Skip to content

Neues eBook: "JavaScript Security - Sicherheit im Webbrowser"

Bei entwickler.press ist mein eBook über die Sicherheit von JavaScript erschienen: "JavaScript Security - Sicherheit im Webbrowser"

Wie der Name schon sagt geht es um die Sicherheit von JavaScript (und HTML5, dass ja viele neue JavaScript-APIs mit bringt). Behandelt werden

  • XSS-Angriffe und deren Möglichkeiten, zum Beispiel der Implementierung eines Rootkits für Webclients, der Kompromittierung des lokalen SOHO-Routers oder dem Aufbau eines Broser-basierten Botnets. Nicht zu vergessen die Möglichkeit, über XSS den Server zu kompromittieren.
  • Angriffe über die Grafikfunktionen von HTML5, entweder um Daten auszuspähen oder den Browser zu identifizieren.
  • Die Content Security Policy als gute Möglichkeit zur Abwehr von Angriffen.
"Neues eBook: "JavaScript Security - Sicherheit im Webbrowser"" vollständig lesen

Neues eBook: "Angriffsziel UI - Benutzeraktionen, Passwörter und Clickjacking"

"Angriffsziel UI - Benutzeraktionen, Passwörter und Clickjacking" ist als eBook bei entwickler.press erschienen.

Vorgestellt werden verschiedene Angriffe rund um das UI und wie man sie abwehrt. Die Themen im einzelnen sind

  • Logikfehler, durch die sich die Webanwendung anders verhält als vom Entwickler gedacht.
  • Die Möglichkeiten zur sicheren Authentifizierung der Benutzer, denn einfach nur Benutzername und Passwort abfragen reicht heute nicht mehr aus. Zur wirklich sicheren Authentifizierung muss schon ein zweiter Faktor hinzu gezogen werden, zum Beispiel der Google Authenticator.
  • Aktuelle Entwicklungen rund um das auch als UI-Redressing bezeichnete Clickjacking.
"Neues eBook: "Angriffsziel UI - Benutzeraktionen, Passwörter und Clickjacking"" vollständig lesen

Thunderstrike - Via Thunderbolt in die Firmware des Macs, Teil 3

Noch einmal geht es um den von Trammell Hudson entwickelten Thunderstrike-Angriff, den er auf dem 31. Chaos Communication Congress (31C3) vorgestellt hat. Er wird detailliert in einer kommentierten Version des 31C3-Vortrags (den es auch als Video auf YouTube gibt) vorgestellt. Außerdem gibt es eine FAQ.

Im ersten Teil haben Sie erfahren, dass und wie die EFI-Firmware des Mac manipuliert werden kann, wenn der Angreifer sich direkten Zugriff auf den ROM-Chip verschafft. Also das Gerät öffnet und eigene Hardware mit dem Chip verbindet. Im zweiten Teil stellte sich heraus, dass der Angriff auch ohne Öffnen des Geräts möglich ist, es muss nur ein manipuliertes Thunderbolt-Gerät angeschlossen werden. Darüber kann dann der für die Prüfung der Signatur des Firmware-Updates verwendete öffentliche Schlüssel von Apple gegen einen des Angreifers ausgetauscht werden. Wie so ein Angriff ablaufen kann und welche Folgen er hat erfahren Sie nun.

Teil 3 - Die Folgen des Angriffs

"Thunderstrike - Via Thunderbolt in die Firmware des Macs, Teil 3" vollständig lesen