About Security auf archive.org
Alle Folgen meiner Serie "About Security" auf entwickler.de/entwickler.com sind nach einem Crash der Server von Software & Support Media im Mai 2013 offline. Ob sie wieder online gestellt werden und wenn ja wann steht noch nicht fest. Ich hoffe sehr, dass das noch klappt.
Aber zum Glück gibt es ja die Wayback Machine des Internet Archive, und dort sind mit Ausnahme des Weihnachtsspecials 2009 alle Folgen archiviert. Daher gibt es hier eine Liste der Texte mit Links zur Wayback Machine. Und auch das Weihnachtsspecial 2009 ist noch im Internet zu finden, es ist auf archive-de.com archiviert.
Der Nachteil der archivierten Versionen: Die Verlinkung der Folgen untereinander funktioniert nur mangelhaft, wenn überhaupt.
Einführung
Was ist "IT-Sicherheit" eigentlich? Hier werden die drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität vorgestellt, außerdem gibt es erste Beispiele für Angriffe und Schutzmaßnahmen.
- About Security #1: IT-Sicherheit - Was ist das eigentlich?
- About Security #2: Angriffsszenarien
- About Security #3: Eindringlinge abwehren
- About Security #4: Gefährdung aus der Peripherie
Eine typische Schwachstelle: Der Pufferüberlauf
Pufferüberläufe sind die Ursache für sehr viele, wenn nicht sogar die meisten, Schwachstellen in Betriebssystemen und Desktopanwendungen.
- About Security #5: Der Pufferüberlauf
- About Security #6: Ausnutzung von Pufferüberlauf- Schwachstellen
- About Security #7: Gegenwehr - Pufferüberläufe verhindern
- About Security #8: Vorbeugung - Pufferüberläufe verhindern
- About Security #9: Sourcecode Audit - Pufferüberläufe finden
- About Security #10: Software- Audit - Schwachstellensuche in Binaries
Sichere Webanwendungen
Dies ist der erste von zwei Themenblöcken zur Websicherheit. Die Texte zu HTTP-Request-Smuggling und HTTP-Response-Splitting waren die ersten Artikel zu diesen Schwachstellen in deutscher Sprache!
- About Security #11: SQL-Injection
- About Security #12: SQL-Injection verhindern
- About Security #13: Mit Stored Procedures gegen SQL-Injection
- About Security #14: Cross-Site-Scripting
- About Security #15: Cross-Site-Scripting verhindern
- About Security #16: Skriptcode einschleusen
HTTP-Request-Smuggling und HTTP-Response-Splitting
- About Security #17: HTTP-Request-Smuggling
- About Security #18: Spielarten des HTTP-Request-Smuggling, 1
- About Security #19: Spielarten des HTTP-Request-Smuggling, 2
- About Security #20: HTTP-Request-Smuggling erkennen und verhindern
- About Security #21: HTTP-Response-Splitting, 1
- About Security #22: HTTP-Response-Splitting, 2
- About Security #23: Caches vergiften
- About Security #24: Caches indirekt vergiften
- About Security #25: Entführen von Webseiten
Gefahren für Webanwendungen und -server
- About Security #26: Gefahren für Webanwendungen
- About Security #27: Gefahren für Webserver
- About Security #28: Standorte für Webserver
Firewall
Was ist eine Firewall überhaupt, und wie funktioniert die?
- About Security #29: Die Firewall - Grundlagen
- About Security #30: Die Firewall - Paketfilter
- About Security #31: Die Firewall - FTP-Verbindungen
- About Security #32: Die Firewall - Application Level Gateway
- About Security #33: Die Firewall - Application Level Proxies
- About Security #34: Die Firewall - Circuit Level Proxies
- About Security #35: Die Firewall - Zusammenspiel der Komponenten
- About Security #36: Die Firewall - Demilitarisierte Zone
Logfiles
Was wird in Logfiles protokolliert, und wie findet man darin Hinweise auf mögliche Angriffe?
- About Security #37: Logfiles - Welche Daten speichern?
