortet Stand Juni 2012 Gibt es einen ffentlichen Bugtracker 3 Ja auf GoogleCode vorhanden Support bei Anwen dungsproblemen Die Kommunikation findet haupts chlich ber eine Mailing liste Feature Requests und Wiki statt Ein ffentliches Forum mit offenen Fragen konnte nicht gefunden werden Gibt es ein Forum 1 es existiert jedoch ein FAQ Gibt es einen Chat f r Allgemeiner Chat nicht vorhanden aber evtl ber Google schnelle Hilfe 1 Dienst Kontakt herstellbar Da das Projekt OWASP getrieben ist ist der Honeypot stets auf dem neuesten Stand in Bezug auf Sicherheitsl cken Zus tzliche L cken k nnen jedoch sehr einfach hin Anpassung des Honey zugef gt werden indem eigene sogenannte Lessons pots an neue Sicher geschrieben werden k nnen Hierzu existiert eine umfang heitsl cken reiche Anleitung Gibt es aktive Entwickler die neue Sicherheitsl cken einbauen k nnen Wie aktiv ist die Commu 23 Mitglieder davon 7 Commiter und aktuelle Problem nity diesbez glich 3 Diskussionen weisen auf eine sehr aktive Community hin Alternativ wie einfach ist Es ist sehr einfach ber sogenannte eigenen Lessons es Sicherheitsl cken eigenen L cken mit Anleitung zu integrieren Hierzu exis selbst einzubauen 3 tiert eine umfangreiche Dokumentation Bewertungssumme 25 Maximum 30 Erf llungsgrad 83 33
224. r McAfee allgemein aber keine Posts zu HacMe Gibt es einen Chat f r schnelle Hilfe 0 Nein Anpassung des Honey pots an neue Sicher heitsl cken Gibt es aktive Entwickler die neue Sicherheitsl cken einbauen k nnen Wie aktiv ist die Commu Es gibt noch Entwickler allerdings wird aktuell nicht entwi nity diesbez glich 1 ckelt Alternativ wie einfach ist es Sicherheitsl cken Kaum m glich ohne Expertenwissen da Quellen schwer selbst einzubauen 0 auffindbar sind Bewertungssumme 7 Maximum 30 Erf llungsgrad 23 33 Installation 0 15 Installationsanleitung 3 Sehr gut in PDF ausf hrlich erkl rt In bestehende Umgebung Sofern diese Umgebung vorhanden ist ja sehr einfach als integrierbar 2 exe Datei ausf hrbar Frequently occurring er rors dokumentiert 0 Nicht vorhanden Geschwindigkeit der In stallation und Anzahl der Sehr schnell wenige Windows Typische Installationsschrit manuellen Schritte 3 te Installationsinterface GUI oder CLI 3 GUI vorhanden und einfach zu bedienen Einfachheit der Installati on 3 Sehr einfach Klarheit der Konfiguration 3 Sehr klar keine M glichkeiten zur Misskonfiguration Bewertungssumme 17 Maximum 21 Erf llungsgrad 80 95 Usability 0 2 ISO 9241 10 Zwar nicht mehr topaktuell von 2006 aber dennoch ziel Aufgabenangemessenheit 2 f hrend Selbstbeschreibungsf Black Box Typisc
225. r Server nur f r organisationsinterne Angreifer erreichbar ist Home My Snippets New Snippet Upload Honey lt HoneyUser gt Profile Sign out Gruyere Home E Refresh Most recent snippets Cheddar Gruyere is the cheesiest application on the web Mac All snippets Homepage Brie Brie is the queen of the cheeses All snippets Homepage Abb 6 Gruyere Startseite Obwohl Google die OWASP Top 10 in der offiziellen Gruyere Dokumentation nicht erwahnt enthalt Gruyere 8 der L cken Diese 8 und weitere nicht in den Top 10 enthaltenen L cken werden jeweils ausf hrlich erkl rt Dabei wird unterschieden in L cken die mit oder ohne Code Kenntnisse Whi te vs BlackBox ausgenutzt werden k nnen sowie fur jede L cke erst Tipps und dann eine Anlei 8 Vgl Gruyere 2010 http google gruyere appspot com KOS content Seite 467 24 tung zum Ausnutzen geliefert Zus tzlich wird angegeben wie ein m glicher Fix der Sicherheitsl cke aussehen k nnte Tipps zum Ausnutzen k nnen dabei separat ausgeklappt werden um verse hentliches Lesen der L sung zu verhindern Die Schritte zum Ausnutzen einer L cke werden dabei sehr detailliert angegeben falls die Onlineversion Gruyeres genutzt wird werden URLs sogar di rekt an die jeweilige Instanz angepasst Gruyere Error CG google gruyere appspot com 854267370139 saveprofile action newsuid BE pw hack2is_author True tdi Ap Y A
226. r selben Zeit zu arbeiten und Vergleiche zwischen unterschiedlichen Quellen durchzuf hren Auch die Integration von eigenen Pre Prozessoren ist problemlos m glich womit Gastsprachen au erhalb des vom Compiler beherrschten Sprachumfangs unterst tzt werden k nnen RDz kann in mehreren Preismodellen mit unterschiedlichem Leistungsumfang erworben werden Der empfohlene Verkaufspreis f r eine Einzelplatzlizenz wird j hrlich mit 6784 19 beziffert KOS content Seite 375 31 Hersteller IBM Softwaretyp IDE Quellcode Geschlossen Kosten Lizenzierung Systemanforderungen CPU 1 GHz RAM 2 GB HDD 3 GB Editorfunktionen Autovervollstandigung Ja Code Highlighting Ja Fehlererkennung Syntax Check Ja Echtzeit sowie nach lokalem oder entferntem Kompilieren Beratungsdienstleistungen Unterstiitzung von Gastsprachen Ja Debuging Grafisches Schritt f r Schritt Debuging Ja Remote Debugging Ja Anbindung von externen Systemen SSH Ja Datenbanken Ja Sonstiges Dateiexplorer Mainframe Befehle Ja Durch IBM oder Business Partner Support Ja Meist 12 Monate inbegriffen und frei skalier bar Eclipse Version Produktseite http bit ly RabaN1 Eclipse 3 6 Tabelle 7 Rational Developer for System z Features 64 Preis bersicht auf der Herstellerseite http bit ly Ng5X3R 64 bersicht der Systemanforderungen auf der Herstellerse
227. r zu Kontrollzwecken genutzt werden und Honeypots als Testsysteme um m gliche Angriffe zu demonstrieren und zu evaluieren zu ma chen Weiterhin erfolgt die Unterscheidung zwischen Honeypots welche Sicherheitsl cken auf Webseiten darstellen und solche die im Serverumfeld zu bungszwecken eingesetzt werden Im Folgenden werden die genannten Honeypot Arten voneinander abgegrenzt 2 2 Unterscheidung Web Honeypot und Server Honeypot Unter dem Begriff Web Honeypot werden im Rahmen dieser Arbeit Honeypots verstanden wel che Sicherheitsl cken auf Webapplikationen nachbilden wie z B SQL Injections oder eine krypto grafisch unsichere Speicherung Im Vergleich dazu existieren auch Honeypots welche Sicher heitsl cken auf Serverebene simulieren wie z B L cken in der Konfiguration eines Servers Auf einem Server Honeypot befinden sich angreifbare Applikationen die darauf warten dass Angreifer L cken entdecken und ausnutzen Neben den genannten Arten von Honeypots muss zudem die Absicht welche hinter dem Einsatz von Honeypots steckt abgegrenzt werden Dabei gibt es zum einen die M glichkeit Honeypots zum Studieren von Angreifern einzusetzen Intrusion Detection System Hierbei werden bewusst Sicherheitsl cken auf einem aktiven Server oder einer Webapplikation integriert um auf diese 3 Peikari C Chuvakin A 2004 S 488 Vgl Spitzner L 2003 http www tracking hackers com papers honeypots html vgl dazu auch Kro
228. rachen werden nach Konfiguration eines entsprechenden Pre Prozessors vom Editor als solche erkannt Auf der rechten Seite von Abbildung 4 ist beispielsweise zu sehen wie ein fehlerhafter Befehl rot unterstrichen ist O A Programmi chl amp 3 isa B a 1 B EEE ENEE diaz working storage section rogram id Progrmmi as Prona procedure division environment division configuration section 9 ABSTRACT N ACCEPT D ACCESS 7 ACQUIRE ACTIVE CLASS re ADD s procedure divisi ADDRESS data division working storage section ADVANCING AFTER e geback ALL ALPHABET ALPHABETIC ram Outli end program Programmi Abbildung 4 Visual COBOL Editor Im Hinblick auf Debuggingfunktionalit ten ist das Debugging von lokalen und extern betriebenen Anwendungen z B auf einem System z m glich Hierbei kann sich Visual COBOL z B an einen bereits auf einem externen System gestarteten Prozess anh ngen und diesen beobachten Auch ist es m glich dass der Core Dump eines abgestiirzten Prozesses eingeholt wird Wie in Abbildung 5 zu sehen ist wird die Ausf hrung dieser Funktionalit t wie innerhalb von Eclipse blich ber die Debug Configurations Maske angeboten Dies kann als grafisches Debugging verstanden werden Die Einbindung von externen Pre Prozessoren in den Build Vorgang ist ber eine dedizierte Schnittstelle m glich Visual COBOL bietet hierbei an mehrere
229. rachters und kann nur be dingt durch objektive Kriterien begr ndet werden Jedoch bietet die Definition der ISO Norm 21 Einblicke wie Honeypots in Bezug auf Benutzbarkeit 9241 10 Grunds tze der Dialoggestaltung bewerten werden k nnen Die Hauptpunkte aus der Norm werden im Folgenden kurz zusammen gefasst f r eine detaillierte Darstellung mit Beispielen empfiehlt sich weiterf hrend die direkte Lek t re der Norm 3 4 1 Aufgabenangemessenheit Aufgabenangemessenheit beschreibt die unterst tzende Aufgabe von Dialogen und Schnittstellen dem Benutzer die ben tigten Funktionen einfach ohne Probleme und schnell zur Verf gung zu stellen Ein Honeypot gilt in dieser Arbeit als aufgabenangemessen wenn vorhandene Dialoge Men s und sonstige Kontroll Objekte schnell und einfach zu einem vom Benutzer gew nschten Ziel f hren und nicht berladen sind Bietet der Honeypot beispielsweise ein Men welches nicht berladen ist und schnell zu elementaren Funktionen und Sicherheitsl cken f hrt ist er mit gut zu bewerten 3 4 2 Selbstbeschreibungsfahigkeit Selbstbeschreibungsf higkeit umfasst die Eigenschaft dass das zu verwendende Programm selbsterkl rend ist und Unverst ndlichkeiten wie Doppeldeutigkeiten vermeidet Damit sind insbe sondere Beschriftungen und Formulierungen gemeint Sind die Kontrolleinheiten wie Kn pfe und Titel selbsterkl rend und f hren genau zum beschriebenen ist er positiv zu bewerten etwa wenn
230. ranweisung auf eine Variable ihr Definitionsort bzw ihr Auftreten in Copyb chern angezeigt werden PROG3 cbI EP Compare PROG3 cbl lt workspace gt and versions 3 Text Compare 34 4898 Workspace file PROG3 cbl Repository file PROG3 cbl MAIN CODE 05 B PIC 9 gt PIC 99 MOVE NUMI TO MU PROCEDURE DIVISION MOVE NAMET TO NA MAIN CODE _ FEACH KEY HAS ITS OWN FUNCTION FEACH KEY HAS ITS OWN FUNCTION o EXEC CICS HANDLE AID EXEC CICS HANDLE AID PF1 0001 PF1 001 PF2 0006 PF2 0006 PE3 0007 PF3 0007 PF4 0008 PF4 0008 PFS 0001 PF6 0606 PF7 707 PF7 707 PF amp 0808 PFE 0808 END EXEC END EXEC EXEC CI af MOVE WELCOME TO WSS EXEC CICS SEND CONTROL ALARM END EXEC EXEC CICS SEND TEXT FROM WSS MOVE WELCOME TO WSS END EXEC EXEC CICS SEND CONTROL ALARM EXEC CICS SENO END EXEC MAP KUMMAP EXEC CICS SEND TEXT MAPSET KURSET 10 History eu rl SICH gt gt Nicm development Application sic coboV cics PROG3 chl in sun vm demo dev02 demo Revision Date Author Comment 1293 1704121143 mariasiesch Add new datafields 22 1704121129 mana riesch Remove unused code EI 1704121124 mania riesch Initial comma A Affected paths Description a Add new datafields M m development Application sre cobol cics PROG3 chl Abbildung 9 cobolclipse Editor mit Abh ngigkeitsanalyse Uber die Kombination von Strg Leertaste kann die Autovervollst ndigung des Editors aktivi
