Slides and links to my #ipc12 sessions are online
The slides and links for my shorttalks at International PHP Conference 2012, Spring Edition, are online. You find them on www.ceilers-it.de/konferenzen/ (here the direct link to the english text) and below.
If you have attended, please give your feedback on joind.in: For "Client-Security with HTML5" and for "How to avoid the "low hanging fruit"-vulnerabilities". Thank you very much! But now to the material:
Client-Security with HTML5
Description:
HTML5 brings new opportunities - for developers and attackers. In this
shorttalk you will see a few examples of how an attacker could abuse HTML5
and how you as a developer could prevent this (or not, in some cases).
Presentation
"Advertising"
All presented themes and many more are covered in my e-book "HTML5 Security", published by entwickler.press. As said in the session: Despite the "english" title, it's a german text. An english version is in preparation, the publishing date should be the end of summer.
Related links
- XSS
- Amit Klein: "DOM Based Cross Site Scripting or XSS of the Third Kind"
- Artur Janc: "Rootkits in your Web application"
- John Leyden: "Ghost of HTML5 future: Web browser botnets"
Robert McArdle: "HTML5 - The Ugly"
- Forms
- Robert McArdle: "HTML5 Overview: A look at HTML5 Attack Scenarios" (PDF)
- Portscan
- JavaScript-Portscan
- Carsten Eilers: "About Security #133: XSS-Angriffe (3): JavaScript Ping & Co."
- Carsten Eilers: "About Security #134: XSS-Angriffe (4): JavaScript Portscan"
- Carsten Eilers: "About Security #135: XSS-Angriffe (5): JavaScript Portscan vorbereiten"
- JS-Recon
- Attack and Defense Labs: "Port Scanning with HTML5 and JS-Recon"
- Attack and Defense Labs: JS-Recon
- Attack and Defense Labs: JS-Recon online
- JavaScript-Portscan
- Sandbox
- Chromium Blog: "Security in Depth: HTML5's @sandbox"
- HTML5: 4.8.2 The iframe element (w3.org and whatwg.org)
- Dr. Giles Hogben, Dr. Marnix Dekker (Hrsg.), European Network and Information Security Agency (ENISA): "A Security Analysis of Next Generation Web Standards" (PDF)
- Webcam
- Related Materials
- see the links to my session "Client Security im Web 2.0 und mit HTML5" from WebTech Conference 2011.
How to avoid the "low hanging fruit"-vulnerabilities
Description:
Some vulnerabilities are "low hanging fruits" - some small changes in
the code would prevent them. In this shorttalk you will see a few examples
of this vulnerabilities, their reasons and how to avoid them. If anything
in this talk is new for you, you may have a problem: One or more
vulnerabilities in your code.
Presentation
Related links
The following texts are all in german.
- About Security - Übersicht Web-Security
- Sichere Webanwendungen: SQL-Injection
- Sichere Webanwendungen: Cross-Site-Scripting
- Sichere Webanwendungen: Skriptcode einschleusen
- Sichere Webanwendungen: HTTP-Request-Smuggling und HTTP-Response-Splitting
- About Security #17: HTTP-Request-Smuggling
- About Security #18: Spielarten des HTTP-Request-Smuggling, 1
- About Security #19: Spielarten des HTTP-Request-Smuggling, 2
- About Security #20: HTTP-Request-Smuggling erkennen und verhindern
- About Security #21: HTTP-Response-Splitting, 1
- About Security #22: HTTP-Response-Splitting, 2
- About Security #23: Caches vergiften
- About Security #24: Caches indirekt vergiften
- About Security #25: Entführen von Webseiten
- Sichere Webanwendungen: Gefahren für Webanwendungen und -server
- Sichere Webanwendungen: Cross-Site-Request-Forgery
- Sichere Webanwendungen: Cross-Site-Scripting
- About Security #129: Cross-Site-Scripting, reloaded
- About Security #130: DOM-basiertes XSS abwehren
- About Security #131: XSS-Angriffe (1)
- About Security #132: XSS-Angriffe (2)
- About Security #133: XSS-Angriffe (3): JavaScript-Ping & Co.
