Inhalte überspringen »
Alle Topthemen
Mittwoch, 7. Januar 2009
About Security #187: Schwachstellen-Suche: Scriptcode Injection
Nach dem in About Security
#184,
#185
und
#186
beschriebenen Einschleusen von Shellbefehlen in Systemaufrufe geht es ab
dieser Folge um das Einschleusen von Schadcode in Skriptsprachen und die
Suche danach.
Gelingt es einem Angreifer, eigenen Code in den Code der Webanwendung
einzuschleusen, kann er damit die Kontrolle über den angegriffenen
Server übernehmen. Derartige Angriffe sind im wesentlichen in …
Donnerstag, 25. Dezember 2008
About Security: Nützliche Cheat Sheets, interessante Blogs
Bereits im Weihnachts-Special
2006
gab es an dieser Stelle eine Vielzahl von Literaturtips aus dem Bereich
"Sicherheit" und verwandten Themengebieten. Während der Schwerpunkt damals
auf eBooks und Artikeln lag, gibt es dieses Jahr Hinweise auf nützliche
Cheat Sheets und interessante Blogs. Die Auswahl ist dabei relativ
willkürlich zusammengestellt und erhebt natürlich keinerlei Anspruch
auf Vollständigkeit. Ich hoffe, es …
Mittwoch, 17. Dezember 2008
About Security #186: Schwachstellen-Suche: OS Command Injection (3)
Im Rahmen der Suche nach Command-Injection-Schwachstellen in Webanwendungen
geht es in dieser Folge um die Frage, wie ein Angreifer evtl. vorhandene
Einschränkungen umgehen kann. Außerdem erfahren Sie, wie Sie
Command Injection in ihrer Webanwendung verhindern können.
Was Halbes ist besser als nichts
In manchen Fällen ist es nicht möglich, einen vollständigen
Befehl einzuschleusen. Das könnte z.B. daran …
Montag, 15. Dezember 2008
IE-0-Day-Exploits auf dem Vormarsch
Die
0-Day-Schwachstelle im Internet Explorer
wird immer massiver ausgenutzt, außerdem sind außer dem Internet Explorer 7
wahrscheinlich auch alle anderen aktuellen Versionen betroffen. Bisher sind
allerdings nur Angriffe gegen Version 7 bekannt.
Schwachstelle wird massiv ausgenutzt
Laut Handler's Diary des ISC und verschiedenen Sicherheitsunternehmen
nehmen Angriffe über die 0-Day-Schwachstelle massiv zu. Im Handler's Diary
wird über …
Donnerstag, 11. Dezember 2008
About Security #185: Schwachstellen-Suche: OS Command Injection (2)
Die Suche nach Command-Injection-Schwachstellen in Webanwendungen geht
weiter: In dieser Folge erfahren Sie, wie Sie die für den Aufruf von
Systembefehlen verwendeten Parameter prüfen können.
Shell-Metazeichen
Es gibt zwei Gruppen üblicher Metazeichen, über die ein neuer
Befehl in einen vorhandenen Befehlsaufruf eingeschleust werden kann:
Die Zeichen ; ¦ & und Newline können verwendet werden,
um mehrere …
Mittwoch, 10. Dezember 2008
Microsoft Patchday - 8 Bulletins schließen 27 Schwachstellen
Am Dezember-Patchday hat Microsoft wie angekündigt sechs als kritisch und zwei als wichtig
eingestufte Security-Bulletins veröffentlicht. Insgesamt schließen die
Bulletins 27 Schwachstellen, von denen nur eine zuvor öffentlich bekannt
war - die wird dafür aber auch bereits für gezielte Angriffe ausgenutzt.
MS08-070: Visual Basic 6.0 Runtime Extended Files
Das insgesamt als kritisch eingestufte Bulletin
MS08-070
betrifft u.a. die …
Donnerstag, 4. Dezember 2008
About Security #184: Schwachstellen-Suche: OS Command Injection
Das Einschleusen von Shell-Befehlen, die sog. OS Command Injection, ist das
Thema dieser Folge. Derartige Schwachstellen können in jeder Webanwendung
vorkommen, die Benutzereingaben ungeprüft für Betriebssystem-Aufrufe
verwendet.
