Skip to content

Neues eBook: "Websecurity - Jahresrückblick 2014"

"Websecurity - Jahresrückblick 2014" ist als eBook bei entwickler.press erschienen.

Im ersten Kapitel dreht sich alles um die Angriffe auf und Schwachstellne in SSL und TLS, im zweiten Kapitel geht es um die weiteren prominenten Angriffe und Schwachstelle sowie allgemein die Frage, ob das Internet nun 2014 in Flammen stand oder nicht.

Kapitel 1: Angriffe auf OpenSSL und SSL/TLS

Weiterlesen...

Angriffe über Cross-Site Scripting: Der Sourcecode des MySpace-Wurms Samy

Zur Beschreibung des MySpace-Wurms Samy gehört natürlich auch dessen Sourcecode. Den finden Sie hier, in der Beschreibung sind einige Stellen mit den entsprechenden Stellen im unformatierten Code verlinkt. Diese sind rot hervorgehoben - und ihrerseits mit den entsprechenden Stellen im formatierten Code verlinkt.

Der unformatierte Code

Weiterlesen...

Cross-Site Scripting im Überblick, Teil 3: Der MySpace-Wurm Samy

Eine persistente XSS-Schwachstelle in einer Webanwendung kann unter Umständen von einem Webwurm zur Verbreitung genutzt werden. Der infizierte dann nicht wie ein herkömmlicher Computerwurm zig verschiedene Server oder Benutzerrechner, sondern die Profile der Benutzer der betroffenen Webanwendung oder ähnliches. Er ist also auf den einen Server mit der betroffenen Webanwendung beschränkt, kann dort aber auch einigen Schaden anrichten.

Der erste, oder zumindest der erste allgemein bekannt gewordene, Web-Wurm war der MySpace-Wurm Samy, der sich am 4. Oktober 2005 auf MySpace ausbreitete.

So funktionierte der MySpace-Wurm

Weiterlesen...

Cross-Site Scripting im Überblick, Teil 2: Persistentes XSS

Eine Universal XSS Schwachstelle, wie sie im Internet Explorer gefunden wurde, ist für Angreifer natürlich das beste, was ihnen passieren kann. Denn darüber können sie jede Webseite über XSS angreifen, unabhängig davon ob es dort eine XSS-Schwachstelle gibt oder nicht.

Zum Glück sind solche Schwachstellen selten und die Cyberkriminellen daher auf herkömmliche XSS-Schwachstellen angewiesen. Der Klassiker sind dabei das in der vorherigen Folge vorgestellte reflektierte XSS und das auch als JavaScript-Injection bezeichnete persistente XSS, um das es im folgenden geht.

Persistentes XSS

Weiterlesen...

"Der SIM-Karten-Hack von NSA und GCHQ" auf Jaxenter.de

The Intercept hat auf Grundlage der von Edward Snwoden geleakten Dokumente berichtet, dass NSA und GCHQ schon seit 2010 im großen Stil die Schlüssel von Krypto-Chips des Herstellers Gemalto ausgespäht haben. Was einmal mehr beweist, dass bei den Snwoden-Leaks die Regel "Schlimmer geht immer! gilt.

Alle bisher bekannten Informationen über den Angriff und welche Folgen diese Kompromittierung von SIM-Karten und mehr haben kann, habe ich für Jaxenter.de zusammengefasst: "Der SIM-Karten-Hack von NSA und GCHQ".

Carsten Eilers

"Adware: Lenovos MitM-Zertifikat, die Spitze eines Eisbergs" auf Jaxenter.de

Lenovo hat auf Consumer-Notebooks eine Adware namens SuperFish installiert. Und die hat es in sich, bringt sie doch ein MitM-Zertifikat für HTTPS-Verbindungen mit und gefährdet damit alle HTTPS-Verbindungen der betroffenen Rechner.

Mehr darüber erfahren Sie in meinem Artikel auf Jaxenter.de: "Adware: Lenovos MitM-Zertifikat, die Spitze eines Eisbergs".

Carsten Eilers

Cross-Site Scripting im Überblick, Teil 1: Reflektiertes XSS

Nachdem es in der vorherigen Folge um die Universal XSS Schwachstelle im IE ging möchte ich ab dieser Folge ein paar mögliche Angriffe über Cross-Site Scripting vorstellen. Bevor es zu den eigentlichen Angriffen kommt sollen aber erst einmal die verschiedenen Arten von XSS-Angriffen vorgestellt werden. Denn je nachdem, wie der Schadcode eingeschleust wird, sind unterschiedliche Angriffe möglich.

Weiterlesen...