231. received the lowest score of 54 points due to missing installation instructions and the lack of support Within the section of functional criteria for test management TestLink exceeds the other test management tools by reaching 88 points closely followed by Bugzilla Testopia scoring 76 points out of 100 Redmine as well as RTH lag behind with scores of 63 and 49 points respec tively Regarding test planning TestLink enables in addition to the creation and management of test cases also the organization of test cases into test plans When using TestLink test cases can be prioritized assigned to testers and milestones can be defined The test management exten sion for Bugzilla Testopia supports the export as well as the import of test plans XML where as Redmine contains only features for scheduling test plans RTH is also restricted to the crea tion and management of test cases In summary the features regarding test planning are far KOS content Seite 421 34 more comprehensive for TestLink than for the remaining three and therefore it scored the high est within this section The ability to create manipulate and delete test requirements is best in tegrated in TestLink and Bugzilla Testopia by enabling imports as CSV files or by creating and deleting them manually via the interface Using a CKEditor which is an intuitive open source editor from CKSource that can be used in web pages test cases can be manually created within RTH
232. remy Druin Gibt es einen ffentlichen Bugtracker 3 Ja auf SourceForge vorhanden Support bei Anwen dungsproblemen Es existieren externe Foren und ein SourceForge Forum Gibt es ein Forum 1 letzteres ist aber eher als inaktiv anzusehen Gibt es einen Chat f r Nicht vorhanden h chstens extern dann aber eher keine schnelle Hilfe 0 schnelle Hilfe zu erwarten Anpassung des Honey pots an neue Sicher heitsl cken Gibt es aktive Entwickler die neue Sicherheitsl cken einbauen k nnen Wie aktiv ist die Commu nity diesbez glich 2 Ein sehr aktiver Entwickler aber keine groBe Community Alternativ wie einfach ist Es k nnen Requests gestellt werden mit Code es Sicherheitsl cken Verst ndnis ist auch ein eigenes Einbauen m glich beim selbst einzubauen 1 derzeitigen Umfang aber nicht n tig Bewertungssumme 21 Maximum 30 Erf llungsgrad 70 00 Installation 0 15 Sehr einfach ohnehin und trotzdem eine bis ins Detail be schriebene Anleitung http www irongeek com php page mutillidae installatio Installationsanleitung 3 n Einfach auf bestehendem Apache Web Server installierbar In bestehende Umgebung durch einfachen Copy Paste ansonsten auch auf der integrierbar 3 Linux Live CD Samurai enthalten Frequently occurring er rors dokumentiert 3 Geschwindigkeit der In stallation und Anzahl der Sehr schnell und wenige Schritte wenn Apache Web Ser manuellen Schritte 3 ver vorhanden Installatio
233. rg Abruf 16 06 2012 The Grinder 3 http grinder sourceforge net Abruf 29 06 2012 FunkLoad Documentation http FunkLoad nuxeo org intro html Abruf 20 06 2012 Ratgeber Lasttests mit Open Source http www computerwoche de heftarchiv 2007 03 1217471 Abruf 20 06 2012 Lasttests von Webanwendungen mit The Grinder http wiki fhstralsund de index php Kategorie Las ttests_von_Webanwendungen_mit_The_Grinder Abruf 20 06 2012 Performance und Lasttests http inventage com performance und lasttests html Abruf 16 06 2012 KOS content Seite 556 Pansch C 2010 Philips J 2010 PushToTest 2012 Red Turtle 2012 Stolze J 2008 The Apache Software Foundation 2012 Wikipedia 2012a Wikipedia 2012b 47 Open Source und kommerzielle L sungen gegen bergestellt http www christian pansch de mein wissen rund um typo3 und content management systeme open source und kommerzielle loesungen gegenuebergestellt Ab ruf 27 06 2012 50 Open Source Performance Testing Tools http www jayphilips com 2010 01 07 50 open source performance testing tools Abruf 28 06 2012 PushToTest TestMaker http www pushtotest com Abruf 30 06 2012 Write FunkLoad Tests in a few minutes http blog redturtle it redturtle how to write FunkLoad test in few minutes Abruf 28 06 2012 Performancetests und Bottleneck Analyse in Multischichtarchitekturen http www performance test de
234. riteria User right administration vV vV v v v v Test Case Excel import export vV vV v vV v v Plan Manage test resources x vV x vV vV vV Requirement management x v v v v v v v Modularity of test cases v v x v a v paramter insertion flexible Reports vV v v v vV v v X v vV Figure 16 Requirement Mapping As seen above while the ability of testing graphical user interfaces within the browser or the internet is given by all examined tools IBM Rational Quality Manager is the only tool that can test Lotus Notes applications as well Java applications can be easily tested with any of these tools however COBOL applications represent a challenge for all of them except for IBM Ra tional Quality Manager which can be extended by a plug in to address this issue The pro gramming languages used at the company are Java C and Visual Basic VB As XML is also a widely spread markup language it is considered in the evaluation as well Only the commercial tools support all languages However it is not a necessity that all tools support all languages it is more important that at least one of the above mentioned is sup ported For further information on which tool supports what language please see Figure 16 When examining the tools for the predefined system requirements operating system database KOS content Seite 430 43 all tools performed satisfactorily Also of significance for the company is if black box and or white box testing is includ
235. rs customization and develop ment of features on request which implies additional costs Selenium and Canoo Web Test have a plugin that makes it easier to customize the tools for special requirements When considering the common software criteria as whole Selenium is the tool with the best ranking due to its score of 93 points followed by Canoo Web Test with 86 points WatiN and T Plan robot re ceived the lowest ranking due to a lack of support and customization As with the last two criteria Selenium also outperforms the other three testing tools in the func tional test automation section By scoring 82 points in this section it is the undisputed leader as Canoo Web Test only scores 73 T Plan Robot 55 and WatiN 49 points This already begins to show in the very first criterion the test automation approach Selenium interacts with the web application by injecting java script into the page The captured tests are initially created in Selense the programming of Selenium but can be exported to Java C Python or Ruby for further processing Furthermore Selenium is able to synchronize automatically with the web application No native keyword amp data driven approach is possible but can be featured when using the tool Fitnesse in addition WatiN interacts via COM with the browser It has built in syn chronization features and verification of the web application is done by the WatiN API It is not able to capture interactions with the application
236. rsion SWT Standard Widget Toolkit KOS content Seite 343 IV Abbildungsverzeichnis Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Se a ki Aa a ki Eclipse Plattform Architektur 5 Methodisches Vorgehen Logische Schritte Systeme und Tools der COBOL Entwicklung 9 Visual COBOL dite 13 Visual COBOL Debugging 14 Visual COBOL Anbindung externer Systeme 15 isCOBOL Editor EEN ca Be ee 17 isCOBOL Debugging 4 mu oie ee ar el ya ee a 18 cobolclipse Editor mit Abh ngigkeitsanalyse e 20 cobolclipse Editor 2 222222 m om on nn 21 Elastic COBOL Perspektive Editor und Syntax Check 23 Elastic COBOL Debugging 24 Cobos Editor mit Syntax Check 2 o o e 26 Cobos 3270 Emulator mit entferntem Dateisystem 2 22 2 2 2 2 27 RDz Editor mit Autovervollst ndigung und Syntax Check 30 REENEN eR et 30 KOS content Seite 344 Tabellenverzeichnis Tabelle 1 Tabelle 2 Tabelle 3 Tabelle 4 Tabelle 5 Tabelle 6 Tabelle 7 Tabelle 8 Vergleichskriterien o o o ee 12 Visual COBOL Features ooga m 2 na ae ak er ee IA 16 st OBOE Features 2 25 254 4 04 Wr En BA ent 19 cobolclipse Features 22 Elastic COBOL Features 2 222 0020200 ee eee 25 Cobos Features otto e a a ee Bann A ee et 28 Rational Developer for System z Featur
237. s auf Java aufbaut Auch ist die Auswahl des richtigen Honeypots KOS content Seite 478 35 abh ngig von der zur Verf gung stehenden Infrastruktur So schr nken beispielsweise die benutz ten Betriebssysteme innerhalb des Unternehmens die Wahl des Honeypots zus tzlich ein d h es ergibt wenig Sinn einen auf Windows ausgerichteten Honeypot als Schulungsprogramm zu ver wenden wenn intern alle Applikationen auf Linux basieren Nichtsdestotrotz empfiehlt diese Arbeit insbesondere zwei Honeypots zum Einsatz in Workshops und Penetration Test Laboren 1 F r einen PHP basierten Honeypot welcher auf dem bekannten Web Server Paket Apache XAMMP und damit dem Apache Webserver aufbaut empfiehlt sich der Einsatz von Mutillidae Der Honeypot deckt alle relevanten Sicherheitsl cken ab ist sehr gut zu bedie nen und liefert umfangreiche Anleitungen Letzteres in Verbindung mit einer zur Verf gung stehenden Video Plattform YouTube Channel erm glichen es einfach E Learnings oder hybride Lerntechniken Klassenraum und Selbstlernprozesse im Rahmen von Workshops anzuwenden was sowohl Kosten sparen kann als auch zus tzliche Motivation und ein tie feres Verst ndnis erm glicht 2 F r einen auf Java Server Pages aufbauenden Honeypot welcher auf dem popul ren Webserver Apache Tomcat aufsetzt empfiehlt sich das Honeypot Projekt Webgoat Der Honeypot gl nzt mit einer gro en Vielzahl an Sicherheitsl cken die in sogenannten Les sons
238. s of the error ratio Therefore it is necessary to integrate customer requirements and regard machines interactions These conditions will be implement ed into test cases IH pa Figure 12 IBM Rational Quality Manager Test cases based on requirements RQM offers the possibility to create test cases which directly depend on requirements as pic tured in Figure 12 This test case will be linked to the specific requirements Accordingly changes within the requirements are synchronized automatically in the test case or can be inte grated manually The ability of creating test cases is based on standardization Each test case is defined by a large amount of independent parameters which can be filled by a drop down menu listed in Cf Hewlett Packard p 3 IBM 2011 KOS content Seite 410 23 categories and attributes like pictured in Figure 13 The user chooses the most applicable char acters for a particular test case A detailed test description can be added within a test editor Figure 13 IBM Rational Quality Manager Categories and attributes Developed test cases can be multiplied and used for further specialized testing Modifications of these master templates are documented Furthermore test cases and its scripts can be import ed into the RQM via xml or Microsoft Excel Within the RQM it is possible to sort individual tests within a project to determine the test cases execution order Moreover execution d