- About Security #134: XSS-Angriffe (4): JavaScript-Portscan
- About Security #135: XSS-Angriffe (5): JavaScript-Portscan vorbereiten
- About Security #136: XSS-Angriffe (6): DSL-Router ausspähen
- About Security #137: XSS-Angriffe (7): Weitere Ziele
- Schwachstellen-Suche in Webanwendungen: Überblick
- Schwachstellen-Suche in Webanwendungen: Informationen sammeln
- About Security #144: Schwachstellen-Suche: Allgemeine Infos sammeln
- About Security #145: Schwachstellen-Suche: Daten auswerten
- About Security #146: Schwachstellen-Suche: Infos im Client sammeln
- About Security #147: Schwachstellen-Suche: Ajax-Clients
- About Security #148: Schwachstellen-Suche: Ajax-Clients (2)
- Schwachstellen-Suche in Webanwendungen: Zustandsbasierte Angriffe
- About Security #149: Schwachstellen-Suche: Zustandsinformationen
- About Security #150: Schwachstellen-Suche: Zustandsinformationen 2
- About Security #151: Schwachstellen-Suche: Cookie-Poisoning
- About Security #152: Schwachstellen-Suche: Contra Cookie-Poisoning
- About Security #153: Schwachstellen-Suche: URL-Jumping
- About Security #154: Schwachstellen-Suche: Der Referer-Header
- About Security #155: Schwachstellen-Suche: Session-Hijacking
- About Security #156: Schwachstellen-Suche: Session Hijacking verhindern
- About Security #157: Schwachstellen-Suche: Session Fixation
- Schwachstellen-Suche in Webanwendungen: Angriffe über vom Benutzer gelieferte Daten
- About Security #158: Schwachstellen-Suche: Einfaches XSS
- About Security #159: Schwachstellen-Suche: XSS trotz Filter
- About Security #160: Schwachstellen-Suche: XSS finden
- About Security #161: Schwachstellen-Suche: XSS verhindern
- About Security #162: Schwachstellen-Suche: Persistentes XSS
- About Security #163: Schwachstellen-Suche: Persistentes XSS (2)
- About Security #164: Schwachstellen-Suche: Persistentes XSS (3)
- About Security #165: Schwachstellen-Suche: DOM-basiertes XSS
- About Security #166: Schwachstellen-Suche: SQL-Injection Grundlagen
- About Security #167: Schwachstellen-Suche: SQL-Injection über Strings
- About Security #168: Schwachstellen-Suche: SQL-Injection statt Zahlen
- About Security #169: Schwachstellen-Suche: SQL-Injection Statements
- About Security #170: Schwachstellen-Suche: SQL-Injection mit UNION
- About Security #171: Schwachstellen-Suche: SQL-Injection mit UNION (2)
- About Security #172: Schwachstellen-Suche: SQL-Injection mit Filter
- About Security #173: Schwachstellen-Suche: SQL-Injection mit Escape
- About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
- About Security #175: Schwachstellen-Suche: Blind SQL-Injection
- About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
- About Security #177: Schwachstellen-Suche: Directory-Traversal
- About Security #178: Schwachstellen-Suche: Directory-Traversal (2)
- About Security #179: Schwachstellen-Suche: Directory-Traversal (3)
- About Security #180: Schwachstellen-Suche: Directory-Traversal (4)
- About Security #181: Schwachstellen-Suche: Directory-Traversal (5)
- About Security #182: Schwachstellen-Suche: Directory-Traversal (6)
- About Security #183: Schwachstellen-Suche: Remote File Inclusion
- About Security #184: Schwachstellen-Suche: OS Command Injection
- About Security #185: Schwachstellen-Suche: OS Command Injection (2)
- About Security #186: Schwachstellen-Suche: OS Command Injection (3)
- About Security #187: Schwachstellen-Suche: Scriptcode Injection
- About Security #188: Schwachstellen-Suche: Scriptcode Injection (2)
- About Security #189: Schwachstellen-Suche: XPath-Injection
- About Security #190: Schwachstellen-Suche: SOAP-Injection
- About Security #191: Schwachstellen-Suche: SOAP-Injection finden
- About Security #192: Schwachstellen-Suche: SMTP-Header-Injection
- About Security #193: Schwachstellen-Suche: SMTP-Command-Injection
- About Security #194: Schwachstellen-Suche: LDAP-Injection
- About Security #195: Schwachstellen-Suche: LDAP-Injection verhindern
