Magazin-Artikel - Übersicht 2015

Dipl.-Inform. Carsten Eilers

Startseite

Über mich

Angebotsspektrum

Konferenzen

Texte

About Security
Online-Artikel
Magazin-Artikel

• Entwickler Magazin
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2008-2010
      alle (lang!)
• Mobile Technology
      2019
      2016
      2015
      2014
      2012/2013
      alle (lang!)
• PHP Magazin / PHP User
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2009-2010
      alle (lang!)
• PHP Magazin Workshops
• windows.developer
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2008-2011
      alle (lang!)
• Andere Magazine

PHP Magazin Workshops
Aktuelle Bücher
Ältere Bücher

Advisories

zum Blog ...

Impressum

Datenschutzerklärung

Einschränkung der Auswahl

Alle Artikel aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2010     2008/2009
oder nur Artikel des
• Entwickler Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2008-2010     alle (lang!)
• Mobile Technology aus
    2019     2016     2015     2014     2012/2013     alle (lang!)
• PHP Magazin / PHP User aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2009/2010     alle (lang!)
• windows.developer / dot.Net Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2008-2011     alle (lang!)
• oder der anderen Magazine

---

Windows 10: Sicherheit für Entwickler

Überblick über die neuen Sicherheitsfunktionen

Im windows.developer 12.15 ist ein Artikel über die für Entwickler relevanten Sicherheitsfunktionen von Windows 10 erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Stagefright und Certifi-gate bei Android

Android auf der Black Hat USA 2015

Im Magazin Mobile Technology 4.2015 ist ein Artikel über die auf der Black Hat USA 2015 vorgestellten Schwachstellen in und Angriffe auf Android wie Stagefright und Certifi-gate erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Lost Identity

Identitätsmissbrauch: Was kann passieren, und was kann man dagegen machen?

Im Entwickler Magazin 6.15 ist ein Artikel über die möglichen Folgen eines Identitätsmissbrauchs und wie man sich schützen kann erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Office in der Cloud - und die Sicherheit?

Ein paar Bemerkungen und Fakten zur Sicherheit von Office 365

Im windows.developer 11.15 ist ein Artikel zur Sicherheit von Office 365 erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Docker-Sicherheit – eine Bestandsaufnahme

Brauchen wir eine Alternative zu Docker?

Im PHP Magazin 6.2015 ist ein Artikel zur Sicherheit von Docker erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Wie sicher ist C# 6.0?

Das gibt es Neues rund um die Sicherheit von C# 6.0

Im windows.developer 10.15 ist ein Artikel zur Sicherheit von C# 6.0 erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Verräterische Datenberge

Was weiß das Netz über uns – und was verrät es davon?

Im Entwickler Magazin 5.15 ist ein Artikel über die Spuren, die wir im Internet hinterlassen, und was man damit anstellen kann, erschienen.

Update 13. April 2016:
Der Artikel ist jetzt auch online verfügbar.
Ende des Updates

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Achtung, AngularJS

JavaScript-Code: praktische Angriffsbeispiele

Im windows.developer 9.15 ist ein Artikel zur Sicherheit von AngularJS erschienen.

Links

• [1] Carsten Eilers: "JavaScript in Angreiferhand"; windows.developer 3.2014
• [2] Carsten Eilers: "JavaScript und die Sicherheit"; windows.developer 12.2014
• [3] Carsten Eilers: "Der Browser im Visier - ganz praktisch"; windows.developer 4.15
• [4] Mathias Karlsson: "AngularJS Sandbox bypass"
• [5] Gábor Molnár: "An AngularJS Template Expression Sandbox Escape"
• [6] Dennis Felsch; On Web-Security and -Insecurity: "Save Your Cloud: Exploiting Eucalyptus 4.0.0 and 4.0.1"
• [7] mustache-security - A wiki dedicated to JavaScript MVC security pitfalls: "AngularJS Security, XSS and CSP Bypasses"
• [8] "AngularJS - response to mustache-security"
• [9] AngularJS Developer Guide: Security
• [10] Isaac Dawson; Veracode: "AngularJS Expression Security Internals"
• [11] Alex Kouzemtchenko; Coverity Community: "Angular Template Injection"
• [12] AngularJS API Reference: ngCsp
• [13] mustache-security - A wiki dedicated to JavaScript MVC security pitfalls: "AngularJS Security, XSS and CSP Bypasses - "Eval" via Event Binding (using CSP)"
• [14] AngularJS API Reference: $sce
• [15] AngularJS API Reference: $sanitize
• [16] OWASP: XSS Filter Evasion Cheat Sheet
• [17] AngularJS API Reference: $http (Abschnitt "Security Considerations")
• [18] OWASP Top Ten Project
• [19] Kevin Hakanson: "ng-owasp: OWASP Top 10 for AngularJS Applications"
• [20] Kevin Hakanson: "ng-owasp: OWASP Top 10 for AngularJS Applications", Demos
• [21] Carsten Eilers: "Cross-Site Scripting im Überblick, Teil 1: Reflektiertes XSS" ff.
• [22] AngularJS API Reference: $resource
• [23] Jeff Cross, Ritchie Martori, Anant Narayanan: "AngularJS 2.0 Data Persistence Design Doc"
• [24] Retire.js
• [25] Peter Major; committed coder: "Is our AngularJS application vulnerable to the Covert Redirect exploit?"

