Category: AppSec

I installed the Pi-hole on a Raspberry Pi. Pi-hole is a DNS server for your home network. I have it running on a Raspberry Pi 1, so it’s nice to have a use for my old Raspberry here. It also runs on a Raspberry Zero. Pi-hole is a DNS sinkhole (/blackhole) and is used to block unwanted domains without installing…

Two months ago I found a security issue in the Firefox integrated Password Manager and reported it. It was so obvious that I was really surprised. Of course, I was not the first to find this vulnerability. After I reported it, I was informed that it was known and that a bugfix for Firefox 73 was already available in beta.…

Letztens wurde mir die folgende SMS an mein Handy gesendet. Auf der verlinkten Seite war eine Nachbildung der Postbank Banking Seite erreichbar. Also eine Phishing-Seite, die versucht hat mein Kennwort abzufangen. Durch die richtigen Gegenmaßnahmen konnte die Phishing-Seite schnell vom Netz genommen werden. Der Inhalt der SMS war wie folgt: Aufgrund einer Änderung unserer Geschäftsbedingungen müssen Sie ihr BestSign-Gerät erneut…

Um die dynamischen Scans von OWASP Zed Attack Proxy (ZAP) in die Build-Pipeline zu integrieren kann das SonarQube ZAP Plugin eingesetzt werden. Der folgenden Beitrag dient als Schritt-für-Schritt Installationsanleitung vom Aufsetzen der VM bis zum fertigen Report. Passend zu diesem Beitrag auch: Dynamische Analyse mit OWASP ZAP Übersicht verwendeter Programmversionen Zur Übersicht werden hier die Versionsnummern der verwendeten Programme aufgelistet.…

Sicherheit in Web-Anwendungen ist eines der Top-Themen im Security-Umfeld. Ist doch die Web-Anwendung an vorderster Front die Schnittstelle ins Internet. Die OWASP Top-10, die 10 gefährlichsten Schwachstellen in Webapplikationen, beinhalten eine Schwachstelle, die genau genommen gar keine ist. Durch das „Unzureichende Logging und Monitoring“ werden Kompromittierungen teilweise gar nicht oder viel zu spät erkannt. Es dauert im Durchschnitt bis zu…

Der OWASP Zed Attack Proxy (ZAP) ist eines der weltweit beliebtesten, kostenlosen Sicherheitstools und wird von hunderten internationalen Freiwilligen aktiv betreut. OWASP ZAP kann dabei helfen, automatisch Sicherheitslücken in Webanwendungen zu finden, während die Anwendungen noch entwickelt und getestet werden. ZAP ist ein sehr umfangreiches Tool, mit sehr vielen Funktionalitäten. Es gibt eigens dafür veröffentlichte Schulungen und Workshops. Durch die…

Im September 2016 trat ein, wovor Sicherheitsexperten schon länger gewarnt hatten, was aber noch nicht sonderlich ernst genommen wurde. Der Größte bisher gemessene DDos-Angriff mit Rekordhöhe von über 1 Terabit pro Sekunde ging von Tausenden Embedded- und IoT-Geräten aus. Ein Angriff mit bislang unbekanntem Ausmaß. Das dafür verantwortliche Botnetz trägt den Namen „Mirai“ und kaperte aus Tausenden Haushalten und Unternehmen…