- About Security #38: Logfiles - Wie auswerten?
- About Security #39: Paketfilter- Logfiles manuell auswerten
- About Security #40: HTTP-Proxy-Logfiles manuell auswerten, 1
- About Security #41: HTTP-Proxy-Logfiles manuell auswerten, 2
Intrusion Detection und Prevention Systeme
Intrusion Detection Systeme dienen der Erkennung von Angriffen, mit Intrusion Prevention Systemen können die Angriffe zumindest teilweise auch abgewehrt werden.
- About Security #42: Intrusion-Detection-Systeme - Grundlagen
- About Security #43: Intrusion-Detection-Systeme - Positionierung
- About Security #44: IDS-Kommunikation
- About Security #45: IDS in hochverfügbaren Netzen
- About Security #46: Angriffe auf IDS
- About Security #47: Beispiele für IDS-Regeln
- About Security #48: Umsetzung der IDS-Beispiele mit Snort
- About Security #49: Intrusion Prevention
Honeypots
Honeypots, auf deutsch also Honigtöpfe, sind absichtlich unsichere Systeme und Anwendungen, die ursprünglich Angreifer von wichtigen Systemen weglocken sollten. Inzwischen dienen sie meist dazu, Angreifer anzulocken, um deren Methoden zu untersuchen.
- About Security #50: Honeypots
- About Security #51: Ein Honeypot - Honeyd
- About Security #52: Firewall, IDS, IPS & Honeypot
Entwicklung einer Security Policy
Eine Security Policy, auf deutsch eine Sicherheitsrichtlinie, ist äußerst wichtig: Sie legt fest, was geschützt werden muss, wie dieser Schutz aussehen soll und enthält vor allem auch Regeln für den Fall, dass es zu einem Angriff kommt. Denn wenn es soweit ist, hat man im Allgemeinen keine Zeit für langes Überlegen oder Experimente, dann muss schnell und zielgerichtet reagiert werden.
- About Security #53: Security Policy
- About Security #54: Security Policy - Ein Beispiel
- About Security #55: Security Policy - Ein Beispiel, 2
- About Security #56: Security Policy - Ein Beispiel, 3
Angriffe auf TCP/IP
TCP/IP ist das dem Internet zugrunde liegende Netzwerkprotokoll. Und wie eigentlich überall gibt es auch darin Schwachstellen und Angriffe darauf.
- About Security #57: Angriffe auf TCP/IP - Spoofing
- About Security #58: Angriffe auf TCP/IP - DoS
- About Security #59: Angriffe auf TCP/IP - Hijacking
- About Security #60: Angriffe auf TCP/IP - ARP-Spoofing
- About Security #61: Angriffe auf TCP/IP - DNS-Spoofing
- About Security #62: Angriffe auf TCP/IP - HTTP-Hijacking
- About Security #63: Angriffe auf TCP/IP - DDoS
- About Security #64: Angriffe auf TCP/IP - Schutzmaßnahmen
- About Security #65: Botnets
Kryptographie
Die Kryptologie, die Wissenschaft von der Ver- und Entschlüsselung, umfasst zwei Gebiete: Die Kryptographie und die Kryptanalyse. Die Kryptographie ist stark vereinfacht die Lehre von der Ver- und Entschlüsselung, um die es in diesen Folgen meist geht. Bei der Kryptanalyse sollen ohne Kenntnis des Schlüssels aus verschlüsselten Daten die ursprünglichen Daten ermittelt werden, außerdem dient die Kryptanalyse der Bewertung der Sicherheit kryptogaphischer Verfahren.
