Im
Entwickler Magazin Spezial Vol. 4 - DevOps
ist ein Artikel über Sicherheit von und mit DevOps erschienen.
In DevOps steht das "Dev" für "Development" und das
"Ops" für "Operations" - also Entwicklung und
Betrieb. Aber was ist mit der Sicherheit? Denkt denn keiner an die
KinderSicherheit? Und das obwohl sie durch DevOps doch
gefährdet sein kann? Und obwohl sie sich gerade mit DevOps verbessern
lässt, wenn man das denn möchte?
"Drucksache: Entwickler Magazin Spezial Vol. 4 - Wie DevOps die Sicherheit erhöhen kann" vollständig lesen
Bisher haben Sie schon erfahren, wie sich mit JavaScript ein
Ping-Befehl
und ein
Portscanner für einen Host
implementieren lässt. Dieser Portscanner wird nun
zu einem Portscanner für einen IP-Adressbereich erweitert.
Ein einfacher Portscanner für einen IP-Adressbereich
"XSS-Angriffe, Teil 6: Ein verbesserter Portscanner" vollständig lesen
Über XSS lassen sich in den Browser zum Beispiel
Informationen einschleusen
oder
Cookies und Tastendrücke
sowie
Zugangsdaten
und die
History
ausspähen. Viel mehr ist da auch nicht zu holen. Aber der Browser kann
auch als Sprungbrett ins lokale Netz des Opfers dienen. Und welche Rechner
da zu finden sind verrät ein
JavaScript-Portscan
"XSS-Angriffe, Teil 5: Ein Portscan (nicht nur) im LAN" vollständig lesen
Es gibt eine neue Schwachstelle mit Namen: Venom. Das ist
seit letztem Jahr
ja üblich. Aber nur, weil eine Schwachstelle einen Namen hat, wird sie
dadurch nicht automatisch ganz besonders schlimm. Auch wenn manche das zu
meinen scheinen.
Was ist Venom?
"Venom - Ein Name macht eine Schwachstelle nicht automatisch zur Katastrophe" vollständig lesen
Das Blog existiert jetzt schon seit 5 Jahren. Der erste Artikel erschien
am 11. Mai 2010, der erste Grundlagentext am 13. Mai 2010:
"Clickjacking - Angriffe auf Seiten ohne Schwachstellen".
Seitdem sind 264 Grundlagen-Artikel und 257 Standpunkte erschienen,
außerdem etliche aktuelle Meldungen und natürlich die
Ankündigungen von gedruckten Artikeln.
"5 Jahre Blog - Als Special: "Clickjacking"-eBook" vollständig lesen
Im
PHP Magazin 4.2015
ist ein Artikel über Cross-Site Request Forgery (CSRF) erschienen.
Cross-Site Request Forgery (CSRF) ist eine sehr alte Schwachstelle. Das zu
Grunde liegende Problem wurde erstmals 1988 unter dem Namen "Confused
Deputy"
beschrieben,
die Bezeichnung "Cross-Site Request Forgery" wurde 2001
geprägt.
Inzwischen schreiben wir 2015, und CSRF ist immer noch
aktuell.
Wäre es nicht Zeit, diese Schwachstelle endlich los zu werden?
"Drucksache: PHP Magazin 4.2015 - Cross-Side Request Forgery" vollständig lesen
Es gibt mal wieder Neuigkeiten zu Schadsoftware und Virenscannern. Sowohl
Pro als auch Contra,
wenn auch die negativen Meldungen überwiegen.
Mehr Negatives als Positives...
"Neues zu Schad- und Antivirus-Software. Mehr Schlechtes als Gutes" vollständig lesen
Es gibt Neuigkeiten zu einigen älteren Artikeln. Diesmal (nicht nur)
gedruckten, aus dem Windows Developer und Entwickler Magazin. Und
ausnahmsweise sind die Neuigkeiten mal nicht nur schlecht!
Angriffsziel Grafikkarte - Ein Rootkit und ein Keylogger als PoC
"Grafikkarten-Malware, Metadaten, NSA - Neues zu alten Artikeln" vollständig lesen
Im
windows.developer 6.15
ist ein Artikel über die Sicherheit des Team Foundation Servers erschienen.
Der Team Foundation Server ist als Plattform für die kollaborative
Softwareentwicklung theoretisch aus mehreren Richtungen gefährdet. In der
Praxis sieht es mit seiner Sicherheit aber gar nicht so schlecht aus.
"Drucksache: windows.developer Magazin 6.2015 - Angriffsziel TFS" vollständig lesen
Nach dem
Einschleusen
von Informationen in den Browser und dem Ausspähen
von Cookies und Tastendrücken
sowie
Zugangsdaten
ist der Browser im Grunde abgegrast. Was bleibt, ist das Ausspähen der
History. Und danach geht es weiter ins lokale Netz! Und auch das aus dem
Browser heraus, allein mit JavaScript!
Ausspähen der Browser-History
"XSS-Angriffe, Teil 4: Ein Blick in die History, und dann auf ins LAN!" vollständig lesen