Skip to content

Angriffe über zwei 0-Day-Schwachstellen in Java

Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird es jetzt höchste Zeit.

Hier erfahren Sie alles, was bisher über die Schwachstellen bekannt ist, und wie Sie das Java-Plug-In in ihrem Webbrowser deaktivieren können.

Der Anfang: Gezielte Angriffe auf eine 0-Day-Schwachstelle

"Angriffe über zwei 0-Day-Schwachstellen in Java" vollständig lesen

Anleitung: So schalten Sie Java im Browser aus

Java bzw. Schwachstellen darin erfreuen sich bei den Cyberkriminellen großer Beliebtheit. Wenn Sie Java im Browser nicht benötigen, sollten Sie das Plug-In deaktivieren.

Wird für eine Anwendung zwingend Java im Browser benötigt, sollte dafür ein separater Browser mit aktiviertem Java Plug-In genutzt werden, der dann ausschließlich für diese Anwendung genutzt wird.

Ist Java im Browser aktiv oder nicht?

"Anleitung: So schalten Sie Java im Browser aus" vollständig lesen

Google Hacking: Webserver finden

Im Rahmen eines Penetrationtests sind die Zielserver i.A. bekannt. Jetzt wechseln wir quasi einmal die Seite: Echte Angreifer suchen oft nach bestimmten Webservern etc., für die sie einen Exploit besitzen. Wem der gefundene Server dann gehört, ist dabei nebensächlich. Wieso ist das dann für einen Penetrationtest relevant? Ganz einfach: Verrät ein Server zu viel über sich, lockt er Angreifer an. Auch das ist eine Art von Schwachstelle, die man korrigieren sollte.

Webserver finden kann schwer sein

"Google Hacking: Webserver finden" vollständig lesen

Google Hacking: Verzeichnislisten und Intranets

Bei einem Penetration Test geht es vereinfacht darum, alle "Schwachstellen" eines bestimmten "Systems" zu finden. Das System kann eine einzelne Webanwendung sein, sämtliche Websites eines Unternehmens mit mehreren Webanwendungen, oder auch das Unternehmen oder allgemein eine Organisation an sich. Und je nach Ziel ändern sich auch die möglichen Schwachstellen bzw. Angriffspunkte. Bei einer Webanwendung kann man i.A. mit Social Engineering wenig anfangen, während man damit bei einem Unternehmen bzw. genauer den dort beschäftigten Menschen oft weiter kommt als mit "technischen" Angriffen auf die Website des Unternehmens. Und dann ist da noch Google, bzw. genauer das Google Hacking. Darüber erfährt man meist mehr über das Unternehmen, als das eigentlich im Web preis geben will.

Verzeichnislisten sind interessant

"Google Hacking: Verzeichnislisten und Intranets" vollständig lesen