#xss

Content Security Policy: Schutz vor XSS mit dem CSP-Header

Cross-Site-Scripting (früher abgekürzt als CSS, inzwischen XSS) bezeichnet im Webumfeld eine Sicherheitslücke, die es dem Angreifer erlaubt Schadcode im Browser des Nutzers auszuführen. Dabei läuft dieser Code direkt im Kontext der aufgerufenen Seite und nicht in irgend einer abgetrennten Sandbox. Es bedarf einer Content Security Policy!

HTML5 Security, reloaded

Seit den letzten beiden Artikeln zur Sicherheit von HTML5 [1], [2] sind zwei Jahre vergangen, und in der Zeit haben sich sowohl HTML5 als auch die Angriffe darauf und darüber weiter entwickelt. Zeit also für eine aktualisierte Bestandsaufnahme.

Zend Framework 2.0.1 schließt Fehler im Escaping

Zwei Wochen nach dem Release von Zend Framework 2 erscheint das erste Bugfix Release. Mit Version 2.0.1 sollen jetzt alle Komponenten auf das ZendEscaper-API zugreifen. Zusätzlich wurden rund 60 kleinere

69 Prozent mehr SQL-Injections in drei Monaten

Vom ersten zum zweiten Quartal 2012 ist die Zahl von SQL-Attacken auf Kunden des Cloud-Hosters FireHost um 69 Prozent gestiegen, berichtet Emil Protalinski bei ZDnet. Kundendaten werden damit gestohlen

WordPress rät dringend zum Update auf Version 3.3.2

Das Sicherheits-Update auf WordPress 3.3.2 behebt Lücken in Plupload, SWFUpload sowie SWFObject. Außerdem konnten Seiten-Admins in Version 3.3.1 unter bestimmten Umständen Plug-ins global abschalten.

Sicherheitsupdate Joomla 2.5.2 wurde freigegeben

Das Sicherheitsupdate Joomla! 2.5.2 wurde freigegeben. Der Release löst kritische Sicherheitslücken. Eine davon wurde als mittlere Bedrohung eingestuft, die andere hatte höchste Priorität. Betroffene

WordPress 3.3.1 behebt Sicherheitslücken

Nur einen knappen Monat nach dem Erscheinen von Wordpress 3.3 Mitte Dezember 2011 ist nun bereits WordPress 3.3.1 verfügbar. Die neuste Version der Blogging Software behebt 15 Probleme der Vorgängerversion,

Angriffe auf Webapplikationen und Anwender mit Java und LiveConnect

Skriptbasierte Angriffe auf Webapplikationen und deren Anwender sind in aller Munde. Cross-Site Scripting, DOMXSS, und Cascading-Stylesheet-(CSS-)basierte Attacken ermöglichen es Angreifern, sensible Daten zu stehlen, den Anwender zu belauschen und Tastatureingaben mitzuschneiden. Ein gezielter XSS-Angriff auf eine Webseite erlaubt es Angreifern, den Anwender und sein Verhalten auf der angegriffenen Domain komplett fern zu steuern. Im schlimmsten Fall gelingt es dem Bösewicht, eine Browserlücke auszunutzen und so Malware auszuliefern, die den Computer des Anwenders nachhaltig schädigt.

DOMXSS – Angriffe aus dem Nirgendwo

Eine der am meisten unterschätzten und am häufigsten belächelten Klassen an Sicherheitslücken ist ohne Zweifel das DOM-basierte Cross Site Scripting, kurz DOMXSS. Als kleiner Bruder vom "echten" XSS, der über GET oder POST hereinpoltert und seine Spuren im Client wie auch meist den Serverlogs hinterlässt, hat man es auch nicht leicht. Herkömmliches Cross Site Scripting hat in den letzten Wochen und Monaten viel Presse bekommen – und ist unter Sicherheitsexperten spätestens seit Samy Kamkars mehr oder weniger böswilligen Angriff auf MySpace im Jahre 2005 bekannt.

HTML sicher und pur

Das Entwicklerteam des HTML-Purifiers hat mit Version 4.1 ein Security-Release veröffentlicht. Es soll die Einbindung von Cross-Site Scripting (XSS) über Sicherheitslücken des Internet Explorers verhindern.

X
- Gib Deinen Standort ein -
- or -