Es ist so viel los, dass ich einfach nicht dazu komme, ihn zu schreiben.
Man könnte fast denken, dieses Jahr finden Ostern und Weihnachten hintereinander statt. Anders kann ich mir zum Beispiel die Hamsterkäufe in den Supermärkten nicht erklären.
Wie bereits angekündigt gibt es nun meinen schon traditionellen Bericht über Interessantes von der CeBIT. Diesmal habe ich mich auf Präsentationen in der "Forschungshalle" konzentriert, und weil es da reichlich interessantes zu sehen gab, habe ich den Bericht auf zwei Teile aufgeteilt. Los geht es mit der sicheren Kommunikation...
Nach der CeBIT ist so viel zu tun, dass mir schlicht und ergreifend die Zeit fehlt, einen zu schreiben.
Diesmal geht es um eine Art von XSS-Angriffen, die auf eine herkömmliche XSS-Schwachstelle als Einfallstor angewiesen ist. Denn beim sogenannten Resident XSS wird der Schadcode über eine der bekannten XSS-Schwachstellen (also reflektiertes, peristentes oder DOM-basiertes XSS) eingeschleust und danach im Browser verankert. Es handelt sich also eigentlich weniger um einen neue Art von XSS als um einen weiteren Angriff über XSS.
Der übliche "Standpunkt" mit Kommentaren zu aktuellen Themen der IT-Sicherheit fällt diese Woche aus, denn ich habe ganz einfach keine Lust, nach dem CeBIT-Besuch noch viel zu schreiben. Darum nur ein bisschen Lästerei über die CeBIT.
"Ein bisschen Lästerei über die CeBIT..." vollständig lesenIm PHP Magazin 3.2015 ist ein Artikel über Server-Side Request Forgery erschienen: Was ist SSRF, was kann ein Angreifer damit erreichen, wie gefährlich ist ein Angriff?
"Drucksache: PHP Magazin 3.2015 - Server-Side Request Forgery" vollständig lesenBisher ging es mit reflektierten und persistenten XSS um Angriffe, die über die Webanwendung auf dem Server laufen. Thema der heutigen Folge ist das DOM-basierte XSS, dass ausschließlich im Client-Code im Webbrowser abläuft.
"Websecurity - Jahresrückblick 2014" ist als eBook bei entwickler.press erschienen.
Im ersten Kapitel dreht sich alles um die Angriffe auf und Schwachstellne in SSL und TLS, im zweiten Kapitel geht es um die weiteren prominenten Angriffe und Schwachstelle sowie allgemein die Frage, ob das Internet nun 2014 in Flammen stand oder nicht.
Im windows.developer 4.15 ist ein Artikel über Angriffe auf den Webbrowser erschienen.
"Drucksache: windows.developer Magazin 4.2015 - Der Browser im Visier - ganz praktisch" vollständig lesenIm windows.developer 4.15 ist ein Artikel über die Sicherheit von Azure erschienen. Es handelt sich um ein Update für den Artikel im windows.developer 2.2014 zum gleichen Thema.
"Drucksache: windows.developer Magazin 4.2015 - Azures Sicherheit - ein Update" vollständig lesen