Skip to content

Websecurity - XSS-Angriffe über XML

Wie angekündigt, geht es in dieser Folge wieder um die Sicherheit von Webanwendungen. Konkret ist dieser Text die Fortsetzung der vor der WebTech Conference 2012 begonnen Serie zur Websecurity. Dementsprechend geht es auch weiter um die von Rich Lundeen, Jesse Ou und Travis Rhodes von Microsoft auf der Konferenz Black Hat Abu Dhabi 2011 unter dem Titel "New Ways I'm Going to Hack Your Web App" vorgestellten Angriffe. Genauer: Um

XSS-Angriffe über die Extensible Markup Language (XML)

"Websecurity - XSS-Angriffe über XML" vollständig lesen

Drucksache: PHP Magazin 2.2013 - Drive-by-Infektionen

Mein Artikel im PHP Magazin 2.2013 beschäftigt sich mit den auch hier im Blog schon behandelten Drive-by-Infektionen. Da der Artikel im PHP Magazin erschienen ist, liegt der Schwerpunkt natürlich auf PHP. Konkret erkläre ich am Beispiel von zwei "in the wild" gefundenen Skripten, wie die Cyberkriminellen ihren Schadcode verbreiten.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: PHP Magazin 2.2013 - Drive-by-Infektionen" vollständig lesen

Drucksache: Windows.Developer 2.2013 - SQL Injection

In der neuen Kategorie "Drucksache" werde ich in Zukunft auf Texte von mir hinweisen, die in Magazinen etc. erschienen sind.

Los geht es mit der Windows.Developer Ausgabe 2.2013. Darin ist ein Artikel über SQL Injection (nicht nur) in ASP.NET-Anwendungen erschienen. Ich beschreibe darin, was SQL-Injection ist, wie ein Angreifer entsprechende Schwachstellen ausnutzen kann und wie Entwickler SQL-Injection verhindern können. Ein weiterer Schwerpunkt sind die Massenangriffe, in denen in unschöner Regelmäßigkeit über SQL Injection Code für Drive-by-Infektionen in ASP.NET-Anwendungen eingeschleust wird.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: Windows.Developer 2.2013 - SQL Injection" vollständig lesen

HTML5 Security - Angriffe im lokalen Netz

HTML5 erlaubt eine ganze Reihe von Angriffen. Was sich mit dem in den bisherigen Folgen Beschriebenem erreichen lässt, soll nun an zwei Beispielen gezeigt werden. Nachdem ein Angreifer über eine XSS-Schwachstelle Schadcode in einen Webbrowser eingeschleust hat, interessiert ihn ja vielleicht, welche weiteren, evtl. interessanteren Ziele es im lokalen Netz seines Opfers gibt. Womit sucht man nach Rechnern? Mit einem Portscanner.

Ein Klassiker: JavaScript-basierter Portscan im lokalen Netz

"HTML5 Security - Angriffe im lokalen Netz" vollständig lesen