Skip to content

HTML5 Security - Die SQL-Datenbank

Mit HTML5 hält eine typische Server-Technik Einzug auf den Client: Die SQL-Datenbank. Und ihre typische Schwachstelle bringt sie gleich mit: SQL-Injection. Aber dagegen gibt es ja Prepared Statements mit parametrisierten Aufrufen, und auch die bringt das API mit. In sofern ist also eigentlich alles in Ordnung - man darf halt nur keine Fehler machen.

WebSQL - Monokultur stoppt Standard

"HTML5 Security - Die SQL-Datenbank" vollständig lesen

Kommentare zu Flame, einem neuen Wurm, einem auf Java spezialisierten Exploit-Kit und mehr

Es gibt Neues zu Flame, ein neuer Wurm macht den Nahen Osten unsicher, ein Exploit-Kit scheint sich auf Java zu spezialisieren, und ein Rootkit verbreitet Drive-by-Infektionen. Das ist doch ein paar Kommentare wert.

Neues zu Flame

"Kommentare zu Flame, einem neuen Wurm, einem auf Java spezialisierten Exploit-Kit und mehr" vollständig lesen

0-Day-Exploit für Adobe Reader X unterwegs?

Laut einer Ankündigung des russischen Sicherheitsunternehmens Group-IB gibt es einen funktionsfähigen Exploit für den Adobe Reader X, der sämtliche Schutzfunktionen einschließlich der Sandbox aushebelt. Das wäre das erste Mal, dass Schadcode der Ausbruch aus der Sandbox gelingt. Allerdings gibt es da ein paar Ungereimtheiten...

Exploit im Blackhole Exploit-Kit oder nicht?

"0-Day-Exploit für Adobe Reader X unterwegs?" vollständig lesen

HTML5 Security - Formulare auf Abwegen

Nach der Einführung und einigen XSS-Angriffen geht es in dieser Folge um einen weiteren Angriff auf und über HTML5: Das Manipulieren von Formularen. Zuvor aber wieder der Hinweis, dass die Texte hier im Blog dem Inhalt meines Vortrags auf der WebTech Conference 2012 folgen und natürlich bei weitem nicht alle Gebiete der HTML5-Sicherheit abdecken. Das wäre ja auch ziemlich ungeschickt, denn wer würde noch mein auf deutsch und englisch erhältlichen eBook "HTML5 Security" kaufen, wenn er alles kostenlos hier im Blog lesen könnte?

Formulare mit Umleitung

"HTML5 Security - Formulare auf Abwegen" vollständig lesen

HTML5 Security - SVG und Resident XSS

Weiter geht es mit der kleinen Einführung in die Sicherheit von und mit HTML5. An dieser Stelle sei noch einmal der Hinweis erlaubt, dass das alles sehr viel ausführlicher in meinem auf deutsch und englisch erhältlichen eBook "HTML5 Security" beschrieben ist.

Die neuen Möglichkeiten, HTML5 für XSS-Angriffe zu nutzen, habe ich ja bereits angesprochen. Einen möglichen Angriffsvektor möchte ich noch erwähnen, da der leicht übersehen wird:

Nicht jede Scalable Vector Graphic ist wirklich ein Bild

"HTML5 Security - SVG und Resident XSS" vollständig lesen