Firefox-Extension: InFormEnter

11 12 2007 23:36
Eben bin ich über die Firefox-Extension "InFormEnter" gestolpert, welche eigentlich die Aufgabe hat vordefinierte Zeichenketten per Mausklick in jedes Formularfeld einfügen zu können. Dazu befindet sich neben jedem Feld ein Symbol über dieses dann die gewünschte Zeichenkette eingefügt werden kann. So lässt sich bequem die eigene Adresse oder Telefonnummer mittels Mausklick einfügen.

Jedoch kann man dieses Tool auch etwas zweckentfremden und Injection-Zeichenketten (SQL, JavaScript, etc.) abspeichern. So fällt das lästige Copy & Paste aus den eigenen Cheatsheets weg.

Meinen Blog-Eintrag "Hacken von Web-Applikationen mit Firefox-Extensions" habe ich dazu passend aktualisiert.


Twitter Bookmark Firefox-Extension: InFormEnter  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Firefox-Extension: InFormEnter Mixx Firefox-Extension: InFormEnter Bloglines Firefox-Extension: InFormEnter Technorati Firefox-Extension: InFormEnter Fark this: Firefox-Extension: InFormEnter Bookmark Firefox-Extension: InFormEnter  at YahooMyWeb Bookmark Firefox-Extension: InFormEnter  at Furl.net Bookmark Firefox-Extension: InFormEnter  at reddit.com Bookmark Firefox-Extension: InFormEnter  at blinklist.com Bookmark Firefox-Extension: InFormEnter  at Spurl.net Bookmark Firefox-Extension: InFormEnter  at NewsVine Bookmark Firefox-Extension: InFormEnter  at Simpy.com Bookmark Firefox-Extension: InFormEnter  at blogmarks Bookmark Firefox-Extension: InFormEnter  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Insecurity 2.0

13 04 2007 19:42
Mit Einzug von Web 2.0 und der damit verbundenen Rückeroberung des Internets von Benutzerseite aus, wurden zeitgleich auch neue Gefahren geschaffen, die für den Benutzer wesentlich schwieriger als zuvor abzuwenden sind.

Die Absicherung des heimischen Netzwerks oder Computer lässt sich im Normalfall noch recht leicht bewerkstelligen, so dass man nicht auf Grund eines Buffer-Overflows in irgendeinem Netzwerkdienst Spammern gleich Tür und Tor zu seinem Rechner öffnet. Stichwort: Botnetz.

Wovor sich Otto-Normalanwender allerdings weniger gut schützen kann, sind Angriffe auf Web-Applikationen, die in den letzten Jahre einen wahren Ansturm erlebt haben, weil er fast nichts dagegen unternehmen kann, außer sich entsprechendes Wissen anzueignen und stets alles und jedem zu misstrauen.

Oft basiert ein für den Nutzer gefährlicher Angriff auf JavaScript (XSS und zum Teil auch XFS). XSA, und CSRF bauen, aber nicht zwingend auf JavaScript (oder auch VBScript in der Windows-Welt) angewiesen sind. Durch den Missbrauch von JavaScript werden allerdings auch Cookies wieder gefährlich, da sie Nutzerdaten enthalten, welche möglichst nicht in die Hände eines Angreifers fallen sollten. Neuerdings lässt sich mit JavaScript Port-Scanning von LANs über das Internet bewerkstelligen. Dazu später noch mehr.

Mit JavaScript lässt sich allerdings auch der Browser-Verlauf, sprich: History, stehlen. Ein weiterer Angriff auf die Privatsphäre.

Wer den Internet Explorer von Microsoft benutzt, der ist auch weiterhin der Gefahr von bösartigen ActiveX-Controls ausgesetzt, sofern die Benutzung dieser Controls eingestellt oder wenigstens weitgehend eingeschränkt wird (nur Windows Update erlauben o.ä.). Leider lässt sich diese Gefahrenquelle auch in Alternative-Browser integrieren (z.B. Mozilla Firefox). Davon sollte man aber natürlich Abstand nehmen.

"Insecurity 2.0" vollständig lesen


Twitter Bookmark Insecurity 2.0  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Insecurity 2.0 Mixx Insecurity 2.0 Bloglines Insecurity 2.0 Technorati Insecurity 2.0 Fark this: Insecurity 2.0 Bookmark Insecurity 2.0  at YahooMyWeb Bookmark Insecurity 2.0  at Furl.net Bookmark Insecurity 2.0  at reddit.com Bookmark Insecurity 2.0  at blinklist.com Bookmark Insecurity 2.0  at Spurl.net Bookmark Insecurity 2.0  at NewsVine Bookmark Insecurity 2.0  at Simpy.com Bookmark Insecurity 2.0  at blogmarks Bookmark Insecurity 2.0  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten

11 03 2007 14:41
Wenn man eine Sicherheitslücke findet, stellt sich die Frage nach dem Umgang mit ihr. Bei Open Source-Projekten kassiert man für eine Veröffentlichung eher keinen Ärger. Außerdem steht es einem selber frei, einen eigenen Patch dafür gleich mit zu veröffentlichen.

