Magazin-Artikel - Übersicht 2011

Dipl.-Inform. Carsten Eilers

Startseite

Über mich

Angebotsspektrum

Konferenzen

Texte

About Security
Online-Artikel
Magazin-Artikel

• Entwickler Magazin
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2008-2010
      alle (lang!)
• Mobile Technology
      2019
      2016
      2015
      2014
      2012/2013
      alle (lang!)
• PHP Magazin / PHP User
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2009-2010
      alle (lang!)
• PHP Magazin Workshops
• windows.developer
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2008-2011
      alle (lang!)
• Andere Magazine

PHP Magazin Workshops
Aktuelle Bücher
Ältere Bücher

Advisories

zum Blog ...

Impressum

Datenschutzerklärung

Einschränkung der Auswahl

Alle Artikel aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2010     2008/2009
oder nur Artikel des
• Entwickler Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2008-2010     alle (lang!)
• Mobile Technology aus
    2019     2016     2015     2014     2012/2013     alle (lang!)
• PHP Magazin / PHP User aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2009/2010     alle (lang!)
• windows.developer / dot.Net Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2008-2011     alle (lang!)
• oder der anderen Magazine

---

Autorisierung ohne Wenn und Aber

Teil 1: Sicherer Zugriff auf Web-APIs durch das OAuth-Protokoll

Im Entwickler Magazin 6.2011 ist der erste Teil eines zweiteiligen Artikels zum OAuth-Protokoll erschienen. Thema dieses Teils ist der theoretische Hintergrund: Wie funktioniert das Protokoll.

Der Artikel wurde auch auf der Website des Entwickler Magazins veröffentlicht.

Links

• [1] OAuth
• [2] OAuth Core 1.0
• [3a] OAuth Security Advisory: 2009.1
• [3b] Eran Hammer-Lahav: Explaining the OAuth Session Fixation Attack
• [4] OAuth Core 1.0 Revision A
• [5] RFC 5849 - The OAuth 1.0 Protocol
• [6] RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication
• [7] RFC 2104 - HMAC: Keyed-Hashing for Message Authentication
• [8] RFC 3447 - Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1
• [9] Carsten Eilers: About Security - Cross-Site Request Forgery Einführung
• [10] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen

---

BackTrack, BOSS & Co.

Teil 1: Linux-Live-CDs zur Schwachstellensuche

Im Entwickler Magazin 6.2011 ist der erste Teil eines zweiteiligen Artikels zu Linux-Live-CDs erschienen. Vorgestellt werden verschiedene Live-CDs zur Schwachstellensuche.

Links

• [1] BackTrack
• [2] OpenVAS
• [3] Carsten Eilers: Schwachstellenscanner für Webanwendungen, Entwickler Magazin 4.2011
• [4] BOSS - BSI OSS Security Suite
• [5] OpenVAS Live-CD
• [6] OWASP Live-CD
• [7] Damn Vulnerable Linux (DVL) (Eintrag auf DistroWatch)
• [8] Damn Vulnerable Web Application (DVWA)
• [9] Metasploitable
• [10] OWASP Broken Web Applications Project
• [11] Vicnum
• [12] Virtual Hacking Lab

---

Ready for take off! Sicher?

Mit w3af und Wapiti auf Schwachstellensuche

Im PHP Magazin 6.2011 ist ein Workshop zur Schwachstellensuche mit w3af und Wapiti erschienen.

Links

• [1] w3af
• [2] Wapiti (Sourceforge-Projektseite)
• [3] Metasploit Framework

---

Das Web wird mobil

Besonderheiten mobiler Websicherheit

Im Entwickler Magazin 5.2011 ist ein Artikel zum Thema "Mobile Web-Sicherheit" erschienen.

Links

• [1] Carsten Eilers: Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
• [2] W3C: Mobile Web Application Best Practices, 3.2 Security and privacy
• [3] Fraunhofer-Institut für Sichere Informationstechnologie: Lost iPhone? Lost Passwords!
• [4] Carsten Eilers: HTML5, aber sicher!; Entwickler Magazin 2.2011, S. 80ff
• [5] Carsten Eilers: SSL-Angriff mit Folgen
• [6] Carsten Eilers: HTTPS und Cookies sicher einsetzen
• [7] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
• [8] Elie Bursztein: Bad Memories
• [9] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein und Dan Boneh, Stanford University: „Framing Attacks on Smart Phones and Dumb Routers: Tap-jacking and Geo-localization Attacks“, 4th USENIX Workshop on Offensive Technologies (Paper als PDF)
• [10] Lookout Mobile Security: Android Touch-Event Hijacking
• [11] Lookout Mobile Security: Introducing the App Genome Project
• [12] App Genome Project
• [13] Carsten Eilers: Firesheep fängt ungeschützte Cookies
• [14] Carsten Eilers: WEP, WPA, WPA2 - WLAN-Schutz, aber richtig!
• [15] David Rayhawk, McAfee Lab Blog: SMiShing – an emerging threat vector
• [16] FBI: Smishing and Vishing - And Other Cyber Scams to Watch Out for This Holiday

