Press "Enter" to skip to content

Javan Rasokat Posts

Raspberry Pi: Improve your Pi-hole with great adlists and an auto updater

I installed the Pi-hole on a Raspberry Pi. Pi-hole is a DNS server for your home network. I have it running on a Raspberry Pi 1, so it’s nice to have a use for my old Raspberry here. It also runs on a Raspberry Zero. Pi-hole is a DNS sinkhole (/blackhole) and is used to block unwanted domains without installing…

Leave a Comment

Firefox bug #1608687 “Master password prompt can be bypassed, once it was already unlocked”

Two months ago I found a security issue in the Firefox integrated Password Manager and reported it. It was so obvious that I was really surprised. Of course, I was not the first to find this vulnerability. After I reported it, I was informed that it was known and that a bugfix for Firefox 73 was already available in beta.…

Leave a Comment

Raspberry Pi: Eigene Raspbian Images bauen mit pi-gen

Mit dem Raspberry Pi 4 hat die Raspberry Foundation einen leistungsstarken Computer auf den Markt gebracht. Wer sich mit seinem Raspberry Pi beschäftigt, wird mit hoher Wahrscheinlichkeit die von der Raspberry Foundation bereitgestellte Linux Distribution Raspbian bereits einmal installiert haben. Hier gab es über die Jahre immer wieder verschiedene Versionen im zugrundeliegendem Debian-System. Daher trägt das Raspbian-System je nach Versionsstand…

Leave a Comment

Run a targeted watering hole attack with your WordPress Blog

By chance I found in my Google Analytics analysis that my blog was visited by Google employees. My blog must have been linked to their internal “Mentor” page, because the HTTP referrer shows the domain “mentor.corp.google.com”, which comes from Google’s intranet. A browser automatically sends the last visited page in the header field “Referer”. A tracking service, in this case…

Leave a Comment

Wie auf einen Spear-Phishing Angriff reagieren?

Letztens wurde mir die folgende SMS an mein Handy gesendet. Auf der verlinkten Seite war eine Nachbildung der Postbank Banking Seite erreichbar. Also eine Phishing-Seite, die versucht hat mein Kennwort abzufangen. Durch die richtigen Gegenmaßnahmen konnte die Phishing-Seite schnell vom Netz genommen werden. Der Inhalt der SMS war wie folgt: Aufgrund einer Änderung unserer Geschäftsbedingungen müssen Sie ihr BestSign-Gerät erneut…

Leave a Comment

Open-Source Pricetracker für Amazon Artikel 📉 (PHP, MySql, jQuery)

Ein Preiswächter benachrichtigt dich per E-Mail, wenn ein Produkt, welches du auf Amazon.de kaufen möchtest, die von dir gewählte Preisschwelle durchbrochen hat. Durch durchwegs wechselnde Marketplace Händler und wechselnde Angebote geschehen solche Preisschwankungen im Onlinehandel sehr häufig. Ein geeignetes Mittel, vor allem um bei teuren Elektronikprodukten, Geld zu sparen. Aus eigener Erfahrung kann ich sagen, wenn es nicht gerade dringend…

1 Comment

Bienenstand-Monitoring 🐝 🔍 mit R

Im Rahmen einer Mastervorlesung zu Business Analytics und Anwendungsentwicklung durfte ich ein mir bisher unbekanntes Framework erproben: RStudio und Shiny. Trotz anfänglicher Skepsis, die darin begründet lag, dass das gesteckte Ziel auch mit mir bekannten Frameworks und Sprachen erreicht werden würde, lernte ich recht schnell die Vorteile von R und Shiny kennen. R ist eine funktionale Sprache, die rein für…

Leave a Comment

Installationsanleitung: Automatische Vulnerability Scans mit OWASP ZAP in SonarQube und Jenkins (CI, DevSecOps)

Um die dynamischen Scans von OWASP Zed Attack Proxy (ZAP) in die Build-Pipeline zu integrieren kann das SonarQube ZAP Plugin eingesetzt werden. Der folgenden Beitrag dient als Schritt-für-Schritt Installationsanleitung vom Aufsetzen der VM bis zum fertigen Report. Passend zu diesem Beitrag auch: Dynamische Analyse mit OWASP ZAP Übersicht verwendeter Programmversionen Zur Übersicht werden hier die Versionsnummern der verwendeten Programme aufgelistet.…

Leave a Comment

OWASP AppSensor – Erkennen und Reagieren auf Angriffe in der Anwendungsebene.

Sicherheit in Web-Anwendungen ist eines der Top-Themen im Security-Umfeld. Ist doch die Web-Anwendung an vorderster Front die Schnittstelle ins Internet. Die OWASP Top-10, die 10 gefährlichsten Schwachstellen in Webapplikationen, beinhalten eine Schwachstelle, die genau genommen gar keine ist. Durch das „Unzureichende Logging und Monitoring“ werden Kompromittierungen teilweise gar nicht oder viel zu spät erkannt. Es dauert im Durchschnitt bis zu…

Leave a Comment

Trainingsanwendung: SQL-Injection innerhalb eines Node.js Projekts

Im Repository befindet sich ein verwundbares NodeJS Projekt. In dieses Projekt wurde eine SQL-Injection Schwachstelle eingebaut. In der Datei „/routes/users.js“ befindet sich die Applikationslogik für die Fälle „User einloggen“, „User registrieren“ und „User anzeigen“. Die Informationen werden über die REST-API im JSON-Format übertragen. Die Datenhaltung der Applikation erfolgt in einer MySql-Datenbank. Download Anwendung Zur Installation der Entwicklungsumgebung kann den Schritten…

Leave a Comment