239. seneaaeeeeeeeeeeees 26 4 3 1 VT Eu E 26 4 3 2 Bedienbarkeit nro EE Eege 27 4 3 3 POCO e 27 4 3 4 Sarl MEALS cian na tei gaac ante suey ada gpdaent pede ae a E A cy a R A OEE 28 4 3 5 SONSES cata alaba anio catar iran 30 4 4 FUNKLOAG AA Me vende Neal 32 5 Methodik zur Bewertung der Tools uuuussuu4n0000000nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 37 AUSWEHUNG ainia 38 Me A ee ee it 41 ET e E 42 QuellENnVErZelChMiSse 00 i 45 KOS content Seite 508 Abk rzungsverzeichnis AJAX BSD CFG CGI CLI CPU CGI FTP GNU GPL GUI HTML HTTP HTTPS IMAP IDE JDBC JDK JMS JRE JSSE JVM LDAP MS POPS PTTMonitor RPC SMTP SOAP SSL TCP TLS URL XLS XML xPath Asynchronous JavaScript and XML Berkeley Software Distribution Config Common Gateway Interface Command line interface Central Processing Unit Common Gateway Interface File Transfer Protocol GNU s Not Unix General Public License Graphical User Interface Hypertext Markup Language Hypertext Transfer Protocol Hypertext Transfer Protocol Secure Internet Access Message Protocol Integrated Development Environment Java Database Connectivity Java Development Kit Java Message Service Java Runtime Environment Java Secure Socket Extension Java Virtual Machine Lightweight Directory Access Protocol Microsoft Post Office Protocol 3 PushtoTest TestMaker Monitor Remote Procedure Call
240. sierbarkeit wird in Abbildung 5 veranschaulicht KOS content Seite 465 Home DVWA Security Instructions Setup Script Security Security Level is currently high Brute Force You can set the security level to low medium or high Command Execution The security level changes the vulnerability level of DVWA CSRF File Inclusion Nr Submit ow SQL Injection medium SQL Injection Blind Upload e PHPIDS v 0 6 PHP Intrusion Detection System is a security layer for PHP based web applications XSS reflected You can enable PHPIDS across this site for the duration of your session XSS stored PHPIDS is currently disabled enable PHPIDS mol tac 15 PHP Info About Logout Username admin Security Level high PHPIDS disabled Abb 5 DVWA Security Auswahlm glichkeiten Der Benutzer kann hier zwischen verschiedenen Schwierigkeitsstufen ausw hlen welche bei low beginnen ber zu medium gehen und in high gipfeln Die Abstufungen werden mit der vollen Punktzahl bewertet Auch die Lernf rderlichkeit ist sehr hoch da dem User die L sungen nicht vorgegeben werden sondern dieser sich ber gegebene Referenzen Wissen zum Teil selbst erar beiten muss Res mierend ist das DVWA Honeypot als mittelm ig zu bewerten Von insgesamt 100 konnten 59 erreicht werden insbesondere die Best ndigkeit des Projektes ist fragw rdig da nur wenige Entwickler
241. sogenannte Penetration Test Labore zur Schulung der internen IT Abteilung dar Hierf r werden Web Applikations Honeypots genutzt Ho neypots sind Systeme mit integrierten Sicherheitsl cken welche auf einem Server installiert wer den und in einer Testumgebung IT Sicherheitspersonal eines Unternehmens die M glichkeit bieten das System zu attackieren Auf diesem Weg k nnen verschiedene Angriffsmethoden und Quellen analysiert getestet und erkannt werden Vor diesem Hintergrund ergibt sich die herausfordernde Wahl des passenden Honeypots f r ein Unternehmen Verschiedene Kriterien m ssen bei der Wahl des Test Systems untersucht werden Aus dieser Herausforderung ergibt sich die Motivation der vorliegenden Arbeit Jedes Unternehmen hat das Bestreben der Kostenersparnis weshalb insbesondere frei zu g ngliche und kostenfreie Open Source Honeypots zum Erstellen von Penetration Test Laboren in Frage kommen Hinzu kommt dass kaum kommerzielle Honeypot Alternativen existieren 1 vgl SpiegelOnline 2012 http www spiegel de netzwelt web partei gehackt unbekannte knacken server der spd a 833905 html Vgl Harwood M 2011 S 371 KOS content Seite 445 1 2 Zielsetzung Ziel dieser Arbeit ist es verschiedene Open Source Honeypots welche zu Trainingszwecken ein gesetzt werden zu installieren auf Grund von verschiedenen Kriterien zu evaluieren und f r Pe netration Test Labore zu empfehlen Diese Kriterien umfassen Aspekte wie beispi
242. sser Rahmenbedingungen beschr nkt werden Zudem werden durch die OSI weitere Lizenzbedingungen die Software als Open Source klassifizieren spezifiziert 2 2 Einf hrung COBOL COBOL ist eine der ltesten heute noch verwendeten Programmiersprachen Das Akronym COBOL steht f r COmmon Business Oriented Language Bereits der Name spiegelt die Hauptanwendungsbereiche der Sprache wider Gesch fts Finanz und Verwaltungssoftware in Unternehmen und Beh rden Die erste COBOL Spezifikation wurde 1959 durch ein Komitee von Forschern aus Wirtschaft Forschung und ffentlicher Verwaltung definiert Sie baute auf zu diesem Zeitpunkt gebr uchlichen Programmiersprachen auf vor allem FLOW MATIC und COMTRAN Ziel war es einen gemeinsamen Standard zu entwickeln mit dem sich Gesch ftsprozesse softwareseitig abbilden lassen Die Spezifikation der Programmiersprache wurde im Verlauf der Jahre fortlaufend berarbeitet ber die Versionen ANS COBOL 1968 COBOL 1974 COBOL 1985 und COBOL 2002 wurden 4 Vgl 2000 S 9 5 Vgl 2007 6 Vgl 2012 T Vgl 2012 Diese Voraussetzungen sollen in diesem Rahmen nicht detaillierter ausgef hrt werden In Vollst ndigkeit einzusehen unter http www opensource org docs osd 10 Vgl 2000 S 1 11 Vgl 1978 S 124 ff KOS content Seite 348 die Standardisierung der Sprache vorangetrieben und zus tzliche Features hinzugefiigt COBOL 2002 brachte zuletzt eine Reihe bed
243. st v Start Options Command line arguments Working directory Debug Optionen Abbildung 5 Visual COBOL Debugging Die Anbindung von externen Systemen ist in Visual COBOL ber mehrere Schnittstellen m glich Hierbei kann eine Kommandozeilenschnittstelle ber Secure Shell SSH eingebunden werden Ein grafischer Zugriff auf das Dateisystem eines externen Systems ist ber einen Explorer f r Linux Unix und Windows Umgebungen m glich Hierzu existiert die dedizierte Eclipse View Remote Systems Im Bereich von Datenbanken unterst tzt Visual COBOL die Anbindung von IBM DB2 Oracle Sybase Informix und OpenESQL ber letztere k nnen beliebige ODBC und JDBC Datenquellen angesprochen werden KOS content Seite 359 Select Remote System Type Local file system on this computer System type 2 amp General A Linux D E Local a Ef Local Ek SSH Only a Local Files unix Unix b My Home MY Windows 4 Drives EEN a Ex Local Shells Bi Local Abbildung 6 Visual COBOL Anbindung externer Systeme In Bezug auf Dienstleistungen bietet Micro Focus rund um seine Produkte diverse Services an 28 Dazu z hlen z B die Beratung ber allgemeine Vorgehensweisen in der Softwareentwicklung oder bei der Umsetzung von Softwarequalit tsmanagement Neben den propriet ren Dienstleis tungen existiert ein sogenanntes Partner Programm an dem Beratungsunternehmen wie z B Capgemini
244. stand Im Regelfall teilen sich Anwendungen bei der Versicherung in zwei technologische Pakete auf Ihr Frontend sind Java basierte Web Anwendungen und ihre Gesch ftslogik COBOL Anwendungen die auf Grofrechnern betrieben werden Diese Aufteilung ist aus organisatorischer Sicht analog in der Entwicklungsabteilung vorhanden Die Frontend Entwicklung erfolgt mit Hilfe der Open Source IDE Eclipse Die Betrachtung soll sich an dieser Stelle jedoch auf die Programmierung der Geschaftslogik beschr nken Diese erfolgt mittels einer Reihe ineinandergreifender Tools deren Funktion im Folgenden anhand des allgemeinen Softwareentwicklungsprozesses der Versicherung erl utert wird Die Fachabteilung formuliert eine Anforderung die nach Freigabe an die Entwicklungsabtei lung weitergeleitet wird e Die Entwicklungsabteilung erstellt f r die Anforderung eine Arbeitskonfiguration mit di versen Metadaten z B Auftragsname Beschreibung Angaben ber zugeh rigen Code im Metadaten Repository Rochade Auf Rochade greifen die involvierten Entwickler verteilt von ihren jeweiligen Workstations unter Windows XP zu Die Meta Daten selbst liegen jedoch auf einem zentralen Repository Server e Die Entwicklungsabteilung entwickelt die Anforderung F r die Codierung werden die Edi toren UltraEdit und Animator verwendet Der Code wird mit Hilfe des Code Repositorys Serena Polytron Version Control System PVCS verwaltet e Die Binaries werden in
245. stellen ist dass eine spezielle Perspektive fiir Elastic COBOL eingerichtet wurde und angeboten wird Der Editor selbst unterst tzt in Hinblick auf die vordefinierten Untersuchungskriterien Code Highlighting sowie die Fehlererkennung Syntax Check was ebenfalls Abbildung 11 entnommen werden kann Die Unterst tzung von Gastsprachen ist stark eingeschr nkt So werden laut Language Refe rence Manual sowie auf Nachfrage durch Heirloom Computings President und Chief Executive Officer Gary Crook best tigt lediglich Java SQL und HTML ber den Befehl EXEC unterst tzt 48 Produktseite www elasticcobol com 49 Vgl 20128 S 5 f 50 Vgl ebd S 4 51 Vgl 2012b S 317 52 Crook G 2012 KOS content Seite 368 24 Hinsichtlich Debugging bietet Elastic COBOL alle aus Eclipse bekannten Funktionen Es ist dem Benutzer demzufolge m glich den Programmcode sowohl Schritt fiir Schritt zu pr fen als auch an unterschiedlichen Stellen Breakpoints zu setzen Hiermit k nnen beispielsweise s mtliche Variablen an der markierten Stelle eingesehen werden Auch das Debuggen von Code auf einem entfernten Gro rechner ist dank Remote Debugging m glich Zusammenfassend werden somit in Bezug auf Debugging und Unterst tzung bei der Fehlerbehebung s mtliche Kriterien erf llt In Abbildung 12 ist die Perspektive zur Fehlerbehandlung aufgezeigt Debug DateTime cobol_source datetime chl Eclipse SEE Fie Edt Navigate Search Pr
246. stet tion alle vorhandenen alle vorhandenen auf und erklart auch was nicht vorhan Sicherheitsl cken ausrei den ist Es gibt jeweils 2 Tipps und eine Anleitung f r das chend 3 Ausnutzen jeder L cke Gibt es eine Anleitung die in die Weboberflache integriert ist 0 Nicht vorhanden Wie gut ist der Quellcode Ausf hrliche Kommentare f r jede Funktion plus Erkl run dokumentiert 3 gen zum Fixen jeder Sicherheitsl cke auf der Homepage Fehlerbehebung Gibt es aktive Entwickler die Fehler beheben k n nen Wie aktiv ist die Community diesbez g Google betreut das Projekt noch es ist unklar ob bei Be lich 1 darf Anderungen vorgenommen werden Gibt es einen ffentlichen Bugtracker 0 Nicht vorhanden Support bei Anwen dungsproblemen http code google com edu forum htm place forum web Gibt es ein Forum 1 security gcu forum Gibt es einen Chat f r schnelle Hilfe 0 Nicht vorhanden Anpassung des Honey pots an neue Sicher heitsl cken Gibt es aktive Entwickler die neue Sicherheitsl Google betreut das Projekt noch es ist unklar ob bei Be cken einbauen k nnen darf Anderungen vorgenommen werden Projekt ist vom Wie aktiv ist die Commu Juni 2010 also sind noch nicht unbedingt Updates n tig nity diesbez glich 1 gewesen Alternativ wie einfach ist Gut kommentierter Code sollte Erweiterungen erleichtern es Sicherheitsl cken es l sst sich jedoch nichts dar ber finden ob es schon mal selbst einzubauen 2 gemacht wurde B
