Freitag, 9. Januar 2009

Alle Topthemen

Mittwoch, 7. Januar 2009
About Security #187: Schwachstellen-Suche: Scriptcode Injection

About Security #187: Schwachstellen-Suche: Scriptcode Injection

Nach dem in About Security #184, #185 und #186 beschriebenen Einschleusen von Shellbefehlen in Systemaufrufe geht es ab dieser Folge um das Einschleusen von Schadcode in Skriptsprachen und die Suche danach. Gelingt es einem Angreifer, eigenen Code in den Code der Webanwendung einzuschleusen, kann er damit die Kontrolle über den angegriffenen Server übernehmen. Derartige Angriffe sind im wesentlichen in …
Donnerstag, 25. Dezember 2008
About Security: Nützliche Cheat Sheets, interessante Blogs

About Security: Nützliche Cheat Sheets, interessante Blogs

Bereits im Weihnachts-Special 2006 gab es an dieser Stelle eine Vielzahl von Literaturtips aus dem Bereich "Sicherheit" und verwandten Themengebieten. Während der Schwerpunkt damals auf eBooks und Artikeln lag, gibt es dieses Jahr Hinweise auf nützliche Cheat Sheets und interessante Blogs. Die Auswahl ist dabei relativ willkürlich zusammengestellt und erhebt natürlich keinerlei Anspruch auf Vollständigkeit. Ich hoffe, es …
Mittwoch, 17. Dezember 2008
About Security #186: Schwachstellen-Suche: OS Command Injection (3)

About Security #186: Schwachstellen-Suche: OS Command Injection (3)

Im Rahmen der Suche nach Command-Injection-Schwachstellen in Webanwendungen geht es in dieser Folge um die Frage, wie ein Angreifer evtl. vorhandene Einschränkungen umgehen kann. Außerdem erfahren Sie, wie Sie Command Injection in ihrer Webanwendung verhindern können. Was Halbes ist besser als nichts In manchen Fällen ist es nicht möglich, einen vollständigen Befehl einzuschleusen. Das könnte z.B. daran …
Montag, 15. Dezember 2008
IE-0-Day-Exploits auf dem Vormarsch

IE-0-Day-Exploits auf dem Vormarsch

Die 0-Day-Schwachstelle im Internet Explorer wird immer massiver ausgenutzt, außerdem sind außer dem Internet Explorer 7 wahrscheinlich auch alle anderen aktuellen Versionen betroffen. Bisher sind allerdings nur Angriffe gegen Version 7 bekannt. Schwachstelle wird massiv ausgenutzt Laut Handler's Diary des ISC und verschiedenen Sicherheitsunternehmen nehmen Angriffe über die 0-Day-Schwachstelle massiv zu. Im Handler's Diary wird über …
Freitag, 12. Dezember 2008
Weltweit erstes Magazin für Ruby on Rails geht an den Start

Weltweit erstes Magazin für Ruby on Rails geht an den Start

Kaum eine andere Kombination aus Skriptsprache und Framework hat in den letzten Monaten so viel Wirbel unter Entwicklern von Web-Applikationen hinterlassen, wie Ruby on Rails. Die Bandbreite reicht von Vorurteilen ("Rails skaliert nicht") bis hin zu ehrlicher Begeisterung ("Ruby on Rails rockt."). Die Rails-Community hat im vergangenen Jahr alle Anstrengungen unternommen …
Donnerstag, 11. Dezember 2008
About Security #185: Schwachstellen-Suche: OS Command Injection (2)

About Security #185: Schwachstellen-Suche: OS Command Injection (2)

Die Suche nach Command-Injection-Schwachstellen in Webanwendungen geht weiter: In dieser Folge erfahren Sie, wie Sie die für den Aufruf von Systembefehlen verwendeten Parameter prüfen können. Shell-Metazeichen Es gibt zwei Gruppen üblicher Metazeichen, über die ein neuer Befehl in einen vorhandenen Befehlsaufruf eingeschleust werden kann: Die Zeichen ; ¦ & und Newline können verwendet werden, um mehrere …
Mittwoch, 10. Dezember 2008
Microsoft Patchday - 8 Bulletins schließen 27 Schwachstellen