---

Session Hijacking, Session Fixation, Session Futsch

Session-IDs als Beute von Cyberkriminellen

Im PHP Magazin 5.2011 ist ein Workshop zum Thema "Session Hijacking und Session Fixation" erschienen.

Links

• [1] Carsten Eilers: HTTPS und Cookies sicher einsetzen
• [2] PHP Manual: Session
• [3] Jordi Boggiano: MOPS Submission 04 – Generating Unpredictable Session IDs and Hashes
• [4] Suhosin: Session Protection

Nicht im Text erwähnt wurde das sehr ausführliche OWASP Session Management Cheat Sheet, da es erst nach dem Erscheinen des PHP Magazins 5.2011 veröffentlicht wurde.

---

Scanner für das Web

Lohnt sich ein Test?

Im Entwickler Magazin 4.2011 ist ein Artikel zum Thema "Web-Schwachstellenscanner" erschienen.

Hier finden Sie die Testanwendung als tar.gz-Archiv und das im Text erwähnte VMware-Image als ZIP-Archiv (Vorsicht: ca. 620 MB!).
Eine Anleitung zum VMware-Image finden Sie hier.

Links

• [1] w3af
• [2] Samurai Web Testing Framework Live-CD
• [3] Metasploit Framework
• [4] Wapiti (Sourceforge)
• [5] skipfish

---

Microsoft unter Black Hats: Attack Surface Analyzer und Binscope Binary Analyzer im Einsatz

Im dot.Net Magazin 7.2011 ist ein Artikel zu Microsofts SDL-Tools Attack Surface Analyzer und Binscope Binary Analyzer erschienen.

Links

• [1] Black Hat DC 2011
• [2] SDL Blog - New Tool: Announcing Attack Surface Analyzer!
• [3] Attack Surface Analyzer
• [4] [4] SDL Binscope Binary Analyzer
• [5] SDL Blog - Other interesting news from Blackhat DC...
• [6] SDL Threat Modeling Tool
• [7] Adam Shostack: Erste Schritte mit dem SDL-Bedrohungsmodellierungstool
• [8] State of Application Security: Immature Practices Fuel Inefficiencies, but Positive ROI Is Attainable - A Forrester Consulting Thought Leadership Paper Commissioned by Microsoft
• [9] Michael Howard, Jon Pincus und Jeannette M. Wing: "Measuring Relative Attack Surfaces" (PDF)

---

Workshop: Zugriffsfehler aller Arten - 3 der 10 gefährlichsten Schwachstellen auf der Spur

Im PHP Magazin 4.2011 ist ein Workshop zum Thema "Zugriffsfehler" erschienen.

Links

• [1] OWASP Top 10, A4: Insecure Direct Object References
• [2] OWASP Top 10, A8: Failure to Restrict URL Access
• [3] OWASP Top 10, A10: Unvalidated Redirects and Forwards
• [4] Drive-by-Infektionen

---

Sind Sie sicher?

Der neue Personalausweis für Entwickler

Im Entwickler Magazin 3.2011 ist ein Artikel zum Thema "Der neue Personalausweis aus Entwicklersicht" erschienen.

Links

• [1] AusweisApp
• [2] rosecat - rosecat open source ePA/eID client attains transparency
• [3] BSI: Das eCard-API-Framework (BSI TR-03112)
• [4] BSI TR-03130 Technische Richtlinie eID-Server, Version 1.4.1
• [5] About Security #101: Diffie-Hellman-Schlüsselaustausch
• [6] BSI TR-03131 Technische Richtlinie EAC-Box
• [7] CCC: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis
• [8] Der IT-Beauftragte der Bundesregierung: IT-Sicherheitskit für Bürgerinnen und Bürger
• [9] Jan Schejbal: AusweisApp gehackt (Malware über Autoupdate)
• [10] BSI: Neue Version der AusweisApp wird überprüft
• [11] BSI: AusweisApp steht wieder zum Download zur Verfügung
• [12] Dominik Oepen, Frank Morgner: "Die gesamte Technik ist sicher" - Besitz und Wissen: Relay-Angriffe auf den neuen Personalausweis
• [13] Jan Schejbal: ePerso: PIN-Diebstahl ohne Malware

---

Workshop: Die Sache mit den Headern - Auch Zeilenumbrüche können gefährlich sein

Im PHP Magazin 3.2011 ist ein Workshop zum Thema "Header-Injection" erschienen.

