Grundlagen | Einträge für Februar 2015

Cross-Site Scripting im Überblick, Teil 2: Persistentes XSS

Persistentes XSS

"Adware: Lenovos MitM-Zertifikat, die Spitze eines Eisbergs" auf Jaxenter.de

Cross-Site Scripting im Überblick, Teil 1: Reflektiertes XSS

Die Universal Cross-Site Scripting (UXSS) Schwachstelle im Internet Explorer 10 und 11

PoC veröffentlicht

Konfigurationsfehler in MongoDB führt zu tausenden offenen Datenbanken

"Secure by Default" sieht anders aus!

Die GHOST-Schwachstelle - Mehr Schein als Sein

Eine uralte Schwachstelle spukt auf Linux-Systemen

Geschrieben von Carsten Eilers am Donnerstag, 26. Februar 2015 um 08:31

Eine Universal XSS Schwachstelle, wie sie im Internet Explorer gefunden wurde, ist für Angreifer natürlich das beste, was ihnen passieren kann. Denn darüber können sie jede Webseite über XSS angreifen, unabhängig davon ob es dort eine XSS-Schwachstelle gibt oder nicht.

Zum Glück sind solche Schwachstellen selten und die Cyberkriminellen daher auf herkömmliche XSS-Schwachstellen angewiesen. Der Klassiker sind dabei das in der vorherigen Folge vorgestellte reflektierte XSS und das auch als JavaScript-Injection bezeichnete persistente XSS, um das es im folgenden geht.

"Cross-Site Scripting im Überblick, Teil 2: Persistentes XSS" vollständig lesen

Geschrieben von Carsten Eilers am Freitag, 20. Februar 2015 um 11:46

Lenovo hat auf Consumer-Notebooks eine Adware namens SuperFish installiert. Und die hat es in sich, bringt sie doch ein MitM-Zertifikat für HTTPS-Verbindungen mit und gefährdet damit alle HTTPS-Verbindungen der betroffenen Rechner.

Mehr darüber erfahren Sie in meinem Artikel auf Jaxenter.de: "Adware: Lenovos MitM-Zertifikat, die Spitze eines Eisbergs".

Carsten Eilers

Geschrieben von Carsten Eilers am Donnerstag, 19. Februar 2015 um 09:11

Nachdem es in der vorherigen Folge um die Universal XSS Schwachstelle im IE ging möchte ich ab dieser Folge ein paar mögliche Angriffe über Cross-Site Scripting vorstellen. Bevor es zu den eigentlichen Angriffen kommt sollen aber erst einmal die verschiedenen Arten von XSS-Angriffen vorgestellt werden. Denn je nachdem, wie der Schadcode eingeschleust wird, sind unterschiedliche Angriffe möglich.

"Cross-Site Scripting im Überblick, Teil 1: Reflektiertes XSS" vollständig lesen

Geschrieben von Carsten Eilers am Donnerstag, 12. Februar 2015 um 09:00

David Leo hat im Internet Explorer 11 eine Universal Cross-Site Scripting (UXSS) Schwachstelle entdeckt. Die erlaubt ganz allgemein XSS-Angriffe auf Websites, die selbst gar keine XSS-Schwachstelle enthalten und dadurch zum Beispiel überzeugende Phishing-Angriffe oder das Ausspähen von Session-Cookies.

Kurze Zeit später stellte sich heraus, dass auch der IE 10 und der IE 11 im "Spartan"-Modus (und damit auch Microsofts neuer Browser "Spartan" unter Windows 10) von der Schwachstelle betroffen sind.

Im IE 9 funktioniert der PoC, wenn der Document Mode von "Quirks" auf "IE9 Standard" umgeschaltet wird. Ob das auch automatisch über eine entsprechenden Doctype-Angabe möglich ist, ist noch nicht bekannt.

"Die Universal Cross-Site Scripting (UXSS) Schwachstelle im Internet Explorer 10 und 11" vollständig lesen

Geschrieben von Carsten Eilers am Dienstag, 10. Februar 2015 um 14:23

Ein Konfigurationsfehler in MongoDB führt dazu, dass tausende Datenbanken frei aus dem Internet zugänglich sind. Ursache ist ein kleiner Fehler, der zu einem großen Problem führt. Wer Schuld daran ist untersuche ich nebenann.

"Konfigurationsfehler in MongoDB führt zu tausenden offenen Datenbanken" vollständig lesen

Geschrieben von Carsten Eilers am Donnerstag, 5. Februar 2015 um 08:20

Es gibt mal wieder eine neue Schwachstelle mit Namen: GHOST. Aber die ist bei weitem nicht so gefährlich wie zum Beispiel der Heartbleed-Bug oder die ShellShock-Schwachstelle.

Februar '15

Vorwärts →

"Die GHOST-Schwachstelle - Mehr Schein als Sein" vollständig lesen