---

Die böse XARA

Auch Mac OS X und iOS haben Schwachstellen mit Namen

Im Magazin Mobile Technology 3.2015 ist ein Artikel über die XARA-Schwachstelle in Mac OS X und iOS erschienen.

Links

• [1] Carsten Eilers: "2014 - Das Jahr, in dem die Schwachstellen Namen bekamen"
• [2] Darren Pauli; The Register: "Apple CORED: Boffins reveal password-killer 0-days for iOS and OS X"
• [3] Luyi Xing, Xialong Bai, Tongxin Li, XiaoFeng Wang, Kai Chen, Xiaojing Liao: "Unauthorized Cross-App Resource Access on MAC OS X and iOS" (PDF)
• [4] XARA Flaws
• [5] Jeff, Agile Blog: "1Password inter-process communication: a discussion"
• [6] Dick O'Brien; Symantec: "Apple vulnerabilities pose serious threat to passwords and credentials"
• [7] Rene Ritchie; iMore: "Apple comments on XARA exploits, and what you need to know"

---

Ist das denn überhaupt sicher?

Wie sicher sind Cross-Plattform-Apps?

Im Magazin Mobile Technology 3.2015 ist ein Artikel über die Sicherheit von Cross-Plattform-Apps erschienen.

Und um Verwirrungen vorzubeugen: Das ist zwar das gleiche Thema wie das des Artikels im Windows Developer 7.15, aber ein anderer Text.

Links

• [1] Carsten Eilers: "Android im Visier der Cyberkriminellen"; Mobile Technology 1.2014
• [2] Marco Grassi, Sebastián Guerrero; Black Hat Asia 2015: "The Nightmare Behind the Cross Platform Mobile Apps Dream"
• [3] Simon Roses Femerling; Black Hat Asia 2014: "The Inner Workings of Mobile Cross-Platform Technologies"
• [4] Marco Grassi; ZeroNights 2014: "Steroids for your App Security assessments" (Paper als PDF und Video auf Youtube)
• [5] Frida
• [6] CVE-2014-3500
• [7] CVE-2014-3501
• [8] CVE-2014-3502
• [9] OWASP Top Ten Mobile Risks
• [10] Nathan Li, Loc Nguyen, Xing Li, James Just; Black Hat USA 2013: "How to Grow a TREE (Taint-enabled Reverse Engineering Environment) From CBASS (Cross-platform Binary Automated Symbolic-execution System)"
• [11] Kymberlee Price, Jake Kouns; Black Hat USA 2014: "Epidemiology of Software Vulnerabilities: A Study of Attack Surface Spread"
• [12] Carsten Eilers: "OpenSSL - Der Heartbleed Bug und seine Folgen"
• [13] phonegap/phonegap Wiki auf GitHub: "Platform Security"
• [14] Carsten Eilers: "Mobile Geräte im Visier"; Mobile Technology 3.2012
• [15] Carsten Eilers: "Androids Sicherheit aus Forschersicht"; Mobile Technology 3.2014

---

Kurze Schlüssel, große Gefahr

Logjam und FREAK gefährden TLS

Im PHP Magazin 5.2015 ist ein Artikel über die neuen Angriffe auf TLS erschienen: Logjam und FREAK.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Einstieg in die Welt der Exploits

Wie man Schwachstellen, Workarounds und Patches testen kann

Im windows.developer 8.15 ist ein Artikel über das Testen von Schwachstellen, Workarounds und Patches mit Hilfe von Exploits erschienen.

