Inhalte überspringen »
Alle Topthemen
Donnerstag, 5. März 2009
About Security #195: Schwachstellen-Suche: LDAP-Injection verhindern
In dieser Folge geht es um eine weitere Möglichkeit der
LDAP-Injection-Angriffe: Manchmal wird die Benutzereingabe nicht direkt als
Suchfilter übernommen, sondern als Teil eines komplexeren Filters
verwendet. Ein Angreifer kann dann versuchen, durch eine entsprechend
formulierte Suchanfrage die vorhandene Anwendungslogik zu manipulieren, um
auf eigentlich nicht zugängliche Daten zuzugreifen.
Ein Beispiel
Im Beispiel aus About Security
#194
soll der …
Donnerstag, 26. Februar 2009
About Security #194: Schwachstellen-Suche: LDAP-Injection
Das Lightweight Directory Access Protocol LDAP dient der Abfrage von
Verzeichnisdiensten. Auch in LDAP-Abfragen kann analog zum Vorgehen bei
einer SQL- oder XPath-Injection zusätzlicher Code eingefügt
werden, mit dem die Abfrage manipuliert und auf eigentlich nicht
zugängliche Daten zugegriffen werden kann.
LDAP - Eine kurze Einführung
LDAP dient dem Zugriff auf hierarchisch organisierte Verzeichnisse, die
prinzipiell beliebige Daten …
Donnerstag, 19. Februar 2009
About Security #193: Schwachstellen-Suche: SMTP-Command-Injection
In About Security
#192
wurde die SMTP-Header-Injection beschrieben, d.h. das Einfügen
weiterer Header in eine über SMTP übertragene E-Mail. In dieser
Folge wird ein weiterführender Angriff auf SMTP beschrieben: Die SMTP
Command Injection, das Einfügen zusätzlicher SMTP-Befehle.
Im Beispiel in About Security
#192
wurde die SMTP-Kommunikation durch den PHP-Befehl mail()
abgewickelt. Statt dessen kann die Webanwendung auch die …
Donnerstag, 12. Februar 2009
About Security #192: Schwachstellen-Suche: SMTP-Header-Injection
In dieser Folge geht es um das Einschleusen zusätzlicher Daten in
SMTP. SMTP, das Simple Mail Transfer Protocol, ist für das Versenden
bzw. den Transport von E-Mails zuständig und kommt im Rahmen von
Webanwendungen immer dann zum Einsatz, wenn Daten z.B. aus einem
Kontaktformular per E-Mail verschickt werden.
Kurze Einführung in SMTP
SMTP wurde erstmals 1982 in …
Mittwoch, 11. Februar 2009
Microsoft Patchday: 8 Schwachstellen, darunter 3 kritische, korrigiert
Am Februar-Patchday hat Microsoft wie
angekündigt
zwei als kritisch und zwei als wichtig eingestufte Security-Bulletins
veröffentlicht,
die insgesamt 8 Schwachstellen schließen: Zwei kritische im Internet
Explorer, eine kritische und eine wichtige im Exchange Server, eine
wichtige im SQL Server und drei wichtige in Office Visio. Bis auf die
Schwachstelle im SQL Server waren alle Schwachstellen zuvor nicht
öffentlich …
Donnerstag, 29. Januar 2009
About Security #190: Schwachstellen-Suche: SOAP-Injection
SOAP-Injection bzw. das Einschleusen eigenen Codes in SOAP ist das Thema
dieser Folge.
SOAP, das Simple Object Access Protocol, dient dem Austausch von Daten und
dem Durchführen von Remote Procedure Calls (RPC, entfernte
Prozedur-Aufrufe) zwischen verschiedenen Servern. SOAP stützt sich auf
verschiedene andere Standards: XML für die Repräsentation der
Daten und Internet-Protokolle für ihren Austausch. Sein
Haupteinsatzgebiet ist …
Freitag, 23. Januar 2009
Conficker - Ein Wurm rast um die Welt
Der RPC-Wurm 'Conficker' ist in aller Munde und auf vielen Rechnern. Was es
damit eigentlich auf sich hat, erfahren Sie hier.
Vorgeplänkel
Alles fing ganz harmlos an: Am 23. Oktober patchte Microsoft
außer der Reihe
eine kritische
Schwachstelle im RPC-Service.
