Es ist so viel los, dass ich einfach nicht dazu komme, ihn zu schreiben.
Man könnte fast denken, dieses Jahr finden Ostern und Weihnachten hintereinander statt. Anders kann ich mir zum Beispiel die Hamsterkäufe in den Supermärkten nicht erklären.
Wie bereits angekündigt gibt es nun meinen schon traditionellen Bericht über Interessantes von der CeBIT. Diesmal habe ich mich auf Präsentationen in der “Forschungshalle” konzentriert, und weil es da reichlich interessantes zu sehen gab, habe ich den Bericht auf zwei Teile aufgeteilt. Los geht es mit der sicheren Kommunikation…
Nach der CeBIT ist so viel zu tun, dass mir schlicht und ergreifend die Zeit fehlt, einen zu schreiben.
Diesmal geht es um eine Art von XSS-Angriffen, die auf eine herkömmliche XSS-Schwachstelle als Einfallstor angewiesen ist. Denn beim sogenannten Resident XSS wird der Schadcode über eine der bekannten XSS-Schwachstellen (also reflektiertes, peristentes oder DOM-basiertes XSS) eingeschleust und danach im Browser verankert. Es handelt sich also eigentlich weniger um einen neue Art von XSS als um einen weiteren Angriff über XSS.
Der übliche “Standpunkt” mit Kommentaren zu aktuellen Themen der IT-Sicherheit fällt diese Woche aus, denn ich habe ganz einfach keine Lust, nach dem CeBIT-Besuch noch viel zu schreiben. Darum nur ein bisschen Lästerei über die CeBIT.
“Ein bisschen Lästerei über die CeBIT…” vollständig lesenIm PHP Magazin 3.2015 ist ein Artikel über Server-Side Request Forgery erschienen: Was ist SSRF, was kann ein Angreifer damit erreichen, wie gefährlich ist ein Angriff?
“Drucksache: PHP Magazin 3.2015 – Server-Side Request Forgery” vollständig lesenBisher ging es mit reflektierten und persistenten XSS um Angriffe, die über die Webanwendung auf dem Server laufen. Thema der heutigen Folge ist das DOM-basierte XSS, dass ausschließlich im Client-Code im Webbrowser abläuft.
“Websecurity – Jahresrückblick 2014” ist als eBook bei entwickler.press erschienen.
Im ersten Kapitel dreht sich alles um die Angriffe auf und Schwachstellne in SSL und TLS, im zweiten Kapitel geht es um die weiteren prominenten Angriffe und Schwachstelle sowie allgemein die Frage, ob das Internet nun 2014 in Flammen stand oder nicht.
Im windows.developer 4.15 ist ein Artikel über Angriffe auf den Webbrowser erschienen.
“Drucksache: windows.developer Magazin 4.2015 – Der Browser im Visier – ganz praktisch” vollständig lesenIm windows.developer 4.15 ist ein Artikel über die Sicherheit von Azure erschienen. Es handelt sich um ein Update für den Artikel im windows.developer 2.2014 zum gleichen Thema.
“Drucksache: windows.developer Magazin 4.2015 – Azures Sicherheit – ein Update” vollständig lesenHeute gibt es mal wieder einige kommentierte Ergänzungen zu älteren Artikeln.
Zur Beschreibung des MySpace-Wurms Samy gehört natürlich auch dessen Sourcecode. Den finden Sie hier, in der Beschreibung sind einige Stellen mit den entsprechenden Stellen im unformatierten Code verlinkt. Diese sind rot hervorgehoben – und ihrerseits mit den entsprechenden Stellen im formatierten Code verlinkt.
Eine persistente XSS-Schwachstelle in einer Webanwendung kann unter Umständen von einem Webwurm zur Verbreitung genutzt werden. Der infizierte dann nicht wie ein herkömmlicher Computerwurm zig verschiedene Server oder Benutzerrechner, sondern die Profile der Benutzer der betroffenen Webanwendung oder ähnliches. Er ist also auf den einen Server mit der betroffenen Webanwendung beschränkt, kann dort aber auch einigen Schaden anrichten.
Der erste, oder zumindest der erste allgemein bekannt gewordene, Web-Wurm war der MySpace-Wurm Samy, der sich am 4. Oktober 2005 auf MySpace ausbreitete.
Es gibt neue Informationen zum SIM-Karten-Hack und der ein MitM-Zertifikat installierenden Adware auf Lenovo-Notebooks. Und wie üblich keine guten, denn Sie wissen ja: Schlimmer geht immer. Das schreit natürlich nach einem Kommentar.