- About Security #66: Kryptographie - Substitution
- About Security #67: Kryptographie - Transposition
- About Security #68: Kryptographie - Polyalphabetische Substitution
- About Security #69: Kryptographie - Vernam-Chiffre
- About Security #70: Kryptographie - Feistel-Netzwerke
- About Security #71: Kryptographie - Data Encryption Standard (DES)
- About Security #72: Kryptographie - Betriebsarten für Blockchiffren
- About Security #73: Kryptographie - Anwendungen von DES
- About Security #74: Kryptographie - Advanced Encryption Standard (AES)
- About Security #75: AES - Entschlüsselung, Sicherheit und Anwendung
- About Security #76: Kryptographie - Das RSA-Verfahren
- About Security #77: Kryptographie - RSA als Authentikationssystem
- About Security #78: Kryptographie - Hybride Verfahren
- About Security #79: Kryptographie - Identitätsprüfung
- About Security #80: Kryptographie - Web of Trust
- About Security #81: Kryptographie - Hierarchische Zertifizierungssysteme
- About Security #82: Kryptographie - Zertifikate in SSL/TLS
- About Security #83: Public-Key-Infrastruktur (PKI) - Der Aufbau
- About Security #84: Public-Key-Infrastruktur (PKI) - Die CA
- About Security #85: Sichere E-Mails mit S/MIME
- About Security #86: Sicheres Einloggen mit Single Sign-On
- About Security #87: Sicherheit von Single Sign-On
VPN - Virtuelle Private Netze
Virtuelle Private Netze (Virtual Private Network, VPN) sind simulierte private (Computer-)Netzwerke, die ihre Daten über ein öffentliches (Computer-)Netzwerk übertragen. Heutzutage also im Allgemeinen über das Internet.
- About Security #88: Virtuelle Private Netze - Grundlagen
- About Security #89: Virtuelle Private Netze - IPsec (1)
- About Security #90: Virtuelle Private Netze - IPsec (2)
- About Security #91: Virtuelle Private Netze - IKEv2 (1)
- About Security #92: Virtuelle Private Netze - IKEv2 (2)
- About Security #93: Virtuelle Private Netze - IKEv2 (3)
- About Security #94: Virtuelle Private Netze - Beispiel IKEv2
- About Security #95: Virtuelle Private Netze - IPsec anschaulich
- About Security #96: Virtuelle Private Netze - PPTP
- About Security #97: Virtuelle Private Netze - TLS
- About Security #98: Virtuelle Private Netze - OpenVPN
- About Security #99: Virtuelle Private Netze - Fazit
Kryptographie 2
Im Themenkomplex "Kryptographie" fehlten noch zwei Themen, die hier quasi nachgereicht werden: Der Diffie-Hellman-Schlüsselaustausch und Hashfunktionen. Sowohl die betreuende Redakteurin als auch ich waren der Ansicht, dass es damals erst mal genug Kryptographie-Folgen waren und ein Themenwechsel angebracht war.
- About Security #101: Diffie-Hellman-Schlüsselaustausch
- About Security #102: Hashfunktionen - Einführung
- About Security #103: Hashfunktionen - MD4 und Verwandte
- About Security #104: Hashfunktionen - Sicherheit
Mobile Security
Hier geht es rund um die Sicherheit mobiler Geräte, angefangen bei deren Verbindung mit dem Internet mittels WLAN, ihrer Kommunikation über Bluetooth-Verbindungen bis zur Sicherheit von Notebooks und den Gefahren durch fremde Hardware.
- About Security #105: Mobile Security - WEP-Algorithmus
- About Security #106: Mobile Security - WEP-(Un)Sicherheit
- About Security #107: Mobile Security - WEP-Angriffe und Gegenwehr
- About Security #108: Mobile Security - Wi-Fi Protected Access (WPA)
- About Security #109: Mobile Security - IEEE 802.11i Schlüsselhierarchien
- About Security #110: Mobile Security - IEEE 802.11i Pairwise Master Key
- About Security #111: Mobile Security - IEEE 802.11i Gruppenschlüssel
- About Security #112: Mobile Security - IEEE 802.11i Verschlüsselung
- About Security #113: Mobile Security - IEEE 802.11i Authentifizierung
- About Security #114: Mobile Security - IEEE 802.11i Pairwise Master Key
- About Security #115: Mobile Security - Sicherheit von WEP, WPA und IEEE 802.11i
- About Security #116: Mobile Security - Sicherheit von WEP, WPA und IEEE 802.11i, Teil 2
- About Security #117: Mobile Security - WLAN-Hotspots
- About Security #118: Mobile Security - Bluetooth Grundlagen
- About Security #119: Mobile Security - Bluetooth Schlüssel
- About Security #120: Mobile Security - Bluetooth-Authentisierung
- About Security #121: Mobile Security - Bluetooth-Schwachstellen
- About Security #122: Mobile Security - Bluetooth Angriffe
- About Security #123: Mobile Security - Schutz für Notebooks
- About Security #124: Mobile Security - Schutz für Notebooks, Teil 2
- About Security #125: Mobile Security - Schutz für Notebooks, Teil 3
- About Security #126: Gefahren durch fremde Hardware
Sichere Webanwendungen 2
Weiter geht es mit einem meiner Lieblingsthemen: Der Web-Sicherheit oder Web-Security.
