Skip to content

XSS-Angriffe, Teil 9: Der Router im Visier

Ein Portscan mit JavaScript ist kein größeres Problem. Egal ob mit normalen JavaScript für einen Host oder einen IP-Adressbereich oder mit Hilfe der HTML5-JavaScript-APIs, die Suche nach Rechnern im lokalen Netz des angegriffenen Webbrowsers ist fast ein Kinderspiel. Nun ist die nur die halbe Miete: Der Angreifer weiß danach, welche lohnenden Ziele es im lokalen Netz seines Opfers gibt. Aber was kann er damit anstellen?

Ziel erkannt - Auf zum Angriff!

Weiterlesen...

Nur mal kurz was zum Bundestags-Hack und Edward Snowden...

Der Angriff auf den Bundestag und Edward Snowdens Daten in den Händen von Russland und China. Beides Themen, zu denen es mehr Gerüchte als Fakten gibt. Und eigentlich ist anderswo schon fast alles Relevante dazu geschrieben worden. Im Fall von Edward Snowden wird ein Aspekt allerdings oft nicht ausreichend berücksichtigt: Seine "Flucht" nach Moskau. Die dort ja eigentlich gar nicht enden sollte. Aber bevor ich dazu komme noch ein paar Worte zum Angriff auf den Bundestag.

Das ganze Bundestags-Netz, nur 15 Rechner - was denn nun?

Weiterlesen...

Drucksache: windows.developer Magazin 7.2015 - Wie sicher ist eine Cross-Plattform-Entwicklung eigentlich?

Im windows.developer 7.15 ist ein Artikel über die Sicherheit der Cross-Plattform-Entwicklung erschienen.

Cross-Plattform-Entwicklung - das ergibt ein Programm, das auf mehreren völlig unterschiedlichen Systemen läuft. Das läuft doch zwangsweise auf Kompromisse hinaus, unter denen am Ende bestimmt die Sicherheit des Programms leidet, oder? Oder sind die Cross-Plattform-Apps besonders sicher, weil die Frameworks sich um die Sicherheit kümmern?

Weiterlesen...

Drucksache: Entwickler Magazin Spezial Vol. 4 - Wie DevOps die Sicherheit erhöhen kann

Im Entwickler Magazin Spezial Vol. 4 - DevOps ist ein Artikel über Sicherheit von und mit DevOps erschienen.

In DevOps steht das "Dev" für "Development" und das "Ops" für "Operations" - also Entwicklung und Betrieb. Aber was ist mit der Sicherheit? Denkt denn keiner an die KinderSicherheit? Und das obwohl sie durch DevOps doch gefährdet sein kann? Und obwohl sie sich gerade mit DevOps verbessern lässt, wenn man das denn möchte?

Weiterlesen...

XSS-Angriffe, Teil 5: Ein Portscan (nicht nur) im LAN

Über XSS lassen sich in den Browser zum Beispiel Informationen einschleusen oder Cookies und Tastendrücke sowie Zugangsdaten und die History ausspähen. Viel mehr ist da auch nicht zu holen. Aber der Browser kann auch als Sprungbrett ins lokale Netz des Opfers dienen. Und welche Rechner da zu finden sind verrät ein

JavaScript-Portscan

Weiterlesen...

5 Jahre Blog - Als Special: "Clickjacking"-eBook

Das Blog existiert jetzt schon seit 5 Jahren. Der erste Artikel erschien am 11. Mai 2010, der erste Grundlagentext am 13. Mai 2010: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen".

Seitdem sind 264 Grundlagen-Artikel und 257 Standpunkte erschienen, außerdem etliche aktuelle Meldungen und natürlich die Ankündigungen von gedruckten Artikeln.

Weiterlesen...

Drucksache: PHP Magazin 4.2015 - Cross-Side Request Forgery

Im PHP Magazin 4.2015 ist ein Artikel über Cross-Site Request Forgery (CSRF) erschienen.

Cross-Site Request Forgery (CSRF) ist eine sehr alte Schwachstelle. Das zu Grunde liegende Problem wurde erstmals 1988 unter dem Namen "Confused Deputy" beschrieben, die Bezeichnung "Cross-Site Request Forgery" wurde 2001 geprägt. Inzwischen schreiben wir 2015, und CSRF ist immer noch aktuell. Wäre es nicht Zeit, diese Schwachstelle endlich los zu werden?

Weiterlesen...