Inhalte überspringen »
Alle Topthemen
Donnerstag, 19. März 2009
About Security #196: Schwachstellen-Suche: Pufferüberläufe finden
Thema dieser Folge ist die Suche nach Pufferüberlauf-Schwachstellen
in Webanwendungen. Pufferüberläufe (Bufferoverflows) kommen nur
in kompilierten Programmen vor, während Webanwendungen meist in
interpretierten Skriptsprachen geschrieben werden. Aber auch dabei
können kompilierte Programme zum Einsatz kommen, z.B. wenn eine
vorhandene Anwendung um eine Weboberfläche erweitert wurde oder die
Webanwendung auf externe Komponenten zugreift. Auch die webbasierten
Administrationsoberflächen von Geräten …
Donnerstag, 12. März 2009
7 Kriterien zur Wahl des richtigen E-Book-Formats
Das Zeitalter der E-Books beginnt, so berichten die Kollegen des Web-Portals createordie.de. Aber was ist eigentlich ein E-Book, oder genauer: Welches Format sollte man wählen? Martynas Jusevičius hat sich für einen Kunden die gängigsten Formate angesehen und sieben Kriterien aufgestellt, die ein optimales E-Book erfüllen sollte:
Offener Standard: Das Format ist detailliert …
About Security: Ein Bericht von der CeBIT 2009
Die CeBIT 2009 ist vorüber, Zeit für den schon traditionellen
Bericht über Neuigkeiten.
UTM mit identitätsbasierten Ansatz
Cyberoam
(deutscher Vertrieb über
Intellicomp)
hat eine Reihe von Unified Threat Management Appliances vorgestellt. Das
besondere daran: Es handelt sich um identitätsbasierte Systeme, bei
denen die jeweiligen Einstellungen für den jeweils identifizierten
Benutzer und nicht für eine vorgegebene IP-Adresse bzw. einen
vorgegebenen IP-Adressbereich …
Mittwoch, 11. März 2009
Microsoft Patchday: 8 Schwachstellen korrigiert, darunter eine kritische
Am März-Patchday hat Microsoft wie angekündigt ein als kritisch und zwei als wichtig
eingestufte Security-Bulletins veröffentlicht, die insgesamt 8 Schwachstellen
schließen.
MS09-006: Drei Schwachstellen im Windows-Kernel
Das insgesamt als kritisch eingestufte Security Bulletin MS09-006 betrifft drei bisher nicht öffentlich
bekannte Schwachstellen im Windows-Kernel. Eine Schwachstelle in
GDI erlaubt die Ausführung beliebigen Codes, wenn eine entsprechend
präparierte EMF- oder …
Donnerstag, 5. März 2009
About Security #195: Schwachstellen-Suche: LDAP-Injection verhindern
In dieser Folge geht es um eine weitere Möglichkeit der
LDAP-Injection-Angriffe: Manchmal wird die Benutzereingabe nicht direkt als
Suchfilter übernommen, sondern als Teil eines komplexeren Filters
verwendet. Ein Angreifer kann dann versuchen, durch eine entsprechend
formulierte Suchanfrage die vorhandene Anwendungslogik zu manipulieren, um
auf eigentlich nicht zugängliche Daten zuzugreifen.
Ein Beispiel
Im Beispiel aus About Security
#194
soll der …
Donnerstag, 26. Februar 2009
About Security #194: Schwachstellen-Suche: LDAP-Injection
Das Lightweight Directory Access Protocol LDAP dient der Abfrage von
Verzeichnisdiensten. Auch in LDAP-Abfragen kann analog zum Vorgehen bei
einer SQL- oder XPath-Injection zusätzlicher Code eingefügt
werden, mit dem die Abfrage manipuliert und auf eigentlich nicht
zugängliche Daten zugegriffen werden kann.
LDAP - Eine kurze Einführung
LDAP dient dem Zugriff auf hierarchisch organisierte Verzeichnisse, die
prinzipiell beliebige Daten …
Donnerstag, 19. Februar 2009
About Security #193: Schwachstellen-Suche: SMTP-Command-Injection
In About Security
#192
wurde die SMTP-Header-Injection beschrieben, d.h. das Einfügen
weiterer Header in eine über SMTP übertragene E-Mail. In dieser
Folge wird ein weiterführender Angriff auf SMTP beschrieben: Die SMTP
Command Injection, das Einfügen zusätzlicher SMTP-Befehle.