Microsoft Patchday - 8 Bulletins schließen 27 Schwachstellen

Am Dezember-Patchday hat Microsoft wie angekündigt sechs als kritisch und zwei als wichtig eingestufte Security-Bulletins veröffentlicht. Insgesamt schließen die Bulletins 27 Schwachstellen, von denen nur eine zuvor öffentlich bekannt war - die wird dafür aber auch bereits für gezielte Angriffe ausgenutzt. MS08-070: Visual Basic 6.0 Runtime Extended Files Das insgesamt als kritisch eingestufte Bulletin MS08-070 betrifft u.a. die …
Donnerstag, 4. Dezember 2008
About Security #184: Schwachstellen-Suche: OS Command Injection

About Security #184: Schwachstellen-Suche: OS Command Injection

Das Einschleusen von Shell-Befehlen, die sog. OS Command Injection, ist das Thema dieser Folge. Derartige Schwachstellen können in jeder Webanwendung vorkommen, die Benutzereingaben ungeprüft für Betriebssystem-Aufrufe verwendet. Einführung Im allgemeinen stellen die vorhandenen APIs der Webserver-Plattformen alle nötigen Funktionen für die Interaktion mit dem Betriebssystem des Servers zur Verfügung. Egal ob Zugriffe auf das Dateisystem, die Kommunikation mit anderen …
Jetzt wird Java bunt: JavaFX 1.0 kommt!

Jetzt wird Java bunt: JavaFX 1.0 kommt!

Nach über eineinhalb Jahren wird heute nun die Finalversion von JavaFX, Suns neuer Java-Technologie für Rich Internet Applications und für Mobiltelefone, erwartet. JavaFX, das anfänglich wegen seiner schleppenden Entwicklung eher kritisch betrachtet wurde, hat seit der Verfügbarkeit des ersten Preview SDK im August dieses Jahres gezeigt, dass es sich um eine ernsthafte Technologie handelt. Auch unser Test vom …
Montag, 1. Dezember 2008
Das Management hat's vermasselt - MySQL-Gründer warnt vor dem Release 5.1

Das Management hat's vermasselt - MySQL-Gründer warnt vor dem Release 5.1

Kaum nach dem Erscheinen des aktuellen Release 5.1 der relationalen Datenbank MySQL sieht sich MySQL-Mitgründer Michael "Monty" Widenius auch schon gezwungen, eine erste Warnung herauszugeben: The reason I am asking you to be very cautious about MySQL 5.1 is that there are still many known and unknown fatal bugs in the new …
Donnerstag, 27. November 2008
About Security #183: Schwachstellen-Suche: Remote File Inclusion

About Security #183: Schwachstellen-Suche: Remote File Inclusion

Die sog. Remote File Inclusion, RFI, ist quasi der bösere Bruder von Directory-Traversal-Schwachstellen: Statt auf Dateien auf dem lokalen Server wird dabei auf Dateien auf entfernten Servern zugegriffen, und statt diese nur einfach anzuzeigen, werden sie, meist in PHP-Skripten, eingebunden und dadurch darin enthaltener Schadcode ausgeführt. Einige Einschränkungen Die erste Einschränkung steht bereits in der Einleitung: Remote …
Neuer Wurm nutzt Windows RPC-Schwachstelle

Neuer Wurm nutzt Windows RPC-Schwachstelle

Die Angriffe über die von Microsoft im Oktober durch einen außerplanmäßigen Patch behobene Schwachstelle im RPC-Service nehmen weiter zu. Das berichten sowohl Microsofts Malware Protection Center als auch Microsofts Security Response Center. Der neue Wurm Microsoft bezeichnet den neuen Wurm als Worm:Win32/Conficker.A. Nach der erfolgreichen Installation patcht der Wurm die Schwachstelle im Speicher, um Konkurrenten auszusperren. Interessanterweise versucht der Wurm, seinen Standort …
Donnerstag, 20. November 2008
About Security #182: Schwachstellen-Suche: Directory-Traversal (6)

About Security #182: Schwachstellen-Suche: Directory-Traversal (6)

Nach der Beschreibung von Directory-Traversal-Schwachstellen sowie der Suche danach geht es in dieser Folge um die Verhinderung von Directory-Traversal-Angriffen. Sicher: Keine Dateisystemaufrufe mit Benutzerdaten Manipulationen am Dateisystem verhindert man am einfachsten, indem man keine vom Benutzer manipulierbaren Parameter für Zugriffe aufs Dateisystem verwendet: Werden für den Aufruf von Dateisystemfunktionen keine vom Client gelieferten Parameter als Bestandteil von Pfad …
Dienstag, 18. November 2008
BizSpark: Microsoft unterstützt junge IT-Unternehmen