Links

• [1] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall" ff.
• [2] Carsten Eilers: "ShellShock - Die Schwachstellen und Angriffsvektoren"
• [3] Carsten Eilers: "Lebensretter an Tag Null - Das Enhanced Mitigation Experience Toolkit schützt vor 0-Day-Exploits"; windows.developer 10.2014
• [4] Exploits Database by Offensive Security
• [5] Exploits Database: "Adobe Flash Player - Arbitrary Code Execution"
• [6] Carsten Eilers: "Neuer 0-Day-Exploit im Umlauf - Der Flash Player gefährdet (mal wieder) Ihre Sicherheit!"
• [7] Exploits Database: "WebGate eDVR Manager - Stack Buffer Overflow"
• [8] Praveen Darshanam; Security Unplugged !!!: "WebGate eDVR Manager WESPMonitor.WESPMonitorCtrl LoadImage Stack Buffer Overflow Remote Code Execution (CVE-2015-2097)"
• [9] Exploits Database: "UniPDF 1.1 - Crash PoC (SEH overwritten)"
• [10] Exploits Database: "MS Windows (HTTP.sys) - HTTP Request Parsing DoS (MS15-034)"
• [11] Johannes B. Ullrich; ISC InfoSec Diary Blog: "MS15-034: HTTP.sys (IIS) DoS And Possible Remote Code Execution. PATCH NOW"
• [12] Metasploit Penetration Testing Software
• [13] Maria Varmazis; Rapid 7 Community: "Availability of Metasploit Community & Metasploit Pro trials outside US & Canada"
• [14] Rapid7: Penetration Testing Tool, Metasploit, Free Download
• [15] Kali Linux - Penetration Testing and Ethical Hacking Linux Distribution
• [16] Kali Linux: Metasploit Framework
• [17] Rapid7: "CVE-2015-0313 Adobe Flash Player ByteArray With Workers Use After Free"
• [18] Rapid7: "CVE-2012-3993 Firefox 5.0 - 15.0.1 __exposedProps__ XCS Code Execution"

---

VoIP im Visier der Cyberkriminellen

Wie sicher ist VoIP eigentlich?

Im Entwickler Magazin 4.15 ist ein Artikel über die Sicherheit von VoIP erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Überall sicher

Wie sicher ist eine Cross-Plattform-Entwicklung eigentlich?

Im windows.developer 7.15 ist ein Artikel über die Sicherheit der Cross-Plattform-Entwicklung erschienen.

Links

• [1] Marco Grassi, Sebastián Guerrero; Black Hat Asia 2015: "The Nightmare Behind the Cross Platform Mobile Apps Dream"
• [2] Simon Roses Femerling; Black Hat Asia 2014: "The Inner Workings of Mobile Cross-Platform Technologies"
• [3] Marco Grassi; ZeroNights 2014: "Steroids for your App Security assessments" (Paper als PDF und Video auf YouTube)
• [4] CVE-2014-3500
• [5] CVE-2014-3501
• [6] CVE-2014-3502
• [7] OWASP Top Ten Mobile Risks
• [8] Nathan Li, Loc Nguyen, Xing Li, James Just; Black Hat USA 2013: "How to Grow a TREE (Taint-enabled Reverse Engineering Environment) From CBASS (Cross-platform Binary Automated Symbolic-execution System)"
• [9] Kymberlee Price, Jake Kouns; Black Hat USA 2014: "Epidemiology of Software Vulnerabilities: A Study of Attack Surface Spread"
• [10] Carsten Eilers: "OpenSSL - Der Heartbleed Bug und seine Folgen"
• [11] phonegap/phonegap Wiki auf GitHub: "Platform Security"

---

Wie DevOps die Sicherheit erhöhen kann

„Best Practices“ in Sachen Sicherheit mit DevOps

Im Entwickler Magazin Spezial Vol. 4 - DevOps ist ein Artikel über Sicherheit von und mit DevOps erschienen.

