16.10.2008
About Security #177: Schwachstellen-Suche: Directory-Traversal
Bei der Suche nach Schwachstellen in Webanwendungen geht es ab dieser Folge
um Schwachstellen, die den Zugriff auf normalerweise nicht zugängliche
Dateien erlauben. Den Anfang macht dabei die
Directory-Traversal-Schwachstelle.
Einführung
Jede Webanwendung besteht aus mehr oder weniger vielen ...
15.10.2008
Microsoft Patchday - 11 Bulletins schließen 20 Schwachstellen
Am Oktober-Patchday hat Microsoft wie angekündigt elf Security-Bulletins veröffentlicht, von denen vier als insgesamt
kritisch eingestuft wurden. Sechs weitere wurden als important/wichtig
eingestuft, eines als moderat. Wie diese Einstufungen zustande gekommen
sind, verrät ein Eintrag im ...
14.10.2008
XML-Report: Endlich Stimmung in der Bude
Was in den vergangenen Tagen an neuen Sprachentwürfen,
Neuentwicklungen und Spezifikationen auf die XML-Welt losgelassen
wurde, ist unglaublich. So gibt es beispielsweise allein sieben neue
Arbeitsentwürfe zu OWL. Und auch Microsoft hat wieder etwas Neues
zu ...
13.10.2008
KW 42/08 - Standpunkt Sicherheit
Die Telekom ist immer für einen Skandal gut und hat sich damit auch in
diesem Standpunkt Sicherheit einen Platz gesichert. Außerdem
vertreten: Der Bundes-E-Mail-Dienst De-Mail und ein Kommentar zu PHP und
Suhosin.
"Gestohlene Daten wieder da"
Hurra, die ...
08.10.2008
About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
SQL-Injection kann durch die Filterung der Benutzereingaben und dem Einsatz
von Prepared Statements verhindert werden. Worauf dabei zu achten ist,
erfahren Sie in dieser Folge.
Benutzereingaben filtern
Wie bereits in About Security
#172
zu sehen war, können Filter ...
07.10.2008
XML-Report: Arm, aber sexy
Berlin ist – und das ist keine Floskel – immer eine Reise wert. Die
einen zieht es auf die Museumsinsel, ein bisschen Kultur schnuppern.
Anderen haben es die so genannten In-Bezirke Friedrichshain und
Mitte/Kreuzberg angetan. ...
06.10.2008
Suchmaschinenmarkt: Microsoft baut Standort München aus
"Wir sind davon überzeugt, dass der Suchmaschinenmarkt noch in den Kinderschuhen steckt." Mit diesen Worten kündigte Microsoft CEO Steve Ballmer in Paris den Aufbau dreier Suchtechnologiezentren in Europa an. In London, München und ...
06.10.2008
KW 41/08 - Standpunkt Sicherheit
Die Datenschutzskandale bei der Telekom sind das Thema dieses Standpunkt
Sicherheit. Welche Skandale? Den mit den 17 Millionen Kundendaten und den
mit den Einzelverbindungsnachweisen der Aufsichtsräte. Vielleicht
sollte man dafür mal eindeutige Bezeichner einführen, damit man
bei ...
02.10.2008
All inklusive oder maßgeschneidert? Über Hürden und versteckte Kosten bei Open-Source-CMS
Als Unternehmen muss man auch beim Webauftritt auf das Geld achten. Der Einsatz eines Open-Source-CMS bietet sich meist an – es ist frei verfügbar und bei den großen Anbietern auch mit jeder Menge ...
02.10.2008
About Security #175: Schwachstellen-Suche: Blind SQL-Injection
Blind SQL-Injection, manchmal auch als semantikbasierte SQL-Injection
bezeichnet, funktioniert genau anders herum als normale SQL-Injection:
Während bei einem herkömmlichen SQL-Injection-Angriff die
Bedeutung der vorhandenen SQL-Abfrage geändert wird, bleibt sie bei
einer Blind SQL-Injection erhalten, lediglich ihr Inhalt ...
30.09.2008
XML-Report: Hinkende Vergleiche
Jetzt kommt sie wieder, die Jahreszeit, in der viele
Aktivitäten wetterabhängig sind. Im Sommer ist es ja ganz
einfach: Sobald die Sonne scheint, muss man einfach raus. Das gilt auch
dann, wenn man nach zwei ...
29.09.2008
KW 40/08 - Standpunkt Sicherheit
Ein Wurm, der eine 2 Jahre alte lokale Schwachstelle ausnutzt, und ein
Kommentar zur 'Benutzer sind Idioten'-Studie sind das Thema dieses
Standpunkt Sicherheit.
Lokale Privilegieneskalation ist harmlos?
Schwachstellen, die angemeldeten Benutzern das Erlangen höherer
Benutzerrechte erlauben, werden oft ...
24.09.2008
About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
Außer den bisher beschriebenen SQL-Injection-Angriffen gibt es
weitere Möglichkeiten, wie ein Angreifer seinen SQL-Code an die
Datenbank schicken kann. Eine solche Möglichkeit ist die SQL-Injection
2. Ordnung, die in dieser Folge beschrieben wird.
To Escape or not ...
23.09.2008
Oracle OpenWorld 2008: Oracle meets SharePoint
Am gestrigen Montag, 22. September, eröffnete die Oracle OpenWorld 2008 im Moscone Center in San Francisco. Auf seiner einleitenden Keynote stellte Oracles Präsident Charles Phillips dabei wenig überraschend fest, dass sein Unternehmen in ...
23.09.2008
WebKit jetzt extrem fischig!
Die Browser-Engine WebKit (die zum Beispiel von Safari verwendet wird) hat ein neues umfangreiches Update ihrer JavaScript-Engine spendiert bekommen. SquirrelFish Extreme (SFX) lautet der Name und beschleunigt die Verarbeitung von JavaScript-Inhalten im Vergleich ...
|