BizSpark: Microsoft unterstützt junge IT-Unternehmen

Auf der Entwicklerkonferenz Xtopia hat Microsoft heute sein weltweites Programm BizSpark vorgestellt. Damit will der Softwarekonzern IT-Unternehmen in der Gründungsphase in Deutschland und 36 weiteren Ländern unterstützen. Für eine Programmgebühr von 100 US-Dollar erhalten die Unternehmen vollen Zugang zu Microsofts Entwicklungssoftware und Servertechnologien, die schnell und unkompliziert als Download zur Verfügung …
Montag, 17. November 2008
Xtopia 08: Azure, IE8, Silverlight 2 und Surface

Xtopia 08: Azure, IE8, Silverlight 2 und Surface

Microsoft stellt auf der Xtopia 08 neben Internet Explorer 8, Silverlight 2 und Microsoft Surface jetzt Windows Azure erstmals in Deutschland vor. Ein weiteres Highlight wird die Verleihung des Silverlight Gadget Awards am ersten Konferenztag sein. Die Xtopia 08 findet vom 17. bis 18. November im Internationalen Congress Centrum ICC Berlin …
Donnerstag, 13. November 2008
About Security #181: Schwachstellen-Suche: Directory-Traversal (5)

About Security #181: Schwachstellen-Suche: Directory-Traversal (5)

Auch in dieser Folge geht es um die Suche nach Directory-Traversal-Schwachstellen. Ein üblicher Ansatz zur Verhinderung von Directory-Traversal-Angriffen ist das Erkennen und evtl. Ausfiltern der Directory-Traversal-Sequenzen, ein weiterer der Test auf das Vorhandensein bestimmter Suffixe (z.B. Dateiendungen) oder Präfixe (z.B. ein Startverzeichnis) Die Angriffe können aber auf verschiedene Arten kodiert werden, um so die Prüffunktion zu unterlaufen. …
Mittwoch, 12. November 2008
Microsoft Patchday - 2 Bulletins schließen 4 Schwachstellen

Microsoft Patchday - 2 Bulletins schließen 4 Schwachstellen

Am November-Patchday hat Microsoft wie angekündigt je ein kritisches und ein wichtiges Security-Bulletins veröffentlicht. Insgesamt schließen die Bulletins vier Schwachstellen, von denen zwei zuvor öffentlich bekannt waren - das aber auch schon sehr lange. MS08-069: Drei Schwachstellen im Microsoft XML Core Services Das Security Bulletin MS08-069 gilt drei Schwachstellen im Microsoft XML Core Services und wird insgesamt als …
TechEd EMEA 2008: Die Zukunft von Visual Studio und .NET

TechEd EMEA 2008: Die Zukunft von Visual Studio und .NET

Auf der Tech•Ed EMEA 2008 Developers in Barcelona hat Microsoft neue Technologien vorgestellt, die Entwicklern in Visual Studio 2008 Service Pack 1 (SP1) und .NET Framework 3.5 SP1 sowie die kommenden Versionen Visual Studio 2010 und .NET Framework 4 zur Verfügung stehen. Zudem stellt das Unternehmen neue Tools und Programme bereit, …
Donnerstag, 6. November 2008
About Security #180: Schwachstellen-Suche: Directory-Traversal (4)

About Security #180: Schwachstellen-Suche: Directory-Traversal (4)

Was Directory-Traversal-Schwachstellen sind und was ein Angreifer durch ihre Ausnutzung erreichen kann, erfuhren Sie in About Security #177, #178 und #179. Ab dieser Folge geht es um die Suche nach diesen Schwachstellen. Mögliche Angriffspunkte ermitteln Schon beim Sammeln von Informationen über die Webanwendung wurden die Parameter ermittelt, über die Dateien herauf- oder heruntergeladen werden können. Typische Beispiele dafür sind Parameter …
Dienstag, 4. November 2008
Security Report: Mehr Schadprogramme, weniger Sicherheitslücken

Security Report: Mehr Schadprogramme, weniger Sicherheitslücken

Microsoft hat die fünfte Ausgabe seines Microsoft Security Intelligence Reports (SIR v5) während der Tech-Ed EMEA IT Professionals 2008 herausgegeben. SIR basiert auf Daten von hunderten Millionen Computern weltweit. Die Ergebnisse wurden in der ersten Hälfte des Jahres 2008 ermittelt. Sie zeigen, dass einerseits Microsoft und andere Unternehmen deutliche Fortschritte beim …
1 2 3 4 5 6      weiter »