- About Security #127: Cross-Site-Request-Forgery: Einführung
- About Security #128: CSRF: Ausnutzung und Gegenmaßnahmen
Seit den ersten Folgen zum Thema Cross-Site Scripting ist einige Zeit vergangen, und es gibt etliche neue Angriffe.
- About Security #129: Cross-Site-Scripting, reloaded
- About Security #130: DOM-basiertes XSS abwehren
- About Security #131: XSS-Angriffe (1)
- About Security #132: XSS-Angriffe (2)
- About Security #133: XSS-Angriffe (3): JavaScript-Ping & Co.
- About Security #134: XSS-Angriffe (4): JavaScript-Portscan
- About Security #135: XSS-Angriffe (5): JavaScript-Portscan vorbereiten
- About Security #136: XSS-Angriffe (6): DSL-Router ausspähen
- About Security #137: XSS-Angriffe (7): Weitere Ziele
Die Computer-Würmer erobern das Web - Cross-Site Scripting macht es möglich.
- About Security #138: Web-Würmer (1): Samy, der MySpace-Wurm
- About Security #139: Web-Würmer (2): Samys Ende
- About Security #140: Web-Würmer (3): Yamanner
- About Security #141: Web-Würmer (4): Der Orkut-XSS-Wurm
- About Security #142: Web-Würmer (5): Der gemeine Wurm
- About Security #143: Web-Würmer (6): Wurmkur
Schwachstellen-Suche in Webanwendungen
Wie findet man Schwachstellen in Webanwendungen? Im Grunde wird hier ein Teil eines Penetration-Tests beschrieben. Leider wurde About Security eingestellt, bevor das Thema komplett abgehandelt werden konnte. Andererseits ist das sowieso eine unendliche Geschichte, wie sie in meinem Blog verfolgen können. Sowohl Forschern als auch Cyberkriminellen fallen immer wieder neue Angriffe ein und Schwachstellen auf.