247. steuern sind Die Weboberflache des Honeypots ist intuitiv bedienbar und die Men s sind so wie man sie von andere Websites Erwartungskonformitat 3 kennt und erwartet Eigenen Lessons k nnen geschrieben werden Hinweise und Tipps k nnen einfach angeschaltet werden Eine visu elle Individualisierung ist jedoch nur mit Webdesign Kenntnissen m glich und nicht durch das Projekt unter Individualisierbarkeit 2 st tzt Durch umfangreiche Tipps Dokumentation und guter Be schriftung lernt der Benutzer schnell den Umgang mit Lernf rderlichkeit 3 Webgoat Design Ist das Design anspre Das Design erscheint absolut angemessen und aufge chend 3 r umt Bewertungssumme 20 Maximum 21 Erf llungsgrad 95 24 Features 0 1 KOS content Seite 496 Unerwartete und positive Zus tze 1 pro Feature 53 Das Programm kann schon ohne Anleitung benutzt wer den ist also E Learning und Blended Learning geeignet Die M glichkeit eigene Lessons zu schreiben ist sehr gut ausgepragt und gibt einen Extrapunkt Der Javacode Cookies und L sungen k nnen auBerdem einfach von den Maximal 5 3 Benutzern eingesehen werden Maximum 5 Erf llungsgrad 60 00 Gesamt 88 62 KOS content Seite 497 54 Anhang 6 Benutzerhandbuch DHBWA Deliberately Hackable and Bootable Web Applications Inhaltsverzeichnis Benutzer und PDasew rter nennen nennen nennen nennen nennen nn rennen 54 Installierte Honeypots
248. t durch eine benutzerfreundliche Ober fl che Daher sind eine gewisse Einarbeitungszeit und Kenntnisse im Bereich Python und Java Programmierung zur Testfallgenerierung Voraussetzung f r die Arbeit mit dem Grinder Aus diesem Grund hat The Grinder im Bereich Benutzerfreundlichkeit mittelm ig ab geschnitten Seit der dritten Version gibt es die M glichkeit Testf lle aufzuzeichnen jedoch ist diese Funktion noch nicht so weiterentwickelt wie vergleichsweise beim JMeter Des Weiteren bietet der Grinder nur clientseitiges Testing an Da alle anderen Tools auch server seitiges Testing anbieten kann er in diesem Vergleich nicht mithalten Trotzdem bietet dieses Tool f r Testsystemkenner alle n tigen Funktionen und kann sehr hohe Lasten er zeugen da er sowohl parallele Nutzerverteilung als auch Tests von verteilten Anwendungen unterst tzt Testsieger wurde in dieser Vergleichsarbeit der JMeter als voll funktionsumfassendes und intuitiv bedienbares Lasttesttool Er konnte in allen vier Hauptkategorien berzeugen Vor KOS content Seite 549 40 allem bei der Bedienbarkeit schl gt er alle anderen Tools Auch bei der Testfallgenerierung bietet der JMeter umfangreiche und komfortable M glichkeiten Testf lle zu erstellen Jedoch lassen sich mit diesem Tool nur bedingt flexible Testf lle erstellen da er ein reines Interface gesteuertes Testtool ist Einige Quellen sprechen davon dass die visuelle Auswertungen des JMeters zum Teil unklar
249. t in order to ensure that all needs are fulfilled This feature is provided by all test management tools except of Bugzilla Testopia The customer also defined the modularity of test cases as a desired functionality which is satisfied by the commercial tools and almost all test automation tools T Plan Robot is the only tool that lacks this kind of func tionality The last requirement was the reporting functionality Regarding this functionality report customization and the ability to export the reports was important where pdf is the preferred out put format in order to maintain the inalterability when reporting the results to the management and to the auditors Furthermore it should not show information that allow an association be tween the users and the executed work as this is not supported by the works council During the collection of requirements usability was also mentioned as an important soft factor In the appendix a comprehensive evaluation of different criteria is included which also provides an assessment of the usability of the different tools The best ranking was obtained by TestLink and Redmine for test management tools and by Canoo WebTest and Selenium for test automa tion tools KOS content Seite 431 44 Recommendation Looking at the big picture Selenium and TestLink have emerged once again as the best rated open source tools and are therefore the most recommendable tools that can find their applica tion at the comp
250. t requires very detailed knowledge of specific tools and therefore does not imply that the total cost of ownership of Open Source Software is less than the costs of closed source software Instead of providing a cost intensive training the im plementation as well as support could be outsourced This interferes with the idea of closed source software Thereby the product usability security innovation service and support will be bundled as an all around package and sold by the service provider Thus the service provider can provide the best knowledge for this specific area Gartner Inc 2011 IBM 2011 KOS content Seite 412 25 All in all the application of closed source software benefits from an integrated solution which is modified by a service provider that knows its products in detail However such service leads into a vendor lock in In contrast to applying external knowledge internal training is cost intensive but provides independency and personalized innovation Finally the major difference is based on the company s strategy which encounters the advantages of a commercial or free software solution By considering the closed software examples in this paper HP Quality Center and IBM Rational are both tools for test management that can be enhanced with test automation features as well Furthermore the support implementation further development and training are guaranteed 3 3 Concept of Evaluation matrix To evalua
251. tallation https google gruyere appspot com start Lokale Installation http localhost 8008 Lokaler Ordner home osstest gruyere code KOS content Seite 499 56 Mutillidae Website http www irongeek com i php page mutillidae mutillidae deliberately vulnerable php owasp top 10 Lokale Installation http localhost mutillidae index php Lokaler Ordner var www mutillidae WebGoat Website https Awww owasp org index php Category OWASP WebGoat Project Lokale Installation http localhost 8080 WebGoat 5 4 attack Benutzer siehe Seite 1 Lokaler Ordner var lib tomcat6 webapps WebGoat 5 4 KOS content Seite 500 57 Quellenverzeichnis Literaturverzeichnis Gerrit G bel J Dewald A 2011 Harwood M 2011 Hecktor R Hohmann D Radecke G Klink M Petrovic J Pfister T 2012 Peikari C Chuvakin A 2004 Wilhelm T 2010 KOS content Seite 501 Client Honeypots Exploring Malicious Websites M nchen Oldenbourg Wissen schaftsverlag Security Strategies in Web Applications and Social Networking Sudbury Jones amp Bartlett Learning Leitfaden zur Einf hrung von Open Source Software in Organisationen Duale Hochschule Ba den W rttemberg Stuttgart Kenne deinen Feind Fortgeschrittene Sicherheitstechniken K ln O Reilly Ver lag Professional Penetration Testing Creating and Operating a Formal Hacking Lab Oxford Elsevier 58 Verzeichnis
252. tanalyse mit einbezogen werden Die entdeckten propriet ren Angebo te setzen eine enge Kooperation zwischen Honeypot Anbieter und dem Kunden voraus und gehen h ufig mit Schulungen oder verpflichtenden Trainings einher Ein Beispiel f r eine propriet re L sung ist das Offensive Security Intelligent Penetration Testing Lab von Offensive Security In diesem Modell k nnen ber Web Applikationen hinausgehend auch andere Labore zum Beispiel Infrastrukturen wie Netzwerke virtuell bezogen werden Das Unternehmen konzipiert das zu beziehende Netzwerk bzw die Web Applikation basierend auf den individuellen Kundenw nschen wie beispielsweise Schwierigkeit des Labors Umfang oder Sup port KOS content Seite 462 19 5 Produktvergleich Um die in Kapitel 4 ausgew hlten Honeypots systematisch zu bewerten wurde eine Bewertungs matrix gem der Kriterien aus Kapitel 3 entworfen Jedes der f nf Kriterien wird darin mit seinen Unterkriterien und einer Gewichtung gelistet Die Gewichtung erlaubt es dabei sowohl den Autoren als auch Lesern dieser Arbeit Schwerpunkte zu setzen um Kriterien zu priorisieren Die Bewer tungsmatrizen werden daher auch in digitaler Form bereitgestellt um individuelle Anpassungen vorzunehmen Die von den Autoren vorgenommene Gewichtung stellt sich dabei folgenderma en zusammen e Sicherheitslucken 25 e Community Dokumentation amp Support 30 e Usability 20 e Installation 15 e Zus tzlich Featur
253. te the pre selected tools an evaluation matrix was designed consisting of different criteria in three core areas generally open source criteria common software criteria and func tional criteria regarding test management and test automation tools The selected tools are re viewed for each of these areas Thus at the end of the evaluation of each tool three measures are provided which allow for better comparison among the different tools The individual areas are composed of a set of predefined criteria which were subjected to a weighting For each feature the tools will be assigned a score between 0 and 5 with 5 being the best score attaina ble and 0 the worst i e a tool with a rating of 5 meets the requirements satisfactorily while a tool with a rating of O fails to meet them at all For some criteria it may be the case that the re quired information were not available This is reflected in the evaluation with a weighting of zero while the weighting of the other criteria remains the same Thus the total score which a tool can receive decreases The formula used to calculate the overall amount of points a tool may obtain during evaluation is Amount received score 5 weight If based on the information available all criteria could be evaluated the maximum amount a tool can get equals to 100 In the following the different criteria for the three sections will be introduced along with a brief description to provide a better understanding
