Inhalte überspringen »
About Security #158: Schwachstellensuche: Einfaches XSS
Ab dieser Folge geht es um Angriffe über vom Benutzer gelieferte
Daten. Den Anfang macht die Suche nach
Cross-Site-Scripting-Schwachstellen.
Schritt 5: XSS-Schwachstellen
Cross-Site-Scripting-Schwachstellen wurden …
About Security #157: Schwachstellensuche: Session Fixation
Statt beim Session Hijacking die Session ID eines Benutzers
auszuspähen, kann ein Angreifer ihm auch seine eigene
Session ID
unterschieben und authentifizieren lassen. Ein …
About Security #156: Schwachstellensuche: Session Hijacking verhindern
Wie kann das in About Security #155
vorgestellte Session Hijacking verhindert werden? Um mögliche
Gegenmaßnahmen entwickeln zu können, müssen zuerst die
möglichen Angriffe …
About Security #155: Schwachstellensuche: Session Hijacking
Um Angriffe auf Zustandsinformationen zu verhindern oder zumindest zu
erschweren, müssen diese Informationen auf dem Server anstatt auf dem
Client gespeichert werden. …
About Security #154: Schwachstellensuche: Der Referer Header
Auch die Nutzung des Referer Headers schützt die Webanwendung nicht
zuverlässig vor URL Jumping. Wieso das so ist und wie Sie …
About Security #152: Schwachstellensuche: Contra Cookie Poisoning
Wie Sie die in About Security #151
vorgestellten Cookie-Poisoning-Schwachstellen finden und was Sie gegen
derartige Angriffe unternehmen können, erfahren Sie in dieser …
About Security #150: Schwachstellensuche: Zustandsinformationen (2)
Bevor im nächsten Schritt URL-Parameter auf mögliche,
zustandsbasierte Angriffe untersucht werden können, müssen zuvor
bereits gefundene Schwachstellen beim Umgang mit Zustandsinformationen
(siehe About …
About Security #149: Schwachstellensuche: Zustandsinformationen (1)
Nachdem alle verfügbaren Informationen über die zu untersuchende
Webanwendung zusammengetragen wurden, geht es darum, diese
Informationen
gegen die Anwendung einzusetzen. Den Anfang machen …
About Security #148: Schwachstellensuche: AJAX-Clients (2)
Die Suche nach Schwachstellen in AJAX-Clients wird im Folgenden an
einem
Beispiel beschrieben: Eine Nachrichtenseite kombiniert Informationen
aus
verschiedenen RSS-Feeds.
Schwachstellensuche allgemein
Die Webanwendung läuft auf …
About Security #147: Schwachstellensuche: AJAX-Clients (1)
Versteckte Informationen im Client liefern oft wertvolle Hinweise auf
mögliche Schwachstellen. Versteckte (type="hidden") Felder
könnten z.B. Tokens zum Schutz vor CSRF-Angriffen sein, …
About Security: Ein Bericht von der CeBIT
Die CeBIT 2008 ist vorüber, Zeit für den schon traditionellen
Bericht über Neuigkeiten.
Den Anfang macht
Lock-Keeper,
eine vom Hasso-Plattner-Institut der Universität Potsdam entwickelte
Hochsicherheitslösung …
About Security #146: Schwachstellensuche: Infos im Client sammeln
Nach dem Sammeln von Informationen auf dem Server (siehe About Security
#144)
und deren Auswertung (siehe About Security #145)
geht es diesmal zuerst …
About Security #145: Schwachstellensuche: Daten auswerten
In About Security
#144
wurde beschrieben, wie der Aufbau der auf Schwachstellen zu
untersuchenden
Webanwendung ermittelt werden kann. In dieser Folge geht es um …
About Security #144: Schwachstellensuche: Allgemeine Infos sammeln
Webanwendungen enthalten, wie alle anderen Programme auch, mehr oder
weniger
viele Schwachstellen, von denen viele schon in vorherigen Folgen von
About
Security vorgestellt wurden, …
About Security #143: Webwürmer (6): Wurmkur
Die wichtigste Frage zum Thema Webwürmer lautet schlicht und einfach:
Wie man man sie verhindern? Oder genauer: Wie verhindert man, dass
Webwürmer …
About Security #142: Webwürmer (5): Der gemeine Wurm
Wie in About Security #141
zu sehen ist, übertreffen die Webwürmer bei der Verbreitung ihre
herkömmlichen Verwandten teilweise weit – und das, …
About Security #141: Webwürmer (4): Der Orkut-XSS-Wurm
Der Orkut-XSS-Wurm machte im Prinzip nichts anderes als auch Samy und
Yamanner: Eine XSS-Schwachstelle zum Eindringen ausnutzen, dann über
XMLHttpRequests im Hintergrund …
About Security #140: Webwürmer (3): Yamanner
Die Informationen in der folgenden Beschreibung des
Yahoo!-Webmail-Wurms
Yamanner stammen zum Teil aus dem Whitepaper "Malicious Yahooligans"
(PDF)
von Symantec. Yamanner nutzte eine Schwachstelle …
About Security #139: Webwürmer (2): Samys Ende
Auch in dieser Fortsetzung der Beschreibung des MySpace-Wurms Samy
stammen
die Informationen zu einem großen Teil aus Samys eigener
Beschreibung
und sind zum Teil …
About Security #138: Webwürmer (1): Samy, der MySpace-Wurm
Ab dieser Folge geht es um eine neue Bedrohung, die im wahrsten Sinne
des
Wortes durchs Web krabbelt: Webwürmer, Web-2.0-Würmer,
AJAX-Würmer, XSS-Würmer, wie …