- About Security #196: Schwachstellen-Suche: Pufferüberläufe finden
- About Security #197: Schwachstellen-Suche: Pufferüberläufe verhindern
- About Security #198: Schwachstellen-Suche: Integer-Schwachstellen
- About Security #199: Schwachstellen-Suche: Formatstrings
- Schwachstellen-Suche in Webanwendungen: Angriffe auf die Architektur der Webanwendung
- About Security #201: Schwachstellen-Suche: Vertrauensbeziehungen ausnutzen
- About Security #202: Schwachstellen-Suche: Schichtenarchitekturen angreifen
- About Security #203: Schwachstellen-Suche: Shared Environments
- About Security #204: Schwachstellen-Suche: Shared Environments (2)
- About Security #205: Schwachstellen-Suche: Shared Environments (3)
- Schwachstellen-Suche in Webanwendungen: Angriffe auf den Webserver
- About Security #206: Schwachstellen-Suche: Webserver identifizieren
- About Security #207: Schwachstellen-Suche: Webserver angreifen
- About Security #208: Schwachstellen-Suche: Webserver schützen
- About Security #209: Schwachstellen-Suche: Webserver untersuchen
- About Security #210: Schwachstellen-Suche: Webserver-Konfiguration
- About Security #211: Schwachstellen-Suche: Gefährliche HTTP-Methoden
- About Security #212: Schwachstellen-Suche: Proxy-Server
- About Security #213: Schwachstellen-Suche: Webserver konfigurieren
- Schwachstellen-Suche in Webanwendungen: Angriffe auf die Authentifizierung
- About Security #214: Schwachstellen-Suche: Authentifizierung - Grundlagen
- About Security #215: Schwachstellen-Suche: Authentifizierung - Brute Force
- About Security #216: Schwachstellen-Suche: Authentifizierung - Namen finden
- About Security #217: Schwachstellen-Suche: Authentifizierung - Ein Angriff
- About Security #218: Schwachstellen-Suche: Authentifizierung - Die Übertragung
- About Security #219: Schwachstellen-Suche: Authentifizierung - Verschlüsselung
- About Security #220: Schwachstellen-Suche: Authentifizierung - Unsichere Kryptographie
- About Security #221: Schwachstellen-Suche: Authentifizierung - Passwort ändern
- About Security #222: Schwachstellen-Suche: Authentifizierung - Passwort-Reset
- About Security #223: Schwachstellen-Suche: Authentifizierung - Passwort-Reset (2)
- About Security #224: Schwachstellen-Suche: Authentifizierung - "Remember me"
- About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
- About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
- About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
- About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
- About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
- About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
- About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
- About Security #232: Schwachstellen-Suche: Sichere Authentifizierung
- About Security #233: Schwachstellen-Suche: Sichere Authentifizierung (2)
- About Security #234: Schwachstellen-Suche: Sichere Authentifizierung (3)
- About Security #235: Schwachstellen-Suche: Sichere Authentifizierung (4)
- About Security #236: Schwachstellen-Suche: Sichere Authentifizierung (5)
- About Security #237: Schwachstellen-Suche: Sichere Authentifizierung (6)
- About Security #238: Schwachstellen-Suche: Sichere Authentifizierung (7)
- Schwachstellen-Suche in Webanwendungen: DoS-Angriffe
- About Security #239: Schwachstellen-Suche: Denial of Service
- About Security #240: Schwachstellen-Suche: Denial of Service (2)
- About Security #241: Schwachstellen-Suche: Denial of Service (3)
- About Security #242: Schwachstellen-Suche: DoS verhindern
- About Security #243: Schwachstellen-Suche: DoS verhindern (2)
- About Security #244: Schwachstellen-Suche: DoS verhindern (3)
- Schwachstellen-Suche in Webanwendungen: "Dies und das"
Trackbacks
Dipl.-Inform. Carsten Eilers am : Meine Eindrücke von #ipc12 und #webinale
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Präsentationen und Links zu meinen #wtc12-Vorträgen sind online
Vorschau anzeigen