254. teilnehmen Diese erbringen u a allgemeine Application Consulting Services die z B die Unterst tzung bei der Einf hrung oder der Wartung von Micro Focus Produkten umfassen F r seine Produkte bietet Micro Focus Support auf verschiedenen Ebenen an F r Standardproble me existiert eine 24 7 Telefonhotline Weiter werden u a ber eine Fehler und Problemdatenbank elf Help Services zur Verf gung gestellt Dar ber hinaus besteht die M glichkeit feste Support Vertr ge abzuschlie en Diese sind in einem gestaffelten System organisiert Pro Support Level existiert ein fest definierter Leistungsumfang In umfangreicheren Support Vertr gen wird dem Kunden z B ein fester Account Manager zu Verf gung gestellt Als vollst ndige Entwicklungsumgebung existiert eine direkte Abh ngigkeit zur vom Hersteller gew hlten Eclipse Version 39 Vgl 2012b KOS content Seite 360 16 Hersteller Micro Focus Softwaretyp IDE Quellcode Geschlossen Kosten Lizenzierung An Hersteller wenden Systemanforderungen CPU o A RAM o A HDD 270 420 MB Editorfunktionen Autovervollst ndigung Ja Code Highlighting Ja Fehlererkennung Syntax Check Ja Unterst tzung von Gastsprachen Ja Identifikation und Fehlererkennung Debuging Grafisches Schritt f r Schritt Debuging Ja Remote Debugging Ja Anbindung von externen Systemen SSH Ja Datenbanken Ja IBM DB2 Oracle
255. ten und Lizenzen auf der Herstellerseite http bit 1y LRSrRR KOS content Seite 373 29 3 5 6 Rational Developer for System z RDz Die IDE Rational Developer for System z RDz ist die kommerzielle Entwicklungsumgebung zur COBOL Entwicklung der Firma IBM Wie der Name bereits vermuten l sst ist dieses Werkzeug f r die Entwicklung auf dem ebenfalls von IBM vertriebenen System z gedacht RDz setzt auf der Eclipse Plattform auf und erweitert diese um wesentliche Funktionen zur COBOL Entwicklung aber auch um den interaktiven Zugang zum jeweiligen Grofrechner mit zOS Fiir eine ganzheit liche Entwicklung bietet RDz unterschiedliche Schnittstellen mit denen es nicht nur m glich ist COBOL f r System z zu entwickeln sondern bspw auch Java f r Unix Systeme Der Entwicklungsablauf gestaltet sich unter Verwendung des RDz in der Regel wie folgt e Zun chst werden die ben tigten Dateien in der IDE ge ffnet Dies kann sowohl lokal als auch entfernt auf dem Gro rechner geschehen e W hrend der Bearbeitung des Codes welche sowohl direkt auf dem Gro rechner als auch auf einem lokalen Laufwerk stattfinden kann k nnen dem Entwickler Fehler unterlaufen Um fr hzeitig auf Syntaxfehler aufmerksam zu machen existieren drei Stufen des Syntax Checks 1 Echtzeit Syntax Check Parsing und Fehlererkennung sofort in der IDE 2 Lokaler Syntax Check Fehlererkennung nach vorheriger Kompilierung auf lokalem Rech ner 3 Remote
256. ten zur verbesserten Kommunikation zwischen den Entwicklern des Frontends und der Gesch ftslogik Zudem sieht sie hierin das Potential moderne Ans tze der Software Entwicklung auch auf die COBOL Entwicklung anzuwenden Des Weiteren erhofft sich die Versicherung die Anzahl der Medienbriiche zwischen unterschiedli chen Tools in der COBOL Entwicklung von der Formulierung der Gesch ftsanforderung bis zum Produktivgang der technischen L sung zu reduzieren Ein weiterer Wunsch besteht darin das formale Testing weg von den Test Serverinstanzen hin zu den Workstations der Entwickler zu verlagern So m ssten beispielsweise Syntax Checks und die Kontrolle der Validit t von Bez gen innerhalb des Codes nicht auf dem Mainframe getestet werden Die Reduktion des Testaufwandes auf den Servern selbst w rde eine Verringerung der Serverlast und damit Kosteneinsparungen mit sich bringen 27 32 Vgl XXX U et al 2012 XXX K 2012 33 Die Versicherung zahlt an einen externen Dienstleister je nach Auslastung der Server unterschiedlich hohe Nut zungsgeb hren Die zu erwartenden Kosteneinsparungen wurden von der Versicherung nicht quantifiziert KOS content Seite 354 10 3 4 Abgeleitete Anforderungen an eine neue L sung Die Kriterien unter denen die untersuchten Plugins und Entwicklungsumgebungen verglichen werden ergeben sich zum einen aus den konkreten arbeitsorganisatorischen und technologischen Anforderungen der Versicherung 27
257. ter des Unternehmens welches das Plugin vertreibt k nnen die erforderlichen Funktionali t ten weiter konkretisiert und gepr ft werden Zudem ist es denkbar den Anforderungskatalog und damit den Betrachtungshorizont zu erweitern Vor dem Hintergrund der Nutzung der mo dular aufgebauten Eclipse Plattform und des dazugeh rigen kosystems besteht das Potenzial Synergieeffekte zu erzielen So erscheint es lohnenswert die COBOL Entwicklung auch auf eine Kompatibilit t mit Eclipse Features wie z B Plugins zur Automatisierung von Entwicklertests zu analysieren Weiterhin sollte die Interoperabilit t mit der internen Java Entwicklung validiert wer den Letztlich kann hierdurch eine gr tm gliche Nutzung der Eclipse Plattform realisiert werden wodurch die Produktivit t der Entwickler drastisch gesteigert wird KOS content Seite 382 Wb DHBW jen W rttemb Stuttgart Evaluation of Open Source Tools for Test Management and Test Automation Open Source Seminar Paper Submitted on 05 07 2012 School of Business International Business Information Management Course WWI2009l by Deborah Fleischer Jennifer Schwerdtfeger Patricia Capaul Verena Thiel KOS content Seite 383 Table of Contents TR Ell E IV List of Flgures a a ies Eist of Tables tee V 1 INTOQUCHON see een 1 1 1 Problem Det ti ee 1 ET a ia oy 2 2 Theoretical Principles iii ein i a eet iene 3 2 1 OBEN Source Software Josh sof A 3 2 2 Definiti
258. terium erf llen Die Bewertungsmatrix liefert nach Evaluierung aller vier Produkte ein ganzheitliches Bild ber die Leistungsf higkeit der Tools im direkten Vergleich Die Ergeb nisse werden anschlie end interpretiert um Schlussfolgerungen aus der Bewertung zu ziehen Diese zeigen auf welches Testtool f r welchen Anwendungsbereich besonders ge eignet ist KOS content Seite 511 In einem weiteren Teilkapitel wird er rtert worin die wesentlichen Unterschiede zwischen Open Source und kommerziellen Testingtools liegen Dabei soll ein Vergleich gezogen werden der im Allgemeinen die Vor und Nachteile der jeweiligen Lizenzierungsart Open Source und kommerzieller Software beleuchtet Aufgrund der Vielzahl unterschiedlicher Produkte de sowohl kommerziell als auch als Open Source auf dem Markt bereitstehen und der damit einhergehenden deutlich steigenden Komplexit t wurde im Rahmen dieser Arbeit auf eine direkte Gegen berstellung spezieller kommerzieller und Open Source Testtools verzichtet Diese Arbeit beschaftigt sich ausschlieBlich mit Performance und Lasttest Andere Tests wie beispielsweise Funktionstests sind nicht Bestandteil dieser Vergleichsstudie Aufgrund des vorgegebenen Umfangs der Seminararbeit wird lediglich eine Auswahl von vier Open Source Produkten als sinnvoll erachtet Folglich wird kein vollst ndiges Bild Uber alle verf g baren Open Source Produkte f r Performance und Lasttest erarbeitet 2 Definition von Per
259. teroperabilit t sowohl verschiedener Programmiersprachen als auch diverser Funktionalit ten herstellen 20 vun eclipse org 21 Vgl 2004 S 371 22 Vgl 2004 S 1 23 Vgl 2004 S 373 24 Vel ebd S 374 25 Vgl 2004 S 1 KOS content Seite 350 Ein weiterer Vorteil der Plattform besteht in der Erstellung und Darstellung unterschiedlicher Perspektiven wie z B der Java der Debug oder der XML Perspektive Diese lassen sich individuell mit Sichten und Editoren gestalten und bilden hiermit das Layout welches dem Ent wickler zur Verf gung steht Ein Wechsel zwischen den Perspektiven erm glicht ein zielorientiertes Arbeiten da eine Anpassung an spezifische Aufgaben jederzeit m glich ist Editoren und Sichten die nicht im Eclipse Standardumfang enthalten sind lassen sich tiber Plugins hinzufiigen So k nnen bspw Syntax Korrektur Applikationen innerhalb von Editoren Plugins erg nzt werden Einen die moderne Software Entwicklung im Team unterst tzenden Faktor stellt die m gliche Versionskontrolle und das Konfigurationsmanagement mit einem zugeh rigen Repository dar 27 Die Eclipse Plattform bietet grundlegende Schnittstellen zur Interaktion mit Team Repositories unterschiedlicher Hersteller Hierbei k nnen multiple Repositories wie das Concurrent Versions System CVS Apache Subversion SVN oder Git koexistieren Aufgrund der genannten Faktoren vorrangig durch die nahezu unbegrenzte Erweiterbarkeit durch
260. tf llen Integrierte Testfallgenerierung Client seitiges Testing Server seitiges Testing Parametrisierung Komplexit t der Szenarien Auswertung amp Genauigkeit der Testergebnisse Graphische Ausgabe der Testergebnisse Speicherung in Log Files Exportierbarkeit in Spreadsheettools Format der Auswertung pdf xls htm RX 4444X44 XX4 4 Sonstiges Support Dokumentation Weiterentwicklung Externer Support Community Tabelle 11 Bewertung des Tools FunkLoad anhand der Vergleichskriterien KOS content Seite 546 37 5 Methodik zur Bewertung der Tools Um die unterschiedlichen Tools miteinander zu vergleichen wurde ein Kriterienkatalog er stellt anhand dessen die ausgew hlten Tools bewertet werden Der Katalog besteht aus den vier bereits evaluierten Oberkategorien Bedienbarkeit Technologie Funktionalit t Sonstiges Der Katalog gibt einen berblick ber alle wichtigen Funktionen der unterschiedlichen An bieter und die unterschiedlichen M glichkeiten einen Last bzw Performancetest durchzu f hren Die Bewertung entlang dieses Kriterienkatalogs soll dem Leser dabei helfen die richtige Wahl f r die jeweiligen Anforderungen an ein Tool zu treffen Bewertet wurden die einzelnen Produktmerkmale der Tools mit unterschiedlichen Leistungsmerkmalen Ja Sehr gut Eingeschr nkt mittelm ig Nein Innerhalb der vier genanten Oberkategorien erfolgte die Bewertung f r jedes einzelne
261. the whole process with reporting and analysis Project Management gt gt AAA Reports and Analysis g i Figure 11 Logical test process of HP Quality Center One of the core functionalities of HP Quality Center is the test planning and execution Test cases can be stored in a structured way to allow a uniformly classification and description The central test case catalogue in HP QC amp ALM includes all testing types from functional to performance and security tests and can be executed manually or automated Cf Hewlett Packard 2011 p 3 7 Hewlett Packard p 3 KOS content Seite 409 22 The benefits of HP Quality Center are therefore various e Track and measure project milestones and key performance indicators KPIs e Enable centralized management and enforcement of consistent workflows and process es e Reduce duplication of effort through asset sharing and reuse e Gain visibility into entire application portfolio e Increase communication and collaboration between key stakeholders 3 2 2 IBM Application Lifecycle Management Rational Quality Manager As IBM focuses on an all around solution it integrates its test management tools into an appli cation lifecycle One of the most important tools that ensure a project s quality is IBM s Rational Quality Manager RQM with approach of collaborative software It deals with scheduling and evaluating software s success in term