Links

• [1] Carsten Eilers: "Microsoft Security Development Lifecycle"; windows.developer 4.2012
• [2] James DeLuccia IV, Jeff Gallimore, Gene Kim, Byron Miller: "DevOps Auditor Defense Toolkit"

---

Confused Deputy 2015

Neues rund um eine sehr alte Schwachstelle: Cross-Site Request Forgery

Im PHP Magazin 4.2015 ist ein Artikel über Cross-Site Request Forgery erschienen: Was gibt es neues zu dieser doch schon sehr alten Schwachstelle zu berichten?

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Angriffsziel Team Foundation Server

Wie sicher ist der TFS?

Im windows.developer 6.15 ist ein Artikel über die Sicherheit des Team Foundation Servers erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

UMTS – Wie (un)sicher ist das denn?

Wie auf dem 31C3 ein Protokoll zerlegt wurde

Im Magazin Mobile Technology 2.2015 ist ein Artikel über die auf dem 31C3 vorgestellten Angriffe auf UMTS erschienen.

Links

• [1] Craig Timberg; The Washington Post: "For sale: Systems that can secretly track where cellphone users go around the globe"
• [2] Tobias Engel; 31C3: "SS7: Locate. Track. Manipulate."
• [3] Tobias Engel; ccc-tv: "SS7: Locate. Track. Manipulate."
• [4] Karsten Nohl; 31C3: "Mobile self-defense"
• [5] Karsten Nohl; ccc-tv: "Mobile self-defense"
• [6] GSM Security Map
• [7] Laurent Ghigonis, Alexandre De Oliveira; 31C3: "SS7map : mapping vulnerability of the international mobile roaming infrastructure"
• [8] Laurent Ghigonis, Alexandre De Oliveira; ccc-tv: "SS7map : mapping vulnerability of the international mobile roaming infrastructure"
• [9] SS7map: SS7 Networks Exposure
• [10] Carsten Eilers; jaxenter.de: "Der SIM-Karten-Hack von NSA und GCHQ"

---

Auf Vorrat gespeichert

Was die angeblich harmlosen Metadaten alles über uns verraten

Im Entwickler Magazin 3.15 ist ein Artikel über die Bedeutung von Metadaten erschienen. Bei der Forderung nach einer Vorratsdatenspeicherung wird deren Bedeutung ja meist mit der Aussage relativiert, dass ja "nur" Metadaten gespeichert würden und keine Inhalte. Aber schon diese Metadaten verraten sehr viel über die Benutzer. Ost sogar mehr als die eigentlichen Daten, zu deren Beschreibung sie ja eigentlich nur dienen.

Update 23.5.2016
Der Artikel wurde jetzt auch online auf entwickler.de veröffentlicht.
Ende des Updates

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Wie DevOps die Sicherheit erhöhen kann

„Best Practices“ in Sachen Sicherheit mit DevOps

Im windows.developer 5.15 ist ein Artikel über Sicherheit mit DevOps erschienen.

Links

• [1] Carsten Eilers: "Microsoft Security Development Lifecycle"; windows.developer 4.2012
• [2] James DeLuccia IV, Jeff Gallimore, Gene Kim, Byron Miller: "DevOps Auditor Defense Toolkit"

---

Windows 10 und die Sicherheit

Authentifizierung, Data Loss Prevention und mehr

Im windows.developer 5.15 ist ein Artikel über die bisher bekannten Neuerungen rund um die Sicherheit von Windows 10 erschienen.

Links

• [1] Jim Alkove; "Windows For Your Business"-Blog: "Windows 10: Security and Identity Protection for the Modern World"
• [2] Mary Branscombe; TechRadar: "Will Windows 10 mean the end of malware?"
• [3] Carsten Eilers: "Authentifizierung: Ein Faktor reicht nicht (mehr)"
• [4] Fast IDentity Online (FIDO) Alliance
• [5] Dustin Ingalls; "Windows For Your Business"-Blog: "Microsoft Announces FIDO Support Coming to Windows 10"
• [6] John Hawes; Sophos Naked Security: "Windows 10 will work with FIDO specs for password-free access, says Microsoft"
• [7] Jim Alkove; "Windows For Your Business"-Blog: "Windows 10 for Enterprise: More secure and up to date"
• [8] Carsten Eilers: "Lebensretter an Tag Null"; windows.developer 10.2014
• [9] Jack Tang; TrendLabs Security Intelligence Blog: "Exploring Control Flow Guard in Windows 10"
• [10] Jim Hogg; Visual C++ Team Blog: "Visual Studio 2015 Preview: Work-in-Progress Security Feature"
• [11] Udi Yavo; Breaking Malware: "One-Bit To Rule Them All: Bypassing Windows’ 10 Protections using a Single Bit"
• [12] Carsten Eilers: "Microsoft Security Development Lifecycle"; windows.developer Magazin 4.2012