- About Security #144: Schwachstellen-Suche: Allgemeine Infos sammeln
- About Security #145: Schwachstellen-Suche: Daten auswerten
- About Security #146: Schwachstellen-Suche: Infos im Client sammeln
- About Security #147: Schwachstellen-Suche: Ajax-Clients
- About Security #148: Schwachstellen-Suche: Ajax-Clients (2)
- About Security #149: Schwachstellen-Suche: Zustandsinformationen
- About Security #150: Schwachstellen-Suche: Zustandsinformationen 2
- About Security #151: Schwachstellen-Suche: Cookie-Poisoning
- About Security #152: Schwachstellen-Suche: Contra Cookie-Poisoning
- About Security #153: Schwachstellen-Suche: URL-Jumping
- About Security #154: Schwachstellen-Suche: Der Referer-Header
- About Security #155: Schwachstellen-Suche: Session-Hijacking
- About Security #156: Schwachstellen-Suche: Session Hijacking verhindern
- About Security #157: Schwachstellen-Suche: Session Fixation
III. Angriffe über vom Benutzer gelieferte Daten
- About Security #158: Schwachstellen-Suche: Einfaches XSS
- About Security #159: Schwachstellen-Suche: XSS trotz Filter
- About Security #160: Schwachstellen-Suche: XSS finden
- About Security #161: Schwachstellen-Suche: XSS verhindern
- About Security #162: Schwachstellen-Suche: Persistentes XSS
- About Security #163: Schwachstellen-Suche: Persistentes XSS (2)
- About Security #164: Schwachstellen-Suche: Persistentes XSS (3)
- About Security #165: Schwachstellen-Suche: DOM-basiertes XSS
- About Security #166: Schwachstellen-Suche: SQL-Injection Grundlagen
- About Security #167: Schwachstellen-Suche: SQL-Injection über Strings
- About Security #168: Schwachstellen-Suche: SQL-Injection statt Zahlen
- About Security #169: Schwachstellen-Suche: SQL-Injection Statements
- About Security #170: Schwachstellen-Suche: SQL-Injection mit UNION
- About Security #171: Schwachstellen-Suche: SQL-Injection mit UNION (2)
- About Security #172: Schwachstellen-Suche: SQL-Injection mit Filter
- About Security #173: Schwachstellen-Suche: SQL-Injection mit Escape
- About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
- About Security #175: Schwachstellen-Suche: Blind SQL-Injection
- About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
- About Security #177: Schwachstellen-Suche: Directory-Traversal
- About Security #178: Schwachstellen-Suche: Directory-Traversal (2)
- About Security #179: Schwachstellen-Suche: Directory-Traversal (3)
- About Security #180: Schwachstellen-Suche: Directory-Traversal (4)
- About Security #181: Schwachstellen-Suche: Directory-Traversal (5)
- About Security #182: Schwachstellen-Suche: Directory-Traversal (6)
- About Security #183: Schwachstellen-Suche: Remote File Inclusion
- About Security #184: Schwachstellen-Suche: OS Command Injection
- About Security #185: Schwachstellen-Suche: OS Command Injection (2)
- About Security #186: Schwachstellen-Suche: OS Command Injection (3)
- About Security #187: Schwachstellen-Suche: Scriptcode Injection
- About Security #188: Schwachstellen-Suche: Scriptcode Injection (2)
- About Security #189: Schwachstellen-Suche: XPath-Injection
- About Security #190: Schwachstellen-Suche: SOAP-Injection
- About Security #191: Schwachstellen-Suche: SOAP-Injection finden
- About Security #192: Schwachstellen-Suche: SMTP-Header-Injection
- About Security #193: Schwachstellen-Suche: SMTP-Command-Injection
- About Security #194: Schwachstellen-Suche: LDAP-Injection
- About Security #195: Schwachstellen-Suche: LDAP-Injection verhindern
- About Security #196: Schwachstellen-Suche: Pufferüberläufe finden
- About Security #197: Schwachstellen-Suche: Pufferüberläufe verhindern
- About Security #198: Schwachstellen-Suche: Integer-Schwachstellen
- About Security #199: Schwachstellen-Suche: Formatstrings
IV. Angriffe auf die Architektur der Webanwendung
- About Security #201: Schwachstellen-Suche: Vertrauensbeziehungen ausnutzen
- About Security #202: Schwachstellen-Suche: Schichtenarchitekturen angreifen
- About Security #203: Schwachstellen-Suche: Shared Environments
- About Security #204: Schwachstellen-Suche: Shared Environments (2)
- About Security #205: Schwachstellen-Suche: Shared Environments (3)
- About Security #206: Schwachstellen-Suche: Webserver identifizieren
- About Security #207: Schwachstellen-Suche: Webserver angreifen
