Inhalte überspringen »
Alle Topthemen
Mittwoch, 14. April 2010
Patchday: Microsoft stopft 25 Schwachstellen, Adobe 15 und Oracle 47
Am April-Patchday haben Microsoft, Adobe und Oracle kräftig aufgeräumt:
Microsoft hat wie
angekündigt
elf
Security-Bulletins
veröffentlicht, die insgesamt 25 Schwachstellen betreffen, von Adobe gibt
es ein
Security Bulletin
für 15 Schwachstellen, und Oracle stopft mit dem
Critical Patch Update
für den April 47 Schwachstellen in fast der gesamten Produktpalette,
darunter 16 für Sun-Produkte, die erstmals …
Donnerstag, 8. April 2010
About Security #249: Schwachstellen-Suche im Überblick (2)
Nach dem Sammeln von Informationen über die Webanwendung und der Suche
nach zustandbasierten Angriffen, Cross-Site-Scripting- und
SQL-Injection-Schwachstellen geht es als nächstes um
Directory-Traversal-Angriffe
Die Grundlagen eines Directory-Traversal-Angriffs sind einfach: Der
Angreifer übergibt für einen Parameter statt eines vorgesehenen
Dateinamens eine Reihe von ../-Sequenzen zum Wechseln des
Verzeichnisses sowie nach seiner …
Donnerstag, 1. April 2010
About Security #248: Schwachstellen-Suche im Überblick
Zum Abschluss des Themenkomplexes "Schwachstellensuche in Webanwendungen"
gibt es eine Zusammenfassung aller notwendigen Schritte. Los geht es mit
dem
Sammeln von Informationen
über die zu untersuchende Webanwendung sowie die verwendete Infrastruktur
wie z.B. den Webserver. Zuerst werden dazu alle Seiten der Anwendung
einmal durchlaufen (siehe About Security
#144).
Die …
Mittwoch, 31. März 2010
IE-Patchday: 10 Schwachstellen geschlossen
Microsoft hat am
kurzfristig angekündigten
außerplanmäßigen "IE-Patchday" ein
Security Bulletin
zum Internet Explorer veröffentlicht. Außer der aktuellen
0-Day-Schwachstelle
werden neun weitere, vertraulich gemeldete
Schwachstellen
behoben.
Die 0-Day-Schwachstelle
Die
0-Day-Schwachstelle,
die nur den IE 6 und 7 betrifft, wird immer stärker ausgenutzt. Nachdem
anfangs nur gezielte Angriffe gemeldet wurden, wurde der …
Freitag, 26. März 2010
Gravatar bereitet sich auf das soziale Zeitalter vor
Gravatar? Soziales Zeitalter? Immer der reihe nach: Gravatar ist ein inzwischen zu Automattic (den WordPress-Machern) gehörender Service, über den einzelnen E-Mailadressen kleine Bildchen zugewiesen werden können - zum Beispiel, um Kommentare mit einem Foto vom User zu versehen und der ganzen Sache ein Gesicht zu geben. Und wer das jetzt erst …
Donnerstag, 25. März 2010
About Security #247: Schwachstellen-Suche: Session-Token (3)
Bevor Session-Token analysiert werden können, müssen sie erst
einmal gefunden und gesammelt werden. Außerdem muss eine
Möglichkeit gefunden werden, selbst erstellte Token zu testen.
Gründliche Vorbereitung zahlt sich aus
Bereits bei der Analyse der Webanwendung (siehe About Security
#144 ff.) wurden die Seite der Webanwendung ermittelt, auf denen sich die
Benutzer …
Donnerstag, 18. März 2010
About Security #246: Schwachstellen-Suche: Session-Token (2)
Auch Sessiontoken und ähnliche Werte, die im Gegensatz zu den in
About Security
#245
beschriebenen Ansatz keinerlei Bedeutung haben, müssen irgendwie
erzeugt werden. Bekommt ein Angreifer heraus, wie das passiert, kann er
danach u.U. eigene Token erstellen, indem er den Wert eines ihm bekannten Tokens
extrapoliert: Die Token sind vorhersagbar.
Bedrohungspotential
Wie …
Mittwoch, 17. März 2010
Internet Explorer 9 verspricht HTML 5 und CSS 3
Microsoft stellt eine erste Tech-Preview seines kommenden Internet Explorer 9 vor. Diese wird zwar nicht das Ende des IE6 garantieren, aber mit CSS-3-Support und Unterstützung für HTML 5 den Umstieg doch etwas schmackhafter machen. Wer Windows 7 (x86 oder x64) oder Windows Vista SP2 (x86 oder x64) installiert hat, kann sich …
Freitag, 12. März 2010
Ehrenrettung für Open Source
Mit ungläubigem Kopfschütteln über amerikanische Verhältnisse reagierten letzte Woche nicht nur Entwickler im "Alten Europa" auf den Länderbericht der International Intellectual Property Association (IIPA), der US-amrikanischen Gralshüter des Urheberrechts. In dem Bericht spricht die IIPA die Empfehlung an die U.S. Trade Representative (USTR) (das offizielle Organ der internationalen Handelspolitik der Vereinigten …
Donnerstag, 11. März 2010
About Security: Ein Bericht von der CeBIT 2010
Die CeBIT 2010 ist vorüber, Zeit für den traditionellen Bericht
über einige Neuigkeiten aus dem Bereich der IT-Sicherheit.
Neuigkeiten?
