UPnP - Ein Protokoll, sie alle zu knechten?
Millionen Geräte im Internet sind über UPnP angreifbar. Was ist da los?
Millionen Geräte im Internet sind über UPnP angreifbar. Was ist da los?
Es gibt mal wieder schlechten Nachrichten zu Java, der Wurm "SQL Slammer" wird 10 Jahre alt, und auf GitHub ist so manches Geheimnis unheimlich unsicher aufgehoben. Das musste ich einfach kommentieren...
Webanwendungen lassen sich nicht nur über die klassischen Schwachstellen wie SQL Injection, Directory Traversal oder File Inclusion angreifen, sondern auch über Logikfehler.
Eigentlich ist mit "Java ist ein potentielles Einfallstor für Angreifer, und wenn man es im Browser nicht braucht, sollte man es dort auch keinen Angriffen aussetzen" schon alles relevante gesagt. Trotzdem möchte ich das Ganze noch etwas näher erläutern.
Wie angekündigt, geht es in dieser Folge wieder um die Sicherheit von Webanwendungen. Konkret ist dieser Text die Fortsetzung der vor der WebTech Conference 2012 begonnen Serie zur Websecurity. Dementsprechend geht es auch weiter um die von Rich Lundeen, Jesse Ou und Travis Rhodes von Microsoft auf der Konferenz Black Hat Abu Dhabi 2011 unter dem Titel "New Ways I'm Going to Hack Your Web App" vorgestellten Angriffe. Genauer: Um
Es gibt
mal wieder
eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde
von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu
einem Drama in 4 AktenTagen:
Mein Artikel im PHP Magazin 2.2013 beschäftigt sich mit den auch hier im Blog schon behandelten Drive-by-Infektionen. Da der Artikel im PHP Magazin erschienen ist, liegt der Schwerpunkt natürlich auf PHP. Konkret erkläre ich am Beispiel von zwei "in the wild" gefundenen Skripten, wie die Cyberkriminellen ihren Schadcode verbreiten.
Und hier noch die Links und Literaturverweise aus dem Artikel:
"Drucksache: PHP Magazin 2.2013 - Drive-by-Infektionen" vollständig lesenIn der neuen Kategorie "Drucksache" werde ich in Zukunft auf Texte von mir hinweisen, die in Magazinen etc. erschienen sind.
Los geht es mit der Windows.Developer Ausgabe 2.2013. Darin ist ein Artikel über SQL Injection (nicht nur) in ASP.NET-Anwendungen erschienen. Ich beschreibe darin, was SQL-Injection ist, wie ein Angreifer entsprechende Schwachstellen ausnutzen kann und wie Entwickler SQL-Injection verhindern können. Ein weiterer Schwerpunkt sind die Massenangriffe, in denen in unschöner Regelmäßigkeit über SQL Injection Code für Drive-by-Infektionen in ASP.NET-Anwendungen eingeschleust wird.
Und hier noch die Links und Literaturverweise aus dem Artikel:
"Drucksache: Windows.Developer 2.2013 - SQL Injection" vollständig lesenEinige Angriffe mit bzw. über HTML5 bilden den (vorläufigen) Abschluss des Themas "HTML5 Security". Los geht es mit dem Missbrauch des Fullscreen API:
Ende Dezember wurden Angriffe über eine neue 0-Day-Schwachstelle im Internet Explorer entdeckt. Und die hat es ebenso wie die Angriffe selbst in sich.