262. the Open Source Software T Plan Robot and Canoo Web Tests complement the four most widely used test automation systems The open source tools regarding test management and test automation selected in order to consider and evaluate in detail are as followed Test Management Tools Test Automation Tools 1 TestLink 1 Selenium 2 Testopia Bugzilla 2 WatiN 3 Redmine 3 TPlan Robot 4 Requirement and Testing Hub 4 Canoo WebTest Closed Software Test Management and Test Automation Tools QA TestLab also considered the popularity of commercial systems for test management test automation and bug tracking According to that Atlassian s JIRA software dominates with a popularity of 33 of popularity closely followed by HP Quality Center with 31 IBM Rational is the succeeding software for test management and automation representing 12 of popularity challengers eaders Oracle Micro Focus Microsoft eiTKO SmarteSoft eSoasta e Worksoft SmartBear Software Parasoft eCrosscheck Networks Seapine Software d D Green E 9 Tricentis Original Software niche players Figure 2 Magic Quadrant for Integrated Software Quality Suites A study regarding Integrated Software Quality Suites carried out by Gartner Inc confirms the leading position of the multinational technology and consulting corporations Hewlett Packard and IBM within the context of commercial test management and test automation systems HP Cf Opens
263. the quality requirements Accordingly testing and reviews are static processes designed to detect existing differences and therefore ensuring proper functionality So testing consists of static verification as well as dynamic validation Fur thermore testing includes activities such as planning controlling preparation and measurement This summarizes all attributes of testing in a comprehensive definition and will be used hence forth 2 3 Test Management All tests that are executed within a company need to be carefully planned organized and scheduled in order to prevent that the tested applications interfere with running systems The action of creating an efficient plan is called test management Thus all resources that are in volved in the testing area need to be analyzed Therefore a system under test SUT requires 12 Cf Prins A 2009 13 Cf Moore W J 2002 p 67 14 Cf Copeland L 2004 p 53 15 Cf Franz K 2007 p 24 KOS content Seite 392 specifications which are defined as requirement test matrix The major tasks of test manage ment can be associated with different phases within the product lifecycle management e planning e executing e authoring e reporting The implementation of these four phases is further specified at IBM Test management is where the goals the metrics used to measure such goals and how the data for them will be collected are defined Additionally test management incl
264. thermore a functional reference is available inside the Seleni um IDE T Plan Robot offers a good documentation as well as a step by step tutorial including images Code samples are also made available Canoo Web Test has a good online documen tation with examples of how to create web tests WatiN has no documentation but a functional reference and is therefore only ranked moderately Regarding the criteria mentioned above Selenium is best rated for the open source criteria with 98 from 100 points while WatiN performs poorly especially in terms of documentation and community support Considering the common software criteria system requirements all four products are ranked high as the test execution is either done inside the IDE or independent of the operating system The overall usability and handling of Selenium is quite good With the Selenium IDE testcases are created easily and fast and can directly run inside the IDE Selenium RC is a little bit more complex because the installation and configuration is not very easy but well documented The testcases can be developed in Java C Python and Ruby and Selenium supports parallel exe cution Within Canoo Web Test the installation is easy as Java is provided during the installa tion and the download only needs to be unpacked The installation of WatiN is also very easy and well documented WatiN test recorder is able to capture test cases and export them to C for further editing which makes it
265. ting the entire required test steps and the user is supposed to update status of each step with passed failed or not com plete Because of this it is an important feature to have but usually does not lead to incorrect assumptions Defect detection although is substantial for test management and thus rated with 15 Defects should be logged and mapped to the corresponding test cases which failed and hence to the requirements in order to make sure that the defect is treated Reports are im portant for the project state reporting to the rest of the team and management 3 3 4 Functional criteria Test Automation This section deals with the functional criteria which the open source test automation tools are evaluated against after concluding the assessment of the first two sections After reviewing various resources and evaluation reports on open source test automation tools the following criteria to be assessed were determined Test automation approach Script language Prede fined functions 4 methods Integrated development environment Modularity of test cases Sup ported test methods white black box testing and Reporting First of all the test automation approach will be evaluated This includes the ability of the tool to execute Capture 8 Replay or Keyword data driven replay Furthermore the script lan guage is assessed in a next step Here it is of significance which programming languages are supported if it is object oriente
266. tween open source and Closed Source Software Following this an evaluation matrix was developed to serve as basis for the tool assessment Through an extensive literature research various crite ria were defined which were grouped into three distinct categories Open source criteria Com mon software criteria and functional criteria After assessing the tools in the evaluation matrix the results were compared and a test winner for each area identified The winners were TestLink for Test management and Selenium for Test automation The insights that were gained in that process were then utilized to formulate a recommendation by matching the individual customer requirements of the company to the capabilities of the KOS content Seite 432 45 open source and commercial tools Once again Selenium and TestLink were concluded as the most suitable open source option for the customer as the majority of requirements are met The findings of this paper elucidate that Open Source Software has in fact become a valuable business alternative to commercial tools as the pre defined customer requirements could be satisfactorily met Of major importance in this process is to ensure that open source criteria such as a reliable community and useful user documentation are provided For the company open source tools are a good option This may not be generally the case To ensure the suitability of an open source tool all requirements should be defined and eval
267. tzeiten der Mengenver arbeitung nachzuweisen Die Dimensionierung der Hardwareausstattung zu berpr fen Wird ein Lasttest auBerhalb der normalen betrieblichen Belastung durchgef hrt wird von einem Stresstest gesprochen Mit einem Stresstest werden sowohl die Stabilit t als auch die Grenzen der Performance des Systems getestet Es k nnen zudem Komponenten er kannt werden die m glicherweise erweitert werden m ssen um die Performance zu er h hen Wir ein Lasttest ber einen l ngeren Zeitraum beispielsweise 48 bis 72 Stunden durchgef hrt wird von einem Dauerlasttest gesprochen Nachdem unterschiedliche Kennzahlen ermittelt wurden werden mithilfe dieser Kennzahlen verschiedene Lasttestskripts erstellt Verschiedene Skripte Definitionen und unterschiedliche Runtime Einstellungen werden in ihrem Zusammenschluss als Szenario bezeichnet F r einen erfolgreichen und aussagekr ftigen Last bzw Performancetest wird eine gewisse An zahl an Benutzern simuliert Die verschiedenen Tools unterscheiden sich hierbei bei der m glichen Anzahl an zu simulierenden Benutzern Laut der Inventage AG l sst sich eine erh hte Systemlast erzeugen indem die Wartezeit zwischen Interaktionen bewusst niedrig gehalten wird Ein Last bzw Performancetest ist einem funktionalen Test nachgelagert Das bedeutet dass das zu testende System bzw die Systemkomponente in einem funktional stabilen Zu stand sein muss um auf Lastbew ltigung get
268. uated in detail to find the best solution in practice KOS content Seite 433 List of references Books Bath G McKay J 2010 Bommer C Spindler M Barr V 2008 Copeland L 2004 Dustin E Rashka J Paul J 2001 Grechenig T u a 2010 Hetzel B 1993 Franz K 2007 Ludewig L J 2010 Menzel M 2006 Moore W J 2002 Myers J G 2001 Pol M Koomen T Spillner A 46 Praxiswissen Softwaretest Test Analyst und Technical Test Analyst Aus und Weiterbildung zum Certified Tester Advanced Level nach ISTQB Standard Heidelberg dpunkt Verlag Software Wartung Grundlagen Management und Wartungstechniken Heidelberg dpunkt Verlag A Practitionor s Guide to Software Testing 277 Edn London Norwood Artech House Publishers Software automatisch testen Verfahren Handhabung und Leistung mit 100 Tabellen Berlin Springer Verlag Softwaretechnik Mit Fallbeispielen aus realen Entwicklungsprojekten M nchen Pearson The Complete Guide to Software Testing San Francisco John Wiley amp Sons Inc Handbuch zum Testen von Web Applikationen Testverfahren Werkzeuge Praxistipps Berlin Heidelberg Springer Verlag Software Enginieering Grundlagen Menschen Prozesse Techniken 2 Edn Heidelberg dpunkt Verlag Software Testautomatisierung Leitfaden f r die effiziente Einf hrung Saarbr cken VDM Verlag Encyclopedia of Software Engineering In
269. udes previous tests by linking its results to future trials This aspect refers to the sequential relationships especially within the same testing family If an envi ronment includes two subcategories A and B where B inherits specific characteristics of A and A fails it is useless to test B independent from A as parallels can provide an easier investigation of errors and positively impact parameters The process of managing tests includes methodolo gies and strategies of project management like the critical path method CPM The results of all tests are stored within one common system that delivers reports and metrics to evaluate the quality of SUT Critical success factors will be analyzed and improved before the system s re lease The main advantages of test management are limited to the following aspects e Test documentation provides an overview and avoids redundancy e Test management increases the efficiency of testing which saves time and costs e Test management enhances effectiveness as less improved characteristics will be easi ly pointed out In contrast test management also causes several problems e Itis very time consuming as each testing tool requires an individualized treatment e Test management is very complex and uses lots of human resources e Sometimes the validation of requirements is disregarded Instead of coordinating tests manually several steps can be automated to further increase effi ciency and