Im Beispiel in About Security
#192
wurde die SMTP-Kommunikation durch den PHP-Befehl mail()
abgewickelt. Statt dessen kann die Webanwendung auch die …
Donnerstag, 12. Februar 2009
About Security #192: Schwachstellen-Suche: SMTP-Header-Injection
In dieser Folge geht es um das Einschleusen zusätzlicher Daten in
SMTP. SMTP, das Simple Mail Transfer Protocol, ist für das Versenden
bzw. den Transport von E-Mails zuständig und kommt im Rahmen von
Webanwendungen immer dann zum Einsatz, wenn Daten z.B. aus einem
Kontaktformular per E-Mail verschickt werden.
Kurze Einführung in SMTP
SMTP wurde erstmals 1982 in …
Mittwoch, 11. Februar 2009
Microsoft Patchday: 8 Schwachstellen, darunter 3 kritische, korrigiert
Am Februar-Patchday hat Microsoft wie
angekündigt
zwei als kritisch und zwei als wichtig eingestufte Security-Bulletins
veröffentlicht,
die insgesamt 8 Schwachstellen schließen: Zwei kritische im Internet
Explorer, eine kritische und eine wichtige im Exchange Server, eine
wichtige im SQL Server und drei wichtige in Office Visio. Bis auf die
Schwachstelle im SQL Server waren alle Schwachstellen zuvor nicht
öffentlich …
Donnerstag, 29. Januar 2009
About Security #190: Schwachstellen-Suche: SOAP-Injection
SOAP-Injection bzw. das Einschleusen eigenen Codes in SOAP ist das Thema
dieser Folge.
SOAP, das Simple Object Access Protocol, dient dem Austausch von Daten und
dem Durchführen von Remote Procedure Calls (RPC, entfernte
Prozedur-Aufrufe) zwischen verschiedenen Servern. SOAP stützt sich auf
verschiedene andere Standards: XML für die Repräsentation der
Daten und Internet-Protokolle für ihren Austausch. Sein
Haupteinsatzgebiet ist …
Freitag, 23. Januar 2009
Conficker - Ein Wurm rast um die Welt
Der RPC-Wurm 'Conficker' ist in aller Munde und auf vielen Rechnern. Was es
damit eigentlich auf sich hat, erfahren Sie hier.
Vorgeplänkel
Alles fing ganz harmlos an: Am 23. Oktober patchte Microsoft
außer der Reihe
eine kritische
Schwachstelle im RPC-Service.
Laut Microsoft wurde die Schwachstelle zuvor schon für gezielte Angriffe
ausgenutzt, einen sich darüber verbreitenden Wurm gab es …
Donnerstag, 22. Januar 2009
About Security #189: Schwachstellen-Suche: XPath-Injection
In dieser Folge geht es weiter um die in About Security
#188
beschriebenen XPath-Injection-Schwachstellen: Sie erfahren, was Blind
XPath-Injection ist und wie Sie die Schwachstellen finden und verhindern
können.
Blind XPath-Injection
Sind keine Informationen über die XML-Datei bekannt, kann vergleichbar
dem Vorgehen bei der Blind SQL-Injection (siehe About Security
#175)
eine Blind XPath-Injection durchgeführt werden. XPath erlaubt Schritte
relativ …
Donnerstag, 15. Januar 2009
About Security #188: Schwachstellen-Suche: Scriptcode Injection (2)
Das Einschleusen von Schadcode in Skriptsprachen wurde in About Security
#187
beschrieben, in dieser Folge geht es zuerst um die Suche nach
entsprechenden Schwachstellen.
Schwachstellen finden
Da sich die Funktionen zur dynamischen Ausführung von Code in den
verschiedenen Skriptsprachen weitgehend gleichen, reichen für die
Schwachstellensuche einige wenige Testmuster aus. Trotzdem ist es in
manchen Fällen notwendig, die verwendete Syntax …
Mittwoch, 14. Januar 2009
Microsoft Patchday: 3 Schwachstellen in SMB geschlossen
Am ersten Patchday in 2009 hat Microsoft wie angekündigt lediglich ein als kritisch
eingestuftes Security-Bulletin veröffentlicht. Das Bulletin MS09-001 beschreibt zwei als kritisch und eine als
moderat eingestufte Schwachstelle in der SMB-Implementierung.