- About Security #208: Schwachstellen-Suche: Webserver schützen
- About Security #209: Schwachstellen-Suche: Webserver untersuchen
- About Security #210: Schwachstellen-Suche: Webserver-Konfiguration
- About Security #211: Schwachstellen-Suche: Gefährliche HTTP-Methoden
- About Security #212: Schwachstellen-Suche: Proxy-Server
- About Security #213: Schwachstellen-Suche: Webserver konfigurieren
VI. Angriffe auf die Authentifizierung
- About Security #214: Schwachstellen-Suche: Authentifizierung - Grundlagen
- About Security #215: Schwachstellen-Suche: Authentifizierung - Brute Force
- About Security #216: Schwachstellen-Suche: Authentifizierung - Namen finden
- About Security #217: Schwachstellen-Suche: Authentifizierung - Ein Angriff
- About Security #218: Schwachstellen-Suche: Authentifizierung - Die Übertragung
- About Security #219: Schwachstellen-Suche: Authentifizierung - Verschlüsselung
- About Security #220: Schwachstellen-Suche: Authentifizierung - Unsichere Kryptographie
- About Security #221: Schwachstellen-Suche: Authentifizierung - Passwort ändern
- About Security #222: Schwachstellen-Suche: Authentifizierung - Passwort-Reset
- About Security #223: Schwachstellen-Suche: Authentifizierung - Passwort-Reset (2)
- About Security #224: Schwachstellen-Suche: Authentifizierung - "Remember me"
- About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
- About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
- About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
- About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
- About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
- About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
- About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
- About Security #232: Schwachstellen-Suche: Sichere Authentifizierung
- About Security #233: Schwachstellen-Suche: Sichere Authentifizierung (2)
- About Security #234: Schwachstellen-Suche: Sichere Authentifizierung (3)
- About Security #235: Schwachstellen-Suche: Sichere Authentifizierung (4)
- About Security #236: Schwachstellen-Suche: Sichere Authentifizierung (5)
- About Security #237: Schwachstellen-Suche: Sichere Authentifizierung (6)
- About Security #238: Schwachstellen-Suche: Sichere Authentifizierung (7)
- About Security #239: Schwachstellen-Suche: Denial of Service
- About Security #240: Schwachstellen-Suche: Denial of Service (2)
- About Security #241: Schwachstellen-Suche: Denial of Service (3)
- About Security #242: Schwachstellen-Suche: DoS verhindern
- About Security #243: Schwachstellen-Suche: DoS verhindern (2)
- About Security #244: Schwachstellen-Suche: DoS verhindern (3)
- About Security #245: Schwachstellen-Suche: Session-Token
- About Security #246: Schwachstellen-Suche: Session-Token (2)
- About Security #247: Schwachstellen-Suche: Session-Token (3)
- About Security #248: Schwachstellen-Suche im Überblick
- About Security #249: Schwachstellen-Suche im Überblick (2)
- About Security #251: Schwachstellen-Suche im Überblick (3)
- About Security #252: Schwachstellen-Suche im Überblick (4)
- About Security #253: Schwachstellen-Suche im Überblick (5)
Sonderausgaben
Im Rahmen von About Security gab es einige Folgen, die zu keinem der Themenkomplexe gehören: Die Jubiläumsfolgen #100, #200 und #250, meine Berichte von der CeBIT und die Weihnachts-Specials, die immer "zwischen den Jahren", also zwischen Weihnachten und Neujahr, veröffentlicht wurden.
Jubiläumsfolgen
- About Security #100: Die Jubiläumsfolge
- About Security #200: About Security #200: Ein Rückblick auf 4 Jahre IT-Sicherheit
- About Security #250: Ein Blick in die Zukunft
Berichte von der CeBIT
- About Security: Ein Bericht von der CeBIT 2006
- About Security: Ein Bericht von der CeBIT 2007
- About Security: Ein Bericht von der CeBIT 2008
- About Security: Ein Bericht von der CeBIT 2009
Weihnachts-Specials
- 2005: About Security: Digitale Gutscheine vom Weihnachtsmann
- 2006: About Security: Lesestoff für lange Winterabende...
- 2007: About Security: Security Live CDs
- 2008: About Security: Nützliche Cheat Sheets, interessante Blogs
- 2009: About Security Weihnachts-Special: Lesetips zur Web-Sicherheit (auf archive-de.com)
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 12.17 - Angriffsvektor Bluetooth
Vorschau anzeigen