Category Archives: Security

Bookmarklet erstellen: Methode bei HTML-Formularen ändern

Als Entwickler ist es oft wichtig zu sehen welche Daten übetragen werden. Gründe hierfür sind z.B. Sicherheit und Debuging. Folgendes Bookmarklet, wandelt alle Formulare auf der Seite von post- auf get-Formulare um.

Read more »

Spoofing – Gefahren bei Referrer- und User Agent-Auswertung

Hier werden die Gefahren beschrieben, die es mit sich bringt, wenn man unbedacht die Referer oder die User Agents seiner Besucher listet, oder ein Tool verwendet welches diese ungefiltert ausgibt.
Es wird auf mögliche Angriffe eingegangen aber genauso auf wirksame Gegenmaßnahmen.

Read more »

Passwortsicherheit immer noch kein Thema

Es scheint so als sei Passwortsicherheit eine Thematik, über welche sich Menschen auch heute noch keine Gedanken machen. Hier soll kurz auf die häufigst verwendeten Passwörter eingegangen werden, anschließend werden die Anforderung für ein Passwort genannt sowie Tipps für den Umgang und mehr.

Read more »

Lokalisierung von XSS-Lücken

Folgende Strings helfen schnell und einfach bei der Lokalisierung der XSS-Lücken. Sie werden auch bei CAL9000 zur Identifizierung von Schwachstellen verwendet:

Variante 1:
Hier wird auf verschiedene Arten versucht eine Alert-Meldung auszuführen. Durch bzw. wird versucht z.B. aus einem Value-Attribut eines Input-Feldes auszubrechen. Durch fromCharCode kann es umgangen werden wenn auf oder gefiltert wird:

Variante 2:
Bei dieser Variante muss der Quelltext nach &lt;XSS bzw. <XSS durchsucht werden.

'';!--"=&{()}

Bücher zum Thema IT-Sicherheit nach Syngress

In dem Buch “XSS Attacks – Cross Site Scripting Exploits and Defense” erschienen bei syngress (ISBN-13: 978-1-59749-154-9) werden eine Reihe von weiteren Bücher empfohlen für eine “[The] Definnition of a Serious Security Library”. Da ich von dem Buch recht überzeugt bin, möchte ich diese Liste nicht vorenthalten. Zu beachten ist jedoch, dass die Liste natürlich nicht neutral ist.

Read more »