270. uences Generally testing tools can increase efficiency and effectiveness of a compa 27 ny Cf Grechenig T u a 2010 p 332 Cf Grechenig T u a 2010 p 332 2 Cf Bath G McKay J 2010 p 343 7 Cf Strahringer S 2011 p 92 KOS content Seite 395 3 Methodology 3 1 Tool selection Open source test management and test automation tools are in great demand due to the ex posable source code as well as publicly accessible documentations However test manage ment or automation tools or frameworks cannot cover all projects because of the individual na ture of each project regarding test management or automation Requirements concerning soft ware functionality therefore have to be defined unambiguously in order to realize the defined aim of the project An extensive literature and internet research identified 122 open source test automation tools and 26 open source test management tools A comprehensive evaluation of all existing test management and test automation tools is not possible within the context of this elaboration due to the limited quantitative as well as temporal extent Therefore the emphasis is put on the four leading Open Source Software tools regarding test management and test automation for the purpose of an extensive software analysis Although Open Source Software tools will be the primary topic of this paper leading commercial tools will also be evaluated in order to compare them to open
271. um Schwachstellen auszunutzen und sich so Zugriff zu dem Zielsystem zu verschaffen Das Ausnutzen der Schwachstellen f hrt nicht immer direkt zum Ziel Oft geschieht es dass der Zugriff auf Administrationsrechte nicht vollst ndig erfolgt An dieser Stelle befindet sich der Prozess in der Privilege Escalation Phase Tritt dieser Fall ein muss eine tiefergehende Recherche betrieben werden wodurch erneut die Discovery Phase durchlaufen wird wie der Pfeil in Abbildung 2 zeigt 4 Reporting Das Reporting stellt die vierte Phase des Penetrationtest dar kann aber auch parallel zu den an deren Phasen auftreten In dieser Phase werden sowohl alle rechtlichen Bestimmungen und In formationen aus der Planning Phase gesammelt als auch Ergebnisse und sonstige Erkenntnisse nach Beendigung der Attack Phase im Report mit aufgenommen werden 2 Ein Non disclosure agreement hilft nicht ffentliche Informationen mit einem potentiellen Investor zu teilen da es die entsprechend notwendige Verschwiegenheit zusichert Vgl Gr nderszene 0 J http www gruenderszene de lexikon begriffe non disclosure agreement nda KOS content Seite 450 3 Bewertungskriterien Zur Bewertung der im Rahmen dieser Arbeit ausgew hlten Honeypots werden im Folgenden aus gew hlte Kriterien zur Evaluation dieser festgelegt und im Detail erl utert Beginnend mit den OWASP Open Web Application Security Project Top 10 Sicherheitsl cken Uber zu weiter
272. und zum Monitoren von Tests Jedoch existiert keine benutzerfreundliche Oberfl che zum Skripten und Coden von Tests Ein weiterer Nachteil ist dass die einzelnen Workerprozesse auf jedem Lastclient aus der Kommandozeile gestartet werden m ssen Es existiert ferner keine dedizierter Benutzeroberfl che zur Testauswertung 4 2 2 Technologie Die Tests werden in der Scriptingsprache Jython erstellt welche eine JavaVM basierte Implementierung der Programmiersprache Python darstellt Es lassen sich Tests basierend auf den Protokollen HTTP und HTTPs durchf hren sowie JDBC Schnittstellen zum Testen von Datenbanken nutzen Ferner werden Webservices via SOAP und RPC und MOM basierte Middleware via XML Remote Procedure Calls RPC unterst tzt Andere Internetanwendungen die POP3 Simple Mail Transfer Protocol SMTP FTP und andere Protokolle verwenden k nnen ebenfalls getestet werden Der entscheidende Vorteil des Grinders ist dass er im Rahmen der Verf gbarkeit von J2SE1 4 komplett plattformunabhangig ist und somit auch unter Unix bzw Linux und Windows ausf hrbar ist Vgl Dempfle M 2007 S 74 Java Plattform Standard Edition ist eine Sammlung von Java APIs Vgl Schimrazki O 2009 S 22 KOS content Seite 530 21 Im Rahmen einer Lastteststudie von Webanwendungen mittels The Grinder an der Uni Stral sund wurden ein Lasttest mit 400 virtuellen Usern verteilt auf vier Agenten und ein Stresstest mit 1000 virtuell
273. und verwirrend sein k nnen P Es ist anzuraten den JMeter un abh ngig vom Testsystem laufen zu lassen da er durch die komplexen Interfaces einen hohen Ressourcenbedarf hat und somit die eigentlich zu testende Performance negativ be einflussen kann Der JMeter ist beliebig durch Zusatzfunktionen erweiterbar und ist somit ein gutes Beispiel f r Modularit t und Kundenfreundlichkeit Die identifizierten Vorz ge dieses Tools wurden auch in vergleichbaren Arbeiten aufgef hrt Im Allgemeinen l sst sich festhalten dass die Open Source Lizenz den Firmen erm glicht jegliche Tools zum Testen von Lasten zu nutzen unabh ngig davon ob das Tool intern oder f r einen Kunden genutzt wird Im Bezug auf die Weiterentwicklung schneiden JMeter The Grinder und der TestMaker alle sehr gut ab da alle bereits in diesem Jahr aktualisiert wurden und somit weiterhin vollst ndig von der Open Source Community unterst tzt werden Das letzte Update f r den FunkLoad wurde im letzten Jahr ver ffentlicht die Community Nuxeo unterst tzt weiterhin dieses Tool jedoch gibt es keine dedizierten Mailinglisten Entwicklern stehen jedoch Mailinglisten die Nuxeo direkt adressieren zur Verf gung Der Grinder ist dem TestMaker sehr hnlich Beide sind sehr m chtige Tools da Test szenarien mit in Jython geschriebenen Skripten generiert werden und somit alle Java Features genutzt werden k nnen Abschlie end l sst sich festhalten dass alle Tools die Anforderunge
274. ung dar und orientiert sich damit stark an den Bed rfnissen dieses Unternehmens Ein gewichtiger Teil besteht daher in einer Anforderungsanalyse Anforderungen die sich m glicherweise in anderen Unterneh menskontexten ergeben sind nicht zwingend abgebildet 1 3 Aufbau der Arbeit Zu Beginn der Fallstudie werden die Termini IDE und Open Source definiert Daran anschlie end erfolgt eine theoretische Einf hrung in COBOL und Eclipse In zweiten Teil dieser Arbeit wird der betriebliche Kontext der Fallstudie erl utert wobei eine Differenzierung zwischen dem Ist und dem Sollzustand vorgenommen wird Aus letzterem ergeben sich spezifische Anforderungen an die zu evaluierenden Plugins die mitsamt einer Priorisierung dargestellt werden In einem dritten Schritt erfolgt abgeleitet aus den priorisierten Anforderungen eine begr ndete Vorauswahl zu evaluierender Plugins bzw IDEs Diese werden dann im Detail auf die Erf llung der Anforderungen hin analysiert Um eine Konfigurationsempfehlung aussprechen zu k nnen erfolgt eine Gegen berstellung der Resultate Die unterschiedlichen L sungen werden zu Referenzzwecken auch noch einmal mit der bereits in der Vergangenheit analysierten L sung RDz verglichen F r die auf die Anforderungen am ehesten zugeschnittene Applikation wird schlie lich eine Konfigurationsempfehlung ausgesprochen Abschlie end werden limitierende Faktoren der Arbeit aufgezeigt Schl sselaspekte zusammenge fasst und
275. ung getragen wird An den Ergebnissen des Projekts partizipieren die Dualen Partner Allianz Deutschland AG die Deutsche Rentenversicherung Baden W rttemberg und die HALLESCHE Krankenversicherung a G Inhalt Projektdarstellung Duale Hochschule Baden W rttemberg wa DHBW Duale Hochschule Baden W rttemberg Duale Hochschule Baden Wurttemberg Stuttgart Fakultat Wirtschaft Projekt im Modul Neuere Konzepte der Wirtschaftsinformatik im 6 Semester Fallstudie Versicherung Evaluation von Eclipse Plugins zur COBOL Entwicklung Autoren Ralf Hecktor Daniel Hohmann Felix Kugler und Stephen Said Studiengang Wirtschaftsinformatik International Business Information Management Aufgabenstellung Betreuung Prof Dr Thomas Kessel Datum 5 7 2012 KOS content Seite 341 Inhaltsverzeichnis Abkiirzungsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis 1 Einleitung 1 1 1 2 1 3 2 Theoretische Grundlagen 2 1 2 2 2 3 II Motivation nea ie inn th oo e SNe eh E a A an tin ocean Bes Len Zielsetzung a EE a a ae EE erh es dec AE Aufbau der Arbeit 2 2 Co onen Definitionen Ira Zu ee U td ds a AA D 2 1 1 Integrated Development Environment DE 2 1 2 Open Source EE eee aa a a Einf hrung COBOL i ni kikini ta A ye a in Einf hrung Eclipse mon nn ne 3 Untersuchung 3 1 3 2 3 3 3 4 3 0 3 6 3 7 Vorgeh ens WelsSe ms 4 2 2 eee eee nn aaa A ad Ist Zust nd 2
276. unktionale Vorteile welche die Applikation von anderen abheben So bietet Visual COBOL neben dem IBM RDz die umfassendsten und komfortabelsten Editor Funktionen Zudem kann eine Vielzahl externer Systeme wie z B Datenbanken angebunden werden Wichtig war es im Rahmen dieser Arbeit weiterhin die ausgesprochene Empfehlung der Referenz RDz gegen berzustellen Hintergrund dessen ist die bereits vor einigen Jahren durchgef hrte Machbarkeitsstudie zwischen der Versicherung und IBM Aus dieser resultierte dass der RDz prim r aufgrund finanzieller Gr nde nicht eingef hrt werden konnte fachlich jedoch konnte die L sung alle Anforderungen erf llen KOS content Seite 381 37 Die Empfehlung das Plugin Visual Cobol in der Versicherung einzusetzen kann ausschliefslich auf Basis der durchgef hrten Analyse nicht jedoch mit vollst ndiger Sicherheit ausgesprochen werden Im vorangegangenen Kapitel wurden Restriktionen aufgezeigt welche dazu fiihren dass diese Arbeit nur als Vorstudie angesehen werden sollte Dies f hrt dazu dass Anschlussstudien zu empfehlen sind welche die beschriebenen Faktoren aufgreifen In dieser nachfolgenden Arbeit sollten sowohl eine konkrete Kosten Nutzen Analyse durchgefiihrt werden als auch im Netzwerk der Versicherung Testinstanzen aufgebaut werden die eine konkrete Evaluierung der Anforderun gen erm glichen In enger Zusammenarbeit mit den Mitarbeitern der Versicherung sowie ggf der Bera