Zwei neue Schwachstellen
Zwei bisher unveröffentlichte Pufferüberlauf-Schwachstellen im SMB-Protokoll
(Server Message Block) erlauben die Ausführung beliebigen Codes.
Die Zero Day Initiative (ZDI) hat zu diesen …
Mittwoch, 7. Januar 2009
About Security #187: Schwachstellen-Suche: Scriptcode Injection
Nach dem in About Security
#184,
#185
und
#186
beschriebenen Einschleusen von Shellbefehlen in Systemaufrufe geht es ab
dieser Folge um das Einschleusen von Schadcode in Skriptsprachen und die
Suche danach.
Gelingt es einem Angreifer, eigenen Code in den Code der Webanwendung
einzuschleusen, kann er damit die Kontrolle über den angegriffenen
Server übernehmen. Derartige Angriffe sind im wesentlichen in …
Donnerstag, 25. Dezember 2008
About Security: Nützliche Cheat Sheets, interessante Blogs
Bereits im Weihnachts-Special
2006
gab es an dieser Stelle eine Vielzahl von Literaturtips aus dem Bereich
"Sicherheit" und verwandten Themengebieten. Während der Schwerpunkt damals
auf eBooks und Artikeln lag, gibt es dieses Jahr Hinweise auf nützliche
Cheat Sheets und interessante Blogs. Die Auswahl ist dabei relativ
willkürlich zusammengestellt und erhebt natürlich keinerlei Anspruch
auf Vollständigkeit. Ich hoffe, es …
Mittwoch, 17. Dezember 2008
About Security #186: Schwachstellen-Suche: OS Command Injection (3)
Im Rahmen der Suche nach Command-Injection-Schwachstellen in Webanwendungen
geht es in dieser Folge um die Frage, wie ein Angreifer evtl. vorhandene
Einschränkungen umgehen kann. Außerdem erfahren Sie, wie Sie
Command Injection in ihrer Webanwendung verhindern können.
Was Halbes ist besser als nichts
In manchen Fällen ist es nicht möglich, einen vollständigen
Befehl einzuschleusen. Das könnte z.B. daran …
Montag, 15. Dezember 2008
IE-0-Day-Exploits auf dem Vormarsch
Die
0-Day-Schwachstelle im Internet Explorer
wird immer massiver ausgenutzt, außerdem sind außer dem Internet Explorer 7
wahrscheinlich auch alle anderen aktuellen Versionen betroffen. Bisher sind
allerdings nur Angriffe gegen Version 7 bekannt.
Schwachstelle wird massiv ausgenutzt
Laut Handler's Diary des ISC und verschiedenen Sicherheitsunternehmen
nehmen Angriffe über die 0-Day-Schwachstelle massiv zu. Im Handler's Diary
wird über …
Mittwoch, 10. Dezember 2008
Microsoft Patchday - 8 Bulletins schließen 27 Schwachstellen
Am Dezember-Patchday hat Microsoft wie angekündigt sechs als kritisch und zwei als wichtig
eingestufte Security-Bulletins veröffentlicht. Insgesamt schließen die
Bulletins 27 Schwachstellen, von denen nur eine zuvor öffentlich bekannt
war - die wird dafür aber auch bereits für gezielte Angriffe ausgenutzt.
MS08-070: Visual Basic 6.0 Runtime Extended Files
Das insgesamt als kritisch eingestufte Bulletin
MS08-070
betrifft u.a. die …
Donnerstag, 4. Dezember 2008
About Security #184: Schwachstellen-Suche: OS Command Injection
Das Einschleusen von Shell-Befehlen, die sog. OS Command Injection, ist das
Thema dieser Folge. Derartige Schwachstellen können in jeder Webanwendung
vorkommen, die Benutzereingaben ungeprüft für Betriebssystem-Aufrufe
verwendet.
Einführung
Im allgemeinen stellen die vorhandenen APIs der Webserver-Plattformen alle
nötigen Funktionen für die Interaktion mit dem Betriebssystem des
Servers zur Verfügung. Egal ob Zugriffe auf das Dateisystem, die
Kommunikation mit anderen …