---

Fälschungsalarm auf dem Server

SSRF – was ist das, was kann das, und ist das etwa gefährlich?

Im PHP Magazin 3.2015 ist ein Artikel über Server-Side Request Forgery erschienen: Was ist SSRF, was kann ein Angreifer damit erreichen, wie gefährlich ist ein Angriff?

Links

• [1] Carsten Eilers: "About Security #127: Cross-Site Request Forgery: Einführung" (auf archive.org)
• [2] Norm Hardy: "The Confused Deputy"
• [3] Common Weakness Enumeration: CWE-918: Server-Side Request Forgery (SSRF)
• [4] Danijel; MaXoNe WebApp Security Blog: "Bug bounty : marketplace.mozilla.org server side request forgery vulnerability."
• [5] HackerOne Bug #4461 Server Side Request Forgery
• [6] Alexander Bolshev, Gleb Cherbov; Black Hat USA 2014: "ICSCorsair: How I Will PWN Your ERP Through 4-20 mA Current Loop"
• [7] Deral Heiland; ShmooCon 2008: "Web Portals: Gateway To Information, Or A Hole In Our Perimeter Defenses" (Präsentatition als PPT)
• [8] Alexander Polyakov, Dmitry Chastuhin; Black Hat USA 2012: "SSRF vs. Business Critical Applications"
• [9] Jeremiah Grossman, WhiteHat Security Blog: "Top Ten Web Hacking Techniques of 2012"
• [10] Vladimir Vorontsov, Alexander Golovko; Hack in the Box Amsterdam 2013: "SSRF PWNs: New Techniques and Stories"
• [11] Vladimir Vorontsov, Alexander Golovko; ZeroNights Conference 2012: "SSRF attacks and sockets: smorgasbord of vulnerabilities"
• [12] Vladimir Vorontsov, Alexander Golovko; ZeroNights Conference 2012: "SSRF attacks and sockets: smorgasbord of vulnerabilities" (Präsentatition als PDF)
• [13] OnSec: "SSRF bible. Cheatsheet"
• [14] Exploit-DB: "Plex Media Server 0.9.9.2.374-aa23a69 - Multiple Vulnerabilities"
• [15] SEC Consult Unternehmensberatung GmbH: Video "Authentication bypass (SSRF) in Plex Media Server" auf YouTube

---

Der Browser im Visier - ganz praktisch

Statt grauer Theorie praktische Proof of Concepts und Exploits

Im windows.developer 4.15 ist ein Artikel über Angriffe auf den Webbrowser erschienen. Und zwar von der praktischen Seite: Welche Proof-of-Concepts und Exploits wurden denn für den Browser veröffentlicht?

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Azures Sicherheit - ein Update

Was gibt es Neues zur Sicherheit von Microsoft Azure?

Im windows.developer 4.15 ist ein Artikel über die Sicherheit von Azure erschienen. Es handelt sich um ein Update für den Artikel im windows.developer 2.2014 zum gleichen Thema.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Kein Feuer, aber kräftig am Kokeln!

Teil 2 des Rückblicks auf Schwachstellen und Angriffe im Jahr 2014

Im Entwickler Magazin 2.15 ist ein Artikel über die "prominenten" Schwachstellen und Angriffe des Jahres 2014 erschienen. Also die, die mit Namen versehen wurden, was ja zuvor ziemlich selten passierte, 2014 aber fast üblich wurde. Außerdem gab es so viele Schwachstellen und Angriffe, dass es teilweise schien, als stünde das Internet in Flammen. Tat es aber nicht. Zum Glück!