Laut Microsoft wurde die Schwachstelle zuvor schon für gezielte Angriffe
ausgenutzt, einen sich darüber verbreitenden Wurm gab es …
Donnerstag, 22. Januar 2009
About Security #189: Schwachstellen-Suche: XPath-Injection
In dieser Folge geht es weiter um die in About Security
#188
beschriebenen XPath-Injection-Schwachstellen: Sie erfahren, was Blind
XPath-Injection ist und wie Sie die Schwachstellen finden und verhindern
können.
Blind XPath-Injection
Sind keine Informationen über die XML-Datei bekannt, kann vergleichbar
dem Vorgehen bei der Blind SQL-Injection (siehe About Security
#175)
eine Blind XPath-Injection durchgeführt werden. XPath erlaubt Schritte
relativ …
Donnerstag, 15. Januar 2009
About Security #188: Schwachstellen-Suche: Scriptcode Injection (2)
Das Einschleusen von Schadcode in Skriptsprachen wurde in About Security
#187
beschrieben, in dieser Folge geht es zuerst um die Suche nach
entsprechenden Schwachstellen.
Schwachstellen finden
Da sich die Funktionen zur dynamischen Ausführung von Code in den
verschiedenen Skriptsprachen weitgehend gleichen, reichen für die
Schwachstellensuche einige wenige Testmuster aus. Trotzdem ist es in
manchen Fällen notwendig, die verwendete Syntax …
Mittwoch, 14. Januar 2009
Microsoft Patchday: 3 Schwachstellen in SMB geschlossen
Am ersten Patchday in 2009 hat Microsoft wie angekündigt lediglich ein als kritisch
eingestuftes Security-Bulletin veröffentlicht. Das Bulletin MS09-001 beschreibt zwei als kritisch und eine als
moderat eingestufte Schwachstelle in der SMB-Implementierung.
Zwei neue Schwachstellen
Zwei bisher unveröffentlichte Pufferüberlauf-Schwachstellen im SMB-Protokoll
(Server Message Block) erlauben die Ausführung beliebigen Codes.
Die Zero Day Initiative (ZDI) hat zu diesen …
Mittwoch, 7. Januar 2009
About Security #187: Schwachstellen-Suche: Scriptcode Injection
Nach dem in About Security
#184,
#185
und
#186
beschriebenen Einschleusen von Shellbefehlen in Systemaufrufe geht es ab
dieser Folge um das Einschleusen von Schadcode in Skriptsprachen und die
Suche danach.
Gelingt es einem Angreifer, eigenen Code in den Code der Webanwendung
einzuschleusen, kann er damit die Kontrolle über den angegriffenen
Server übernehmen. Derartige Angriffe sind im wesentlichen in …
Donnerstag, 25. Dezember 2008
About Security: Nützliche Cheat Sheets, interessante Blogs
Bereits im Weihnachts-Special
2006
gab es an dieser Stelle eine Vielzahl von Literaturtips aus dem Bereich
"Sicherheit" und verwandten Themengebieten. Während der Schwerpunkt damals
auf eBooks und Artikeln lag, gibt es dieses Jahr Hinweise auf nützliche
Cheat Sheets und interessante Blogs. Die Auswahl ist dabei relativ
willkürlich zusammengestellt und erhebt natürlich keinerlei Anspruch
auf Vollständigkeit. Ich hoffe, es …
Mittwoch, 17. Dezember 2008
About Security #186: Schwachstellen-Suche: OS Command Injection (3)
Im Rahmen der Suche nach Command-Injection-Schwachstellen in Webanwendungen
geht es in dieser Folge um die Frage, wie ein Angreifer evtl. vorhandene
Einschränkungen umgehen kann. Außerdem erfahren Sie, wie Sie
Command Injection in ihrer Webanwendung verhindern können.
Was Halbes ist besser als nichts
In manchen Fällen ist es nicht möglich, einen vollständigen
Befehl einzuschleusen. Das könnte z.B. daran …
Montag, 15. Dezember 2008
IE-0-Day-Exploits auf dem Vormarsch
Die
0-Day-Schwachstelle im Internet Explorer
wird immer massiver ausgenutzt, außerdem sind außer dem Internet Explorer 7
wahrscheinlich auch alle anderen aktuellen Versionen betroffen. Bisher sind
allerdings nur Angriffe gegen Version 7 bekannt.