Bei Closed Source-Software sieht es schon wieder etwas anders aus. Da kommt es auf den jeweiligen Konzern drauf an, wie er damit umgeht. Bei Microsoft braucht man nicht wirklich Angst vor Konsequenzen zu haben, obwohl der Konzern gewaltig ist. Bei Cisco sieht dies schon wieder ganz anders aus, wie die Vergangenheit mit IOS gezeigt hat. Hier wird man zumeist mundtot gemacht.

Mit Einzug von Web 2.0 beim Internet-User in Form von mehr eigener Beteiligung und einer, sozusagen, Rückeroberung des Netzes, schossen viele neue Portale und Web-Applikationen aus dem digitalen Boden. So ist es nur normal, dass sich auch dort Schwachstellen einschleichen, die zu XSS, XFS, (Blind) SQL-Injections u.ä. führen.

Aber auch Webseiten, die nicht erst im Zuge von Web 2.0 entstanden sind, bieten massenhaft solcher Lücken, die mehr oder weniger schwerwiegend ausgenutzt werden können.

Besonders schlimm wird es, wenn man Banken andere Frames unterschieben kann, um dann bspw. das dortige Online-Banking zu kapern. Aber auch Shops sehen es nicht gerne, wenn man mittels SQL-Injections die Preis nach unten korrigiert. Identitätsklau durch XFS oder XSS (schön gelayert) ist ebenfalls ein nicht zu vernachlässigendes Problem. Image-Verlust durch einen client- oder serverseitigen XSS-Angriff betrifft aber auch Webseiten, wo es sonst rein gar nichts zu holen gibt, wo kein Shop, Login, o.ä. vergleichbar heikles angeboten wird.

Wenn man nun also so eine Lücke findet und dies gerade nicht auf einer Webseite ist, wo es eher weniger ausmacht - also nicht gerade eine Bank - dann sollte man den Betreiber der Webseite oder des Portals (meist kommerzielle CMS-Systeme) darauf hinweisen.


"Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten" vollständig lesen


Twitter Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten Mixx Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten Bloglines Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten Technorati Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten Fark this: Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  at YahooMyWeb Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  at Furl.net Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  at reddit.com Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  at blinklist.com Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  at Spurl.net Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  at NewsVine Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  at Simpy.com Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  at blogmarks Bookmark Full-Disclosure, Responsible Disclosure oder einfach mal die Fresse halten  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Ups !

13 11 2006 22:00

Ups !

Vielleicht sollte ich meine Finger besser von Datenbanken im Netz lassen ... ich finde immer zu schnell etwas ... ;-)


Twitter Bookmark Ups !  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Ups ! Mixx Ups ! Bloglines Ups ! Technorati Ups ! Fark this: Ups ! Bookmark Ups !  at YahooMyWeb Bookmark Ups !  at Furl.net Bookmark Ups !  at reddit.com Bookmark Ups !  at blinklist.com Bookmark Ups !  at Spurl.net Bookmark Ups !  at NewsVine Bookmark Ups !  at Simpy.com Bookmark Ups !  at blogmarks Bookmark Ups !  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Sun bietet unsichere Beispiele in Java an

15 10 2006 22:29
Der Hersteller Sun bietet auf seiner Webseite Lernmaterial für Java an.

So weit eine nette Sache, da sich im Online-Training einige interessante Listings finden lassen. Jedoch sind die Beispiele unsicher programmiert.

Da Beispiele unabhängig von der Copyright-Frage doch gerne kopiert werden, schleichen sich so auch schwerwiegende Probleme mit in die eigene Applikation ein.

Gestolpert bin ich in "Code Search" von Google über folgendes Konstrukt mit Java als Frontend und PostgreSQL als Backend (stark gekürztes Listing):

try { Connection con = getConnection(); Statement stmt = con.createStatement(); stmt.executeQuery("select password from registration where theuser = '" + theuser + "'"); (...)

Sowie:

session = startSession (request.getParameter("theuser"), request.getParameter ("password"), response); (...)