Einführung
Im allgemeinen stellen die vorhandenen APIs der Webserver-Plattformen alle
nötigen Funktionen für die Interaktion mit dem Betriebssystem des
Servers zur Verfügung. Egal ob Zugriffe auf das Dateisystem, die
Kommunikation mit anderen …
Donnerstag, 27. November 2008
About Security #183: Schwachstellen-Suche: Remote File Inclusion
Die sog. Remote File Inclusion, RFI, ist quasi der bösere Bruder von
Directory-Traversal-Schwachstellen: Statt auf Dateien auf dem lokalen
Server wird dabei auf Dateien auf entfernten Servern zugegriffen, und statt
diese nur einfach anzuzeigen, werden sie, meist in PHP-Skripten,
eingebunden und dadurch darin enthaltener Schadcode ausgeführt.
Einige Einschränkungen
Die erste Einschränkung steht bereits in der Einleitung: Remote …
Neuer Wurm nutzt Windows RPC-Schwachstelle
Die Angriffe über die von Microsoft im Oktober durch einen
außerplanmäßigen Patch
behobene
Schwachstelle im RPC-Service
nehmen weiter zu. Das berichten sowohl
Microsofts Malware Protection Center
als auch
Microsofts Security Response Center.
Der neue Wurm
Microsoft bezeichnet den neuen Wurm als
Worm:Win32/Conficker.A.
Nach der erfolgreichen Installation patcht der Wurm die Schwachstelle im
Speicher, um Konkurrenten auszusperren. Interessanterweise versucht der
Wurm, seinen Standort …
Donnerstag, 20. November 2008
About Security #182: Schwachstellen-Suche: Directory-Traversal (6)
Nach der Beschreibung von Directory-Traversal-Schwachstellen sowie der
Suche danach geht es in dieser Folge um die Verhinderung von
Directory-Traversal-Angriffen.
Sicher: Keine Dateisystemaufrufe mit Benutzerdaten
Manipulationen am Dateisystem verhindert man am einfachsten, indem man
keine vom Benutzer manipulierbaren Parameter für Zugriffe aufs
Dateisystem verwendet: Werden für den Aufruf von Dateisystemfunktionen
keine vom Client gelieferten Parameter als Bestandteil von Pfad …
Donnerstag, 13. November 2008
About Security #181: Schwachstellen-Suche: Directory-Traversal (5)
Auch in dieser Folge geht es um die Suche nach
Directory-Traversal-Schwachstellen. Ein üblicher Ansatz zur
Verhinderung von Directory-Traversal-Angriffen ist das Erkennen und evtl.
Ausfiltern der Directory-Traversal-Sequenzen, ein weiterer der Test auf das
Vorhandensein bestimmter Suffixe (z.B. Dateiendungen) oder Präfixe
(z.B. ein Startverzeichnis) Die Angriffe können aber auf verschiedene
Arten kodiert werden, um so die Prüffunktion zu unterlaufen. …
Mittwoch, 12. November 2008
Microsoft Patchday - 2 Bulletins schließen 4 Schwachstellen
Am November-Patchday hat Microsoft wie angekündigt je ein kritisches und ein wichtiges
Security-Bulletins veröffentlicht. Insgesamt schließen die
Bulletins vier Schwachstellen, von denen zwei zuvor öffentlich bekannt
waren - das aber auch schon sehr lange.
MS08-069: Drei Schwachstellen im Microsoft XML Core
Services
Das Security Bulletin MS08-069 gilt drei Schwachstellen im Microsoft XML Core
Services und wird insgesamt als …
Donnerstag, 6. November 2008
About Security #180: Schwachstellen-Suche: Directory-Traversal (4)
Was Directory-Traversal-Schwachstellen sind und was ein Angreifer durch
ihre Ausnutzung erreichen kann, erfuhren Sie in About Security
#177,
#178
und
#179.
Ab dieser Folge geht es um die Suche nach diesen Schwachstellen.
Mögliche Angriffspunkte ermitteln
Schon beim Sammeln von Informationen über die Webanwendung wurden die
Parameter ermittelt, über die Dateien herauf- oder heruntergeladen
werden können. Typische Beispiele dafür sind Parameter …
Montag, 27. Oktober 2008
Neuer Wurm nutzt RPC-Schwachstelle in Windows aus
Ein neuer Wurm nutzt die am Donnerstag
gepachte
Schwachstelle
im RPC-Service
von Windows aus.
