Drücke "Enter", um den Text zu überspringen.

Kategorie: WebSec

Run a targeted watering hole attack with your WordPress Blog

By chance I found in my Google Analytics analysis that my blog was visited by Google employees. My blog must have been linked to their internal „Mentor“ page, because the HTTP referrer shows the domain „mentor.corp.google.com“, which comes from Google’s intranet. A browser automatically sends the last visited page in the header field „Referer“. A tracking service, in this case…

Schreibe einen Kommentar...

Wie auf einen Spear-Phishing Angriff reagieren?

Letztens wurde mir die folgende SMS an mein Handy gesendet. Auf der verlinkten Seite war eine Nachbildung der Postbank Banking Seite erreichbar. Also eine Phishing-Seite, die versucht hat mein Kennwort abzufangen. Durch die richtigen Gegenmaßnahmen konnte die Phishing-Seite schnell vom Netz genommen werden. Aufgrund einer Änderung unserer Geschäftsbedingungen müssen Sie ihr BestSign-Gerät erneut aktivieren, um unsere Dienste weiterhin nutzen zu…

Schreibe einen Kommentar...

Installationsanleitung: Automatische Vulnerability Scans mit OWASP ZAP in SonarQube und Jenkins (CI, DevSecOps)

Um die dynamischen Scans von OWASP Zed Attack Proxy (ZAP) in die Build-Pipeline zu integrieren kann das SonarQube ZAP Plugin eingesetzt werden. Der folgenden Beitrag dient als Schritt-für-Schritt Installationsanleitung vom Aufsetzen der VM bis zum fertigen Report. Passend zu diesem Beitrag auch: Dynamische Analyse mit OWASP ZAP Übersicht verwendeter Programmversionen Zur Übersicht werden hier die Versionsnummern der verwendeten Programme aufgelistet.…

Schreibe einen Kommentar...

OWASP AppSensor – Erkennen und Reagieren auf Angriffe in der Anwendungsebene.

Sicherheit in Web-Anwendungen ist eines der Top-Themen im Security-Umfeld. Ist doch die Web-Anwendung an vorderster Front die Schnittstelle ins Internet. Die OWASP Top-10, die 10 gefährlichsten Schwachstellen in Webapplikationen, beinhalten eine Schwachstelle, die genau genommen gar keine ist. Durch das „Unzureichende Logging und Monitoring“ werden Kompromittierungen teilweise gar nicht oder viel zu spät erkannt. Es dauert im Durchschnitt bis zu…

Schreibe einen Kommentar...

Trainingsanwendung: SQL-Injection innerhalb eines Node.js Projekts

Im Repository befindet sich ein verwundbares NodeJS Projekt. In dieses Projekt wurde eine SQL-Injection Schwachstelle eingebaut. In der Datei „/routes/users.js“ befindet sich die Applikationslogik für die Fälle „User einloggen“, „User registrieren“ und „User anzeigen“. Die Informationen werden über die REST-API im JSON-Format übertragen. Die Datenhaltung der Applikation erfolgt in einer MySql-Datenbank. Download Anwendung Zur Installation der Entwicklungsumgebung kann den Schritten…

Schreibe einen Kommentar...

Dynamische Analyse mit OWASP Zed Attack Proxy (ZAP)

Der OWASP Zed Attack Proxy (ZAP) ist eines der weltweit beliebtesten, kostenlosen Sicherheitstools und wird von hunderten internationalen Freiwilligen aktiv betreut. OWASP ZAP kann dabei helfen, automatisch Sicherheitslücken in Webanwendungen zu finden, während die Anwendungen noch entwickelt und getestet werden. ZAP ist ein sehr umfangreiches Tool, mit sehr vielen Funktionalitäten. Es gibt eigens dafür veröffentlichte Schulungen und Workshops. Durch die…

Schreibe einen Kommentar...

Angriffsvektoren durch IoT-Devices. Internet of Insecure Things.

Im September 2016 trat ein, wovor Sicherheitsexperten schon länger gewarnt hatten, was aber noch nicht sonderlich ernst genommen wurde. Der Größte bisher gemessene DDos-Angriff mit Rekordhöhe von über 1 Terabit pro Sekunde ging von Tausenden Embedded- und IoT-Geräten aus. Ein Angriff mit bislang unbekanntem Ausmaß. Das dafür verantwortliche Botnetz trägt den Namen „Mirai“ und kaperte aus Tausenden Haushalten und Unternehmen…

Schreibe einen Kommentar...

Entwicklung eines browserbasierten Keyloggers mit Steuerungsinterface (PoC, Download)

Im Rahmen meiner mündlichen Abschlussprüfung in Computertechnik (Abitur 2015) entwickelte ich diesen Proof of Concept für einen browserbasierten Keylogger. Der Keylogger beinhaltet ein umfangreiches Steuerungsinterface, womit die Nutzer verwaltet werden können. Ein Keylogger in Form von JavaScript Quellcode wird vom Webserver bereitgestellt und anschließend bei den Nutzern im Browser ausgeführt. Es findet eine rund um die Uhr Überwachung der Cookies,…

Schreibe einen Kommentar...

Prinzip von Code Injection. Beispiele für SQL und HTML.

Als Injection wird das Einfügen fremden Codes zu einem bereits bestehenden Programmcode bezeichnet. Injection ist also eine Manipulation bestehender Programmierung. Mittels Code Injection wird dabei neuer Programmcode injectiert, also eingefügt und sogar bestehender Programmcode so manipuliert, dass dieser nicht mehr das macht, was er eigentlich sollte. Damit eine Injection funktioniert, muss eine Schwachstelle existieren. Diese Schwachstelle besteht darin, dass zum…

Schreibe einen Kommentar...