Die gab es dieses Jahr zumindest in der Security-Halle kaum zu sehen. Neu
war vor allem, dass die Messeleitung den Finanzbereich, früher in
einer der 20er-Hallen untergebracht, nun in die Halle 11 …
Freitag, 5. März 2010
About Security #245: Schwachstellen-Suche: Session-Token
Von der Webanwendung gelieferte Werte wie Session-Tokens und
Passwörter sollten zufällig gewählt werden und nicht
vorhersagbar sein. Manchmal sieht das aber nur so aus. Diese Folge von
About Security dreht sich daher um die Analyse solcher Werte.
Im folgenden wird immer von Session-Tokens oder kürzer Tokens
ausgegangen, die entsprechenden Schritte gelten aber analog …
Dienstag, 2. März 2010
Die Allerleimesse CeBIT - Kommentar
Folgt man der medialen Berichterstattung, könnte man glauben, die CeBIT sei immer noch ein wichtiger Termin für die IT-Branche. Auch lassen die Fernsehbilder von Staats- und Regierungschefs, die alljährlich die Hannoveraner Computermesse eröffnen, das Publikum glauben, es handele sich um ein Ereignis von wahrem Weltrang. Wohl nur die Frankfurter Buchmesse und …
Freitag, 26. Februar 2010
IT an der Schwelle einer neuen Ära?
Wir stehen an der Schwelle einer neuen Ära: der Ära der "Sozialen Innovation" des Business!
Mit dieser pointierten These beginnt Nigel Fenwick, Analyst bei Forrester, seinen jüngsten Blogeintrag "The New Era Of Social Innovation", in dem er erläutert, warum soziale Innovationsnetzwerke in Zukunft entscheidend für den Erfolg oder Misserfolg eines Produkts/Projekts sein …
Donnerstag, 25. Februar 2010
About Security #244: Schwachstellen-Suche: DoS verhindern (3)
Schon beim Entwurf der Webanwendung kann man möglichen DoS-Angriffen
zuvor kommen. Beim sog. "Threat Modelling" wird zwar vor allem auf
Angriffe auf z.B. die Anwendungslogik oder die Authentifizierung geachtet,
aber auch DoS-Angriffe lassen sich zumindest teilweise schon beim Entwurf
verhindern oder zumindest abschwächen.
"Irgendwas irgendwie verbrauchen"
So könnte man eine große Anzahl …
Mittwoch, 24. Februar 2010
Happy Birthday, Apache!
Der Apache HTTP Web Server feiert Geburtstag - bescheiden stößt man im Apache-Blog auf 15 Jahre Webserver-Geschichte an. Dabei muss man es mit dem Understatement garnicht übertreiben, immerhin befeuert das Flagship Project der Foundation heute über 112 Millionen Websites weltweit.
Eigentlich hatte alles klein Angefangen. Zunächst als Fork des NCSA HTTPd Webservers …
Donnerstag, 18. Februar 2010
About Security #243: Schwachstellen-Suche: DoS verhindern (2)
Bei der Abwehr von DoS-Angriffen hat jeder Betreiber einer Webanwendung
einen natürlichen Verbündeten: Seinen ISP, der ggf. ebenso unter
dem DoS-Angriff zu leiden hat wie er selbst.
Mitgegangen, mitgefangen
Abgesehen von wenigen Sonderfällen kommt beim Betrieb einer
Webanwendung früher oder später ein Dritter ins Spiel, dessen
Dienstleistungen in Anspruch genommen werden. Z.B. …
Donnerstag, 11. Februar 2010
About Security #242: Schwachstellen-Suche: DoS verhindern
Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen:
Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern
oder abzuschwächen, zweitens muss man feststellen können, wenn
ein Angriff erfolgt, und drittens muss man Maßnahmen vorbereiten, die
im Falle eines Angriffs ergriffen werden können, um ihn zu beenden
oder abzuschwächen.
Angriffe vorab verhindern oder abschwächen
DoS-Angriffe …
Mittwoch, 10. Februar 2010
Patchday - Microsoft stopft 26 Schwachstellen
Am Februar-Patchday hat Microsoft wie
angekündigt
13 Security Bulletins (5 kritische, 7 wichtige, 1 moderates)
veröffentlicht,
mit denen insgesamt 26 Schwachstellen behoben werden. Nur eine davon, die
im Januar bekannt gewordene
Schwachstelle im #GP Trap Handler,
war zuvor öffentlich bekannt.
Außer den Security Bulletins wurde auch ein
Security Advisory
veröffentlicht, mit dem Workarounds …
Donnerstag, 4. Februar 2010
HipHop-Karaoke: Stimmen aus der PHP-Welt
Facebook schlägt Wellen. Nicht nur wegen verdächtigem Datensammeln und Auswerten, sondern auch mit dem Release von HipHop, dem intern entwickelten und jetzt der Öffentlichkeit vorgestelltem PHP-zu-C++-Cross-Compiler. Wir haben einige Stimmen gesammelt, dabei reicht das Spektrum von vorsichtiger Zurückhaltung bis hin zu ehrlich gelebter Begeisterung.
For now I think this is mainly interesting …
About Security #241: Schwachstellen-Suche: Denial of Service (3)
DoS-Angriffe auf den Webserver sind zum einen über entsprechende
Schwachstellen, z.B. einem Pufferüberlauf beim Verarbeiten
überlanger Requests, zum anderen durch eine Überlastung
möglich.
DoS durch Schwachstellen im Webserver
Evtl. vorhandene Schwachstellen sollten im wesentlichen schon in den
vorhergehenden Schritten, insbesondere bei der Suche nach
Pufferüberlauf-Schwachstellen (siehe About Security
#196),
gefunden worden sein. Daher …