Schwachstelle wird massiv ausgenutzt
Laut Handler's Diary des ISC und verschiedenen Sicherheitsunternehmen
nehmen Angriffe über die 0-Day-Schwachstelle massiv zu. Im Handler's Diary
wird über …
Mittwoch, 10. Dezember 2008
Microsoft Patchday - 8 Bulletins schließen 27 Schwachstellen
Am Dezember-Patchday hat Microsoft wie angekündigt sechs als kritisch und zwei als wichtig
eingestufte Security-Bulletins veröffentlicht. Insgesamt schließen die
Bulletins 27 Schwachstellen, von denen nur eine zuvor öffentlich bekannt
war - die wird dafür aber auch bereits für gezielte Angriffe ausgenutzt.
MS08-070: Visual Basic 6.0 Runtime Extended Files
Das insgesamt als kritisch eingestufte Bulletin
MS08-070
betrifft u.a. die …
Donnerstag, 4. Dezember 2008
About Security #184: Schwachstellen-Suche: OS Command Injection
Das Einschleusen von Shell-Befehlen, die sog. OS Command Injection, ist das
Thema dieser Folge. Derartige Schwachstellen können in jeder Webanwendung
vorkommen, die Benutzereingaben ungeprüft für Betriebssystem-Aufrufe
verwendet.
Einführung
Im allgemeinen stellen die vorhandenen APIs der Webserver-Plattformen alle
nötigen Funktionen für die Interaktion mit dem Betriebssystem des
Servers zur Verfügung. Egal ob Zugriffe auf das Dateisystem, die
Kommunikation mit anderen …
Donnerstag, 27. November 2008
About Security #183: Schwachstellen-Suche: Remote File Inclusion
Die sog. Remote File Inclusion, RFI, ist quasi der bösere Bruder von
Directory-Traversal-Schwachstellen: Statt auf Dateien auf dem lokalen
Server wird dabei auf Dateien auf entfernten Servern zugegriffen, und statt
diese nur einfach anzuzeigen, werden sie, meist in PHP-Skripten,
eingebunden und dadurch darin enthaltener Schadcode ausgeführt.
Einige Einschränkungen
Die erste Einschränkung steht bereits in der Einleitung: Remote …
Neuer Wurm nutzt Windows RPC-Schwachstelle
Die Angriffe über die von Microsoft im Oktober durch einen
außerplanmäßigen Patch
behobene
Schwachstelle im RPC-Service
nehmen weiter zu. Das berichten sowohl
Microsofts Malware Protection Center
als auch
Microsofts Security Response Center.
Der neue Wurm
Microsoft bezeichnet den neuen Wurm als
Worm:Win32/Conficker.A.
Nach der erfolgreichen Installation patcht der Wurm die Schwachstelle im
Speicher, um Konkurrenten auszusperren. Interessanterweise versucht der
Wurm, seinen Standort …
Donnerstag, 20. November 2008
About Security #182: Schwachstellen-Suche: Directory-Traversal (6)
Nach der Beschreibung von Directory-Traversal-Schwachstellen sowie der
Suche danach geht es in dieser Folge um die Verhinderung von
Directory-Traversal-Angriffen.
Sicher: Keine Dateisystemaufrufe mit Benutzerdaten
Manipulationen am Dateisystem verhindert man am einfachsten, indem man
keine vom Benutzer manipulierbaren Parameter für Zugriffe aufs
Dateisystem verwendet: Werden für den Aufruf von Dateisystemfunktionen
keine vom Client gelieferten Parameter als Bestandteil von Pfad …
Dienstag, 18. November 2008
BizSpark: Microsoft unterstützt junge IT-Unternehmen
Auf der Entwicklerkonferenz Xtopia hat Microsoft heute sein weltweites Programm BizSpark vorgestellt. Damit will der Softwarekonzern IT-Unternehmen in der Gründungsphase in Deutschland und 36 weiteren Ländern unterstützen. Für eine Programmgebühr von 100 US-Dollar erhalten die Unternehmen vollen Zugang zu Microsofts Entwicklungssoftware und Servertechnologien, die schnell und unkompliziert als Download zur Verfügung …