Über Cross-Site Scripting in den Browser eingeschleuster
JavaScript-Schadcode kann zum Beispiel den SOHO-Router des lokalen Netzes
angreifen. Dazu stehen ihm drei Möglichkeiten zur Verfügung:
- Er kann
wie bereits beschrieben
versuchen, mit Hilfe von Cross-Site Request Forgery die Weboberfläche
des Routers zu manipulieren.
- Er kann Default-Passwörtern ausprobieren oder einen
Brute-Force-Angriff auf die Authentifizierung starten.
- Er kann versuchen, über eine Schwachstelle in der Router-Firmware
die Kontrolle über den Router zu erlangen.
Möglichkeit 2 und 3 werden im folgenden näher betrachtet.
Ausprobieren von Default-Passwörtern
"XSS-Angriffe, Teil 10: Weitere Angriffe auf den Router" vollständig lesen
Adobe hat am 23. Juni einen außerplanmäßigen Patch
veröffentlicht,
um eine bereits für Angriffe ausgenutzte Schwachstelle im Flash Player zu
beheben. Dies ist die
fünfte
0-Day-Schwachstelle in diesem Jahr - und die vierte im Flash Player.
Gezielte Angriffe "in the Wild"
"Adobe patcht vierte 0-Day-Schwachstelle im Flash Player in diesem Jahr!" vollständig lesen
Ein Portscan mit JavaScript ist kein größeres Problem. Egal ob mit
normalen JavaScript
für einen Host
oder
einen IP-Adressbereich
oder mit
Hilfe der HTML5-JavaScript-APIs,
die Suche nach Rechnern im lokalen Netz des angegriffenen Webbrowsers ist
fast ein Kinderspiel. Nun ist die nur die halbe Miete: Der Angreifer weiß
danach, welche lohnenden Ziele es im lokalen Netz seines Opfers gibt. Aber
was kann er damit anstellen?
Ziel erkannt - Auf zum Angriff!
"XSS-Angriffe, Teil 9: Der Router im Visier" vollständig lesen
Der Angriff auf den Bundestag und Edward Snowdens Daten in den Händen
von Russland und China. Beides Themen, zu denen es mehr Gerüchte als
Fakten gibt. Und eigentlich ist anderswo schon fast alles Relevante dazu
geschrieben worden. Im Fall von Edward Snowden wird ein Aspekt allerdings
oft nicht ausreichend berücksichtigt: Seine "Flucht" nach Moskau. Die
dort ja eigentlich gar nicht enden sollte. Aber bevor ich dazu komme noch
ein paar Worte zum Angriff auf den Bundestag.
Das ganze Bundestags-Netz, nur 15 Rechner - was denn nun?
"Nur mal kurz was zum Bundestags-Hack und Edward Snowden..." vollständig lesen
Im Bundestag muss nach dem Cyberangriff die IT ausgetauscht werden. Wenn
die wirklich die Hardware tauschen müssen, haben sie sich wohl so etwas
wie
BadBIOS
eingefangen. Dabei gibt es den doch angeblich gar nicht.
Einen Kommentar dazu lesen Sie auf
entwickler.de!
Carsten Eilers
Schon mit ganz normalen JavaScript-Befehlen lassen sich ein
Ping-Befehl
und ein Portscanner
für einen Host
und
einen IP-Adressbereich
implementieren. Mit HTML5 erhielt JavaScript viele neue Funktionen, und
die erleichtern auch den Portscan.
"XSS-Angriffe, Teil 8: Ein Portscan mit WebSockets oder Cross-Origin Requests" vollständig lesen
Im
Entwickler Magazin 4.15
ist ein Artikel über die Sicherheit von VoIP erschienen.
Etliche Anbieter nutzen seit einigen Jahren VoIP für die
Sprachkommunikation, und die Telekom stellt gleich das komplette
Telefonnetz auf VoIP um. Aber wie sicher ist das eigentlich?
"Drucksache: Entwickler Magazin 4.15 - VoIP im Visier der Cyberkriminellen" vollständig lesen
Es gibt mal wieder Neuigkeiten zu SOHO-Routern und verschiedenen
Mitgliedern des IoT. Und natürlich keine guten, denn sonst würde
ich sie hier ja nicht erwähnen.
SOHO-Router im Visier...
"Unerfreuliches zu Routern und dem IoT" vollständig lesen
Im
windows.developer 7.15
ist ein Artikel über die Sicherheit der Cross-Plattform-Entwicklung erschienen.
Cross-Plattform-Entwicklung - das ergibt ein Programm, das auf mehreren
völlig unterschiedlichen Systemen läuft. Das läuft doch
zwangsweise auf Kompromisse hinaus, unter denen am Ende bestimmt die
Sicherheit des Programms leidet, oder? Oder sind die Cross-Plattform-Apps
besonders sicher, weil die Frameworks sich um die Sicherheit kümmern?
"Drucksache: windows.developer Magazin 7.2015 - Wie sicher ist eine Cross-Plattform-Entwicklung eigentlich?" vollständig lesen
Wie sich mit JavaScript ein
Ping-Befehl
und ein Portscanner
für einen Host
und
einen IP-Adressbereich
implementieren lässt wissen Sie bereits. Dem Aufbruch ins lokale Netz
steht also nichts mehr im Weg. Jedenfalls fast nichts.
Was ist schon alles möglich?
"XSS-Angriffe, Teil 7: Hindernisse beim JavaScript-Portscan beseitigen" vollständig lesen