Der Wurm ist los
Microsoft stufte die Schwachstelle zwar als 'wormable', d.h. für einen Wurm
geeignet, ein, berichtete im Security Bulletin
MS08-067
aber nur von gezielten Angriffen.
Noch am Donnerstag wurde im Exploit-Archiv von Milw0rm ein
Exploit
veröffentlicht, und inzwischen ist auch der …
About Security #179: Schwachstellen-Suche: Directory-Traversal (3)
Auch in dieser Folge geht es weiter um die Beschreibung von
Directory-Traversal-Angriffen. In About Security
#178
wurden Angriffe beschrieben, bei denen der Angreifer weiß, in welchem
Verzeichnis er seinen Angriff startet. In dieser Folge geht es zuerst um
Angriffe ohne Kenntnis des Start-Verzeichnis.
Directory Traversal ohne Kenntnis des Start-Verzeichnis
Auch wenn der Angreifer nicht weiß, in welchem Verzeichnis …
Freitag, 24. Oktober 2008
Microsoft patcht kritische Lücke im RPC-Service
Das gestern von Microsoft außer der Reihe veröffentlichte Security Bulletin
MS08-067
betrifft eine
Schwachstelle im Server Service.
Eine Pufferüberlauf-Schwachstelle im RPC-Service erlaubt aus der Ferne die
Ausführung beliebigen Codes durch präparierte RPC-Requests.
Betroffen sind Windows 2000 SP4, XP SP2/SP3, Server 2003, für die das
Bulletin als kritisch eingestuft wird, sowie Vista, Vista SP1 und Server
2008, für die …
Donnerstag, 23. Oktober 2008
About Security #178: Schwachstellen-Suche: Directory-Traversal (2)
Angreifer können die in About Security
#177
vorgestellten Directory-Traversal-Schwachstellen auf verschiedene Arten
ausnutzen. Welche Möglichkeiten sie dabei haben, erfahren Sie ab
dieser Folge.
Zurück zum Beispiel
Ausgangspunkt ist weiterhin das schon in About Security
#177
verwendete Beispiel
http://www.server.example/anwendung/programm/start.asp?daten=impressum
Anders als in About Security
#177
soll jetzt aber weder die Datei
http://www.server.example/anwendung/programm/impressum
noch einen Variante mit einer Endung wie .txt,
.html o.ä. im Verzeichnis anwendung/programm
existieren. …
Donnerstag, 16. Oktober 2008
Der Weg zur dunklen Seite der Macht (oder: 5 Gründe, weshalb Software-Architekten nicht beliebt sind)
Als Chief Architect ist man manchmal so etwas wie der Darth Vader unter den Developern. Eine bedrohliche Präsenz, unter der man als Sturmtruppen-Entwickler nie so ganz weiß, wann man mit einem Projekt über die nächste Klippe geführt wird. Aber wie kann es eigentlich überhaupt dazu kommen, von der dunklen Seite der …
About Security #177: Schwachstellen-Suche: Directory-Traversal
Bei der Suche nach Schwachstellen in Webanwendungen geht es ab dieser Folge
um Schwachstellen, die den Zugriff auf normalerweise nicht zugängliche
Dateien erlauben. Den Anfang macht dabei die
Directory-Traversal-Schwachstelle.
Einführung
Jede Webanwendung besteht aus mehr oder weniger vielen verschiedenen
statischen oder dynamisch erzeugten Seiten, die vom einem Webserver an den
Benutzer ausgeliefert werden. Dabei sind die Seiten im …
Mittwoch, 15. Oktober 2008
Microsoft Patchday - 11 Bulletins schließen 20 Schwachstellen
Am Oktober-Patchday hat Microsoft wie angekündigt elf Security-Bulletins veröffentlicht, von denen vier als insgesamt
kritisch eingestuft wurden. Sechs weitere wurden als important/wichtig
eingestuft, eines als moderat. Wie diese Einstufungen zustande gekommen
sind, verrät ein Eintrag im Security Vulnerability Research & Defense
Blog. Insgesamt schließen die Bulletins 20 Schwachstellen, von denen
nur zwei zuvor öffentlich bekannt waren.
Außer …