Im Entwickler Magazin 1.15 war bereits ein erster Artikel zu den Schwachstellen und Angriffen rund um SSL/TLS erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Sicherheit geht vor

Machine-to-Machine-Kommunikation aus der Sicherheitsperspektive

Im Entwickler Magazin 2.15 ist ein Artikel über die Sicherheit der Machine-to-Machine-Kommunikation erschienen. Untersucht werden die Schutzmaßnahmen der beiden Protokolle MQTT und CoAP.

Nachtrag 5. Mai 2016:
Der Artikel ist jetzt auch online auf entwickler.de verfügbar!
Ende des Nachtrags

Links

• [1] Carsten Eilers: "About Security #1: IT-Sicherheit — Was ist das eigentlich?" auf archive.org
• [2] OASIS: "OASIS Members to Advance MQTT Standard for M2M/ IoT Reliable Messaging"
• [3] Lucy Zhang; Facebook Engineering: "Building Facebook Messenger"
• [4] Giuliano Diniz de Morais; The Mobile Frontier: "Why Facebook is using MQTT on mobile"
• [5] MQTT Version 3.1.1 - 5 Security
• [6] MQTT v3.1.1 Protocol Specification
• [7] MQTT Version 3.1.1 - 5.4.1 Authentication of Clients by the Server
• [8] Carsten Eilers: "Quo vadis, SSL?"; Entwickler Magazin 4.2012
• [9] Carsten Eilers: "Herzbluten, ein bissiger Poodle und Co."; Entwickler Magazin 1.2015
• [10] Carsten Eilers: "About Security #74: Kryptographie — Advanced Encryption Standard (AES)" auf archive.org
• [11] Constrained RESTful Environments (core) WG
• [12] RFC 7252 - The Constrained Application Protocol (CoAP)
• [13] RFC 6347 - Datagram Transport Layer Security Version 1.2
• [14] Thamer A. Alghamdi, Aboubaker Lasebae, Mahdi Aiash; Second International Conference on Future Generation Communication Technologies (FGCT 2013): "Security Analysis of the Constrained Application Protocol in the Internet of Things"
• [15] Carsten Eilers: "Kryptostandards im NSA-Zeitalter - Teil 3: Die NSA und ihr Einfluss auf Standards"; Entwickler Magazin 3.2014
• [16] RFC 7252 - The Constrained Application Protocol (CoAP) - 9. Securing CoAP
• [17] Carsten Eilers: "SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3"
• [18] RFC 7252 - The Constrained Application Protocol (CoAP) - 11. Security Considerations

---

Docker-Sicherheit im Überblick

Ist Docker so unsicher, dass wir eine Alternative brauchen?

Im windows.developer 3.15 ist ein Artikel über die Sicherheit von Docker erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Zahlen mit einem Fingerabdruck

Wie funktioniert Apple Pay, und wie sicher ist es?

Im Magazin Mobile Technology 1.2015 ist ein Artikel über Apple Pay erschienen.

Links

• [1] Apple: Apple Pay
• [2] Apple: "Apple Pay security and privacy overview"
• [3] Apple: "iOS Security Guide", Ausgabe Oktober 2014 (PDF)
• [4] Carsten Eilers: "SCADA-Hack: Texas ist nicht Illinois"
• [5] Carsten Eilers: "Exotisches Ungeziefer"; windows.developer 11.2014
• [6] Carsten Eilers: "Sicher, sicherer, iOS?"; Mobile Technology 4.2012
• [7] Carsten Eilers: "WireLurker, Schritt 2: Der Angriff auf die iOS-Geräte"
• [8] Michael Soboll, Hannoversche Allgemeine Zeitung: "Betrüger plündern Konten von 140 Baumarktkunden in Hannover"
• [9] Paul Ducklin; Sophos Naked Security: "How to steal a million dollars (actually, $999,999.99) - no PIN required"
• [10] Marc Rogers; The Official Lookout Blog: "Why I hacked TouchID (again) and still think it’s awesome"
• [11] Marc Rogers: Video "Hacking Apple TouchID on the iPhone 6" auf YouTube
• [12] Ronald Eikenberg; Heise Online: "Fingerabdrucksensor des iPhone 6 überlistet"
• [13] Irfan Asrar; Symantec: "Ecardgrabber: Android App Sniffing Contactless Credit Card Details over the Air"
• [14] Lee Munson; Sophos Naked Security: "Contactless payments - researcher intercepts card data from a metre away"
• [15] Charlie Miller; Black Hat USA 2012: "Don't Stand So Close To Me: An Analysis of the NFC Attack Surface"
• [16] Shannon Sabens; HP Enterprise Business Community: "Mobile Pwn2Own 2014: The day one recap"
• [17] Shannon Sabens; HP Enterprise Business Community: "Mobile Pwn2Own begins: Competitors and targets"
• [18] Buster Hein; Cult of Mac: "Apple confirms iPhone 6 NFC chip is only for Apple Pay at launch"

