Skip to content

XSS-Angriffe, Teil 10: Weitere Angriffe auf den Router

Über Cross-Site Scripting in den Browser eingeschleuster JavaScript-Schadcode kann zum Beispiel den SOHO-Router des lokalen Netzes angreifen. Dazu stehen ihm drei Möglichkeiten zur Verfügung:

  1. Er kann wie bereits beschrieben versuchen, mit Hilfe von Cross-Site Request Forgery die Weboberfläche des Routers zu manipulieren.
  2. Er kann Default-Passwörtern ausprobieren oder einen Brute-Force-Angriff auf die Authentifizierung starten.
  3. Er kann versuchen, über eine Schwachstelle in der Router-Firmware die Kontrolle über den Router zu erlangen.

Möglichkeit 2 und 3 werden im folgenden näher betrachtet.

Ausprobieren von Default-Passwörtern

"XSS-Angriffe, Teil 10: Weitere Angriffe auf den Router" vollständig lesen

Adobe patcht vierte 0-Day-Schwachstelle im Flash Player in diesem Jahr!

Adobe hat am 23. Juni einen außerplanmäßigen Patch veröffentlicht, um eine bereits für Angriffe ausgenutzte Schwachstelle im Flash Player zu beheben. Dies ist die fünfte 0-Day-Schwachstelle in diesem Jahr - und die vierte im Flash Player.

Gezielte Angriffe "in the Wild"

"Adobe patcht vierte 0-Day-Schwachstelle im Flash Player in diesem Jahr!" vollständig lesen

XSS-Angriffe, Teil 9: Der Router im Visier

Ein Portscan mit JavaScript ist kein größeres Problem. Egal ob mit normalen JavaScript für einen Host oder einen IP-Adressbereich oder mit Hilfe der HTML5-JavaScript-APIs, die Suche nach Rechnern im lokalen Netz des angegriffenen Webbrowsers ist fast ein Kinderspiel. Nun ist die nur die halbe Miete: Der Angreifer weiß danach, welche lohnenden Ziele es im lokalen Netz seines Opfers gibt. Aber was kann er damit anstellen?

Ziel erkannt - Auf zum Angriff!

"XSS-Angriffe, Teil 9: Der Router im Visier" vollständig lesen

Nur mal kurz was zum Bundestags-Hack und Edward Snowden...

Der Angriff auf den Bundestag und Edward Snowdens Daten in den Händen von Russland und China. Beides Themen, zu denen es mehr Gerüchte als Fakten gibt. Und eigentlich ist anderswo schon fast alles Relevante dazu geschrieben worden. Im Fall von Edward Snowden wird ein Aspekt allerdings oft nicht ausreichend berücksichtigt: Seine "Flucht" nach Moskau. Die dort ja eigentlich gar nicht enden sollte. Aber bevor ich dazu komme noch ein paar Worte zum Angriff auf den Bundestag.

Das ganze Bundestags-Netz, nur 15 Rechner - was denn nun?

"Nur mal kurz was zum Bundestags-Hack und Edward Snowden..." vollständig lesen

XSS-Angriffe, Teil 8: Ein Portscan mit WebSockets oder Cross-Origin Requests

Schon mit ganz normalen JavaScript-Befehlen lassen sich ein Ping-Befehl und ein Portscanner für einen Host und einen IP-Adressbereich implementieren. Mit HTML5 erhielt JavaScript viele neue Funktionen, und die erleichtern auch den Portscan.

"XSS-Angriffe, Teil 8: Ein Portscan mit WebSockets oder Cross-Origin Requests" vollständig lesen

Drucksache: Entwickler Magazin 4.15 - VoIP im Visier der Cyberkriminellen

Im Entwickler Magazin 4.15 ist ein Artikel über die Sicherheit von VoIP erschienen.

Etliche Anbieter nutzen seit einigen Jahren VoIP für die Sprachkommunikation, und die Telekom stellt gleich das komplette Telefonnetz auf VoIP um. Aber wie sicher ist das eigentlich?

"Drucksache: Entwickler Magazin 4.15 - VoIP im Visier der Cyberkriminellen" vollständig lesen

Drucksache: windows.developer Magazin 7.2015 - Wie sicher ist eine Cross-Plattform-Entwicklung eigentlich?

Im windows.developer 7.15 ist ein Artikel über die Sicherheit der Cross-Plattform-Entwicklung erschienen.

Cross-Plattform-Entwicklung - das ergibt ein Programm, das auf mehreren völlig unterschiedlichen Systemen läuft. Das läuft doch zwangsweise auf Kompromisse hinaus, unter denen am Ende bestimmt die Sicherheit des Programms leidet, oder? Oder sind die Cross-Plattform-Apps besonders sicher, weil die Frameworks sich um die Sicherheit kümmern?

"Drucksache: windows.developer Magazin 7.2015 - Wie sicher ist eine Cross-Plattform-Entwicklung eigentlich?" vollständig lesen

XSS-Angriffe, Teil 7: Hindernisse beim JavaScript-Portscan beseitigen

Wie sich mit JavaScript ein Ping-Befehl und ein Portscanner für einen Host und einen IP-Adressbereich implementieren lässt wissen Sie bereits. Dem Aufbruch ins lokale Netz steht also nichts mehr im Weg. Jedenfalls fast nichts.

Was ist schon alles möglich?

"XSS-Angriffe, Teil 7: Hindernisse beim JavaScript-Portscan beseitigen" vollständig lesen