277. ur eigentlichen IDE ein Tomcat Applikationsserver oder in der Enterprise Edition eine Oracle 11g XE und ein Apache Geronimo Applikationsserver zur Verf gung M chte man Elastic COBOL selbst installieren so k nnen s mtliche Plugins direkt in eine bestehende Eclipse Umgebung installiert werden oder eine fertig konfigurierte Eclipse Version heruntergelXXXn werden Diese steht f r Linux und Windows sowohl in einer 32 Bit als auch einer 64 Bit Version zur Verf gung Zur Verwendung der Plugins ist eine properties Datei notwendig welche sicherstellt dass eine geeignete Lizenz erworben wurde D Y Elastic COBOL HelloWorld cobol_source hello cbl Eclipse File Edit Navigate Search Project Tools Run Window Help mo SSX OS 0 Q gt 5 Navigator 5 5 hai 23 SKI S 8 Helloworld SE cobol_source Zi hello cbl copylib java_source listing E resources E workdir IDENTIFICATION DIVISION PROGRAM ID HELLO ENVIRONMENT DIVISION DATA DIVISION VORKING STORAGE SECTION PROCEDURE DIVISI MAIN PARAGRAPH DISPLAY Hello World from Java via COBOL UPON SYSOUT EL Problems 3 1 error O warnings O others Description Resource Path Location Type Errors 1 item Missing keyword DIVISION after PROCEDURE hello cbl HelloWorldcobol_source line 9 COBOL Problem Abbildung 11 Elastic COBOL Perspektive Editor und Syntax Check In Abbildung 11 ist der von Elastic COBOL bereitgestellte Editor zu sehen Festzu
278. variables 3 o Breakpoints tO Ar HY A Name Value WRK 1 0 WRK 2 0 Dir Variables Breakpoints 23 x se wie pjm ng J v program2 cbl line 21 Abbildung 8 isCOBOL Debugging Die Anbindung von externen Systemen ist in isCOBOL ber mehrere Wege m glich Neben SSH Telnet Verbindungen k nnen Unix Linux und Windows Hosts nativ angebunden werden Ihre Konfiguration erm glicht neben Shell Verbindungen einen Direktzugriff auf das Dateisystem Der Zugriff auf Datenbanken kann ber den Zukauf der einleitend erw hnten Erweiterungen realisiert werden Veryant bietet neben dem Verkauf seiner Produkte Beratungsdienstleistungen zur berf hrung von COBOL Anwendungen in seinen propriet ren Dialekt an 27 Allgemeine Beratungsdienstleis tungen z B f r generische Themen der Softwareentwicklung werden nicht angeboten Es existiert ebenfalls kein Partnerprogramm wie es bei anderen Herstellern zu finden ist In Deutschland werden Beratungsleistungen durch das Unternehmen EasiRun angeboten Im Supportbereich gibt es ein zweigeteiltes System Es existieren zum einen Supportvertr ge die in zwei Leistungsumf ngen angeboten werden Standard und Platinum Zum anderen kann bei Existenz eines Supportvertrages mit dem Independent Software Vendor ISV Program ein erg nzendes Leistungsangebot erworben werden Diese Supportvertr ge umfassen neben webba sierten Self Services z B Datenbanken mit L sungen zu
279. ver T conecting samples 19 94 0 TPS WM MART TAN Abb 4 Visualisierung der Testergebnisse durch The Grinder 4 2 4 Sonstiges Es gibt bereits einige Unternehmen die Kurse und Seminare zum Thema Lasttests mithilfe von Grinder anbieten Im Unterschied zum TestMaker gibt es kein dediziertes Unternehmen das sich mit der Weiterentwicklung des Tools besch ftigt Daf r widmet sich die Open Source Community A Developer Group dieser Aufgabe Au erdem existieren Mailing Listen die genutzt werden k nnen um Teil der Grinder Community zu werden Nachfolgend eine Auswahl e grinder announce Low volume notifications of new releases e grinder use The place to ask for help e grinder development For those interested in developing The Grinder Vgl Falk R Salchow M Diederichs J Kasper T 2009 Tva Dempfle M 2007 S 73 Vgl Aston P Fitzgerald C 2012 KOS content Seite 532 23 Die Dokumentation des Grinder ist sehr umfangreich und umfasst kommerzielle Literatur User Guide http grinder sourceforge net g3 whats new html FAQs http grinder sourceforge net faq html Tutorial http grinder sourceforge net g3 tutorial perks html Script Gallery http grinder sourceforge net g3 script gallery html Articles http grinder sourceforge net links html Commercial books Professio
280. veying 120 software testing and quality assurance professionals TestLink was identified as most popular open source test management software developed with focus on usability maintainability and effectiveness by 53 of the interviewees E TestLink E Testopia E Redmine E RTH E Xqual Xstudio E Others Figure 1 Popularity of Open Source Test Management Software Testopia represents the next popular open source test management tool with 17 of popularity followed closely by Redmine with 12 Testopia is a test case management extension for the Bugzilla bug tracking and testing tool Testopia Bugzilla provides a complete suite of features of test and defect management Bugzilla is used by more than 1268 internation l companies or ganizaticns and pr jects which reflect its popularity as well as aturity The Requirements and Testing Hub RTH tool should also be taken under consideration with a popularity of 8 Test Automation tools Appropriate test automation tools are identified by Tools Journal including the open source tools Selenium and WatiN along with a number of commercial test automation products Sele nium as well as WatiN represent test automation tools for browser based testing of web applica 33 Cf Jhureley A 2010 Contained in QA TestLab 2009 S 6 Cf Bugzilla 2012a Cf TestJournal 2011 KOS content Seite 397 10 tions Due to various surveys as well as evaluations
281. vorhanden und kaum aktiv waren in den letzten zwei Jahren Trotz der Tatsache dass das Projekt von Random Storm betreut wird ist die Aktivit t nur m ig Aller Voraussicht nach erzielt das kommerzielle Unternehmen keinen finanziellen Mehrwert durch die F rderung des Pro jektes weshalb dieses nicht aktiv vorangetrieben wird KOS content Seite 466 23 5 2 Gruyere Gruyere ist eine von Google Labs und der Google Code University entwickelter Honeypot der vor der Ver ffentlichung unter dem Projektnamen Web Application Exploits and Defenses f r Google interne Schulungen benutzt wurde Zugriff auf die Twitter hnliche Anwendung kann ent weder online auf den Google Servern stattfinden oder auf einer lokalen Instanz Eine Installation ist dabei unn tig Gruyere ist eine eigenst ndige Anwendung die selbst einen Server startet Die Wahl der Programmiersprache ist mit Python dabei eher ungew hnlich macht Gruyere aber zu einem interessanten Kandidaten Bei der Erstellung einer lokalen Instanz nimmt daher der Down load der Gruyere Dateien die meiste Zeit in Anspruch Das Starten beschr nkt sich auf den Aufruf einer Datei damit ist Gruyere bereit gehackt zu werden Aus Sicherheitsgr nden reagiert der Gruyere Server standardm ig nur auf lokale Anfragen um auch externen Angreifern Zugriff zu gestatten muss die Datei gruyere py per Hand bearbeitet werden In diesem Fall ist selbstver st ndlich sicherzustellen dass de
282. w bitkom org files doc uments BITKOM_Publikation OSS_Version_1 0 pdf re trieval 20 05 2012 p 20 Open Testing Open Source Software Testing tools Evalu ation model Kemi Tornio University of Applied Sciences Criteria for Software Testing Tool Evaluation A Task Ori ented View Heidelberg University of Heidelberg Finding open options An Open Source Software evalua tion modelwith a case study on Course Management Sys tems Tilburg Tilourg University KOS content Seite 436 Internet sources Aberdour M 2012b Android com w y Bugzilla 2012a Bugzilla 2012b Bugzilla 2012c Bugzilla 2012d Canoo Engineering AG 2012a Canoo Engineering AG 2012b Electric Cloud 2010 Gartner Inc 2011 IBM 2011 Jhureley A 2010 49 Test management tools http www opensourcetesting org testmgt php retrieval 15 07 2012 Philosophy and Goals in Android Open Source Project http source android com index html retrieval 20 05 2012 Bugzilla www bugzilla org retrieval 07 06 2012 Who uses Bugzilla http www bugzilla org installation list retrieval 30 06 2012 The bugzilla guide Installation http www buqzilla org docs 2 18 html installation html retrieval 29 06 2012 Bugzilla Screenshots http sourceware org eclipse bugzil la images query png retrieval 03 07 2012 Canoo Web Test White Paper http webtest canoo com webtest manual whit
283. wie beispielsweise ein 7 Vgl Thomas S 2007 htto www trivadis com uploads tx_cabagdownloadarea Penetration Final 070802 pdf 0 J S 3 Mit Anderungen entnommen aus Saindane M KOS content Seite 449 6 Non Disclosure Agreement geschlossen und unterzeichnet werden Weiterhin wird die Strategie und Vorgehensdefinition des Testing Teams bestimmt 2 Discovery Das Testen beginnt in dieser Phase Alle n tigen Informationen werden gesammelt und zusam mengefasst Der erste Schritt innerhalb der Phase ist das Footprinting Hier wird Recherche be trieben um jegliche Informationen Uber die Organisation in welcher das Penetrationtesting statt findet und deren Systeme herauszufinden Nachfolgend kommt die Scanning amp Enumeration Pha se in der alle m glichen Systeme offene Ports oder laufende Services der Zielorganisation auf L cken hin untersucht werden In dieser Phase wird viel ausprobiert und getestet Nachdem das Zielsystem identifiziert und alle n tigen Informationen aus vorherigen Phasen konsolidiert wurden erfolgt die Vulnerability Analysis Phase In dieser hat das Penetrationtest Team das Ziel alle m g lichen Schwachstellen in den verschiedenen Zielsystemen aufzudecken 3 Attack Die Attack Phase stellt die Hauptphase des Penetrationtests dar Diese Phase beginnt mit der Exploitation dem Ausnutzen der Schwachstellen Hier wendet das Penetrationtest Team ver schieden Methoden und Techniken an
284. zliche Features nun 16 4 Honeypol Analysen ai 17 5 e D Ee ET E 19 Bali IOWA seta rien 19 A EE ee ee 23 BSc VHACWE A accede EE tad edetubunaeenvdan inate OE AAKE 25 54 A ea EE EE 28 5 5 WEDIO entran pai li ee 30 6 Sehl ssbelrachl ng u au ee 34 OA Zusammenfassung Me een 34 6 2 sHanalungsempiehlungenz eeng isis 34 8 3 AUS ut anderes ra ri eh 35 oo EE 36 ANNA d 38 QuellenverzelChis siria dd 57 KOS content Seite 443 Abbildungsverzeichnis Abb 1 Modell eines Web Honeypots in einem Tesilabor 4 Abb 2 Ablauf eines Penetration Tests uk 5 Abb 3 Beispiel SQL Injection AAA 8 Abb 4 DVWA Startseite ee ee ee AREE A REKER 20 Abb 5 DVWA Security AuswahIMmOglichkeiten AA 22 ADD E ee et ee 23 Abb 7 Illustration einer Sicherheitsl cke vom Typ Mangelhafter URL Zugriffsschutz in GUY ONG ana A A acta tai 24 Abb 8 Startbildschirm des HacMe Casimos AAA 26 Abb 9 HacMe Casino Optionsmen Eingeloggt A 27 Abb 10 Mutillidae Oberfl che Benutzer Men links amp Konfigurationsm glichkeiten im oberen MOND nun innen 28 Abb 11 Szenen Screenshot aus Mutillidae mit ausgeklapptem Men und eingeschalteten Gelle DEE 30 Abb 12 Webgoat Lesson mit Interface Erkl rung und dem Men mit allen verf gbaren Lessons kategorisiert nach Sicherheitsl cken cccccccccccccccececeeeceeeeeeececeeeeeeeeeeeeeeeeeeeeeess 31 Abb 13 Webgoat Lesson mit eingeblendeten Hinweisen und der zugeh r
Download Pdf Manuals
Related Search