---

Angriffsziel Internet of Things

Wie sicher sind die ganzen Dinge, die mit dem Internet verbunden werden?

Im windows.developer 2.15 ist ein Artikel über die Sicherheit des IoT erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Herzbluten, ein bissiger Poodle und Co.

Ein Rückblick auf Schwachstellen und Angriffe im Jahr 2014

Im Entwickler Magazin 1.15 ist ein Artikel über die Angriffe auf SSL/TLS und deren Implementierungen im Jahr 2014 erschienen. Denn mit Heartbleed (OpenSSL), Poodle (SSL/TLS), dem Triple-Handshake-Angriff (TLS), der GOTO-FAIL-Schwachstelle in Mac OS X und iOS und BERserk (NSS Library) waren die 2014 ganz schön gebeutelt.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

NoSQL, no SQL Injection - no Security?

Wie angreifbar sind NoSQL-Datenbanken?

Im PHP Magazin 1.2015 ist ein Artikel über die Sicherheit von NoSQL-Datenbanken erschienen. Eine Datenbank ist für einen Angreifer fast immer interessant, denn meist enthält sie wertvolle Daten, die er gerne hätte. Im Fall von SQL-Datenbanken versuchen die Angreifer im Allgemeinen, diese Daten über einen SQL-Injection Angriff abzufragen. Davor schützt die Verwendung von Prepared Statement, die parametrisiert aufgerufen werden. Aber wie sieht es mit der Sicherheit von NoSQL-Datenbanken aus?

Links

• [1] Erlend Oftedal, Blog "Insomnia and the Hole in the Universe": "[Security] NOSQL-injection"
• [2] FAQ: MongoDB for Application Developers - MongoDB Manual 2.6.4: "How does MongoDB address SQL or Query injection?"
• [3] Phil Taylor, Blog "Web Application Security": "Mongodb is vulnerable to SQL injection in PHP at least"
• [4] PHP Manual - Mongo Manual - Security
• [5] Leo Kelion, BBC News: "eBay redirect attack puts buyers' credentials at risk"
• [6] Ming Chow; DefCon 21: "Abusing NoSQL Databases"
• [7] Ming Chow; DefCon 21: "Abusing NoSQL Databases" - Präsentation
• [8] Francis Alexander; Hack in the Box Amsterdam 2014: "Exploiting NoSQL Like Never Before"
• [9] NoSQL Exploitation Framework
• [10] GitHub: torque59/Nosql-Exploitation-Framework
• [11] Francis Alexander; 44CON 2014: "Pentesting NoSQL DB's Using NoSQL Exploitation Framework"
• [12] Francis Alexander; 44CON 2014; "Pentesting NoSQL DB's Using NoSQL Exploitation Framework": Präsentation auf Slideshare
• [13] Francis Alexander; Hack In Paris 2014: "Pentesting NoSQL DB's with NoSQL Exploitation Framework"
• [14] NoSQLMap - Automated NoSQL Database Pwnage
• [15] Russell Butturini: "An Important Message Regarding "The NoSQL Exploitation Framework""
• [16] Russell Butturini; BSides Nashville 2014: "Making Mongo Cry: Automated NoSQL exploitation with NoSQLMap"
• [17] Russell Butturini; Wall of Sheep Speaker Workshops at DEF CON 22: "Making Mongo Cry: Automated NoSQL exploitation with NoSQLMap" (PowerPoint)
• [18] Carsten Eilers; Windows Developer 8.2012: "NoSQL, No Security?"

---

Webmaster, webmaster@ceilers-it.de

Letzte Änderung: 04.03.2019, 00:15