Links

• [1] RFC 2822: Internet Message Format
• [2] RFC 2047: MIME (Multipurpose Internet Mail Extensions) Part Three: Message Header Extensions for Non-ASCII Text
• [3] RFC 821: Simple Mail Transfer Protocol
• [4] RFC 5321: Simple Mail Transfer Protocol
• [5] RFC 5322: Internet Message Format
• [6] Regular Expression Library: E-Mail
• [7] Zend_Mail
• [8] PEAR Mail
• [9] Swift Mailer
• [10] Suhosin Direktive „suhosin.mail.protect“
• [11] PHP Security Blog: Goodbye HTTP Response Splitting, and thanks for all the fish
• [12] RFC 2616: Hypertext Transfer Protocol - HTTP/1.1
• [13] About Security #21: HTTP Response Splitting, 1

---

HTML5, aber sicher!

Wie setzt man die Möglichkeiten von HTML5 sicher ein?

Im Entwickler Magazin 2.2011 ist ein Artikel zum Thema "Sicherer Einsatz von HTML5" erschienen.

Links

• [1] HTML5 Security Cheatsheet
• [2] XSS (Cross Site Scripting) Cheat Sheet
• [3] XSS (Cross Site Scripting) Cheat Sheet Beta-Version
• [4] Robert „RSnake“ Hansen: And Beyond…
• [5] owasp-esapi-js
• [6] HTML5: 8.2.3 Posting messages
• [7] HTML5: 4.8.2 The iframe element
• [8] Chromium Blog: Security in Depth: HTML5's @sandbox
• [9] About Security #138: Webwürmer (1): Samy, der MySpace-Wurm
• [10] Even Without Browser Flaws, Attackers Have the Upper Hand on the Web
• [11] Q&A: Evercookie Creator Samy Kamkar
• [12] Samy Kamkar: evercookie-Demo (legt einen evercookie an)
• [13] Dominic White: Killing the Evercookie
• [14] Dominic White: Killing the Evercookie - Part2 MobileSafari
• [15] Jeremiah Grossman: Killing the Evercookie (Google Chrome w/o Restart)
• [16] Monirul Islam: How to remove evercookie from firefox

---

Workshop: Das kann schnell schief gehen! - Aufrufe externer Programme

Im PHP Magazin 2.2011 ist ein Workshop zum Thema "Aufruf externer Programme" erschienen.

---

HTML5 – Angreifers Liebling?

Teil 1: HTML5 gibt es noch nicht, neue Angriffe dagegen schon

Im Entwickler Magazin 1.2011 ist ein Artikel zum Thema "Angriffe auf und über HTML5" erschienen.

Links

• [1] XSS (Cross Site Scripting) Cheat Sheet
• [2] a) Gareth Heyes: HTML5 XSS
  b) Gareth Heyes: HTML5 NEW XSS VECTORS
  c) Thread im sla.ckers.org-Forum
• [3] HTML5 Security Cheatsheet
• [4] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
• [5] Paul Stone: Next Generation Clickjacking
  Material
• [6] Paul Stone: Clickjacking Tool
• [7] Gustav Rydstedt: Busting Frame Busting
  (Präsentation (PDF), Whitepaper (PDF), Video)
• [8] IEBlog: IE8 Security Part VII: ClickJacking Defenses
• [9] Mozilla Security Blog: X-Frame-Options
• [10] HTML 5 WebSocket
• [11] Web Applications 1.0 Draft Standard: The device Element
• [12] HTML5: 4.8.2 The iframe element
• [13] Chromium Blog: Security in Depth: HTML5's @sandbox

---

Workshop: File-Uploads: Wer sie erlaubt, muss sie sorgfältig prüfen

Im PHP Magazin 1.2011 ist ein Workshop zum Thema "Sichere File-Uploads" erschienen.

Links

• [1] 42.zip: Download und Beschreibung
• [2] TYPO3 Security Bulletin TYPO3-20080611-1: Multiple vulnerabilities in TYPO3 Core
• [3] Advice on core security issue regarding fileDenyPattern
• [4] mod_mime - Apache HTTP Server, Files with Multiple Extensions

---

Webmaster, webmaster@ceilers-it.de

Letzte Änderung: 04.03.2019, 00:15