Dazwischen findet keinerlei Überprüfung von "theuser" statt. Leider befinden sich auch keinerlei Kommentare im Quelltext, die auf unsicheren Code hinweisen - und das bei einem Beispiel für einen Login ...


Twitter Bookmark Sun bietet unsichere Beispiele in Java an  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Sun bietet unsichere Beispiele in Java an Mixx Sun bietet unsichere Beispiele in Java an Bloglines Sun bietet unsichere Beispiele in Java an Technorati Sun bietet unsichere Beispiele in Java an Fark this: Sun bietet unsichere Beispiele in Java an Bookmark Sun bietet unsichere Beispiele in Java an  at YahooMyWeb Bookmark Sun bietet unsichere Beispiele in Java an  at Furl.net Bookmark Sun bietet unsichere Beispiele in Java an  at reddit.com Bookmark Sun bietet unsichere Beispiele in Java an  at blinklist.com Bookmark Sun bietet unsichere Beispiele in Java an  at Spurl.net Bookmark Sun bietet unsichere Beispiele in Java an  at NewsVine Bookmark Sun bietet unsichere Beispiele in Java an  at Simpy.com Bookmark Sun bietet unsichere Beispiele in Java an  at blogmarks Bookmark Sun bietet unsichere Beispiele in Java an  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

XSS, XFS und SQL-Injection

09 05 2006 16:27
Webdesign-Firmen sind ja in den letzten Jahren wie Pilze aus dem Boden geschossen. Jeder der etwas HTML "programmieren" konnte und mit Flash umzugehen wußte, hat wohl sein eigenes Unternehmen gegründet.

Ein Bekannter von mir, seines Zeichens Einzelunternehmer, hat sich seinen eigenen Webauftritt erarbeiten lassen inkl. Shop-System. Er wollte etwas eigenes haben und nichts von der Stange. Das scheint wohl bei der ausgesuchten Webdesign-Firma nicht der Glücksgriff gewesen zu sein.

Irgendwann habe ich aufgehört die Fehler zu zählen, die gemacht worden sind und ich habe noch nicht einmal alle Möglichkeiten ausgeschöpft (z.B. die Benutzung von Formularen).

Fehler, die Cross-Site Scripting (XSS bzw. auch ab und zu CSS genannt) ermöglichen, sind die am meisten gemachten Fehler. Dicht gefolgt von SQL-Injection-Bugs. XFS (Cross-Frame Scripting), dürfte von der Bezeichnung her eher ungeläufig sein, aber ich habe hier direkt einmal die Gelegenheit gehabt, einen solchen XFS-Bug zu finden. Als letztes wäre noch die Blind SQL-Injection-Attacke zu nennen, die ebenfalls erfolgreich war.

Dies betrifft jetzt nur das Webdesign und den Shop. Der Hoster ist auch nicht unbedingt ein Paradebeispiel für Sicherheit. Zumindest die Banner lassen verlauten, dass die eingesetzte Apache-Version mind. für fünf Sicherheitslücken gut ist und das PHP-Modul ebenfalls.

Zu geschwätzig ist der Server auch: PHPinfo läßt weitere Rückschlüsse zu. Zudem erfährt man auch, dass die integrierten rudimentären Sicherheitsfunktionen wie z.B. magic_quotes() ungenutzt sind.

Ansonsten läßt sich hier und da noch erkennen, dass auch anderweitig schlampig gearbeitet wurde. (Verweise auf fehlenden Dateien und nicht konformes HTML.) Zur Qualität des Codes sage ich einmal nichts (und damit meine ich jetzt keinen Code-Audit als solchen - hier also PHP).

Im Großen und Ganzen: setzen, sechs !


Twitter Bookmark XSS, XFS und SQL-Injection  at del.icio.us Facebook Google Bookmarks FriendFeed Digg XSS, XFS und SQL-Injection Mixx XSS, XFS und SQL-Injection Bloglines XSS, XFS und SQL-Injection Technorati XSS, XFS und SQL-Injection Fark this: XSS, XFS und SQL-Injection Bookmark XSS, XFS und SQL-Injection  at YahooMyWeb Bookmark XSS, XFS und SQL-Injection  at Furl.net Bookmark XSS, XFS und SQL-Injection  at reddit.com Bookmark XSS, XFS und SQL-Injection  at blinklist.com Bookmark XSS, XFS und SQL-Injection  at Spurl.net Bookmark XSS, XFS und SQL-Injection  at NewsVine Bookmark XSS, XFS und SQL-Injection  at Simpy.com Bookmark XSS, XFS und SQL-Injection  at blogmarks Bookmark XSS, XFS und SQL-Injection  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca