Magazin-Artikel - Übersicht

Dipl.-Inform. Carsten Eilers

• Startseite
• Über mich
• Angebotsspektrum
• Konferenzen
• Texte
  • About Security
  • Online-Artikel
  • Magazin-Artikel
    • Entwickler Magazin
          2013
          2012
          2011
          2008-2010
    • PHP Magazin / PHP User
          2013
          2012
          2011
          2009-2010
    • PHP Magazin Workshops
    • windows.developer
          2013
          2012
          2008-2011
    • Andere Magazine
  • Aktuelle Bücher
  • Ältere Bücher
• Advisories
• Impressum
• Datenschutzerklärung

Einschränkung der Auswahl

Alle Artikel aus
    2013     2012     2011     2010     2008/2009
oder nur Artikel des
• Entwickler Magazin aus
    2013     2012     2011     2008-2010
• PHP Magazin / PHP User aus
    2013     2012     2011     2009/2010
• windows.developer / dot.Net Magazin aus
    2013     2012     2008-2011
• oder der anderen Magazine

---

Web-API-Entwickler sind Webentwickler

Sichere Authentifizierung und Autorisierung – und da war doch noch was?

Im windows.developer Magazin 5.2013 ist ein Artikel über die Sicherheit von Web-APIs erschienen. Vorgestellt werden die sichere Authentifizierung und Autorisierung, außerdem gibt es ein paar Hinweise darauf, was sonst noch zu beachten ist.

Links

• [1] Web API Overview Security
• [2] Mike Wasson: "Authentication and Authorization in ASP.NET Web API"
• [3] ASP.NET System.Security.Principal Namespache
• [4] Role-Based Security
• [5] HTTP Message Handler
• [6] AuthorizeAttribute
• [7] RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication
• [8] Mike Wasson: "Basic Authentication"
• [9] Carsten Eilers: "HTTPS und Cookies sicher einsetzen"
• [10] Mike Wasson: "Integrated Windows Authentication"
• [11] Windows Authentication
• [12] RFC 6749 - The OAuth 2.0 Authorization Framework
• [13] Carsten Eilers: "Autorisierung ohne Wenn und Aber"; Entwickler Magazin 6.2011
• [14] Howard Dierking: "OAuth 2.0 in Web API"
• [15] Manfred Steyer: "Security scenarios with ASP.NET MVC, ASP.NET Web API, OAuth2 and DotNetOpenAuth"
• [16] Maarten Balliauw: "Protecting your ASP.NET Web API using OAuth2 and the Windows Azure Access Control Service"
• [17] OpenID – Getting Started
• [18] Dominick Baier: "ASP.NET WebAPI Security 4: Examples for various Authentication Scenarios"
• [19] Mike Wasson: "Working with SSL in Web API"
• [20] Carsten Eilers: "Windows Phone und die Sicherheit", windows.developer 9.2012, auch online
• [21] Carsten Eilers: "Die Datenbank gehorcht dem Angreifer", windows.developer 2.2013
• [22] Mike Wasson: "Preventing Cross-Site Request Forgery (CSRF) Attacks"

---

Unsicherer Serial Bus

Angriffe über USB

Im Entwickler Magazin 3.2013 ist ein Artikel über Angriffe über den USB-Port erschienen. Vorgestellt werden unter anderem Angriffe über getarnte USB Human Device Interfaces wie USB Rubber Ducky und dem Social Engineering Toolkit.

Links

• [1] Carsten Eilers: "Würmer - Schadsoftware, die sich selbst verbreitet"
• [2] Carsten Eilers: "Conficker, Stuxnet, "Here you have" - die aktuellen Würmer"
• [3] Carsten Eilers: "Anatomie eines Cyberwars", Entwickler Magazin 5.2012
• [4] Damian Hasse, Microsoft Security Research and Defense Blog: "AutoRun changes in Windows 7"
• [5] Joanna Rutkowska: "Why do I miss Microsoft BitLocker?"
• [6] Joanna Rutkowska: "Evil Maid goes after TrueCrypt!"
• [7] Carsten Eilers: "Flames Sammelwut, C&C-Server, Selbstmord-Modus und Verbindung zu Stuxnet"
• [8] Carsten Eilers: "Gauss - Ein staatlicher Onlinebanking-Trojaner?"
• [9] USB Human Interface Device
• [10] USB Rubber Ducky Wiki
• [11] USB Switchblade
• [12] USB Hacksaw
• [13] Ducky Script
• [14] USB Rubber Ducky Payloads
• [15] USB Rubber Ducky Payload "hello world"
• [16] Duck Script Encode online
• [17] USB Rubber Ducky Payload "Payload powershell wget + execute"
• [18] Social Engineering Framework
• [19] Social Engineering Toolkit: 1, 2, 3
• [20] Teensy USB HID Attack Vector
• [21] Teensy
• [22] Teensyduino: Using USB Keyboard with Teensy on the Arduino IDE
• [23] Metasploit
• [24] Nikhil Mittal, Black Hat Abu Dhabi 2011: "Kautilya: Teensy Beyond Shell"
• [25] Netragard's SNOsoft Research Team: "Netragard's Hacker Interface Device (HID)"
• [26] Adrian Crenshaw: "Plug and Prey: Malicious USB Devices"

---

Sicherheitslücken in HTML5

In der Weave 2.2013 ist ein Artikel über die Sicherheit von HTML5 erschienen. Vorgestellt werden einige ausgewählte Angriffe sowie die zugehörigen Schutz- und Gegenmaßnahmen.

Links

Eine offizielle Linkliste gibt es auf der Website des Magazins. Hier meine durchnummerierte Version:

• [1] HTML5 Security Cheat Sheet
• [2] OWASP Enterprise Security API for JavaScript
• [3] DOM based XSS Prevention Cheat Sheet
• [4] HTML5: sandbox-Attribut
• [5] Chromium Blog: Security in Depth: HTML5’s @sandbox
• [6] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
• [7] Nibble Security: UI Redressing Mayhem: Identification Attacks and UI Redressing on Google Chrome
• [8] Robert McArdle, Trend Micro: "HTML5 Overview: A look at HTML5 attack scenarios" (PDF)
• [9] Carsten Eilers: HTML5 Security - Gefährliche WebSockets
• [10] Sergey Shekyan, Vaagn Toukharian; Black Hat USA 2012: "Hacking with WebSockets
• [11] Sergey Shekyan: The Tiny Mighty Waldo

---

Wie sicher ist das Tablet?

Angriffe auf Tablets in Theorie und Praxis

Im windows.developer Magazin 4.2013 ist ein Artikel über die Sicherheit von Tablets erschienen. Vorgestellt werden die bisher bekannten theoretischen und praktischen Angriffe.

Links

• [1] Carsten Eilers: "Sicher, sicherer, iOS?"; Mobile Technology 4.2012
• [2] Windows 8 app certification requirements (Windows)
• [3] Carsten Eilers: "Kritische Schwachstellen, Schadsoftware - und Apple steckt den Kopf in den Sand"
• [4] Chester Wisniewski, Sophos: "Windows RT "jailbroken", shows its Windows 8 roots"
• [5] clrokr (@clrokr): "Circumventing Windows RT’s Code Integrity Mechanism"
• [6] Netham45: RT Jailbreak Tool
• [7] Paul Ducklin, Sophos: "Windows tablets - easy, one-stop jailbreak now available for everyone. What should Microsoft do? [POLL]"
• [8] Prashant Gupta, McAfee: "Stronger Windows 8 Still Vulnerable Through Apps, Users"
• [9] Prashant Gupta, McAfee: "Windows 8 Metro Brings New Security Risks"
• [10] Federico Maggi, Stefano Zanero und Alberto Volpatto, Black Hat Abu Dhabi 2011: "iSnoop: How to Steal Secrets From Touchscreen Devices"
• [11] Carsten Eilers: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
• [12] Yinfeng Qiu, Trend Micro: "Tapjacking: An Untapped Threat in Android"
• [13] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein, Dan Boneh; Usenix Workshop on Offensive Technologies (woot) 2010: "Framing Attacks on Smart Phones and Dumb Routers: Tap-jacking and Geo-localization Attacks"
• [14] Marcus Niemietz, German OWASP Day 2012: "UI-Redressing-Angriffe auf Android" (PDF)
• [15] Marcus Niemietz, Black Hat Abu Dhabi 2012: "UI Redressing Attacks on Android Devices"
  Paper dazu: Marcus Niemietz, Jörg Schwenk: "UI Redressing Attacks on Android Devices" (PDF)
• [16] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"

---

Mac Security – Ein Satz mit X?

Ist Mac OS X wirklich so sicher, wie oft angenommen wird?

Im Entwickler Magazin 2.2013 ist ein Artikel über die Sicherheit von Mac OS X erschienen.

Der Artikel wurde auch im Rahmen der Mac Security Week auf der Website des WebMagazin veröffentlicht:

• Teil 1: Timeline mit Angriffen auf Mac OS X
• Teil 2: Forscherangriffe & Pwn2Own
• Teil 3: Schädlinge und Virenscanner
• Teil 4: Drive-by-Infektionen
• Teil 5: Infografik

Links

Die Quellen sind diesmal im Magazin nicht angegeben, stattdessen sind sie in der Online-Version direkt verlinkt. Eine Linkliste wäre angesichts von 114 Einträgen auch extrem unpraktisch, wovon Sie sich hier gerne überzeugen können.

---

Authentifizierung und Autorisierung

Claims-basierte Authentifizierung und OAuth für externe Apps im Überblick

Im windows.developer Magazin 3.2013 ist ein Artikel über die Authentifizierung und Autorisierung in SharePoint 2013 erschienen. Beschrieben werden der Einsatz der Claims-basierten Authentifizierung und OAuth für externe Apps.

Links

• [1] MSDN Library: "Authentication, authorization, and security in SharePoint 2013"
• [2] MSDN Library: "Microsoft.IdentityModel.Claims.ClaimsIdentity"
• [3] MSDN Library: "Claims-based identity and concepts in SharePoint 2013"
• [4] MSDN Library: "Apps for SharePoint overview"
• [5] MSDN Library: "Build apps for SharePoint"
• [6] MSDN Library: "App for SharePoint manifest file"
• [7] MSDN Library: "Authorization and authentication for apps in SharePoint 2013"
• [8] MSDN Library: "App authorization policy types in SharePoint 2013"
• [9] Carsten Eilers: "Autorisierung ohne Wenn und Aber"; Entwickler Magazin 6.2011
• [10] MSDN Library: "OAuth authentication and authorization flow for cloud-hosted apps in SharePoint 2013"
• [11] MSDN Library: "App permissions in SharePoint 2013"
• [12] What's new in authentication for SharePoint 2013
• [13] Migrate from classic-mode to claims-based authentication in SharePoint 2013

---

Gefährliche Counter und mehr

Drive-by-Infektionen gefährden Server und Clients

Im PHP Magazin 2.2013 ist ein Artikel über Drive-by-Infektionen erschienen.

Links

• [1] Bojan Zdrnja, ISC Diary: "Watch that .htaccess file on your web site"
• [2] Carsten Eilers: "SQL-Injection - Und die Datenbank gehorcht dem Angreifer", windows.developer 2.2013
• [3] Carsten Eilers: "SCADA-Hack: Texas ist nicht Illinois"
• [4] Wepawet
• [5] JSUNPACK - A Generic JavaScript Unpacker
• [6] Carsten Eilers: "Exploit-Kits - Die Grundlage für Drive-by-Infektionen"
• [7] Carsten Eilers: "Drive-by-Infektionen - Vom Server auf den Client"
• [8] Carsten Eilers: "Drive-by-Infektionen - Ein Blick auf die Exploits"

---

Die Datenbank gehorcht dem Angreifer

Mit ASP.NET führt SQL Injection oft auch zu Drive-by-Infektionen

Im windows.developer Magazin 2.2013 ist ein Artikel über SQL-Injection-Angriffe auf ASP.NET-Webanwendungen erschienen.

Links

• [1] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
• [2] F-Secure: "Mass SQL Injection"
• [3] Bojan Zdrnja, ISC Diary: "The 10.000 web sites infection mystery solved"

---

HTML5 Security, reloaded

Wie sieht es aktuell mit der Sicherheit von HTML5 aus?

Im Entwickler Magazin 1.2013 ist ein Artikel über aktuelle Entwicklungen im Bereich der Sicherheit von HTML5 erschienen.

Sehr viel ausführlicher wird das Thema in meinem auf deutsch und englisch erhältlichen eBook "HTML5 Security" behandelt.

Links

• [1] Carsten Eilers: "HTML5 – Angreifers Liebling?", Entwickler Magazin 1.2011
• [2] Carsten Eilers: "HTML5, aber sicher!", Entwickler Magazin 2.2011
• [3] HTML5 Security Cheatsheet
• [4] Carsten Eilers: "About Security #129: Cross-Site-Scripting, reloaded"
• [5] OWASP ESAPI for JavaScript
• [6] Artur Janc, 28C3: "Rootkits in your Web application"
• [7] Robert McArdle: "HTML5 Overview: A look at HTML5 Attack Scenarios" (PDF)
• [8] Carsten Eilers: "About Security #133: XSS-Angriffe (3): JavaScript-Ping & Co."
• [9] Attack and Defense Labs: "Port Scanning with HTML5 and JS-Recon"
• [10] Attack and Defense Labs: JS-Recon
• [11] JS-Recon – HTML5 based JavaScript Network Reconnaissance Tool
• [12] Phil Purviance, Joshua Brashars; Black Hat USA 2012: "Blended Threats and JavaScript: A Plan for Permanent Network Compromise"
• [13] RFC 6455 - The WebSocket Protocol
• [14] The WebSocket API
• [15] Sergey Shekyan: "The Tiny Mighty Waldo"
• [16] Feross Aboukhadijeh: "Using the HTML5 Fullscreen API for Phishing Attacks"
• [17] Feross Aboukhadijeh; W3C Public Webapps Mailing List: "Re: Defenses against phishing via the fullscreen api (was Re: full screen api)"

---

Webmaster, webmaster@ceilers-it.de

Letzte Änderung: 12.02.2013, 10:49